Jornalistische glanzleistung des tages

Golem, nach eigener einschätzung „IT-njuhs für profis“ (leider nicht von profis), hat prof. dr. Offensichtlich um beratung für neue temen gebeten und hat jetzt voll investigativ rausgekriegt, dass TLS mit seiner in jedem scheißbrauser werksseitig gepflgten, absurden liste von zentralen zertifizierungsstellen oft riesiger staatsnähe und korrupzjon nicht die überwachung erschwert [archivversjon].

Berichte, dass Trustcor auch sein in den Browsern integriertes Root-Zertifikat missbraucht haben sollte, gibt es bisher jedoch nicht. Mit diesen könnten beispielsweise gefälschte Zertifikate für Webseiten ausgestellt und so Machine-in-the-Middle-Angriffe (MITM) durchgeführt werden

Wer mal sehen möchte, was da alles für staatsnahe und korrupte klitschen bei sind, kann sich ja mal anschauen, was sein webbrauser alles klaglos akzeptiert, weil man die zertifikate dieser oft staatsnahen und korrupten klitschen lt. feierfox angeblich selbst gespeichert hat. Der feierfox, das ist übrigens dieser scheißbrauser, der unverschlüsseltes HTTP am liebsten ganz abschaffen möchte und deshalb einen nur-HTTPS-modus eingeführt hat. Damit auch wirklich jeder webseitbetreiber dahin gegängelt wird. TLS ist tot. Schon seit den neunziger jahren. Es gibt nur zurzeit nix besseres. 😐️

Wenn ihr als betreiber einer webseit überwachung erschweren wollt, müsst ihr selbstsignierte zertifikate benutzen und euren besuchern ermöglichen, diese zertifikate selbst zu überprüfen… und damit leben, dass euer webbrauser jedem besucher eine ganz schlimm aussehende warnung präsentiert, dass es sich um eine unsichere webseit handelt und dass man dafür — mit klick auf gefährliche knöpfe mit texten wie „ich kenne das risiko und will da trotzdem hin“ — eine ausnahmeregel abnicken muss. Was meint ihr wohl, warum dieser hirnpflug schon seit jahrzehnten läuft und so tut, als sei er wirklich um eure sicherheit und privatsfäre bemüht? (Das ist natürlich eine verschwörungsteorie von mir…) Angebote wie let’s encrypt sind für einen angreifer in der mitte (vor allem polizeien, zugangsproweider, staaten und große kriminelle organisazjonen) genau so mit gefälschten zertifikaten überwachbar wie das teure schlangenöl für die gefühlte sicherheit. Und da gibts dann keine warnung, die ja auch wachmacht und problembewusstsein schafft, da gibts dann ein schönes schlösschen in der adresszeile, von dem euch scheißjornalisten seit jahrzehnten erzählen, dass es die hl. ikone der sicherheit im internet sei. Damit ihr euch sicher und unüberwacht fühlt. Nicht, damit ihr sicher und unüberwacht seid.

Auf bundesregierungsniewoh

Krüpplografie beim BSI… 🤦‍♂️️

Tolle idee des tages

lass uns Krypto in Javascript machen!1!!

Krüpplografie des tages

Die paar menschen, die ihre mäjhl verschlüsseln und den thunderbird benutzen, werden sich sicherlich noch daran erinnern, wie der thunderbird PGP selbst implementiert hat, so dass man seitdem „endlich“ kein addon mehr dafür braucht: es wurde so implementiert, dass selbst sehr erfahrene kompjuternutzer anfangs große probleme hatten, wieder PGP zu nutzen. Oder kurz: es wurde so implemtiert, dass es schwieriger als das addon war.

Gut, so ein verkacker kann mal passieren. Aber es ist schon kein kleiner verkacker mehr, wenn man den menschen im zeitalter der totalüberwachung ihre letzten nischen unbelauschter kommunikazjon wegnimmt. Es soll ja sogar staaten geben, in denen man für manche mitteilungen (zum beispiel persönlicher sexueller vorlieben wie homosexualität) in eine sehr unangenehme lagerhaft kommen kann, bei denen das überleben der haftzeit eher so opzjonal ist. Wenn man nicht gleich enthauptet oder (wie bei unseren „freunden“ aus saudi-arabien) zum besonders kwalvollen verrecken gekreuzigt wird.

Aber dieses kleine benutzerschnittstellenproblem war nicht der einzige verkacker in der PGP-implementazjon des thunderbird:

Die noch recht neue OpenPGP-Implementierung des Mail-Programms Thunderbird speicherte die geheimen Schlüssel im Klartext auf der Festplatte des Benutzers. Das zum Schutz vorgesehene Master-Passwort kam nicht zum Einsatz […] Der Fehler trat auf, wenn eine der Thunderbird-Versionen von 78.8.1 bis 78.10.1 einen geheimen PGP-Schlüssel importierte

Meine fresse! Können wir bitte mal diesen scheiß wieder rausnehmen und zu enigmail zurückkehren! Die thunderbird-entwickler können es einfach nicht. 😦

Ihr sollt alles verschlüsseln…

Let’s Encrypt, hier „vertreten“ durch den Certbot, meldet immer mal wieder für die eine oder andere (Sub-)Domain, daß eine Erneuerung des Zertifikats nicht möglich sei, weil die Bots, die die Challenge überprüfen, in einen Timeout gelaufen seien […] Das Problem löst sich manchmal von selbst, indem Let’s Encrypt dann doch irgendwann nach Tagen oder Wochen die Erneuerung durchführt, als wäre nichts gewesen. Aber manchmal will es gar nicht funktionieren, dann muß man etwas nachhelfen – so wie ich heute bei einer Subdomain, bei der sich der Certbot bereits seit 40 Tagen vergeblich um eine Erneuerung bemühte

Security des tages

Anscheinend reicht das Öffnen einer verschlüsselten Mail mit GnuPG, um Speicherkorruption herbeizuführen und damit eventuell Remote Code Execution

Geknackt

Einer der verschlüsselten briefe des zodiac-massenmörders ist jetzt offenbar entschlüsselt. Der entschlüsselte inhalt wirkt im kontext auch völlig plausibel (also total durchgescheppert), und das angewendete verfahren kann auch jemand beim verschlüsseln von hand anwenden. Dieses kryptografische rätsel, das vor allem wegen des geringen textumfangs schwierig war, dürfte damit gelöst sein.

Mein werter mitmensch scheißjornalist!

Statt medienverstärkt-druckerschwarz darüber zu flennen, dass demnächst alle kryptografie irgendwelche hintertüren für staat, geheimdienste, polizei, hackkinder und mafia haben soll [dieser hirnkwirl ist bewusst nicht verlinkt], fang lieber mal an, neben deiner kontaktmäjhladresse einen link auf deinen public key und einen fingerprint für diesen key zu setzen, damit ich dir auch eine GPG-verschlüsselte mäjhl schreiben kann. Nein, wanzäpp ist für mich keine alternative, ich benutze keine wanzofone und keine dienste vom fratzenbuch, du hirni!

Ach, du willst gar nicht verschlüsselt kommunizieren? Dann halt dein stinkendes, dummes, heuchlerisches scheißmaul, du vollidjot! Du wärst mit deinem erbärmlich in den darmwinden der politischen klasse flatternden fähnchen auch in der DDR was geworden, du kompetenzfreies kackfass!

So schade, dass dieses „pressesterben“ so langsam geht…

Immer das gleiche

Auf den Terroranschlag folgt EU-Verschlüsselungsverbot

Im EU-Ministerrat wurde binnen fünf Tagen eine Resolution beschlussfertig gemacht, die Plattformbetreiber wie WhatsApp, Signal und Co. künftig dazu verpflichtet, Generalschlüssel zur Überwachbarkeit von E2E-verschlüsselten Chats und Messages anzulegen

Spätestens jetzt ist es zeit, mit der verschlüsselung jeder nichtöffentlichen kommunikazjon anzufangen. Und nein, nicht in ihrer „nutzerfreundlichen“ form, die sofort in krüpplografie mit hintertüren für geheimdienste umgewandelt werden kann, sondern in richtiger form. Ist auch gar nicht so schwierig, wie euch euer feind, der verlogene, staatsfromme, manipulative scheißjornalist, euch bei jeder gelegenheit zu erzählen versucht…

-----BEGIN PGP MESSAGE-----
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=q8Jf
-----END PGP MESSAGE-----

Heise hat da auch einen text anzubieten, ebenso Hadmut Danisch und Fefe natürlich auch. Oh, und natürlich netzpolitik.

Sinnsuchbild des tages

Das Prinzip der „Sicherheit durch Verschlüsselung“ und der „Sicherheit trotz Verschlüsselung“ müsse komplett aufrechterhalten werden, meint die Bundesregierung

Wer in diesem indirekt von heise zitierten gemeinten unserer bummsregierung den sinn findet, möge ihn bitte sofort abgeben. Er wird schmerzlich vermisst.

Krüpplografie des tages: oh, diese SCHMERZEN!

Statt zufälliger Schlüssel verwenden alle Exchange-Server die gleichen statischen Keys validationKey und decryptionKey für das Web-Interface

Entdoktorung des tages

Frau dr. rer. clipb. Shermin Voshmgir, jornalistendeutsch auch „blockchain queen“ genannt, hat neunzig prozent ihrer dissertazjon geguttenbergt und wird jetzt entdoktort.

Nutzt hier jemand feierfox oder tor-brauser?

Klappen Attacken, könnten Angreifer die Browser abstürzen lassen oder sogar Schadcode ausführen. Durch das erfolgreiche Ausnutzen einer Sicherheitslücke […] könnten Angreifer Zugriff auf private Schlüssel bekommen

Also schnell mal aktualisieren! Am besten genau jetzt!

Gesaltetes häsching wird jetzt in der BRD illegal

Kampf gegen Hass:
Bundesregierung stimmt für Pflicht zur Passwortherausgabe

Zu risiken und nebenwirkungen werfen sie einen blick auf die jüngere geschichte des datenschutzes.

Warum es keine alternative zur ende-zu-ende-verschlüsselung gibt

Laut einem Urteil des Amtsgerichts Itzehoe muss der E-Mail-Anbieter Tutanota Ermittlern künftig die Möglichkeit einräumen, nach Eingang der Gerichtsanordnung unverschlüsselt auf die E-Mails von Verdächtigen zuzugreifen. Das Hannover Unternehmen war einer erstmaligen Aufforderung vom Oktober 2018 nicht nachgekommen

Also verlasst euch nicht auf irgendwelche zusagen irgendwelcher dritter, dass sie den „weltweit sichersten mäjhldienst“ anbieten, sondern nehmt PGP (das kostet euch keinen cent) und verwendet die mäjhladressen, die ihr verwenden wollt.

🔐 Neues aus neuland 🤦

Manche verstehen unter Daten-Verschlüsselung einen abschließbaren Raum für Datenträger

💩 GAU des tages: magenta TV 🛑

„Magenta TV“ von den deutschen telekomikern. Da kriegste die hand nicht mehr aus dem gesicht! 🤦

Der ganze zwitscherchen-strang ist eine fundgrube des schrotts, der unfähigkeit und der unternehmerischen kriminalität gegenüber den eigenen kunden. Hier nur die gleißenden goldstückchen für alle, die keinen bock auf einen klick zum zwitscherchen haben:

Diese schmerzen! 💊

Was zur erekzjon des heilandes am kreuze! Hl. hölle! Das würde ich als kriminellen eingriff in die integrität meines kompjuters betrachten, und ich sehe gute schangsen, dass ein richter das genau so sieht, wenn man ihm ein paar dinge erklärt.

Wenn ihr glotzen wollt, nehmt eine glotze, aber keinen derartigen scheißdreck von der deutschen telekom — die übrigens als früheres staatsunternehmen eine gehörige regierungsnähe haben wird. Vielleicht handelt es sich hier um einen vorsätzlichen, von verfassungsfeinden wie BRD-innenministern und BRD-geheimdiensten „angeforderten“ versuch, künstlich sicherheitslöcher zu schaffen, um MITM-attacken auf TLS-verschlüsselte verbindungen durchführen zu können. Aber wisst ja: wer so etwas für möglich hält, ist ein so genannter „verschwörungsteoretiker“, ganz pfui und vermutlich nazi. Immer schön weiter dran glauben, dass in der scheiß-BRD alles in bester ordnung ist!

An fahrlässigkeit glaube ich jedenfalls nicht. Und irgendwelchen kohd von der deutschen telekom würde ich niemals an einen kompjuter lassen, nachdem ich

VPN des tages

Die werber für nordVPN so:

Niemand kann dein Online-Leben stehlen (wenn du ein VPN benutzt)

Außer, es handelte sich um ein VPN von nordVPN.