Na, hat hier jemand an sicherheit durch biometrie geglaubt?

Die üblichen Datenkombinationen mit E-Mail-Adressen und Passwörtern sind heute in manchen Fällen nicht mehr ausreichend. Und quasi schon folgerichtig tauchten nun auf dem Schwarzmarkt die ersten Sammlungen auf, in denen auch tausende Datensätze zu analysierten Fingerabdrücken enthalten waren

Ich wünsche euch viel spaß beim wexeln eures fingerabdruckes! Ist fast so einfach wie der wexel eines passwortes. Finger abschneiden, neuen finger drannähen. Oder wart ihr alle schlau?

„Cyber cyber“ des tages

Endlich! Ich habe ja nur drauf gewartet, dass sich die p’litik so weit entblödet! Der grundgesetzwidrige bundestrojaner (hier zur verblödung der zuhörer als „onlein-durchsuchung“ bezeichnet) hilft nach meinung der C-parteien gegen doxxing!!!1!elf!

Und natürlich geht es in der natürlichen dummheit zweier großer BRD-parteien noch ein bisschen weiter:

Anbieter von Online-Diensten und Hersteller von Geräten, die mit dem Internet vernetzt sind, sollen ihre Angebote so gestalten, „dass ausreichend starke Passwörter von den Benutzern gewählt und diese regelmäßig geändert werden müssen“.

Genau, das wirds bringen, wenn man auf seinem trojanerverseuchten wischofon mit scheunentorgroßen sicherheitslücken, das (im gegensatz etwa zum als sicherheitsrisiko berüchtigten fläsch) niemals eine sicherheitsaktualisierung erhält, sichere passwörter benutzen muss! Die können ja überhaupt nicht vom keylogger mitgelesen werden. Wenn sie nicht sogar wegen der hochkwalitativen kwalitätsstandards beim zusammenstöpseln von wischofon-äpps direkt im internetz veröffentlicht werden.

CAPTCHA des tages

Baut überall im web CAPTCHAs ein, sagten sie, denn das behindert spämmer und bots aller art. Dafür kann man es doch mal in kauf nehmen, dass auch körperbehinderte, blinde und menschen mit abgeschalteten javascript oder vergleichbaren selbstschutzmaßnahmen gegen eine feindliche übernahme ihres kompjuters und ihrer privatsfäre ausgesperrt werden; dafür kann man es sogar in kauf nehmen, seine eigene webseit in eine träcking-maschine für scheißguhgell umzubauen! Dass guhgell jeden kwasi aussperrt, der TOR verwendet, ist euch ja auch egal. Also baut überall CAPTCHAs ein, denn das stellt sicher, dass eure webseits nur von menschen und nicht von irgendwelchen bots benutzt werden:

Forscher der Universität von Maryland können nach eigenen Angaben Googles überarbeitete Audio-Captchas jetzt zu 90 Prozent automatisiert lösen

😳

Auch weiterhin viel spaß mit der einfachen gefühlten sicherheit und dem unwirksamen spämmschutz!

Security des tages

Jetzt neu, toll und super: banken haben eine neue, gefühlt hochsichere metode gefunden, mäjhls zu verschlüsseln!

Aber keine getränke im mund!

(Wenn PGP nur mit einer frühe strokelsoftwäjhr im alfastadium ginge oder pro damit verschlüsselter und signierter mäjhl geld kosten würde, könnte ich die banken ja verstehen. Aber PGP kostet nix und es gibt Freie softwäjhr dafür.)

Guhgell des tages

Guhgell will die „sicherheit“ erhöhen, indem es benutzer von guhgell-angeboten dazu bestupst, sicherheitseinstellungen im webbrauser zu lockern.

Ab ob ein bot kein javascript könne! Natürlich geht es dabei nicht um irgendeine „sicherheit“, sondern um besseres träcking. Abgeschaltetes javascript hilft gegen die meisten fortgeschrittenen überwachungsverfahren der scheißwerber und übrigens auch gegen die allermeisten angriffe von richtigen verbrechern auf den webbrauser. Aber das ist guhgell doch egal, wenn andere leute einen schaden haben — hauptsache, das geschäft von guhgell läuft. Und damit das auch in zukunft läuft, wird den leuten in bestem volxverdummerton erzählt: „wer kein AIDS will, der soll jetzt ohne präser ficken“. Toll!

TLS des tages

Auch, wenn heise das in seiner übelschrift ganz anders formuliert: TLS ist nach wie vor kaputt, es gibt zurzeit zum beispiel einen „hübschen“ angriff über eine lücke in den DNS-sörvern und „jeder“ kann sich zurzeit von CAs TLS-zertifikate für beliebige domäjhns ausstellen lassen. „Beliebige domäjhns“ meint hier: beliebige domäjhns. Zum beispiel eure bank, eure suchmaschine, euer mäjhlanbieter…

Ich wünsche den naiven und vom jornalismus verblödeten menschen dieser welt auch weiterhin viel spaß mit der gefühlten sicherheit durch den blick auf das kleine schlösschen an der adresszeile! Das von zentralen CAs abhängige TLS ist dermaßen im arsch, dass man nicht einmal vertrauen herstellen kann, indem man auf das schlösschen klickt und das zertifikat überprüft. Und wenn sich irgendein dritter in die mitte stellt — zum beispiel eine schadsoftwäjhr, die durchaus auch als addon für den webbrauser implementiert sein kann — ist zum beispiel eine unbemerkbare manipulazjon des an sich verschlüsselten onleinbänkings möglich, während der anwender wie ein gebanntes karnickel auf das sicherheitsverheißende schlösschen gafft und sich sicher fühlt.

Wer immer noch nicht beunruhigt ist, sollte sich mal in seinem webbrauser anschauen, welchen CAs automatisch vertraut wird. Ich persönlich vertraue, wenns drauf ankommt, weder den deutschen telekomikern noch der TÜRKTRUST elektronik sertifika hizmet sağlayıcısı H5 und schon gar nicht der CA 沃通根证书. Von den diversen unternehmen in den USA einmal ganz abgesehen.

Sommerloch und bullschitt des tages

Da macht heise auf seiner webseit einen text mit ganz vielen zahlen, die aussagen, wie sicher sich die menschen im „digitalen raum“, was immer das auch sein mag, fühlen. Ja, richtig: wie sicher sie sich fühlen.

Und zahlen gibts, ganz viele voll objektive zahlen, und zwar nicht näher erläuterte punktzahlen, die mit einer stelle nach dem komma aufgezählt werden. Da wurden die gefühle aber ganz genau mit einem geeichten gefühl-o-meter gemessen!!1! 😀

Oder, um einmal eine passahsche aus dem dadaistisch wertvollen text zu zitieren:

Ausschlaggebend für den erneuten Rückgang ist ein gestiegenes Gefährdungsgefühl der Verbraucher. Dieses wird mit einem Wert von 29,3 Punkten wiedergegeben, während es im Vorjahr noch bei 27,1 lag

Das ist wirklich ein aussagesatz aus diesem text zu einer untersuchung, die so richtig bullschitt, matematikmissbrauch und wisschenschaft ist. Aber immerhin kommt es auch zu einem schluss:

Im Fünfjahresvergleich zeigen die Kennzahlen, dass der Bedarf nach digitaler Unterstützung in der Bevölkerung zunimmt

Leute, ihr braucht kein wissen, ihr braucht hilfe, eine hand, die die eure führt. Denn diese gibt euch sicherheit und trost!!!elf!

„Cyber cyber“ des tages

Hier in nordrhein-westfalen sind wir sicher vor häckerangriffen und cyberattacken auf die landtagswahl. Wir erledigen die gesamte kommunikazjon über telefon, das ist sicherer als irgendein internetz.

Nach Angaben des Innenministeriums soll es auch einen Erlass geben, der den Wahlhelfern explizit untersagt, die Ergebnisse per E-Mail zu verschicken. Denn je weniger Kommunikation über Server und Computer läuft, desto geringer ist auch die Anfälligkeit für digitale Manipulationen

Toll, dass die extra überall, wo gewählt wird, nochmal olle analoge telefonkabel in die erde gelegt haben, damit auch ja nicht irgendeine kommunikazjon über sörver und kompjuter läuft. Das wäre ja gar nicht auszudenken, wenn es sich dabei dann um VoIP handelte.

Die autentifikazjon beim telefonischen melden der auszählungsergebnisse läuft hoffentlich nicht nur über… ähm… die übermittelte telefonnummer des anrufers… und hoffentlich wird ein einfacher DDOS auf eine telefonnummer durch andauerndes anrufen (leicht über ein botnetz von gepwnten wischofonen durchzuführen) auch durch geheimhaltung der verwendeten telefonnummern ausgeschlossen. Man hätte sogar übers fratzenbuch kommunizieren können, wenn man digitale signaturen verwenden würde, aber diese kryptologische flugscheibentechnologie flauschiger außerirdischer mit stark geschwollem gehirn scheint in den innenministerjen der bummsrepublik „technologiestandort“ deutschland noch nicht verstanden worden zu sein. :mrgreen:

Übrigens, werte vergewaltigungsfachwirte von der idjotenfront und werte jornalisten, die ihr das kompetenzfreie geblubber abschreibt: ein häcker ist etwas anderes als ein mitarbeiter eines ausländischen geheimdienstes. Für letzteres gibt es schon ein passendes und unmissverständliches wort.

Ich mag ja das symbolbild im heise-artikel… 😀

Cargokult des tages

Wer das wort „cargokult“ noch nie gehört hat: die wicked pedia hilft.

Beim US-senat gibt es jetzt einen cargokult, der ein sicheres digitales zugangssystem zum parlamentsgebäude sein soll. Es kann sich eigentlich nur noch um wenige monate handeln, bis die bewohner der USA ihre felder mit isotonischen getränken gießen, weil da elektrolyte drin sind. :mrgreen:

TLS des tages

Na, glaubt hier noch jemand an sicherheit, weil ein kleines schlösschen im webbrauser angezeigt wird? TLS-verschlüsselung wird jeden tag ein bisschen bullschittiger und überflüssiger:

Die Internet Engineering Task Force (IETF) sieht sich von einem Entwurf für eine Spezifikation herausgefordert, die nicht weniger als „vertrauenswürdige Middleboxen“ definiert: Sie sollen ganz legitim in TLS-verschlüsselten Verkehr hineinsehen können.

Middleboxen sind transparent, also für den Nutzer unsichtbar agierende Netzwerkgeräte, mittels denen zum Beispiel Netzbetreiber den IP-Verkehr lenken, indem sie Optionen aus dem IP-Header stillschweigend löschen oder ändern

Auch weiterhin viel spaß beim festen glauben an die kinderleichte sicherheit und verschlüsselung durch kwasiautomatismen, die kind- und analfabetengerecht durch irgendwelche piktogramme angezeigt wird! Müsst ihr dran glauben, der onkel jornalist hats euch erzählt, also ists ganz was tolles! Kommt, glaubt schon! Sind nur richtig tolle CAs im brauser vorkonfiguriert, denen jeder immer stets vertrauen kann. Und weil diese ganze scheiße noch nicht reicht, wird jetzt einfach die hintertür in der TLS-verschlüsselung als internetzstandard spezifiziert. Damit der ganze aufwand mit TLS so richtig richtig sinnlos und die kryptografie zur krüpplografie wird.

Vorsicht vor gefühlter sicherheit!

„Verschlüsselt“ hier etwa jemand wichtige daten, indem er sie in ein passwortgeschütztes RAR-, ZIP oder 7z-archiv ablegt? Das ist keine gute idee. Rarcrack¹ bekommt auf einem halbwegs modernen rechner mit ordentlich CPU-kernen ziemlich schnell das passwort raus, und zwar vor allem dann, wenn es einfach und kurz ist — und dabei sehe ich im kwelltext noch eine menge raum für verbesserungen durch angriffe auf einfache passwörter mithilfe der cracklib. Wer sich auf diesen schutz allein verlässt, ist also verlassen.

Wie man an richtige und wirksame verschlüsselung kommt, erfährt man übrigens in diesem modernen internetz.

¹Ich habe es nur indirekt verlinkt, weil es bei sourceforge liegt — und sourceforge in der vergangenheit immer wieder schadsoftwäjre (wie tuhlbars für brauser und sonstige heimliche verkonfigurazjonen des rechners im interesse der reklameindustrie) mit daunlohds Freier softwäjhr ausgeliefert hat. Wer so etwas macht, bekommt von mir keine links mehr und hat sich jede nur denkbare verachtung verdient.

Schlangenöl des tages

Der Passwort-Manager ist Teil eines Sicherheitspaketes von Trend Micro und erlaubt in seiner kostenlosen Variante das Speichern von fünf Passwörtern. Laut Ormandy basiert der Passwort-Manager hauptsächlich auf Javascript und dem Webserver node.js. Das Programm öffne mehrere Ports, über die API-Anfragen verarbeitet werden. Er habe nur 30 Sekunden gebraucht, um eine URL zu finden, die das Ausführen beliebiger Befehle auf der Windows-Kommandozeile erlaube, schrieb Ormandy am vergangenen Mittwoch. Am Freitag fügte er hinzu: „Da gibt es eine schöne, saubere API, um an die im Passwort-Manager gespeicherten Passwörter heranzukommen. Damit kann jeder alle gespeicherten Passwörter lesen“ […] Jeder im Internet kann alle Passwörter komplett geräuschlos stehlen, zudem beliebigen Code ohne jede Interaktion mit dem Nutzer ausführen

Ich wünsche euch auch weiterhin viel spaß dabei, eure kompjutersicherheit an ein mit blut und blumen gefüttertes wuhduh-idol… ähm… an den zauber irgendwelcher aufwändig (und oft mit schleichwerbung) beworbener schlangenöl-programme zu übertragen, an die ihr dann einfach glaubt!

Schlangenöl des tages

AVG will als Antiviren-Anbieter das Web sicherer machen und den Computer des Nutzers schützen. So ist jedenfalls die Theorie bzw. der Optimalfall. Doch laut Tavis Ormandy, einem Sicherheitsforscher bei Googles Project Zero-Initiative, macht die Chrome-Erweiterung von AVG genau das Gegenteil, da sie von Schwachstellen regelrecht durchsiebt ist bzw. war

Auch weiterhin viel spaß mit der gefühlten sicherheit durch schlangenöl-programme! Direkt unter dem artikel kann man auch gleich ein paar andere runterladen. Die machen in ein paar wochen dann die näxste meldung… :mrgreen:

TLS des tages und warum man „dell“-kompjuter niemals mehr kaufen sollte

Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen

Hersteller, die so eine scheiße vorsätzlich und mit böser absicht machen und es dabei billigend in kauf nehmen, dass ihre kunden mit… sagen wir mal… manipuliertem onlein-bänking abgezogen werden, sind feinde ihrer kunden und freunde der organisierten internetz-kriminalität. (Und natürlich auch freunde der horch- und morddienste, aber das bisschen würde und privatsfäre ist den leuten ja leider nicht so viel wert wie diese bunten läppchen irgendeiner staatlichen banknotenausgabestelle.)

Dell hat nichts weiter verdient, als an den insolvenzverwalter übergeben zu werden.

Ich wünsche euch auch weiterhin viel spaß dabei, an eine sichere verbindung zu glauben, nur weil ein kleines schlösschen im brauser angezeigt wird — einfach nur, weil andere eine liste auf den kompjuter (oder in die brauser) machen, welche CAs vertrauenswürdig sind. In diesem fall gilt zwar: wer seine fünf sinne beisammen hat, macht das vorinstallierte windohs auf einem neugekauften kompjuter mit dem ganzen unerwünschten blähscheiß eh platt und installiert sich ein frisches, ballastfreies windohs (oder etwas anderes). Aber: schaut euch mal an, wem da sowieso schon alles pauschal vertraut wird und versucht, diese liste nachzuvollziehen! Das ist die bekweme sicherheit mit dem schlösschen im brauser, die euch von scheißjornalisten immer als etwas total wichtiges verkauft wird und die es so einfach macht, irgendwelche kwasitrojaner unterzujubeln. Immer feste dran glauben! Und den scheißjornalisten nachsprechen: da ist ein schlösschen im brauser, das ist verschlüsselt, das kann nicht manipuliert werden, das ist sicher! Gehirne bitte vorher ablegen!