Security des tages

Sicherheitslücke:
Funktastatur nimmt Befehle von Angreifern entgegen

[…] Die Tastatureingaben überträgt Fujitsu über ein proprietäres Funkprotokoll mit einer 128-Bit-AES-Verschlüsselung (Advanced Encryption Standard). Der USB-Dongle-Empfänger nimmt allerdings auch unverschlüsselte Eingaben entgegen, solange sie in dem richtigen Format geschickt werden […]

Weia!

🤦 Datenschleuder des tages 🤦

Nicht, dass jetzt jemand sagt, niemand hätte davor gewarnt

Könnt ihr euch noch an dieses „vivy“ erinnern, diese wischofon-äpp, die euch von krankenversicherern angedreht werden sollte (ihr habt euch hoffentlich gehütet oder die versicherung mit sonderkündigung und für eure kosten gestellter rechnung gewexelt), damit eure gesundheitsdaten in einer extrasicheren „deutschland-klaut“ gespeichert werden und ihr die verwalten könnt? Und damit so richtige orwellness aufkommt, sind in der scheißäpp von „vivy“ auch noch träcker verbaut, die ihre daten bei irgendwelchen dritten speichern.

Eine wirklich beschissene idee, nicht wahr? Der security- und privatsfären-albtraum der zehner jahre, die scheißwischofone, und daten, die verdammt weit in die intimsfäre reinragen? Eine idee, die sich eigentlich sofort von selbst verbietet, wenn man nur eine einzige verdammte sekunde drüber nachdenkt, nicht wahr? Nichts, was jemand ernst meinen und ernst nehmen könnte, nicht wahr?

Von daher wundert es mich überhaupt nicht, dass der wischofon-krüppelscheiß sörverseitig dermaßen beschissen implementiert wurde, dass jeder an die weit in die privatsfäre reichenden daten kommen und sie sogar manipulieren konnte [archivversjon].

Die beworbenen Schutzmaßnahmen entsprechen grundsätzlich gängiger Praxis zum Schutz sensibler Daten, aber die Betonung der Sicherheitsmerkmale liest sich für IT-Sicherheitsforscher wie eine Einladung, dies einmal genauer zu prüfen. Unser Kollege Martin Tschirsich ist dieser Einladung gefolgt und fand innerhalb kürzester Zeit gravierende Sicherheitslücken in der Vivy-App und den dazugehörigen Servern […] Informationen darüber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, lagen ungeschützt für jeden lesbar im Netz […] Unbefugte konnten über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln […] konnten beispielsweise über trivial ausnutzbare Fehler in der Server-Anwendung die geheimen Schlüssel der Ärzte ausgelesen werden

Als ob die benutzung von wischofonen nicht unsicher genug wäre, muss man auch noch unfähig in der implementazjon kryptografischer verfahren sein!

Spätestens jetzt ist es an der zeit, bei jeder verdammten krankenkasse, die ihren versicherten diese krüppelscheiße namens „vivy“ aufdrücken will, wegen unheilbaren vertrauensbruchs fristlos zu kündigen und dieser krankenkasse die eigenen kosten in rechnung zu stellen. Wenn man alles mit sich machen lässt, hört diese verantwortungslose und sich täglich verschlimmernde datenschleuder-scheiße ganz sicher niemals auf!

Und nein, die drexäpps anderer anbieter sind nicht besser:

modzero steht derzeit in Kontakt mit einem weiteren Anbieter einer Gesundheits-App, da auch die Konkurrenz mit durchaus schwerwiegenden Sicherheitsproblemen zu kämpfen hat

Wenns internetz im händi ist, ists gehirn im arsch!

Nachtrag, 17:50 uhr: Sehr herzerfrischend ist diese tolle PRessseerklärung. Nur für den selbstverständlich völlig undenkbaren fall, dass diesem dokument in der domäjhn vivy punkt com irgendetwas zustoßen sollte, habe ich hier noch eine sicherheitskopie der tollen PRessearbeit abgelegt:

Sicherheit auf höchstem Niveau ist im Umgang mit den hochsensiblen
Daten unserer Nutzer ein Grundpfeiler des Selbstverständnisses der Vivy GmbH. Darum arbeitet unser Unternehmen fortlaufend an der Verbesserung der Sicherheitsarchitektur und lässt die Vivy-App, die Vivy-Browser-Applikation und die Backend-Systeme regelmäßig durch externe IT-Sicherheitsexperten überprüfen

Vielen dank auch an die scheißjornalisten, die so einen durch und durch verlogenen scheißdreck abschreiben und als ungekennzeichnete reklame im redakzjonellen teil ihrer scheißjornalismusmachwerke veröffentlichen! Möge das sterben bald beginnen, aber kwalvoll lange dauern!

Facepalm-bild: MjolnirPants, kwelle: wikimedia commons, lizenz: CC BY-SA 3.0.

Krüpplografie des tages

Ein fataler Fehler in der beliebten Thunderbird-Erweiterung Enigmail kann dafür sorgen, dass Mails, die nach Angabe der Software verschlüsselt werden, im Klartext durch die Leitung gehen. Wer sich darauf verlässt und mit der Funktion vertrauliche oder gar geheime Informationen verschickt, riskiert, dass diese von Dritten mitgelesen werden

Weia! Aber das problem tritt nur bei PEP auf, also bei dieser erleichterung und vereinfachung für ein eh schon nicht besonders schwieriges verfahren… aber der generazjon wischofon kann es ja gar nicht einfach genug gehen.

Krüpplografie des tages

Telegram, das total sichere tschättdingens mit ende-zu-ende-verschlüsselung und angeflanschter „cloud“, hat leider ein selbstgeproggtes verfahren für die ablage von gehäschten passwörtern von dokumenten in der „cloud“ verwendet, statt einfach bcyrpt zu verwenden. Aber ist sicher, müsst ihr glauben.

Ein bisschen übertrieben paranoid ist das allerdings schon. SHA-512 ist nicht geknackt. Es ist nur nicht für die ablage gehäschter passwörter gedacht. Dafür gibt es spezjelle verfahren, in die richtige experten eine menge gehirnarbeit gesteckt haben. Zum glück sind die fertig und man kann entsprechende biblioteken einfach benutzen… 😉

Regel: Wenns drauf ankommt, niemals eine selbstgebaute krypto nehmen! Und wenns nicht drauf ankommt, wenns nur darum geht, etwas vor den neugierigen blicken eines nutzers zu schützen, der in konfigurazjonsdateien schaut, dann reicht auch eine krüpplografie wie ROT13. Nore fvpureurvg fvrug anghreyvpu naqref nhf.

Krüpplografie des tages

Wieder mal so ein facepalm, für den man hundert hände brauchte: meikrosoft „outlook“ kann zwar S/MIME-kryptografie und kriegt die auch durchaus korrekt hin, hängt dann aber noch einmal den unverschlüsselten klartext mit an, so dass man sich das verschlüsseln gleich hätte sparen können.

Weia! [via Fefe]

Krüpplografie des tages

Mailverschlüsselung […] in der Cloud

Wer sich eine mäjhlverschlüsselung auf den kompjutern anderer leute andrehen lässt und kein problem damit hat, dass diese anderen leute seinen privaten schlüssel haben, der hat den sinn eines privaten schlüssels nicht verstanden. Der heißt so, weil er privat bleibt. Die gesamte sicherheit, die man sich von der verschlüsselung verspricht, hängt davon ab. Wenn man irgendwelchen versprechungen irgendwelcher unternehmungen vertrauen muss, die eine kopie des schlüssels rumliegen haben, ist der schlüssel nicht mehr privat, und der durch solches krüpplografie-schlangenöl erreichte sicherheitsgewinn ist null.

Scheißt auf mäjhl im webbrauser (das ist eh nicht so eine tolle idee) und nehmt euch eine anständige mäjhlsoftwäjhr, leute! Und lasst euch keine krüpplografie andrehen.

Mal eben unterwegs diese PGP-verschlüsselte Mail checken? Das geht meist nur, wenn man seinen Rechner dabeihat oder seinem Smartphone den privaten PGP-Schlüssel anvertrauen möchte

Genau, leute die ihren privaten schlüssel nicht ihrem wischofon anvertrauen würden (was eine ganz gute idee ist), haben nicht das geringste problem damit, ihren privaten schlüssel irgendeiner unternehmung anzuvertrauen. Golem, die IT-njuhs für profis mal wieder! :mrgreen:

Und hej, mal ein paar wochen urlaub ohne mäjhl, das klingt doch auch gar nicht so schlecht. Ihr fliegt ja auch nicht jeden tag von malle nach hause zurück und wieder hin, um euren sackpost-briefkasten zu tschecken, und das, was da drinsteckt, kann viel wichtiger und teurer werden. Immer wieder toll, wie leuten irgendwelche lösungen ohne problem angedreht werden sollen.

Da habt ihr eure krüpplografie von überwachern!

Eine Hintertür in WhatsApp erlaubt es Facebook und anderen, die verschlüsselten Nachrichten der Nutzer nachzulesen, berichtet der Guardian […] Die jetzt entdeckte Backdoor ist nicht Teil des von Oper Whisper Systems implementierten Signal-Protokolls. Sie erlaubt es Facebook jedoch, neue Schlüssel zu erzeugen, ohne dass der Nutzer dies merkt – und so die Kommunikation mitzulesen

Wenn euch doch nur jemand vorm scheißfratzenbuch gewarnt hätte! Idjoten! Wenns internetz im händi ist, ists gehirn im arsch.

Nachtrag: wisst ihr noch, wie heise onlein vor einem dreiviertel jahr ganz unkritsch und im besten schleichwerbeton reklame für die überwachungssoftwäjhr whatsapp vom spämmenden und träckenden fratzenbuch gemacht hat? Tja, geld stinkt eben nicht. Und damit ihr diese offensichtliche schleichwerbung nicht etwa für ein versehen haltet, hat heise onlein — ich wüsste ja gern mal, wie viel geld vom fratzenbuch die für ihre vorsätzliche desinformazjon kriegen — heute so geschrieben, als handele es sich um einen programmierfehler, wie er halt überall mal passieren kann, statt die dinge deutlich beim namen zu nenen, wenn dieser fehler an whatsapp gemeldet wird und einfach drinbleibt. Es gibt nämlich nur einen einzigen denkbaren grund, warum man einen „fehler“ drinlassen sollte, der eine hintertür zur aufhebung der verschlüsselung ist, und der ist nun einmal, dass die hintertür für gut gehalten wird und mutmaßlich mit absicht eingebaut wurde. Wenn ihr wert auf eure privatsfäre und eure kompjutersicherheit legt, seid ihr bei den schleichwerbenden kwalitätsjornalisten aus der karl-wiechert-allee schlecht beraten. Das solltet ihr euch merken, um künftige empfehlungen dieser immer wieder einmal vorsätzlich leserverdummenden kommerzjellen webseit (beispiel eins, beispiel zwei) beurteilen zu können.

Ob herr Erdoğan und herr Putin wohl auch zugriff auf die vom fratzenbuch eingesammelten daten nehmen können? Ob sich das fratzenbuch diese „märkte“ wohl entgehen lassen würde? Heise, ihr arschlöcher, ihr bringt mit eurer schleichwerbung in form von gezielter desinformazjon im redakzjonellen teil menschen ins gulag oder in einen folterknast. Nur für eine handvoll judasgeld. Widerlich! Erzählt mir nie, nie, nie wieder etwas über werte und verantwortung des jornalismus!

Security des tages

Ein Angreifer kann zum Beispiel den Takt des Herzschrittmachers manipulieren oder den Defibrillator auslösen

Tolle sache, so ein herzschrittmacher, der ständig über funk erreichbar ist, weil er ja ständig mit der mit dem internetz verbundenen basisstazjon labern muss. So ein 24-bit-RSA-schlüssel ist da für die absicherung völlig ausreichend. Da die meisten menschen nach durchlaufen der BRD-schulbildung matematische und informatische analfabeten sind und deshalb nicht wissen können, was das wirklich bedeutet, hier eine ganz kurze erklärung: Der kleinere der beiden primfaktoren ist maximal 2^12, also 4096. Zum kräcken muss man alle primzahlen im Intervall von 2 bis 4096 durchprobieren. Das sind, moment…

$ primes 2 4096 | wc -l
564
$ _

…das sind 564 auszuprobierende divisionen, um die verschlüsselung zu knacken. Wenn man gerade keinen kompjuter zur hand hat und sich wegen akuter langeweile von stumpfsinnigen tätigkeiten nicht abschrecken lässt, kann man das sogar mit bleistift und papier angehen, und es wird nicht übermäßig lange dauern. Wenn man einen kompjuter benutzt, hat man den kräck unmittelbar. Der linuxbefehl für den kräck lautet factor, und er wird nur ein paar millisekunden brauchen. Oder ums etwas genauer zu sagen, er braucht auf meinem rechenschrott…

$ time factor 16063703
16063703: 3989 4027

real	0m0.034s
user	0m0.000s
sys	0m0.000s
$ _

…nur 34 millisekunden. Diese vorgebliche kryptografie ist eine dermaßen schlechte idee, dass man es kaum noch beschreiben kann. Ich nenne das beihilfe zum mord. Das wird schiefgehen. Das muss schiefgehen. Schlechte kryptografie, eine „krüpplografie“, wie ich das zu nennen pflege, bringt menschen um. Und wer glaubt, dass es jetzt gar nicht mehr schlimmer ginge, ein bisschen englisch kann und nichts gegen einen besuch beim zwitscherchen hat, sollte sich noch ein bisschen mehr zu diesem internetz-der-dinge-horror anschauen. 😦

Freut ihr euch eigentlich auch schon auf die ersten erpressungstrojaner, die über herzschrittmacher laufen? Glaubt mir, die meisten menschen werden unter todesangst sehr zahlungsbereit und werden kreative wege finden, auch das geld für unverschämt hohe forderungen irgendwie aufzutreiben… 👿

Wenn euch doch nur jemand vor diesem internetz der dinge gewarnt hätte!

Security des tages

Mac-Passwort lässt sich über Thunderbolt auslesen

Mit Hardware von der Stange kann ein Angreifer in rund 30 Sekunden das im Klartext vorliegende Passwort abgreifen und so Apples Festplattenverschlüsselung FileVault überwinden, um auf alle Daten zuzugreifen

Ich tippe auf eine vorsätzlich offen gelassene hintertür für die horch- und morddienste der vereinigten staaten eines teils von nordamerika. Wäre ja schlimm, wenn man verschlüsselte daten nicht lesen kann.

Krüpplografie des tages

Intel will am 10. November seine für Android und iOS erhältliche Verschlüsselungs-App Intel File Protect beerdigen. Für die Nutzer hat das ernste Konsequenzen: Wer seine geschützten Daten nicht rechtzeitig aus der App exportiert, kann ab dem Termin offenbar nicht mehr darauf zugreifen

Es gibt keinen technischen grund dafür, warum eine kryptosoftwäjhr, die lokal verschlüsselt, nicht auch wieder lokal entschlüsseln können sollte, selbst, wenn sie nicht mehr weiterentwickelt wird — außer, sie funkt nach hause und die schlüssel sind nicht privat, sondern werden zentral gesammelt. Und das ist nun einmal krüpplografie; und gegenüber den menschen, die sich darauf verlassen haben, ists eine ganz üble verarschung.

Lasst euch niemals krypto-schlangenöl andrehen! Schon gar nicht von scheißfirmen aus dem folter- und überwachungsstaat USA! Da könntet ihr eure daten auch gleich offen ins fratzenbuch schreiben.

Aber kaum ists internetz im händi, schon ists gehirn im arsch.

Ändräut des tages

Na, verlasst ihr euch darauf, dass euer ändräut-wischofon die daten verschlüsselt speichert? Ihr seid verlassen, es ist eine krüpplografie. Aber wer ein wischofon hat und glaubt, dass so ein scheißdingens zum datenschutz und zum schutz der privatsfäre passt, sollte sich vielleicht mal eines dieser modernen „smarten“ gehirnchen kaufen. :mrgreen:

Volxverschlüsselung des tages

Nebenan bei netzpolitik kann man ein paar schöne, deutliche worte zu dieser krüpplografie, zur so genannten „volxverschlüsselung“ von telekomikern und fraunhofer lesen, und die sind mir einen link wert.

Das diese „kryptografie“ bei dieser hochnotpeinlichen DE-mäjhl 2.0 nicht besonders vertrauenswürdig ist, habe ich ja sofort beim ersten anlesen des PResseerklärungs-bullschitts gemerkt, aber dass diese blender auch noch behaupten, „freie softwäjhr“ und „open source“ zu sein, ohne es zu sein, habe ich darüber ganz übersehen. Lasst euch keine krüpplografie andrehen! Und schon gar nicht von denen! Die wissen schon, warum sie es dermaßen nötig haben, vorsätzlich falsche eindrücke zu erwecken — nämlich aus dem gleichen grund wie ein gauner.

DE-mäjhl-nachfolger fertiggestellt!

E-Mail-Verschlüsselung für jedermann:
Volksverschlüsselung steht bereit

Einmal ganz davon abgesehen, dass sichere kryptografie für jedermann in form von PGP und thunderbird-addons wie enigmail schon lange bereit steht, ohne dass sich ein kwasistaatsbetrieb des überwachungsstaates DD… ähm… BRD unserer erbarmt: vor dem verschlüsseln muss man erstmal schön datenmäßig die hosen runterlassen! Juchu! Endlich ein internetzausweis! Wäre ja auch voll kacke, wenn man in die „verschlüsselung“ nicht eine überwachungstechnik einbauen würde. In diesem zusammenhang bitte ich auch um nochmalige beachtung dessen, was ich schon im märz über diese krüpplografie geschrieben habe. Auch diesmal gilt die gleiche anmerkung:

Der private Schlüssel verbleibt dem Fraunhofer SIT zufolge zu jedem Zeitpunkt in den Händen des Nutzers

Entscheidend ist, dass der private schlüssel exklusiv in den händen des nutzers bleibt — und gut wäre es, wenn man dafür nicht einer zusicherung eines BRD-kwasistaatsbetriebes glauben müsste.

Danke @skynet@quitter.is!

Der datenautobahnminister Alexander Doofrindt…

Der datenautobahnminister Alexander Doofrindt hat eine ministerjums-webseit auf einem sörver, der gut zwei jahre lang keine sicherheitsaktualisierungen bekommen hat und unter anderem für „heartbleed“ anfällig war, so dass sich jedes häckkind dieser welt mit offen verfügbarem und leicht anzuwendenden exploit-kohd das zertifikat unterm nagel reißen konnte. Aber hej, leute, jetzt hat da endlich mal jemand die gröbsten fehler geflickt. Und das kompromittierte zertifikat wird einfach weiterverwendet.

Auf Anfrage konnte das Ministerium noch keinen Termin für den Austausch nennen

Oh, bitte erschießt mich, damit diese schmerzen aufhören!

Fürwahr, ein richtiger spezjalexperte fürs internetz ist dieser internetz-minister! 😦

Da kann man mal gespannt sein, wie lange…

These releases will be made available on 3rd May 2016 between approximately 1200-1500 UTC. They will fix several security defects with maximum severity „high“

…es beim näxsten üblen security-fehler in der openssl-bibliotek dauert.

„Whatsapp“ des tages

Damit wolle man das Tool „auch für Mitarbeiter in Unternehmen, die Geschäftsdateien austauschen wollen“ attraktiver machen. Durch diese Funktionserweiterung und der Integration der automatischen Ende-zu-Ende-Verschlüsselung könnte WhatsApp eine sichere Alternative zur E-Mail werden

Genau, macht das! Glaubt an die gute krüpplografie, weil in einer PResseerklärung steht, dass es gute krüpplografie ist und steckt dem fratzenbuch eure „geschäftsdateien“ zu! Was kann dabei schon schiefgehen…

Kommt schon! Wenn ihr auf die „cloud“-reklame reingefallen seid, dann müsst ihr diese tolle „whatsapp“-idee doch auch für ganz großartig halten. Ist ja auch fast das gleiche wie DE-mäjhl: ein komplett zur e-mäjhl inkompatibles system, an dessen zugesagter sicherheit man glauben muss, weil man keinerlei möglichkeit hat, den glauben durch überprüfung zu ersetzen. Hej, und wisst ihr, was jetzt noch das tollste daran ist:

Vorteil von WhatsApp sei beispielsweise, dass eine Datei nicht im Spam-Ordner landet oder gar „verloren“ geht

Ihr habt kein spämmproblem mehr. Mit ganz großem, dickem spämmerehrenwort vom scheiß-fratzenbuch, das mir in den vergangenen zehn jahren schon mehrere hundert illegale und asozjale spämms in mein postfach gekackt hat. Wo die meine mäjhladresse überhaupt herhatten? Die hat das fratzenbuch mit schadsoftwäjhr eingesammelt. Das sind verbrecher. Und wenn die USA ein richtiger rechtsstaat wären und nicht eine mit genügend geld käufliche klassenjustiz hätten, dann wären für die offene kriminalität, mit der es das scheiß-fratzenbuch immerhin bis an die börse gebracht hat, empfindliche strafen verhängt worden. Solchen spämmern und schadsoftwäjhrprogrammierern müsst ihr eure „geschäftsdateien“ anvertrauen, weil sie euch sagen, dass ihr ein problem mit spämm habt — denn nur so zeigt ihr der ganzen welt, dass ihr hirnlose, verantwortungslose vollidjoten seid.

Wenn ihr darauf reinfallt, erschießt euch einfach! Aber schießt euch nicht in den kopf, denn das könnte das ziel verfehlen.