Kurz verlinkt

Bei Fefe gibt es heute lustige präsentazjonsfoljen zum tema „internetz der dinge“… und wo er gerade dabei war, hat er einen kleinen vergleich mit den wischofonen auch nicht gescheut. Und ein paar worte zu „big data“. Und andere godstückchen am rande:

Letzte Bonusfolie: Big Data

Ich wollte eigentlich mit dem Online-Werbemarkt vergleichen.

Ich schrieb also drei befreundete Experten an.

Alle drei antworteten: Vergiss es. Der Markt ist zu 50% Beschiss und zu 50% Betrug. Die ändern alle halbe Jahr ihre Messverfahren und Standards, damit es keiner merkt.

Genau so läuft das auch bei Big Data gerade!

Neu, toll und super!

Das internetz der windeln… schnüffelnd, versteht sich.

Security des tages

Samsung hat ja für seine wischofone, glotzen und sonstigen internetz-der-dinge-dinger ein eigenes betrübssystem und nicht dieses ändräut. Das ist doch sicher viel sicherer als dieses ändräut…

Neiderman zufolge hat Samsung bei Tizen „alles falsch gemacht, was man nur falsch machen kann“ und offensichtlich hat „niemand, der Ahnung von Sicherheit hat, in den Code geschaut“

Auch weiterhin viel spaß mit euren ganzen smart gadgets, ihr stupid people!

„Internet der dinge“ des tages

Na, braucht hier noch eine jemandin eine lösung ohne problem. Zum beispiel einen WLAN-fähigen vibrator mit eingebauter kamera, natürlich kinderleicht angreifbar und offen wie ein scheunentor [der link geht auf einen englischen text]…

The hard-coded credentials, admin:blank, make it „trivial“ to connect to the dildo’s Web admin interface

Und nein, das ist noch lange nicht alles.

Exhibizjonistinnen, die so etwas erregend finden, haben jetzt endlich eine möglichkeit, ihre bedürfnisse auszuleben, ohne sich strafbar zu machen.

„Smartdinger“ des tages

In Ausgabe 8/2017 hat das c’t magazin am Beispiel etlicher Geräte aus dem Fundus der Mitarbeiter untersucht, wie es um die Sicherheit von IoT- und Smart-Home-Geräten bestellt ist, ob die Privatsphäre gewahrt bleibt und welche Möglichkeiten der Kunde hat, Gefahren zu erkennen und zu vermeiden.

Das Ergebnis war erschreckend: Die Redaktion fand versteckte Mikrofone in Schaltsteckdosen, undokumentierte Web-Frontends mit sensiblen Informationen, Apps und Geräte, die das eigene WLAN-Passwort im Klartext in die Welt hinaus posaunen und sogar einen Sat-IP-Server mit ungeschütztem Root-Zugang, der sich leicht für DDoS-Angriffe missbrauchen lässt

Ich wiederhole es hier noch einmal: versteckte mikrofone in schaltsteckdosen! Auch weiterhin viel spaß mit euren „smart gadgets for stupid people“. Erich Mielke wäre so stolz auf euch gewesen, ihr vollidjoten, die ihr euch diese ganzen lösungen ohne probleme andrehen lasst! Denn die freiheitsrechte sind an euch verschwendet.

Lacherchen des tages

Dem Gerät liegt der Gebrauchsanweisung […] zufolge ein fünf Meter langes Ethernet-Kabel bei, das laut Anweisung jedoch „nur durch den Miele-Kundendienst an eine andere Schnittstelle angeschlossen werden“ darf

Das kommt einem ganz normalen, technisch gebildeten menschen von heute genau so lächerlich vor, als ob im handbuch stünde, dass das netzkabel für die schutzkontakt-steckdose nur von einem kundendienstler (der natürlich eine rechnung für diese kleine dienstleistung und seine anreise schreibt) angeschlossen werden dürfe. Was sich die kundenverachtenden autoren bei miele gedacht haben, als sie diesen schwachfug ins handbuch geschmiert haben, wüsste ich zu gern einmal. Vermutlich haben sie gedacht, dass sie mit solchen bullschitt-anweisungen die haftung für ihre internetz-der-dinge-schrottsoftwäjhr abwenden können…

„Internetz der dinge“ des tages

Werden irgendwo reinigungs- und desinfekzjonsautomaten von miele benutzt? Das ist nicht gut, der websörver teilt nämlich gern überall im netzwerk den häsch des root-passwortes mit (und generell wohl jede andere datei der betrübssysteminstallazjon).

Und die reakzjon von Miele, wenn man das freundlich mitteilt? Na, keine natürlich. Jedenfalls nicht in den letzten vier monaten. Ist ja auch das problem der kunden, wenn die cräckbare schrottwäjhr mit bekannten sicherheitslöchern rumstehen haben und nicht etwa das problem von miele.

Ich wünsche auch weiterhin viel spaß damit, jedes plumpsklo zum kompjuter zu machen, den man an irgendein netzwerk oder gar ans internetz anschließt! Was kann dabei schon passieren…

Skynet des tages

„50 Milliarden Dinge sollen sich in den nächsten Jahren miteinander vernetzen“, sagte Angela Merkel zur Eröffnung der Cebit

Hach ja, wenn erstmal der smarte klopapierabroller des dummen techniktinnefkäufers mit der smarten waschmaschine und dem smarten fußabtreter kommuniziert und jede lebensäußerung jedes menschen zu einem datensatz in irgendeiner datenbank eines dritten führt, die beliebig von den horch- und morddiensten abgegriffen werden kann, dann erfüllt sich der traum dieser bekannten p’litikerin aus der DDR.

Ein kleines problem nur: das „S“ in „IoT“ steht für „security“. Aber hej, dafür gibts ja eine cyber-cyber-cyberwehr!

BITKOMiker des tages

Die BITKOMiker so: UFOs und spukerscheinungen sind in deutschland echt jetzt mal ganz wirklich real… oder so ähnlich.

Und wenn man jedes wasserwerk, jede bonbonmaschine und jede blechwalze ans internetz anschließt, gibts gleich viel mehr produkzjon. Die produzieren nämlich mehr, wenn sie ans internetz angeschlossen werden, müsst ihr glau… ähm… verstehen!

Und jetzt zur entspannung mal ein anderer trend, den die BITKOMiker schon gesehen haben, als sie in ihre kristallkugel glotzten. Ich hoffe, ihr freut euch alle jeden abend an den tollen 3D-produkzjonen fürs fernsehen. 😀

(Nicht einmal fußballsendungen gibts in 3D! Fürs fernsehen ist 3D mausetot, und das liegt nicht an mangelnder verfügbarkeit, sondern an mangelndem bedarf.)

Übrigens: das „S“ in „IoT“ steht für „security“.

Zustecksel von @benediktg@gnusocial.de.

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich macht mal wieder einen nebendschobb als voll investigativer jornalist und arbeitet gerade unter dem pseudonym Stefan Ullrich beim deutschlandradio kultur:

Smarte Glühbirnen & Co.
Das Internet der Dinge löst Probleme, die es nie gab

Unterdessen feiert sich auf der CEBIT der feuchte traum von der industrie 4.0 selbst, bis dann endlich mal irgendwann in den nächsten zwei, drei jahren die bundeswehr so richtig abcybern muss, weil ein dreijähriger vor lauter langeweile auf dem kackpott die trinkwasserversorgung in der BRD abschaltet…

Lösung des tages

Arne Schönbohm, obermotz des bummsamtes für sicherheit in der informazjonstechnik, hat anlässlich der aufmerksamkeit von dummen, ahnungslosen scheißjornalisten für die CEBIT endlich die lösung für die ganzen sicherheitsprobleme mit diesem internetz der dinge gefunden:

Auch die Politik muss für Sicherheit sorgen […] Wir wollen ein Gütesiegel einführen, das garantiert, dass das Gerät Mindeststandards für die IT-Sicherheit erfüllt

Bwahahahaha!

Die IT-sicherheit wird bestimmt genau so toll gemessen wie die abgaswerte und der kraftstoffverbrauch von autos! Mit einem tollen secure-o-meter beim TÜV. Wenn sich der zeiger nur ein bisschen bewegt, statt gleich an den anschlag zu klappern, gibts auch einen teuren aufkleber mit BRD-reichsamsel¹ und draufgestempelten siegel, mit etwas frischem schlangenöl bestrichen.

Bwahahahaha!

Oder wollen die etwa wirklich kwelltexte von richtigen, teuren experten analysieren lassen. Selbst das garantiert keine fehlerfreiheit. Man kann getrost davon ausgehen, dass sich sehr viele leute mit einem gewissen maß an ahnung die kwelltexte vom linuxkernel anschauen, und doch werden da immer wieder einmal wirklich schwere fehler gefunden, die jahrelang unentdeckt blieben. Aber ein ordentliches sicherheits-auditing wäre deutlich mehr als irgendwelche bullschitt-verfahren. Es kostete allerdings auch deutlich mehr.

Aber hej, eine gute idee steckt in den ganzen konjunktiven:

Wer ein Produkt herstellt, das nicht sicher ist, sollte für Schäden verantwortlich gemacht werden können

Ich wünsche eine übertragung dieses tollen ansatzes vom „internetz der dinge“ auf gewöhnliche kompjuter, wischofone und allerlei smartdinger, die ja gar nichts anderes sind!!!1!elf!!1!!!!1!

Schluss mit dem haftungsausschluss!!!!111!1!!!1! Und scheiß auf die sonst immer geforderte globalisierung!

Die herstellung von softwäjhr (programmieren) muss endlich wieder ein riesengroßes juristisches risiko werden, das existenzbedrohende kosten nach sich ziehen kann!!!ölf!!!hundertelf!1! So geht es voran!!!!!!1! Und vor allem: so kann man auch endlich diese industrie 4.0 machen und jedes plumpsklo mit dem internetz verbinden, es ist ja ein bullschitt-siegel drauf, das sicherheit verspricht! Denn diese lösung ohne problem (außer vielleicht des problemes der totalen überwachung des lebens aller menschen und sämtlicher wirtschaftsvorgänge) wird ja ganz unbedingt und alternativlos gebraucht, also muss man sie den leuten, deren intelligenz man offen verachtet, immer und immer wieder verkaufen…

Cyber, cyber!

¹Amtliche bezeichnung: bundesadler.

Internet der dinge des tages

Security
Hoppla! Mehr als 185.000 WiFi-kameras mit unsicherer administrazjons-schnittstelle im web

Zieht einfach die stecker raus, bevor jemand ein botnetz daraus macht…

Natürlich wird keiner die stecker rausziehen. Woher sollen die leute denn wissen, das da jeder ohne passwort kohd hochladen und ausführen kann? Woher sollen die fabrikmäßig von schule, glotze und presse verdummten idjoten überhaupt wissen, was das bedeutet?

„Internetz der dinge“ (und industrie 4.0) des tages

MQTT-Protokoll:
IoT-Kommunikation von Reaktoren und Gefängnissen öffentlich einsehbar

Wer muss denn auch eine zugriffskontrolle durch so ein altmodisches passwort machen, wenn man das auch alles ganz offen ins internetz stellen kann?

Das Problem der sichtbaren Broker ist […] dass die Betreiber der Server die Software nicht ordentlich konfiguriert haben und auf Nutzernamen, Passwörter und Verschlüsselung verzichten

Bwahahahahaha!

Wieso nennt man diese ganzen fiesen „cyber-cyber-angreifer“ eigentlich „häcker“. Ich werde doch auch nicht „häcker“ genannt, weil ich die völlig offene webseit von heise onlein aufrufen kann.

Hej, und freut ihr euch auch alle fein über eure „intellenten“ autos?

Im Fall eines der betroffenen Automodelle – Lundgren wollte den Hersteller nicht nennen – gelang es ihm nach eigener Auskunft, dem Entertainment-System von außen das Kommando zum Abspielen eines anderen Songs zu erteilen. Ob das auch mit den ebenfalls per MQTT übertragenen Werten zu Lenkrad- oder Bremspedalstellung möglich wäre, konnte Lundgren aus nachvollziehbaren Gründen nicht sagen

Hach, das werden tolle erpressungen auf der autobahn! „Um wieder wie gewohnt die geschwindigkeit ihres autos sowie die bremswirkung selbst beeinflussen zu können, geben sie mir bitte jetzt 2,5 bitcoin“. Da wird schon eine gewisse zahlungsbereitschaft da sein; ich habe mir nämlich sagen lassen, dass menschen nicht so gern sterben… 👿

„Internetz der dinge“ des tages

Das internetz der dinge ist in metasploit angekommen!

Dank einer neuen API können Sicherheitsforscher nun Payloads auf verschiedene Hardware loslassen, darunter etwa der CAN-Bus von Autos. Auch das Internet der Dinge nimmt Metasploit nun ins Visier

Das richtig große und beinahe kinderkompatible¹ dingehäcken ist eröffnet, der ganze techniktinnef wird jetzt aufgehäckselt. Tja, wenn euch doch nur vorher jemand gewarnt hätte!!ölf!1!

Oh, was steht da auf dem bildschirm im auto: „wenn sie wieder selbst die geschwindigkeit kontrollieren und ihre gewohnte bremswirkung haben möchten, zahlen sie jetzt bitte 2,5 bitcoin“? Und nein, das wird nicht besser, wenn man vom auto auf den bus umsteigt…

¹Nein, ganz so leicht ist der umgang mit metasploit nicht, zugegeben… und natürlich gibts für den CAN-bus schon spezjelle softwäjhr. Aber metasploit können halt viele, und natürlich auch viele verbrecher und experimentierfreudige kiddies. Zudem ist der heise-artikel von einem jornalisten geschrieben worden, nicht von jemanden mit ahnung — und dementsprechend reißerisch und kompjuterbild-mit-schlips-mäßig liest er sich. So einen alarmtönend benannten „CAN-bus-sniffer“ kann man unter dem namen „CAN-adapter“ kaufen, und kleine progrämmchen zum mitschneiden der datenströme gibts auch schon länger.

Security des tages

Ein Angreifer kann zum Beispiel den Takt des Herzschrittmachers manipulieren oder den Defibrillator auslösen

Tolle sache, so ein herzschrittmacher, der ständig über funk erreichbar ist, weil er ja ständig mit der mit dem internetz verbundenen basisstazjon labern muss. So ein 24-bit-RSA-schlüssel ist da für die absicherung völlig ausreichend. Da die meisten menschen nach durchlaufen der BRD-schulbildung matematische und informatische analfabeten sind und deshalb nicht wissen können, was das wirklich bedeutet, hier eine ganz kurze erklärung: Der kleinere der beiden primfaktoren ist maximal 2^12, also 4096. Zum kräcken muss man alle primzahlen im Intervall von 2 bis 4096 durchprobieren. Das sind, moment…

$ primes 2 4096 | wc -l
564
$ _

…das sind 564 auszuprobierende divisionen, um die verschlüsselung zu knacken. Wenn man gerade keinen kompjuter zur hand hat und sich wegen akuter langeweile von stumpfsinnigen tätigkeiten nicht abschrecken lässt, kann man das sogar mit bleistift und papier angehen, und es wird nicht übermäßig lange dauern. Wenn man einen kompjuter benutzt, hat man den kräck unmittelbar. Der linuxbefehl für den kräck lautet factor, und er wird nur ein paar millisekunden brauchen. Oder ums etwas genauer zu sagen, er braucht auf meinem rechenschrott…

$ time factor 16063703
16063703: 3989 4027

real	0m0.034s
user	0m0.000s
sys	0m0.000s
$ _

…nur 34 millisekunden. Diese vorgebliche kryptografie ist eine dermaßen schlechte idee, dass man es kaum noch beschreiben kann. Ich nenne das beihilfe zum mord. Das wird schiefgehen. Das muss schiefgehen. Schlechte kryptografie, eine „krüpplografie“, wie ich das zu nennen pflege, bringt menschen um. Und wer glaubt, dass es jetzt gar nicht mehr schlimmer ginge, ein bisschen englisch kann und nichts gegen einen besuch beim zwitscherchen hat, sollte sich noch ein bisschen mehr zu diesem internetz-der-dinge-horror anschauen. 😦

Freut ihr euch eigentlich auch schon auf die ersten erpressungstrojaner, die über herzschrittmacher laufen? Glaubt mir, die meisten menschen werden unter todesangst sehr zahlungsbereit und werden kreative wege finden, auch das geld für unverschämt hohe forderungen irgendwie aufzutreiben… 👿

Wenn euch doch nur jemand vor diesem internetz der dinge gewarnt hätte!

„Schöne neue welt“ des tages

Der US-Spielzeughersteller Mattel will im Juni ein recht ungewöhnliches Smart-Home-Gerät auf den US-Markt bringen: „Aristotle by Nabi“, ein „smarter Smart Home Hub für Kinder“, das unter anderem mit dem Nachwuchs sprechen kann – und das über Jahre hinweg tun soll

Na, dann lasst mal schön eure kinder verdaten und von irgendwelchen algoritmen irgendwelcher kaufleute besprechen! Die barbiepuppe, die nach hause telefoniert — ebenfalls von mattel und ganz genau so niederträchtig — war wohl noch nicht genug. Was kann dabei schon schiefgehen? Und wenn es erst botnetze aus solchen „smarten“ kinderüberwachungsdingern gibt und pädofile die kamera und das mikrofon nutzen, um ein bisschen intensiver mit ihren lieblingskindern zu interagieren — „schön, und jetzt zieh auch noch das höschen runter“ — dann werden die eltern, p’litiker und jornalisten wieder ganz laut fragen, warum sie eigentlich nicht gewarnt wurden. Aber hej, konsument, du glaubst doch bestimmt dran, dass das voll sicher ist. Wurde dir ja versprochen. Bunt und in hochglanz. Von einem werber. Der dafür bezahlt wird, dass er dich so psychisch wirksam wie nur eben möglich anlügt. Idjot!

Worauf haben wir denn alle sehnsuchtsvoll gewartet?

Richtig, auf eine vom W3C ausgearbeitete bluetooth-API für das „web of things“.

But at first: it will enable a web browser to contact the user’s connected devices such as smartphones, kettles, toasters, TVs, thermostats, heart rate monitors, and so on. Imagine a world where every web site can connect to devices near you – or on you

Natürlich handelt es sich um eine weitere von guhgell ersonnene träcking- und datenschnochelschnittstelle im webbrauser, die eine persönliche identifikazjon ermöglicht, kombiniert mit informazjonen direkt aus der privatsfäre (neben bewegungsträcking jetzt endlich auch mit puls, blutzuckerspiegel und zubereitetem essen). Und weil man das eben zu schnell überlesen hat: im webbrauser!

Na ja, spätestens wenn ein werbebanner von einer pressewebseit, die das abschalten des adblockers erzwingt, den herzschrittmacher umprogrammiert… 😦

Und überhaupt: gerade bereitet guhgell vor, seinen eigenen brauser viel viel „sicherer“ zu machen…

Danke, B.G., für den hinweis

Security des tages

Könnt ihr euch noch erinnern, dass vor ein paar monaten mit einem botnetz-DoS auf den DNS-anbieter „dyn“ ein großer teil des internetzes weggekegelt wurde? So dass zweitscherchen, spottifein, netficks, saundklaut, ihh-bäh und andere geschäftemacher mit äpp- und webdienst-geschäftsmodell auf einmal nicht mehr erreichbar waren? Mit einem botnetz aus lauter schrottteilen der marke „internetz der dinge“?

Wer macht sowas? Ist es vielleicht die organisierte kriminalität gewesen, die begleitend zu erpressungen zeigen wollte, was sie anrichten kann? Oder war es ein staat, der mal mit großen resorßen die muskeln spielen ließ? Waren es die gefährlichen cyber-cyber-terroristen?

Stellt sich doch raus: das war womöglich nur ein von SoNie frustrierter spieler, der sich einfach schnell ein botnetz gemietet hat und seinen angriff auf das pläjhstäjschen-netzwerk halt nicht ganz so professjonell, sondern eher wie ein anfänger-skriptkind vorgetragen hat, so dass er mehr versehentlich große teile des internetzes damit abgeschossen hat.

Bwahahahaha!

Angesichts dieser informativen kleinigkeit wünsche ich unserer neu eingerichteten cyber-truppe bei der bundeswehrmacht viel spaß beim cyber-cyber-krieg!

(Ich sags ja immer: es ist eher glück, dass noch niemand einen ernsthaften angriff auf infrastruktur gefahren hat. Mit dem „internetz der dinge“ steigen die angriffsmöglichkeiten sogar noch. Wenn erstmal jedes leuchtmittel eine eigene IP hat, reicht es, eine ganze stadt einmal gleichzeitig aus- und wieder einzuschalten, und schon sublimieren die dicken stromkabel unter dem einschaltimpuls weg. Da muss nicht einmal mehr ein kraftwerk am internetz hängen, um die stromversorgung zu sabotieren.)

Wer sich dafür interessiert: das bildschirmfoto zeigt das olle „doom“ mit dem großartigen, aber auch sehr schwierigen WAD sunlust, aufgenommen mit zdoom, und zwar mit dem softwäjhr-renderer, und nicht mit einem modernen 3D-renderer, der wesentlich bessere grafik hinbekäme. Nein, leider ist nicht jeder level in sunlust so großartig anzuschauen, aber jeder ist deutlich überdurchschnittlich. Wenn man nur zum hinschauen käme, bei den monsterhorden…