Krüpplografie des tages

In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land

Das haben wir hier auch bald. Schlösschen wird im brauser angezeigt, aber der staat und seine hochkriminellen geheimdienste können alles mitlesen, verändern und zensieren. Müsst ihr verstehen:

Die Nutzer würden durch das Zertifikat vor Identitätsdiebstahl, Hackern und anderen digitalen Gefahren geschützt

Wer könnte dazu „nein“ sagen?! Mitmensch blöd sagt ganz sicher nicht „nein“. Der lässt sich sogar antivirus-schlangenöl andrehen, weil es ihm ein bisschen gefühlte sicherheit gibt. Ein schlangenöl von der polizei nimmt der erst recht. In vielen fällen völlig freiwillig. Blitzeblank datennackig zu sein, ist den meisten menschen egal geworden, wenn es nur abstrakt genug ist, also für diese idjoten nicht unmittelbar sichtbar wird. Da muss es erstmal richtig knallen und ein faschistischer staat mordknastlager für irgendwelche anhand von datensammlungen ermittelte menschengruppen — wie zum beispiel schwule, kommunisten, milchtrinker, autoliebhaber, fleischesser, radfahrer, kartenspieler oder religjöse — bauen, bis wenigstens ein paar menschen wieder begreifen, dass zentrale datensammlungen eine ganz große und hochgefährliche scheiße sind, die man vermeiden muss. Aber nachdem sie von scheißjornalisten genug propaganda ins hirn gestopft bekommen haben, werden viel zu viele menschen erst einmal daran glauben, dass schwule, kommunisten, milchtrinker, autoliebhaber, fleischesser, radfahrer, kartenspieler und religjöse schuld an allem sind, was ihnen im leben fehlt — ganz anders als der gütige und heilige und mit gutem recht vom gewaltstaat vollumfänglich geschützte und gernbereit mittätliche scheißausbeuter, der ihnen keinen lohn mehr für ihre arbeit geben will, gepriesen sei seine gnade, gelobt und gefördert sei sie! 😦

Schade, dass der Erich Mielke nicht mehr lebt. Der wäre sicherlich begeistert von diesem neuland gewesen

Security des tages

Digital signierte softwäjhr ist sicher, haben sie gesagt. Da kannst du nicht mehr jede beliebige softwäjhr ausführen, und damit bist du nun einmal viel viel sicherer vor schadsoftwäjhr, haben sie gesagt:

Unter anderem verwenden die Angreifer Malware, die mit einem gültigen Zertifikat signiert wurde und so unter dem Radar vieler automatischer Erkennungstechniken, unter anderem von Windows selbst, fliegt […] Die Sicherheitsforscher verschafften sich im Laufe ihrer Untersuchungen Zugang zu den Kontrollservern der Hacker und beziffern die Zahl der momentan infizierten Server auf knapp 50.000 Systeme […] Die Angreifer nutzen die Kernel-Schwachstelle mit einem Treiber aus, der zum Zeitpunkt des Angriffes ein gültiges Verisign-Zertifikat besaß, ausgestellt auf eine Firma namens Hangzhou Hootian Network Technology – bei dem Firmennamen handelt es sich um eine Fälschung

Auch weiterhin viel spaß mit der gefühlten sicherheit, mit der euch irgendwelche reklameheinis das hirn weichlabern. Wenn ihr, verdammt noch mal, über fünf verdammte jahre hinweg keine sicherheitsaktualisierungen einspielt, dürft ihr euch über gepwnte sörver nicht wundern. Da gibt es keine gnade. Und von mir kein mitleid. Auch helfen irgendwelche schlangenöltechniken wie softwäjhr-signaturen dann gar nicht. Sie führen nur dazu, dass ihr euch in gefühlter sicherheit einlullt.

Na, hat hier jemand an sicherheit durch biometrie geglaubt?

Die üblichen Datenkombinationen mit E-Mail-Adressen und Passwörtern sind heute in manchen Fällen nicht mehr ausreichend. Und quasi schon folgerichtig tauchten nun auf dem Schwarzmarkt die ersten Sammlungen auf, in denen auch tausende Datensätze zu analysierten Fingerabdrücken enthalten waren

Ich wünsche euch viel spaß beim wexeln eures fingerabdruckes! Ist fast so einfach wie der wexel eines passwortes. Finger abschneiden, neuen finger drannähen. Oder wart ihr alle schlau?

„Cyber cyber“ des tages

Endlich! Ich habe ja nur drauf gewartet, dass sich die p’litik so weit entblödet! Der grundgesetzwidrige bundestrojaner (hier zur verblödung der zuhörer als „onlein-durchsuchung“ bezeichnet) hilft nach meinung der C-parteien gegen doxxing!!!1!elf!

Und natürlich geht es in der natürlichen dummheit zweier großer BRD-parteien noch ein bisschen weiter:

Anbieter von Online-Diensten und Hersteller von Geräten, die mit dem Internet vernetzt sind, sollen ihre Angebote so gestalten, „dass ausreichend starke Passwörter von den Benutzern gewählt und diese regelmäßig geändert werden müssen“.

Genau, das wirds bringen, wenn man auf seinem trojanerverseuchten wischofon mit scheunentorgroßen sicherheitslücken, das (im gegensatz etwa zum als sicherheitsrisiko berüchtigten fläsch) niemals eine sicherheitsaktualisierung erhält, sichere passwörter benutzen muss! Die können ja überhaupt nicht vom keylogger mitgelesen werden. Wenn sie nicht sogar wegen der hochkwalitativen kwalitätsstandards beim zusammenstöpseln von wischofon-äpps direkt im internetz veröffentlicht werden.

CAPTCHA des tages

Baut überall im web CAPTCHAs ein, sagten sie, denn das behindert spämmer und bots aller art. Dafür kann man es doch mal in kauf nehmen, dass auch körperbehinderte, blinde und menschen mit abgeschalteten javascript oder vergleichbaren selbstschutzmaßnahmen gegen eine feindliche übernahme ihres kompjuters und ihrer privatsfäre ausgesperrt werden; dafür kann man es sogar in kauf nehmen, seine eigene webseit in eine träcking-maschine für scheißguhgell umzubauen! Dass guhgell jeden kwasi aussperrt, der TOR verwendet, ist euch ja auch egal. Also baut überall CAPTCHAs ein, denn das stellt sicher, dass eure webseits nur von menschen und nicht von irgendwelchen bots benutzt werden:

Forscher der Universität von Maryland können nach eigenen Angaben Googles überarbeitete Audio-Captchas jetzt zu 90 Prozent automatisiert lösen

😳

Auch weiterhin viel spaß mit der einfachen gefühlten sicherheit und dem unwirksamen spämmschutz!

Security des tages

Jetzt neu, toll und super: banken haben eine neue, gefühlt hochsichere metode gefunden, mäjhls zu verschlüsseln!

Aber keine getränke im mund!

(Wenn PGP nur mit einer frühe strokelsoftwäjhr im alfastadium ginge oder pro damit verschlüsselter und signierter mäjhl geld kosten würde, könnte ich die banken ja verstehen. Aber PGP kostet nix und es gibt Freie softwäjhr dafür.)

Guhgell des tages

Guhgell will die „sicherheit“ erhöhen, indem es benutzer von guhgell-angeboten dazu bestupst, sicherheitseinstellungen im webbrauser zu lockern.

Ab ob ein bot kein javascript könne! Natürlich geht es dabei nicht um irgendeine „sicherheit“, sondern um besseres träcking. Abgeschaltetes javascript hilft gegen die meisten fortgeschrittenen überwachungsverfahren der scheißwerber und übrigens auch gegen die allermeisten angriffe von richtigen verbrechern auf den webbrauser. Aber das ist guhgell doch egal, wenn andere leute einen schaden haben — hauptsache, das geschäft von guhgell läuft. Und damit das auch in zukunft läuft, wird den leuten in bestem volxverdummerton erzählt: „wer kein AIDS will, der soll jetzt ohne präser ficken“. Toll!

TLS des tages

Auch, wenn heise das in seiner übelschrift ganz anders formuliert: TLS ist nach wie vor kaputt, es gibt zurzeit zum beispiel einen „hübschen“ angriff über eine lücke in den DNS-sörvern und „jeder“ kann sich zurzeit von CAs TLS-zertifikate für beliebige domäjhns ausstellen lassen. „Beliebige domäjhns“ meint hier: beliebige domäjhns. Zum beispiel eure bank, eure suchmaschine, euer mäjhlanbieter…

Ich wünsche den naiven und vom jornalismus verblödeten menschen dieser welt auch weiterhin viel spaß mit der gefühlten sicherheit durch den blick auf das kleine schlösschen an der adresszeile! Das von zentralen CAs abhängige TLS ist dermaßen im arsch, dass man nicht einmal vertrauen herstellen kann, indem man auf das schlösschen klickt und das zertifikat überprüft. Und wenn sich irgendein dritter in die mitte stellt — zum beispiel eine schadsoftwäjhr, die durchaus auch als addon für den webbrauser implementiert sein kann — ist zum beispiel eine unbemerkbare manipulazjon des an sich verschlüsselten onleinbänkings möglich, während der anwender wie ein gebanntes karnickel auf das sicherheitsverheißende schlösschen gafft und sich sicher fühlt.

Wer immer noch nicht beunruhigt ist, sollte sich mal in seinem webbrauser anschauen, welchen CAs automatisch vertraut wird. Ich persönlich vertraue, wenns drauf ankommt, weder den deutschen telekomikern noch der TÜRKTRUST elektronik sertifika hizmet sağlayıcısı H5 und schon gar nicht der CA 沃通根证书. Von den diversen unternehmen in den USA einmal ganz abgesehen.

Sommerloch und bullschitt des tages

Da macht heise auf seiner webseit einen text mit ganz vielen zahlen, die aussagen, wie sicher sich die menschen im „digitalen raum“, was immer das auch sein mag, fühlen. Ja, richtig: wie sicher sie sich fühlen.

Und zahlen gibts, ganz viele voll objektive zahlen, und zwar nicht näher erläuterte punktzahlen, die mit einer stelle nach dem komma aufgezählt werden. Da wurden die gefühle aber ganz genau mit einem geeichten gefühl-o-meter gemessen!!1! 😀

Oder, um einmal eine passahsche aus dem dadaistisch wertvollen text zu zitieren:

Ausschlaggebend für den erneuten Rückgang ist ein gestiegenes Gefährdungsgefühl der Verbraucher. Dieses wird mit einem Wert von 29,3 Punkten wiedergegeben, während es im Vorjahr noch bei 27,1 lag

Das ist wirklich ein aussagesatz aus diesem text zu einer untersuchung, die so richtig bullschitt, matematikmissbrauch und wisschenschaft ist. Aber immerhin kommt es auch zu einem schluss:

Im Fünfjahresvergleich zeigen die Kennzahlen, dass der Bedarf nach digitaler Unterstützung in der Bevölkerung zunimmt

Leute, ihr braucht kein wissen, ihr braucht hilfe, eine hand, die die eure führt. Denn diese gibt euch sicherheit und trost!!!elf!

„Cyber cyber“ des tages

Hier in nordrhein-westfalen sind wir sicher vor häckerangriffen und cyberattacken auf die landtagswahl. Wir erledigen die gesamte kommunikazjon über telefon, das ist sicherer als irgendein internetz.

Nach Angaben des Innenministeriums soll es auch einen Erlass geben, der den Wahlhelfern explizit untersagt, die Ergebnisse per E-Mail zu verschicken. Denn je weniger Kommunikation über Server und Computer läuft, desto geringer ist auch die Anfälligkeit für digitale Manipulationen

Toll, dass die extra überall, wo gewählt wird, nochmal olle analoge telefonkabel in die erde gelegt haben, damit auch ja nicht irgendeine kommunikazjon über sörver und kompjuter läuft. Das wäre ja gar nicht auszudenken, wenn es sich dabei dann um VoIP handelte.

Die autentifikazjon beim telefonischen melden der auszählungsergebnisse läuft hoffentlich nicht nur über… ähm… die übermittelte telefonnummer des anrufers… und hoffentlich wird ein einfacher DDOS auf eine telefonnummer durch andauerndes anrufen (leicht über ein botnetz von gepwnten wischofonen durchzuführen) auch durch geheimhaltung der verwendeten telefonnummern ausgeschlossen. Man hätte sogar übers fratzenbuch kommunizieren können, wenn man digitale signaturen verwenden würde, aber diese kryptologische flugscheibentechnologie flauschiger außerirdischer mit stark geschwollem gehirn scheint in den innenministerjen der bummsrepublik „technologiestandort“ deutschland noch nicht verstanden worden zu sein. :mrgreen:

Übrigens, werte vergewaltigungsfachwirte von der idjotenfront und werte jornalisten, die ihr das kompetenzfreie geblubber abschreibt: ein häcker ist etwas anderes als ein mitarbeiter eines ausländischen geheimdienstes. Für letzteres gibt es schon ein passendes und unmissverständliches wort.

Ich mag ja das symbolbild im heise-artikel… 😀

Cargokult des tages

Wer das wort „cargokult“ noch nie gehört hat: die wicked pedia hilft.

Beim US-senat gibt es jetzt einen cargokult, der ein sicheres digitales zugangssystem zum parlamentsgebäude sein soll. Es kann sich eigentlich nur noch um wenige monate handeln, bis die bewohner der USA ihre felder mit isotonischen getränken gießen, weil da elektrolyte drin sind. :mrgreen:

TLS des tages

Na, glaubt hier noch jemand an sicherheit, weil ein kleines schlösschen im webbrauser angezeigt wird? TLS-verschlüsselung wird jeden tag ein bisschen bullschittiger und überflüssiger:

Die Internet Engineering Task Force (IETF) sieht sich von einem Entwurf für eine Spezifikation herausgefordert, die nicht weniger als „vertrauenswürdige Middleboxen“ definiert: Sie sollen ganz legitim in TLS-verschlüsselten Verkehr hineinsehen können.

Middleboxen sind transparent, also für den Nutzer unsichtbar agierende Netzwerkgeräte, mittels denen zum Beispiel Netzbetreiber den IP-Verkehr lenken, indem sie Optionen aus dem IP-Header stillschweigend löschen oder ändern

Auch weiterhin viel spaß beim festen glauben an die kinderleichte sicherheit und verschlüsselung durch kwasiautomatismen, die kind- und analfabetengerecht durch irgendwelche piktogramme angezeigt wird! Müsst ihr dran glauben, der onkel jornalist hats euch erzählt, also ists ganz was tolles! Kommt, glaubt schon! Sind nur richtig tolle CAs im brauser vorkonfiguriert, denen jeder immer stets vertrauen kann. Und weil diese ganze scheiße noch nicht reicht, wird jetzt einfach die hintertür in der TLS-verschlüsselung als internetzstandard spezifiziert. Damit der ganze aufwand mit TLS so richtig richtig sinnlos und die kryptografie zur krüpplografie wird.

Vorsicht vor gefühlter sicherheit!

„Verschlüsselt“ hier etwa jemand wichtige daten, indem er sie in ein passwortgeschütztes RAR-, ZIP oder 7z-archiv ablegt? Das ist keine gute idee. Rarcrack¹ bekommt auf einem halbwegs modernen rechner mit ordentlich CPU-kernen ziemlich schnell das passwort raus, und zwar vor allem dann, wenn es einfach und kurz ist — und dabei sehe ich im kwelltext noch eine menge raum für verbesserungen durch angriffe auf einfache passwörter mithilfe der cracklib. Wer sich auf diesen schutz allein verlässt, ist also verlassen.

Wie man an richtige und wirksame verschlüsselung kommt, erfährt man übrigens in diesem modernen internetz.

¹Ich habe es nur indirekt verlinkt, weil es bei sourceforge liegt — und sourceforge in der vergangenheit immer wieder schadsoftwäjre (wie tuhlbars für brauser und sonstige heimliche verkonfigurazjonen des rechners im interesse der reklameindustrie) mit daunlohds Freier softwäjhr ausgeliefert hat. Wer so etwas macht, bekommt von mir keine links mehr und hat sich jede nur denkbare verachtung verdient.

Schlangenöl des tages

Der Passwort-Manager ist Teil eines Sicherheitspaketes von Trend Micro und erlaubt in seiner kostenlosen Variante das Speichern von fünf Passwörtern. Laut Ormandy basiert der Passwort-Manager hauptsächlich auf Javascript und dem Webserver node.js. Das Programm öffne mehrere Ports, über die API-Anfragen verarbeitet werden. Er habe nur 30 Sekunden gebraucht, um eine URL zu finden, die das Ausführen beliebiger Befehle auf der Windows-Kommandozeile erlaube, schrieb Ormandy am vergangenen Mittwoch. Am Freitag fügte er hinzu: „Da gibt es eine schöne, saubere API, um an die im Passwort-Manager gespeicherten Passwörter heranzukommen. Damit kann jeder alle gespeicherten Passwörter lesen“ […] Jeder im Internet kann alle Passwörter komplett geräuschlos stehlen, zudem beliebigen Code ohne jede Interaktion mit dem Nutzer ausführen

Ich wünsche euch auch weiterhin viel spaß dabei, eure kompjutersicherheit an ein mit blut und blumen gefüttertes wuhduh-idol… ähm… an den zauber irgendwelcher aufwändig (und oft mit schleichwerbung) beworbener schlangenöl-programme zu übertragen, an die ihr dann einfach glaubt!