Häckchen des tages

Und immer schön daran denken, den klapprechner zu sperren, wenn ihr aufs klo geht! Wegen der sicherheit

Und hej, weil die webseits ja heute alle aktive inhalte (also in javascript realisierte bullschittnjuhsticker, S/M-zeitleisten, reklame und träckingwanzen) haben, holt sich auch der scheinbar inaktive webbrauser ganz schnell seinen schadkohd von einem winzkompjuter an USB ab, der sich als netzwerkgerät anmeldet:

Your computer, being dumb, just accepts this at face value and sends data to the fake IPs on PoisonTap instead of to the actual websites and services. And you don’t even have to be there: pre-loaded items like analytics and ads will be active, and as soon as one of them sends an HTTP request — BAM, PoisonTap responds with a barrage of data-caching malicious iframes for the top million Alexa sites. And those iframes, equipped with back doors, stick around until someone clears them out

So ein kleiner raspberry pi zero kostet ja nix, und die softwäjhr ist frei. Damit kann man im büro bestimmt eine menge spaß haben… 👿

Security des tages

Der link geht auf einen englischsprachigen text:

Softwäjhr
Häcker übernehmen tesla model S aus der ferne, während die autos in bewegung sind

Bwahahahahaha! Wenn euch doch nur jemand gewarnt hätte!

Freut ihr euch auch schon alle so auf die ersten erpressungstrojaner für „smarte“ autos? :mrgreen:

via @skynet@quitter.is

Häck des tages

Benutzt hier jemand einen dell-2410U-monitor an seinem kompjuter? Die sind häckbar:

The Dell 2410U monitor has a Genesis (now owned by ST) display controller onboard. The exploit sends debug messages to this chip using Genesis’s „GProbe“ protocol over DDC2bi, which lets it write to RAM, read and write display registers, execute arbitrary code, reflash the device, etc. DDC2bi is a part of display protocols such as HDMI and DisplayPort which normally lets the computer do things like control the monitor’s color settings and get the resolution of the monitor

Vermutlich kann man jeden modernen monitor aufhäcken.

Bankraub 2.0 des tages

Hui, zwei milljonen øre in baren, bunten läppchen haben sie mitgenommen! Sportlich!

Reuters geht von einem Hacker-Angriff aus; erste Ermittlungen deuten darauf hin, dass die betroffenen Geldautomaten mit Schad-Code infiziert waren

Wer keine lust hat, zu klicken: in dem verlinkten artikel steht im wesentlichen, dass niemand eine ahnung hatte, wie es zu dem angriff kommen konnte, dass immer noch untersucht wird, auf welche weise und welchen wegen der angriff vorgetragen wurden und dass wincor nixdorf auf grundlage dieses beeindruckenden ermittlungsergebnisses PResseerklärt — natürlich von heise onlein unrelativiert und unkommentiert wiedergegeben, man verprellt ja keine werbekunden — dass nach „gegenwärtigem kenntnisstand“ alles gehärtet und so sicher ist, dass derartige attacken bei geldautomaten in der BRD „weitestgehend“ [!] ausgeschlossen werden können. Warum die gleiche härtung und hokus pokus sicherheit in taiwan unterblieb, wird vom PResseerklärer verschwiegen. Vermutlich wurden in der BRD jetzt die veralteten antivirus-signaturen für das antivirus-schlangenöl auf dem windohs XP der geldautomaten einmal aktualisiert. Man kann das auch so zusammenfassen: wincor nixdorf ist von so großem realsatirischen liebreiz, dass der laden nicht mehr satirefähig ist. Ich habe mir trotzdem vor lachen fast in die hose gemacht.

Ich finde ja, dass diese eiertanz-formulierung von wincor nixdorf „sicherheitsprobleme sind nach aktuellem kenntnisstand zum überwiegenden teil weitestgehend ausgeschlossen“ auf alle anderen dinge übertragen werden muss. Zum beispiel auf „selbstfahrende“ autos. Oder auf kernkraftwerke. Oder auf medizin-roboter (gibt es ganz sicher in den näxsten zehn jahren). Oder auf „kritische infrastruktur“, die man wie ein hirnloser halbaffe ohne not ans internetz hängt, damit von der ganzen welt drauf zugriff genommen werden kann. Für den rest ist dann die cyber-cyber-armee, leibstandarte Ursula von der Leyen verantwortlich. 😀

Mal was ganz anderes: freut ihr euch auch alle schon so auf die abschaffung des bargeldes?! Dann kann so etwas ja überhaupt nicht mehr passieren… :mrgreen:

„Smartes“ auto des tages

Wie Professor Savage nun der britischen IT-Webseite The Register gegenüber berichtete, gelang es seinem Team 2010, über ein manipuliertes, als WMA-Datei kodiertes Lied eine Sicherheitslücke im Media-Player eines Autoradios auszunutzen. Von da aus hatten sie Zugriff auf den CAN-Bus des Wagens und konnten über das eingebaute GSM-Modem weitere Befehle nachladen. Da auf dem CAN-Bus selbst keine weiteren Sicherheitsvorkehrungen existierten, hätten sie etwa über die Crash-Erkennung den Motor abstellen und alle Wagentüren öffnen können. „Gib mir 18 Sekunden Spielzeit und unser Angriffscode ist drin“, so Savage

😆

Freut ihr euch auch schon alle so sehr darauf, dass demnächst die „selbstfahrenden“ autos überall rumfahren? Das wird ein spaß! :mrgreen:

Was hatten wir denn so richtig lange nicht mehr?

Neue Cyber-Angriffswelle:
Bundestags-Hacker offenbar wieder aktiv

Alarm! Alles „cyber“ oder was?!

Ach, und ich dachte, die haben ihr netzwerk jetzt total echt mal voll sicher abgesichert. So mit der hilfe von spezjalexperten aus den BRD-geheimdiensten. Da kann doch gar kein häckchen gelingen!!!ölf!

Ob es wohl wieder mäjhlanhänge der marke Einladung.pdf.exe sind? Oder mäjhls von Angela Merkel?

Und ob der bummstach wohl immer noch geld dafür ablatzt, weiterhin sicherheitsflicken für windohs XP von meikrosoft zu kriegen?

Ich wünsche allen kindern dieser welt auch weiterhin viel spaß im bundestags-netzwerk!

Schlagzeile des tages

Jackpotting:
Geldautomaten in Deutschland mit USB-Stick ausgeräumt

Tja, wenn softwäjhr auf einen angesteckten USB-stick einfach ausgeführt wird, dann ist das häckchen kein „so großes“ problem. Vermutlich muss man den kram noch so signieren, dass er als update akzeptiert wird, und wenn ich nur daran denke, wie oft der hirnende kryptokram falsch gemacht wird, dann würde ich mich nicht darüber wundern, wenn das auch bei geldautomaten passiert.

Und ganz großartig: der häcker musste eine halbe stunde rumfummeln. In einem kameraüberwachten raum. Und das ist niemanden aufgefallen. So viel bringt die allgegenwärtige kameraüberwachung in wirklichkeit zur kriminalitätsabwehr. Nicht einmal bei den bankverbrechern, wo ein krimineller mal eben schnell einen sechsstelligen øre-betrag mitnehmen kann, sitzt jemand, der ständig ein auge auf die dinge hat. Nicht einmal dort. Da könnt ihr euch hoffentlich denken, welchen zweck die anderen scheißkameras haben, die sie überall hingepflanzt haben: vorwiegend psychologische einschüchterung und angstmacherei, erzwingen von konformität und wohlverhalten unter der allpräsenz des ständigen auges des allsehenden großen bruders — und ständige ungewissheit, ob nicht jemand zuschaut. Wenn die „würde des menschen“ aus dem grunzgesetz eine bedeutung hätte, wären die meisten dieser kameras schlicht illegal. (An einem geldautomaten verstehe ich sie ja noch…)

Wischofon-bänking des tages

Ich finde es ja immer wieder lustig, dass werbeheinis den leuten erzählen, an einem wischofon wäre etwas sicher. Mit einem wischofon bankgeschäfte zu machen, ist so, als machte man bankgeschäfte mit einem ungeschützten windohs 95, auf dem sowieso schon jede installierte anwendung ein trojaner ist. Trotzdem wirds immer wieder von scheißwerbern erzählt, dass alles einfach, bekwem und vor allem sicher ist — und die „sicherheit“ beim wischofon-bänking sieht dann so aus:

Durch gezielte Manipulationen im Betrieb der Sparkassen-App fängt ihr Schadcode eine vom Nutzer in Auftrag gegebene Überweisung ab und verändert diese. Die vom Anwender tatsächlich durchgeführte Überweisung sendet dann einen deutlich höheren Betrag an ein anderes Konto. Der Anwender hat dabei keine Chance die Manipulation zu erkennen, da „die angezeigten Daten zu jeder Zeit des Transaktionsprozesses den eingegeben Werten entsprechen“

Ja, es ist in diesem betrübssystem ändräut möglich — zurzeit muss es dafür „gerootet“ sein, aber glaubts mir, die häcker häcken und sie werden wege finden, über eine lücke das system aufzubohren — dass eine dritte äpp die bänking-äpp manipuliert. Warum eigentlich?

Auch weiterhin viel spaß mit euren wischofonen! Mit denen müsst ihr bezahlen, mit denen müsst ihr euer konto führen! Ist ne gute idee! Seht ihr doch immer in der reklame! Und diese tolle reklame habt ihr mit vielen gebühren dafür bezahlt, dass andere euer geld verwalten und durch verleihen mit zinseszinsdynamik zu noch mehr geld machen, ohne euch etwas davon abzugeben. Und wenns demnächst zu massenhaften betrugsfällen mit eurer wischofon-fernkontoführung kommt und die scheißbanken schließlich damit einen verlust gemacht haben, dann werden sie eben diese gebühren noch ein bisschen erhöhen, damit bankkunden diese verluste bezahlen… kommt leute, seid so doof, macht das so! Es ist einfach, bekwem, modern und sicher! 😈

CIA des tages

Könnt ihr euch noch an das kleine häckchen erinnern? Daran, dass ein schüler die mäjhl vom CIA-scheff John Brennan bei AOL rausgetragen hat? Nun, wer gern ein bisschen liest und kein problem mit englisch hat, kann bei „wikileaks“ mal ein bisschen in einigen dieser mäjhls stöbern. Ich empfehle allerdings, eine spucktüte bereit zu halten…

Ich würde es sehr begrüßen, wenn da noch mehr veröffentlicht wird!

Schlagzeile des tages

Geheimdienste
Schüler hackt angeblich E-Mail-Konto des CIA-Chefs

Nachtrag

Wo bringen solche CIA-supergeheimnisträger irgendwelche staatsgeheimnisse unter? Richtig:

Im privaten AOL-Postfach von Brennan stieß er eigenen Angaben zufolge auf E-Mails mit geheimen Berichten und Personal-Informationen von ranghohen Geheimdienst-Mitarbeitern

In einem AOL-konto! Bwahahahahaha!

Das sind übrigens die leute, die riesige datensammlungen über jeden menschen auf der erde anlegen. Da weiß man doch seine privatsfäre in so richtig guten händen! 😦

Gelungene subversive akzjon (kulturhäck) des tages

„Homeland ist rassistisch“
Graffitikünstler jubeln „Homeland“ kritische Botschaften unter

Tja, wenn man das arabisch nur als dekorazjon für propaganda-unterhaltung in der US-glotze braucht und sich einen scheiß drum kümmert, dass die kringel auch bedeutung transportieren, kanns schon mal peinlich werden… was da wirklich an den wänden stand, haben die produzenten erst nach der ausstrahlung erfahren. :mrgreen:

„Internet der dinge“ des tages

Die streifenwagen der landespolizeien in den USA sind gehäckt. 😀

Gut, ist nicht ganz so einfach, aber wer an einem solchen häckchen interesse hat, könnte durchaus über resorßen verfügen und aufwand treiben.

Alle reden vom „cyberwar“. Wir schaffen die bedingungen dafür, dass er für andere staaten und für organisiert kriminelle erfolgreich werden kann. Vertrauen sie uns einfach und bleiben sie dumm! Ihre kompetenzfreien und korrupten p’litiker.

Freut ihr euch eigentlich auch schon alle auf die selbstfahrenden, „autonomen“ autos, die alles viel besser, energiesparender und unfallfreier machen sollen? :mrgreen:

Kreditkartendatensicherheit des tages

In einer schriftlichen Stellungnahme betonte das Unternehmen, dass ihm der Schutz von Kreditkartendaten der Kunden sehr am Herzen liege. Man treibe großen Aufwand und beschäftige namhafte Experten, um Datensicherheit zu gewährleisten. Leider sehe sich jedes Unternehmen mit der allgegenwärtigen Gefahr von Kreditkartenbetrug konfrontiert. Hilton nehme die Meldungen sehr ernst und untersuche die Angelegenheit

Blah… blah… blah…

So lange ein bisschen datenschleuderei nicht umfassende haftung zur folge hat, so lange wird die datenschleuderei immer und immer weitergehen — und die warmen, verständnisvollen worte nach der jeweiligen katastrofe, die so klingen sollen, als würden sich kompetente leute ums problem kümmern.

Bis dahin gilt es, datensparsam und bar zu bezahlen. Immer. Überall. (Und auf keinen fall zuzulassen, dass das bargeld zu gunsten der dann bei jedem einzelnen bezahlvorgang mitverdienenden bänksterverbrecher und zu lasten des größten teils der menschheit von verantwortungslosen, korrupten scheißp’litikern abgeschafft wird, nachdem man ihnen erzählt, was für ein tolles überwachungsinstrument die bargeldlose zahlerei ist!)

„Paypal“ und wischofon des tages

The video demonstrates a security bug in the official paypal mobile ios api. The bug allows to bypas [sic!] the account restriction by usage of a validation flaw inside of the service.

The identity check approves restricted user accounts. In the first released issue we demonstrated how to bypass the auth. In case of the new issue the researcher demonstrates how to bypass the identity check that approves the paypal account. The attacker bypass the validation by multiple requests and dumps the real website for login inside the app with cookies and co.

Auch weiterhin viel spaß mit euren wischofonen und dem immer häufiger angebotenen bekwemen bezahlen mit den wischofonen!

via Full Disclosure

Auto des tages

Schönes auto da. Sieht schnittig aus, wie ein großes rotes zäpfchen. Was machen wir mal damit? Hej, schalten wir mal den scheibenwischer ein. Flllp flllp flllp flllp. Langweilig? Na gut, dann blockieren wir eben die bremsen. Womit? Na, mit einem telefon. Nee, da brauchste nicht einmal ein wischofon für, das geht alles auch mit einem ollen nokia-dingens aus der jahrtausendwende, hauptsache, es kann eine SMS versenden

Ich wünsche euch auch weiterhin viel spaß mit euren neuen autos, die so viel smarter und besser sind! Habt ihr wirklich geglaubt, dass unternehmen, die etwas von fahrzeugsicherheit verstehen, deshalb auch etwas von kompjutersicherheit verstünden? Wer etwas davon versteht, wird vor offenen, von außen zugänglichen schnittstellen jedenfalls ganz laut warnen, denn häcker häcken eben…

Häckchen des tages

Russische Hacker sollen in die E-Mail-Server des Vereinigten Generalstabs der US-Streitkräfte eingedrungen sein

Na sowas aber auch. Und es ist ganz schnell klar, wer das war und woher die kamen, obwohl man gar nix drüber weiß. Ob die einfach IP-adressen aus russland gesehen haben und deshalb „russen“ denken? Weia¹! Das scheint ja die nützliche standarderklärung zu sein gerade…

¹Das erste, was man macht, wenn man was häcken will und kein vollidjot ist, ist, sich ein paar andere rechner unterm nagel zu reißen, die man für seinen häck fernsteuert. Einfach, um nicht so schnell von der polizei mitgenommen zu werden, denn in gefängnissen ist es deutlich unangenehmer als außerhalb der gefängnisse. Ideal sind mit gephishten kreditkartendaten (gegenwärtiger marktpreis im darknet: so um die $0,30 pro stück) angemietete sörver in einem ausland, das nicht so leicht und locker mit dem staat kooperiert, in dem man was häcken will. Wenns um die USA geht, also zum beispiel in russland. Mit den sörvern verbunden ist man über gängige anonymisierungs-infrastruktur, zum beispiel über TOR, damit auch wirklich so gut wie keine verwertbaren spuren verbleiben. Wer eine stelle mit staatsgeheimnissen angreift, wird doppelt und dreifach vorsichtig sein, denn die geheimdienste haben experten für „feuchte jobs“, und der tod ist noch unerfreulicher als ein gefängnis. Also, wenn ihr hört, dass häcker aus russland kommen, obwohl nix über die angreifer bekannt ist, seid sofort skeptisch! Und wer diese anmerkung hier falsch versteht: es ist keine anleitung zur kriminalität, sondern eine beschreibung der gegenwärtigen kriminalität.