Äppel des tages

Das sicherheitsproblem, das heise da meldet, finde ich jetzt nicht ganz so schlimm. (Es ist natürlich ein problem.) Denn wenn man einen trojaner auf dem rechner hat, der die datenbank mit dem text der verschlüsselten mäjhls lesen kann, hat man sowieso ein gehöriges problem. Aber dass diese siri-kacke für die generazjon „ich spreche mit meinem kompjuter“ auch dann noch im hintergrund und ohne hinweis an den nutzer fröhlich lokale datensammlungen anlegt, wenn man diese siri-kacke abgeschaltet hat, das finde ich — im gegensatz zu heise onlein, die andere schwerpunkte legen — schon ein bisschen bemerkenswert.

Wisst ja: äppel weiß genau, was ihr wollt und was ihr wirklich braucht. Besser als ihr selbst. Äppel kratzt euch auch demnächst, weil äppel genau weiß, wo es euch juckt. Und das schlimmste: die typischen äppel-jünger glauben das und fühlen sich wie die erlösten… 🧟

💩 GAU des tages: magenta TV 🛑

„Magenta TV“ von den deutschen telekomikern. Da kriegste die hand nicht mehr aus dem gesicht! 🤦

Der ganze zwitscherchen-strang ist eine fundgrube des schrotts, der unfähigkeit und der unternehmerischen kriminalität gegenüber den eigenen kunden. Hier nur die gleißenden goldstückchen für alle, die keinen bock auf einen klick zum zwitscherchen haben:

Tweet von @nurtext von 2:02 nachm. · 4. Nov. 2019 -- Kommen wir zum spannenden Teil, den Zertifikaten: Falls da draußen jemand auf Private Keys von  @Huawei_Germany sitzt und das Kennwort nicht kennt, aber gerne eigene Zertifikate in derren Namen erstellen möchte: Versucht es mal mit: Huawei123 #DieBestenDerBestenDerBestenSir

Diese schmerzen! 💊

Tweet von @nurtext von 2:06 nachm. · 4. Nov. 2019 -- Zertifikate Teil 2: Selbst-signierte Root- und Server-Zertifikate, u.a. für localhost, ausgestellt auf die Telekom und mit höchsten Trust-Level im Schlüsselbund von macOS hinterlegt, gern geschehen - ihre Telekom.

Was zur erekzjon des heilandes am kreuze! Hl. hölle! Das würde ich als kriminellen eingriff in die integrität meines kompjuters betrachten, und ich sehe gute schangsen, dass ein richter das genau so sieht, wenn man ihm ein paar dinge erklärt.

Wenn ihr glotzen wollt, nehmt eine glotze, aber keinen derartigen scheißdreck von der deutschen telekom — die übrigens als früheres staatsunternehmen eine gehörige regierungsnähe haben wird. Vielleicht handelt es sich hier um einen vorsätzlichen, von verfassungsfeinden wie BRD-innenministern und BRD-geheimdiensten „angeforderten“ versuch, künstlich sicherheitslöcher zu schaffen, um MITM-attacken auf TLS-verschlüsselte verbindungen durchführen zu können. Aber wisst ja: wer so etwas für möglich hält, ist ein so genannter „verschwörungsteoretiker“, ganz pfui und vermutlich nazi. Immer schön weiter dran glauben, dass in der scheiß-BRD alles in bester ordnung ist!

An fahrlässigkeit glaube ich jedenfalls nicht. Und irgendwelchen kohd von der deutschen telekom würde ich niemals an einen kompjuter lassen, nachdem ich

Krüpplografie des tages

Das fratzenbuch hat einen private key… ähm… irgendwo im internetz verloren, mit dem es seine ändräut-äpps digital signiert, und jetzt taucht immer wieder mal vom fratzenbuch digital signierte softwäjhr von irgendwelchen leuten auf. [Link geht auf einen englischsprachigen text]

Aber hej, diesen spezjalexperten, die nicht einmal ihren private key sicher ablegen können, denen könnt ihr schön weiter euer ganzes leben und eure STASI-akte zum selbstschreiben anvertrauen!

Ganz besonderes elektronisches anwaltspostfach des tages

Kryptografie scheint sehr schwierig zu sein, krüpplografie um so einfacher, auch bei den signaturen von ZIP-archiven im besonderen elektronischen anwaltspostfach:

Das beA lädt die Nachricht als ZIP-Datei herunter, begleitet von einer abgesetzten PKCS#7-Signaturdatei (Public-Key Cryptography Standard # 7). Diese Datei ist jedoch fehlerhaft. Prüfprogramme finden darin keinerlei Signatur und die Prüfung auf Echtheit versagt. Dies ist dem ersten Anschein nach bei allen bisher exportierten Nachrichten so […] Prüfen lässt sich nur die Signatur der PDF-Datei, was ohne weiteres gelingt, nicht jedoch die Containersignatur, die eine Echtheit des Exports nachweisen soll

Weia, haben die das verkackt! Und auf elementare funkzjonstests (zum beispiel, ob die signatur funkzjoniert) wurde vollständig verzichtet. 🤦

Hej, anwälte, wo bleibt eigentlich eure klagefreude?! :mrgreen:

Krüpplografie des tages

In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land

Das haben wir hier auch bald. Schlösschen wird im brauser angezeigt, aber der staat und seine hochkriminellen geheimdienste können alles mitlesen, verändern und zensieren. Müsst ihr verstehen:

Die Nutzer würden durch das Zertifikat vor Identitätsdiebstahl, Hackern und anderen digitalen Gefahren geschützt

Wer könnte dazu „nein“ sagen?! Mitmensch blöd sagt ganz sicher nicht „nein“. Der lässt sich sogar antivirus-schlangenöl andrehen, weil es ihm ein bisschen gefühlte sicherheit gibt. Ein schlangenöl von der polizei nimmt der erst recht. In vielen fällen völlig freiwillig. Blitzeblank datennackig zu sein, ist den meisten menschen egal geworden, wenn es nur abstrakt genug ist, also für diese idjoten nicht unmittelbar sichtbar wird. Da muss es erstmal richtig knallen und ein faschistischer staat mordknastlager für irgendwelche anhand von datensammlungen ermittelte menschengruppen — wie zum beispiel schwule, kommunisten, milchtrinker, autoliebhaber, fleischesser, radfahrer, kartenspieler oder religjöse — bauen, bis wenigstens ein paar menschen wieder begreifen, dass zentrale datensammlungen eine ganz große und hochgefährliche scheiße sind, die man vermeiden muss. Aber nachdem sie von scheißjornalisten genug propaganda ins hirn gestopft bekommen haben, werden viel zu viele menschen erst einmal daran glauben, dass schwule, kommunisten, milchtrinker, autoliebhaber, fleischesser, radfahrer, kartenspieler und religjöse schuld an allem sind, was ihnen im leben fehlt — ganz anders als der gütige und heilige und mit gutem recht vom gewaltstaat vollumfänglich geschützte und gernbereit mittätliche scheißausbeuter, der ihnen keinen lohn mehr für ihre arbeit geben will, gepriesen sei seine gnade, gelobt und gefördert sei sie! 😦

Schade, dass der Erich Mielke nicht mehr lebt. Der wäre sicherlich begeistert von diesem neuland gewesen

Smartdinger für die sicherheit des tages

Ein smartes Türschloss, gesteuert von einem Kästchen, das auch andere IoT-Geräte im Haushalt steuert: keine gute Idee. Sicherheitsforscher konnten einen Smart Hub des kroatischen Herstellers Zipato hacken und mit ein paar Zeilen Code Türschlösser öffnen […] Die Angreifer müssen sich lediglich im gleichen Netz befinden wie der zugehörige Hub. Fünf Geräte, die direkt mit dem Internet verbunden waren, hätten sie über die Internet-of-Things-Suchmaschine Shodan finden können

Ich schätze mal, dass sich wesentlich mehr als nur fünf geräte finden lassen, wenn dieser smartmüll erstmal bei aldi zu kaufen ist — und wenn dann gleich noch eine überwachungskamera vor dem und im haus läuft, kann man sich auch vorher anschauen, ob der einbruch den schnellen häck überhaupt lohnt. Endlich wird auch klauen smart!

Immerhin wurde die klitzekleine sicherheitslücke geschlossen. Vom hersteller. Ob die ganzen kunden die neue softwäjhr aufspielen?

Guhgell des tages (und krüpplografie des tages)

Google sammelt von den App-Entwicklern, die im Play Store veröffentlichen, gerade die (privaten) APK-Signing-Keys ein. Wer diese nicht hochlädt bekommt einen Warnhinweis eingeblendet. Es ist hoffentlich unnötig zu erwähnen, dass man den privaten Key niemals herausgeben sollte – auch bzw. gerade nicht an Google

Wenn ein dritter den privatschlüssel hat, dann könnt ihr euch den kwatsch mit der kohdsignierung auch ganz sparen. Das ist dann nur noch eine krüpplografie.

Was hat scheißguhgell vor? Spionahschekohd und hintertüren in die äpps einbauen, sie neu digital signieren und gewissermaßen unter falschem namen auf den pläjhstohr zum daunlohd stellen? Es gibt jedenfalls keine guten absichten, für die man einen privatschlüssel brauchte. Der einzige zweck ist es, schadsoftwähr vertrauenswürdiger aussehen zu lassen, als sie ist.

Auch weiterhin viel spaß mit euren wischofon-betrübssystemen von scheißguhgell: technikverhindernd, gängelnd, überwachend und mit pseudokryptografie für gefühlte vertrauenswürdigkeit!

Security des tages

Sicherheitslücke:
Funktastatur nimmt Befehle von Angreifern entgegen

[…] Die Tastatureingaben überträgt Fujitsu über ein proprietäres Funkprotokoll mit einer 128-Bit-AES-Verschlüsselung (Advanced Encryption Standard). Der USB-Dongle-Empfänger nimmt allerdings auch unverschlüsselte Eingaben entgegen, solange sie in dem richtigen Format geschickt werden […]

Weia!

🤦 Datenschleuder des tages 🤦

Nicht, dass jetzt jemand sagt, niemand hätte davor gewarnt

Könnt ihr euch noch an dieses „vivy“ erinnern, diese wischofon-äpp, die euch von krankenversicherern angedreht werden sollte (ihr habt euch hoffentlich gehütet oder die versicherung mit sonderkündigung und für eure kosten gestellter rechnung gewexelt), damit eure gesundheitsdaten in einer extrasicheren „deutschland-klaut“ gespeichert werden und ihr die verwalten könnt? Und damit so richtige orwellness aufkommt, sind in der scheißäpp von „vivy“ auch noch träcker verbaut, die ihre daten bei irgendwelchen dritten speichern.

Eine wirklich beschissene idee, nicht wahr? Der security- und privatsfären-albtraum der zehner jahre, die scheißwischofone, und daten, die verdammt weit in die intimsfäre reinragen? Eine idee, die sich eigentlich sofort von selbst verbietet, wenn man nur eine einzige verdammte sekunde drüber nachdenkt, nicht wahr? Nichts, was jemand ernst meinen und ernst nehmen könnte, nicht wahr?

Von daher wundert es mich überhaupt nicht, dass der wischofon-krüppelscheiß sörverseitig dermaßen beschissen implementiert wurde, dass jeder an die weit in die privatsfäre reichenden daten kommen und sie sogar manipulieren konnte [archivversjon].

Die beworbenen Schutzmaßnahmen entsprechen grundsätzlich gängiger Praxis zum Schutz sensibler Daten, aber die Betonung der Sicherheitsmerkmale liest sich für IT-Sicherheitsforscher wie eine Einladung, dies einmal genauer zu prüfen. Unser Kollege Martin Tschirsich ist dieser Einladung gefolgt und fand innerhalb kürzester Zeit gravierende Sicherheitslücken in der Vivy-App und den dazugehörigen Servern […] Informationen darüber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, lagen ungeschützt für jeden lesbar im Netz […] Unbefugte konnten über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln […] konnten beispielsweise über trivial ausnutzbare Fehler in der Server-Anwendung die geheimen Schlüssel der Ärzte ausgelesen werden

Als ob die benutzung von wischofonen nicht unsicher genug wäre, muss man auch noch unfähig in der implementazjon kryptografischer verfahren sein!

Spätestens jetzt ist es an der zeit, bei jeder verdammten krankenkasse, die ihren versicherten diese krüppelscheiße namens „vivy“ aufdrücken will, wegen unheilbaren vertrauensbruchs fristlos zu kündigen und dieser krankenkasse die eigenen kosten in rechnung zu stellen. Wenn man alles mit sich machen lässt, hört diese verantwortungslose und sich täglich verschlimmernde datenschleuder-scheiße ganz sicher niemals auf!

Und nein, die drexäpps anderer anbieter sind nicht besser:

modzero steht derzeit in Kontakt mit einem weiteren Anbieter einer Gesundheits-App, da auch die Konkurrenz mit durchaus schwerwiegenden Sicherheitsproblemen zu kämpfen hat

Wenns internetz im händi ist, ists gehirn im arsch!

Nachtrag, 17:50 uhr: Sehr herzerfrischend ist diese tolle PRessseerklärung. Nur für den selbstverständlich völlig undenkbaren fall, dass diesem dokument in der domäjhn vivy punkt com irgendetwas zustoßen sollte, habe ich hier noch eine sicherheitskopie der tollen PRessearbeit abgelegt:

Sicherheit auf höchstem Niveau ist im Umgang mit den hochsensiblen
Daten unserer Nutzer ein Grundpfeiler des Selbstverständnisses der Vivy GmbH. Darum arbeitet unser Unternehmen fortlaufend an der Verbesserung der Sicherheitsarchitektur und lässt die Vivy-App, die Vivy-Browser-Applikation und die Backend-Systeme regelmäßig durch externe IT-Sicherheitsexperten überprüfen

Vielen dank auch an die scheißjornalisten, die so einen durch und durch verlogenen scheißdreck abschreiben und als ungekennzeichnete reklame im redakzjonellen teil ihrer scheißjornalismusmachwerke veröffentlichen! Möge das sterben bald beginnen, aber kwalvoll lange dauern!

Facepalm-bild: MjolnirPants, kwelle: wikimedia commons, lizenz: CC BY-SA 3.0.

Krüpplografie des tages

Ein fataler Fehler in der beliebten Thunderbird-Erweiterung Enigmail kann dafür sorgen, dass Mails, die nach Angabe der Software verschlüsselt werden, im Klartext durch die Leitung gehen. Wer sich darauf verlässt und mit der Funktion vertrauliche oder gar geheime Informationen verschickt, riskiert, dass diese von Dritten mitgelesen werden

Weia! Aber das problem tritt nur bei PEP auf, also bei dieser erleichterung und vereinfachung für ein eh schon nicht besonders schwieriges verfahren… aber der generazjon wischofon kann es ja gar nicht einfach genug gehen.

Krüpplografie des tages

Telegram, das total sichere tschättdingens mit ende-zu-ende-verschlüsselung und angeflanschter „cloud“, hat leider ein selbstgeproggtes verfahren für die ablage von gehäschten passwörtern von dokumenten in der „cloud“ verwendet, statt einfach bcyrpt zu verwenden. Aber ist sicher, müsst ihr glauben.

Ein bisschen übertrieben paranoid ist das allerdings schon. SHA-512 ist nicht geknackt. Es ist nur nicht für die ablage gehäschter passwörter gedacht. Dafür gibt es spezjelle verfahren, in die richtige experten eine menge gehirnarbeit gesteckt haben. Zum glück sind die fertig und man kann entsprechende biblioteken einfach benutzen… 😉

Regel: Wenns drauf ankommt, niemals eine selbstgebaute krypto nehmen! Und wenns nicht drauf ankommt, wenns nur darum geht, etwas vor den neugierigen blicken eines nutzers zu schützen, der in konfigurazjonsdateien schaut, dann reicht auch eine krüpplografie wie ROT13. Nore fvpureurvg fvrug anghreyvpu naqref nhf.

Krüpplografie des tages

Wieder mal so ein facepalm, für den man hundert hände brauchte: meikrosoft „outlook“ kann zwar S/MIME-kryptografie und kriegt die auch durchaus korrekt hin, hängt dann aber noch einmal den unverschlüsselten klartext mit an, so dass man sich das verschlüsseln gleich hätte sparen können.

Weia! [via Fefe]

Krüpplografie des tages

Mailverschlüsselung […] in der Cloud

Wer sich eine mäjhlverschlüsselung auf den kompjutern anderer leute andrehen lässt und kein problem damit hat, dass diese anderen leute seinen privaten schlüssel haben, der hat den sinn eines privaten schlüssels nicht verstanden. Der heißt so, weil er privat bleibt. Die gesamte sicherheit, die man sich von der verschlüsselung verspricht, hängt davon ab. Wenn man irgendwelchen versprechungen irgendwelcher unternehmungen vertrauen muss, die eine kopie des schlüssels rumliegen haben, ist der schlüssel nicht mehr privat, und der durch solches krüpplografie-schlangenöl erreichte sicherheitsgewinn ist null.

Scheißt auf mäjhl im webbrauser (das ist eh nicht so eine tolle idee) und nehmt euch eine anständige mäjhlsoftwäjhr, leute! Und lasst euch keine krüpplografie andrehen.

Mal eben unterwegs diese PGP-verschlüsselte Mail checken? Das geht meist nur, wenn man seinen Rechner dabeihat oder seinem Smartphone den privaten PGP-Schlüssel anvertrauen möchte

Genau, leute die ihren privaten schlüssel nicht ihrem wischofon anvertrauen würden (was eine ganz gute idee ist), haben nicht das geringste problem damit, ihren privaten schlüssel irgendeiner unternehmung anzuvertrauen. Golem, die IT-njuhs für profis mal wieder! :mrgreen:

Und hej, mal ein paar wochen urlaub ohne mäjhl, das klingt doch auch gar nicht so schlecht. Ihr fliegt ja auch nicht jeden tag von malle nach hause zurück und wieder hin, um euren sackpost-briefkasten zu tschecken, und das, was da drinsteckt, kann viel wichtiger und teurer werden. Immer wieder toll, wie leuten irgendwelche lösungen ohne problem angedreht werden sollen.

Da habt ihr eure krüpplografie von überwachern!

Eine Hintertür in WhatsApp erlaubt es Facebook und anderen, die verschlüsselten Nachrichten der Nutzer nachzulesen, berichtet der Guardian […] Die jetzt entdeckte Backdoor ist nicht Teil des von Oper Whisper Systems implementierten Signal-Protokolls. Sie erlaubt es Facebook jedoch, neue Schlüssel zu erzeugen, ohne dass der Nutzer dies merkt – und so die Kommunikation mitzulesen

Wenn euch doch nur jemand vorm scheißfratzenbuch gewarnt hätte! Idjoten! Wenns internetz im händi ist, ists gehirn im arsch.

Nachtrag: wisst ihr noch, wie heise onlein vor einem dreiviertel jahr ganz unkritsch und im besten schleichwerbeton reklame für die überwachungssoftwäjhr whatsapp vom spämmenden und träckenden fratzenbuch gemacht hat? Tja, geld stinkt eben nicht. Und damit ihr diese offensichtliche schleichwerbung nicht etwa für ein versehen haltet, hat heise onlein — ich wüsste ja gern mal, wie viel geld vom fratzenbuch die für ihre vorsätzliche desinformazjon kriegen — heute so geschrieben, als handele es sich um einen programmierfehler, wie er halt überall mal passieren kann, statt die dinge deutlich beim namen zu nenen, wenn dieser fehler an whatsapp gemeldet wird und einfach drinbleibt. Es gibt nämlich nur einen einzigen denkbaren grund, warum man einen „fehler“ drinlassen sollte, der eine hintertür zur aufhebung der verschlüsselung ist, und der ist nun einmal, dass die hintertür für gut gehalten wird und mutmaßlich mit absicht eingebaut wurde. Wenn ihr wert auf eure privatsfäre und eure kompjutersicherheit legt, seid ihr bei den schleichwerbenden kwalitätsjornalisten aus der karl-wiechert-allee schlecht beraten. Das solltet ihr euch merken, um künftige empfehlungen dieser immer wieder einmal vorsätzlich leserverdummenden kommerzjellen webseit (beispiel eins, beispiel zwei) beurteilen zu können.

Ob herr Erdoğan und herr Putin wohl auch zugriff auf die vom fratzenbuch eingesammelten daten nehmen können? Ob sich das fratzenbuch diese „märkte“ wohl entgehen lassen würde? Heise, ihr arschlöcher, ihr bringt mit eurer schleichwerbung in form von gezielter desinformazjon im redakzjonellen teil menschen ins gulag oder in einen folterknast. Nur für eine handvoll judasgeld. Widerlich! Erzählt mir nie, nie, nie wieder etwas über werte und verantwortung des jornalismus!

Security des tages

Ein Angreifer kann zum Beispiel den Takt des Herzschrittmachers manipulieren oder den Defibrillator auslösen

Tolle sache, so ein herzschrittmacher, der ständig über funk erreichbar ist, weil er ja ständig mit der mit dem internetz verbundenen basisstazjon labern muss. So ein 24-bit-RSA-schlüssel ist da für die absicherung völlig ausreichend. Da die meisten menschen nach durchlaufen der BRD-schulbildung matematische und informatische analfabeten sind und deshalb nicht wissen können, was das wirklich bedeutet, hier eine ganz kurze erklärung: Der kleinere der beiden primfaktoren ist maximal 2^12, also 4096. Zum kräcken muss man alle primzahlen im Intervall von 2 bis 4096 durchprobieren. Das sind, moment…

$ primes 2 4096 | wc -l
564
$ _

…das sind 564 auszuprobierende divisionen, um die verschlüsselung zu knacken. Wenn man gerade keinen kompjuter zur hand hat und sich wegen akuter langeweile von stumpfsinnigen tätigkeiten nicht abschrecken lässt, kann man das sogar mit bleistift und papier angehen, und es wird nicht übermäßig lange dauern. Wenn man einen kompjuter benutzt, hat man den kräck unmittelbar. Der linuxbefehl für den kräck lautet factor, und er wird nur ein paar millisekunden brauchen. Oder ums etwas genauer zu sagen, er braucht auf meinem rechenschrott…

$ time factor 16063703
16063703: 3989 4027

real	0m0.034s
user	0m0.000s
sys	0m0.000s
$ _

…nur 34 millisekunden. Diese vorgebliche kryptografie ist eine dermaßen schlechte idee, dass man es kaum noch beschreiben kann. Ich nenne das beihilfe zum mord. Das wird schiefgehen. Das muss schiefgehen. Schlechte kryptografie, eine „krüpplografie“, wie ich das zu nennen pflege, bringt menschen um. Und wer glaubt, dass es jetzt gar nicht mehr schlimmer ginge, ein bisschen englisch kann und nichts gegen einen besuch beim zwitscherchen hat, sollte sich noch ein bisschen mehr zu diesem internetz-der-dinge-horror anschauen. 😦

Freut ihr euch eigentlich auch schon auf die ersten erpressungstrojaner, die über herzschrittmacher laufen? Glaubt mir, die meisten menschen werden unter todesangst sehr zahlungsbereit und werden kreative wege finden, auch das geld für unverschämt hohe forderungen irgendwie aufzutreiben… 👿

Wenn euch doch nur jemand vor diesem internetz der dinge gewarnt hätte!

Security des tages

Mac-Passwort lässt sich über Thunderbolt auslesen

Mit Hardware von der Stange kann ein Angreifer in rund 30 Sekunden das im Klartext vorliegende Passwort abgreifen und so Apples Festplattenverschlüsselung FileVault überwinden, um auf alle Daten zuzugreifen

Ich tippe auf eine vorsätzlich offen gelassene hintertür für die horch- und morddienste der vereinigten staaten eines teils von nordamerika. Wäre ja schlimm, wenn man verschlüsselte daten nicht lesen kann.