Guhgell des tages (und krüpplografie des tages)

Google sammelt von den App-Entwicklern, die im Play Store veröffentlichen, gerade die (privaten) APK-Signing-Keys ein. Wer diese nicht hochlädt bekommt einen Warnhinweis eingeblendet. Es ist hoffentlich unnötig zu erwähnen, dass man den privaten Key niemals herausgeben sollte – auch bzw. gerade nicht an Google

Wenn ein dritter den privatschlüssel hat, dann könnt ihr euch den kwatsch mit der kohdsignierung auch ganz sparen. Das ist dann nur noch eine krüpplografie.

Was hat scheißguhgell vor? Spionahschekohd und hintertüren in die äpps einbauen, sie neu digital signieren und gewissermaßen unter falschem namen auf den pläjhstohr zum daunlohd stellen? Es gibt jedenfalls keine guten absichten, für die man einen privatschlüssel brauchte. Der einzige zweck ist es, schadsoftwähr vertrauenswürdiger aussehen zu lassen, als sie ist.

Auch weiterhin viel spaß mit euren wischofon-betrübssystemen von scheißguhgell: technikverhindernd, gängelnd, überwachend und mit pseudokryptografie für gefühlte vertrauenswürdigkeit!

Security des tages

Hat hier jemand ein unternehmen und verwendet SAP? Da ist „aus versehen“ eine hintertür von scheunentorausmaßen reingekommen, die es einem angreifer trotz digitaler signatur ermöglicht hat, beliebigen kram als SAP-softwäjhraktualisierung unterzujubeln:

Doch hier war das zweite Problem: „Die Signatur bei SAP wird nicht automatisch geprüft“, sagt Professor Schinzel. Das habe man tatsächlich übersehen – „bis wir eben darauf aufmerksam gemacht wurden“, sagt SAP-Sicherheitschef Hübner.

Ich wünsche auch weiterhin viel spaß beim glauben an die sicherheit von softwäjhr und an den datenschutz in einer gesellschaft, in der schaden durch softwäjhr zu keinerlei produkthaftung führt.

(Übrigens: HTTPS allein wäre kein schutz, denn viele CAs sind in kwasi-staatlicher hand und darüber hinaus wurden in der vergangenheit immer wieder CAs kompromittiert, so dass es angreifer gab und mit großer wahrscheinlichkeit immer noch gibt, die sich als SAP ausgeben können. TLS ist kaputt. Unrettbar kaputt. Schon die idee einer im webbrauser oder im betrübssystem eingebauten liste zentraler stellen war kaputt und hat nur korrupzjon und angreifbarkeit hervorgebracht. Es gibt keine mühelose sicherheit.)

„Smartding“ des tages

Security
Siebzehn dollar billige „smartwatch“ sendet irgendwas an irgendwelche chinesischen IP-adressen

Ich wünsche auch weiterhin viel spaß mit den ganzen „smarten“ dingern, die ihr euch alle ins leben holt, weil ihr selbst nicht ganz so „smart“ seid! Erich Mielke wäre stolz auf euch gewesen!

„Cisco“ des tages

Auf Cisco-Routern wurde eine Hintertür entdeckt, über die Angreifer beliebigen Schadcode nachladen können

Aber hej, leute, wenn ihr irgendwas von „cisco“ bei euch rumstehen habt, dann wisst ihr ja schon, wie das ist…

Auf einer liste von unternehmungen, von denen man niemals irgendwas kaufen sollte, steht „cisco“ nämlich ganz weit oben. Das ist denen sogar scheißegal, wenn man vier jahre offen in „ciscos“ supportforum nachlesen kann, dass da ein offenes scheunentor in allen produkten ist, ohne dass „cisco“ irgendwas dagegen macht.

Ob die NSA wohl das haftungsrisiko für cisco übernommen hat, weil so schöne hintertürchen eingebaut wurden? :mrgreen:

Na ja, generell sind zurzeit produkte aus china [!!] vertrauenswürdiger als solche aus den USA. Habt ihr toll gemacht, ihr weltüberwacher von der NSA! Ich hoffe, dass den verantwortlichen für diese ganze scheiße der dankesorden des volkes am strick verliehen wird.