Spezjalexperten des jahres

Das Logo von Adobe Creative Cloud mit dem Text 'Allseitig Abregnende Wolke'.

Für den facepalm brauchste hundert hände! Das „product security incident response team“ von „adobe“ auf einem seiner blogs so: BEGIN PRIVATE KEY BLOCK. m(

Bild eins, bild zwei, bild drei, archivversjon aus dem guhgell-zwischenspeicher, kwelle beim zwitscherchen, via Fefe… und natürlich ist der key schon zurückgezogen.

Nachtrag 23. september, 12:20 uhr: Golem erklärt uns mal allen, wie es dazu kommen konnte, dass für security-tätigkeiten bezahlte security-spezjalexperten bei „adobe“ ihren private key irgendwo markiert, kopiert und in ihr CMS eingefügt haben. Das lag nicht etwa daran, dass die einen ziemlich peinlichen fehler gemacht haben, der auf dummheit oder drogengebrauch schließen lässt, das lag vor allem daran, dass PGP oder GnuPG nicht benutzerfreundlich genug sind:

PGP gilt nicht als übertrieben benutzerfreundlich. Warum, musste jetzt auch Adobe feststellen, als ein Mitarbeiter im Sicherheitsblog des Unternehmens den privaten PGP-Schlüssel des Teams veröffentlichte

Dabei benutzt man bei „adobe“ — übrigens das englische wort für einen luftgetrockneten lehmziegel — schon eine äußerst klickige und benutzerfreundliche softwäjhr:

Die Kombination aus öffentlichem und privatem Schlüssel wurde mit dem Browser-Plugin Mailvelope exportiert

Es geht doch nix über die anwendung im webbrauser! :mrgreen:

An der kommandozeile wäre das nämlich nicht passiert, da muss man schon etwas umständlich --export-secret-keys oder in härtefällen auch mal --export-secret-subkeys tippen. Und das ist auch gut so, dass das nicht aus versehen passieren kann.

Wieviel reklamegeld golem wohl von „adobe“ bekommt? ❓

Lacherchen des tages

GMX und Web.de bieten jetzt DE-mäjhl an, für alle, die schon immer das porto bei der mäjhl vermisst haben, und sie bieten jetzt „richtige“ verschlüsselung an. Mit javascript im brauser implementiert… na ja… aber immerhin: PGP.

Kleiner tipp für alle, die vom kryptokram gehirnt sind und das beurteilen wollen: es kommt drauf an, wo der private schlüssel liegt. Liegt er auf dem eigenen rechner, ist es gut, liegt er woanders, ist es schlecht. Egal, welches verfahren angewendet wird. Und wenn er im brauser liegt, ist zumindest aus meiner sicht nicht transparent, wo der private schlüssel liegt und ob er auch in zukunft dort liegenbleibt oder „nach hause gefunkt“ wird und wo der private schlüssel nebst dafür erforderlicher kryptografisch sicherer zufallszahlen generiert wird — einmal ganz davon abgesehen, dass ich so einem aufgeplusterten brauser niemals vollständig trauen könnte, da erscheint es mir zu leicht, dass jemand die daten wegen eines kleinen fehlers (oder einer kleinen hintertür oder eines irgendwann einmal untergejubelten trojanischen brauser-addons oder eines typischen programmierfehlers einer webmäjhl-datenschleuder aus der BRD) mitnimmt. Und mäjhls, die mit meinem schlüssel kryptografisch signiert wurden, aber von jemanden anders verfasst wurden, will ich nicht, denn ich signiere die mäjhls, damit immer klar ist, dass sie von mir sind und dass ihr inhalt unverändert ist. Ich hatte da mal einen häcker, der sich meinen bekannten und freunden gegenüber als Elias ausgeben wollte, um ein paar weitere infos abzuphishen¹… 😉

Habt ihr ja alle mitbekommen, dass diese zuvor von niemanden vermisste pocket-scheiße, die mozilla in den feierfox gekackt hat, von jedem häckkind zum datenspähen auf dem speicher-sörver genutzt werden kann. Tja, so ist das eben mit der „cloud“! Aber hej, freut euch, dafür ist jetzt alles sicherer, denn ihr könnt eure addons nicht mehr einfach selbst schreiben, sondern die müssen digital signiert sein. Hach, das waren noch zeiten, als man eine addon-schnittstelle gemacht hat, um das grundsystem so klein und überschaubar wie möglich (und damit mittelbar auch so fehlerfrei und sicher wie möglich) zu gestalten. Die feierfox-entwickler denken da leider völlig anders

Wer seine fünf sinne beisammenhat, wird eh gern auf mäjhl im brauser verzichten. Es geht nämlich besser und bekwemer, und das beste daran, das kostet noch nicht einmal geld.

¹Gar nicht auszudenken, wie leicht diese masche funkzjoniert, wenn jemand sein ganzes leben über S/M-seits entblößt und sämtliche kontakte eines menschen kinderleicht rescherschierbar sind, auch für kriminelle.

Truecrypt: ein kleiner rückblick

Könnt ihr euch noch an „truecrypt“ und die sehr seltsame einstellung des projektes, die von allerlei FUD-propaganda auf allen kanälen (einschließlich einer monatelang prominent dargebotenen neuigkeit bei heise onlein) begleitet wurde, so dass ich nur zu dem schluss kommen konnte, dass truecrypt besser ist, als die NSA erlaubt?

Nun, hier ist, was bei einer untersuchung der kwelltexte bislang rauskam:

Basierend auf diesem Audit scheint es, als sei Truecrypt ein relativ gut designtes Stück Kryptographie-Software […] Der NCC-Audit fand keine Hinweise auf absichtliche Hintertüren oder schwerwiegende Designfehler, die die Software in üblichen Szenarien unsicher machen

Also nicht verunsichern lassen! Die verbrecherische faschistische US-staatsorganisazjon NSA wusste schon, warum sie „truecrypt“ aus der welt haben wollte. Und dank irgendwelcher drexjornalisten, die den FUD (mutmaßlich für eine handvoll euro) verbreitet haben, ist die scheiß-NSA damit auch erstaunlich weit gekommen.

TLS des tages

TLS ist und bleibt kaputt — diesmal wurde der indische staat mit gefälschten zertifikaten für guhgell erwischt. Schaut mal in eurem feierfox in die einstellungen unter „Erweitert“, reiter „Zertifikate“ mit einem klick auf „Zertifikate anzeigen“, welchen tollen instituzjonen „automatisch“ vertraut wird! Und danach wisst ihr, was das in der adresszeile dargestellte schlösschen wert ist. So sieht es aus, wenn man den kryptokram einfach macht — es ist wie eine goldene straße für staaten, sich in nachgemachten zertifikaten in die mitte zu stellen und alles mitzuschneiden.

Gerücht des tages

Das bundeskanzler wird weiter abgehört, meint die bildzeitung:

Die technischen Veränderungen der Handys beeinträchtigen unsere Arbeit nicht

Was von dieser „kwelle“ zu halten ist, weiß hoffentlich jeder selbst. Aber „lustig“ wärs schon, wenn jetzt rauskäme, dass die beste softwäjhr für die händis nix nützt, weil die hardwäjhr bereits als wanze konzipiert ist. Oder wenn das betriebssystem für das ding ein paar hintertürchen hat — und ich glaube nicht, dass das betriebssystem kwelloffen ist und von den (sicherlich gut für diese tätigkeit bezahlten) sicherheitshändimachern gründlich analysiert werden konnte.

„RSA security“ des tages

Man habe „niemals einen geheimen Vertrag mit der NSA geschlossen, um einen bekannt anfälligen Zufallszahlengenerator in die Verschlüsselungsbibliotheken von BSAFE zu integrieren“

Ich verstehe, es war euch einfach nicht bekannt, dass der vom NSA gelieferte RNG anfällig war. Und ihr habt es euch dann auch nicht bekannt gemacht. Danke für die erläuterung.

Dreißig silberlinge…

Dreißig silberlinge (der preis, zu dem lt. bibl. legende Judas Iskariot Jesus verraten haben soll) sind heute zehn milljonen dollar. Verkauft wirst du und du und du. Von unternehmen, die softwäjhr für dich schreiben, weil sie damit geld verdienen wollen. Hast du etwa wirklich geglaubt, dass jemand, der tut, was er tut, weils geld dafür gibt, dir gegebenüber lojal wäre?

Ich wünsche „RSA security“ eine möglichst schnelle bekanntschaft mit dem insolvenzverwalter! Oder hat noch jemand lust, sich von diesen leuten „sicherheitssoftwäjhr“ andrehen zu lassen?

Fresst eure eigene medizin, parlament-arier!

Schön, wenn die befürworter der überwachung einmal ihre eigene medizin fressen müssen und ihre mäjhls irgendwo zirkulieren:

In den Anhängen befinden sich unter anderem vertrauliche Diskussionspapiere von Lobbyorganisationen, Protokolle über die Kandidatenauswahl für politische Ämter, Einladungen zu Championsleaguespielen oder Aufforderungen zum Abstimmungsverhalten von Lobbyisten.

„Aufgrund dieser Metadaten ist es durchaus möglich, dass — sofern E-Mails veröffenticht werden – sich ein großer Lobbyskandal ausbricht. Vor allem die Verbindungen zwischen konservativen EU-Abgeordneten und Lobbyverbänden ist auffällig“

Liebe häcker, ihr wisst hoffentlich, was „sharehoster“ sind, wo ihr einen findet und wie ihr die URL so bekannt macht, dass diese daten niemals mehr aus dem internetz verschwinden können. Oder glaubt ihr wirklich, dass die systemhörige rotzpresse in europa euch geld für eure eingesammelten mäjhls gibt?

Ach ja, eine frage bleibt natürlich noch: wie sammelt man die mäjhls von abgeordneten des europäischen parlamentes ein? Das ist gar nicht so schwer, und vor allem gar nicht so häck — es reicht ein kleines WLAN-honigtöpfchen in parlamentsnähe:

Auf Basis der vorliegenden Informationen ist anzunehmen, dass der Hacker einen Wireless Access Point errichtet hat, in den sich Personen mit Ihren Endgeräten eingelockt [sic!] haben

Never ending double facepalm

Datenschleuder des tages: „WhatsApp“

Datenschleuder des tages ist die tschätt- und kwassel-äpp „WhatsApp“, deren domäjhn mal eben übernommen wurde, so dass sämtliche kommunikazjon über den beliebten schnatterdienst umgeleitet werden konnte. Wie, ob die verschlüsselt ist, die kommunikazjon? Na ja, die ist verhältnismäßig leicht zu brechen, diese „verschlüsselung“. Ach ja, und eine „neue versjon“ mit einen hübschen trojaner drin konnte natürlich auch so verbreitet werden.

Auch weiterhin viel spaß mit eurem bisschen bekwemlichkeit auf euren geräten, die an eurer stelle „smart“ sind. :mrgreen:

Die geheimdienste so

Laut Guardian verlangten Vertreter der Geheimdienste von der britischen Zeitung und ihren Partnern New York Times und ProPublica, die Enthüllungs-Artikel über die Angriffe von NSA und GCHQ auf Verschlüsslung im Internet zu unterlassen. Begründung: Zielpersonen im Ausland könnten durch die Veröffentlichung veranlasst werden, zu neuen Formen der Verschlüsselung oder der Kommunikation im Allgemeinen zu wechseln, die schwerer zu sammeln und zu entschlüsseln wären

Während jeder aufgeweckte terrorist schon immer pgp-kohdierte nachrichten steganografisch in bildern versteckt hat, die zu irgendeiner zum toten briefkasten umgewidmeten bilder-müllhalde (tumblr, flickr, meispähß, fratzenbuch, zwitscher, guhgell doppelplusgut) hochgeladen wurden¹, soll die kommunikazjon des ahnungslosen teils der bevölkerung auch weiterhin voll überwachbar sein, selbst wenn diese leute irgendwelche nutzlosen schlangenöl-krypto-produkte mit staatlichen nachschlüsseln verwenden oder glauben, sie seien unbelauschbar, wenn der brauser ein kleines piktogramm-schlösschen anzeigt. Deshalb muss die scheisspresse gefügig gemacht werden.

Übrigens…

Guardian, New York Times und ProPublica lehnten das Ansinnen zwar ab. Sie entschieden sich aber, bestimme detaillierte Informationen aus den Artikeln zu entfernen

…eine informazjon, die die scheißpresse verfügbar hatte und auch entfernt hat, waren die firmierungen der unternehmen, die nachschlüsselprodukte für die NSA gemacht haben… angeblich auch in hardwäjhr. Nach völlig unbestätigten angaben gewöhnlich uninformierter kreise soll dieses schweigen auch im zusammenhang mit den anzeigenkunden der dreckspresse stehen.

¹Ich hab natürlich keine ahnung, was terroristen tun. Aber ich weiß, was ich täte, wenn ich inhalte und empfänger meiner mitteilungen vor einem alles mitlesenden staat verbergen sollte.