TLS und „cloud“ des tages

Bitte vor dem klick alle tischkanten aus gebissnähe entfernen!

In einem Cloud-ERP-Produkt hat Microsoft für verschlüsselte HTTPS-Verbindungen auf allen Instanzen dasselbe Zertifikat genutzt

Erstes durchatmen und irgendwas gegen die hand tun, die im gesicht klebt, damit man weiterlesen kann:

Bei der Cloud-Version von Dynamics 365 for Operations erhält jeder Kunde eine Instanz der Software auf einem eigenen Server. Davon gibt es eine Sandbox-Version, die als Testumgebung gedacht ist. Das Webinterface dieser Systeme wurde mit einem HTTPS-Zertifikat ausgeliefert, das für *.sandbox.operations.dynamics.com ausgestellt war – von Microsofts eigener Zertifizierungsstelle […] Kunden können sich selbst über das Microsoft-eigene Remote Desktop Protocol (RDP) auf dem Sandbox-Server einloggen. Da sie damit direkten Zugriff auf den Server haben, ist es nicht schwer, den zum Zertifikat zugehörigen privaten Schlüssel zu extrahieren und herunterzuladen

Weia! Und wenn man bei golem noch ein bisschen weiter liest, wird es eher noch schlimmer, denn meikrosoft hat zunächst eine extra meikrosofte form der problembehandlung probiert. Aber ich will mal nix vorwegnehmen…

Advertisements

WTHF des tages

$ man -V
man 2.7.5
$ faketime "00:29:57" sh -c "for i in `seq 6`; do man; sleep 1; done"
Welche Handbuchseiten möchten Sie haben?
Welche Handbuchseiten möchten Sie haben?
Welche Handbuchseiten möchten Sie haben?
gimme gimme gimme
Welche Handbuchseiten möchten Sie haben?
gimme gimme gimme
Welche Handbuchseiten möchten Sie haben?
gimme gimme gimme
Welche Handbuchseiten möchten Sie haben?
$ _

Nein, nicht nur bei unbuntu, sondern überall, wo es den man von Colin Watson gibt, also wohl auf jedem GNU-system, wird bei parameterlosem aufruf um 0:30 uhr „gimme gimme gimme“ ausgegeben. Warum? Wegen „Gimme, gimme, gimme a man after midnight“ von ABBA.

via Fefe.

Wie eure stadtverwaltungen daten geheimhalten…

Doch wer die Angebote sehen will, braucht nur etwas Geduld. Man muss einfach irgendein öffentliches Papier an seinem Bildschirm aufrufen und dann die Dokumentennummer in der Adresszeile des Browsers ändern. Wer lange genug mit diesen Nummern spielt, stößt auch auf Unterlagen, die nicht für die Öffentlichkeit bestimmt sind

Der artikel enthält noch weitere gruselbeispiele. Ich finde es ja schön, dass der staat zumindest in seinen kleinstrukturen vorangeht und überall für datenreichtum sorgt, aber menschen, die von datenlecks betroffen sind, sind dann eher weniger begeistert.

Golem des tages

Wisst ihr, was für golem — lt. eigenverständnis gibt es da IT-njuhs für profis, aber leider nicht von profis — jetzt das USENET ist? Richtig, es ist ein daunlohdportal:

Die Beschuldigten im Alter von 23 bis 72 Jahren sollen usenetrevolution.info betrieben und organisiert haben. Das Downloadportal hatte rund 27.000 Mitglieder

Weia!

Cisco des tages

Cisco ist bei seinen geräten voll smart, einfach, schnell und mausklick:

Cisco bietet für seine Switches einen Plug&Play-Dienst zur Fernkonfiguration namens Smart Install. Über diesen lässt sich die aktuelle Konfiguration auslesen, das Gerät konfigurieren oder auch gleich mit neuer Firmware versorgen. Dazu ist kein Passwort erforderlich; Authentifizierung sieht Smart Install nämlich gar nicht vor

m(

Mein tipp: wenn zurzeit irgendwas damit beworben wird, dass es „smart“ ist, lasst die finger davon! Es ist nahezu immer hirnlose und gefährliche scheiße.

Präsentiert wurde das Problem mit dem ungewollten Smart Install auf Cisco-Geräten bereits 2016 auf einer Sicherheitskonferenz in Moskau; im Februar hat Cisco seine Sicht der Smart-Install-Problematik dargelegt. Demnach handelt es sich nicht um eine Schwachstelle in ihren Produkten, sondern um einen Fehler bei deren Handhabung. Smart Install arbeite genau so wie es soll

Genau, ein administrator, der so eine werkseitig verbaute pwnage-schnittstelle für den zugriff durch das internetz und weniger vertrauenswürdige teile des firmennetzes sperrt, der hat so eine smartscheiße für unerfahrene dummanwender mit krawatte und entscheiderhintergrund ja auch sowas von nötig! Weia, dass ein aufgeblasener, kundenverachtender PR-affe von cisco so reden kann und nicht im affekt von irgendwem eine gescheuert kriegt, ist mir unbegreiflich.

Ansonsten: cyberwehr, bitte übernehmen! Der feind heißt hier ganz klar cisco! Nuke them from orbit!

Krüpplografie des tages

Wieder mal so ein facepalm, für den man hundert hände brauchte: meikrosoft „outlook“ kann zwar S/MIME-kryptografie und kriegt die auch durchaus korrekt hin, hängt dann aber noch einmal den unverschlüsselten klartext mit an, so dass man sich das verschlüsseln gleich hätte sparen können.

Weia! [via Fefe]

Spezjalexperten des jahres

Das Logo von Adobe Creative Cloud mit dem Text 'Allseitig Abregnende Wolke'.

Für den facepalm brauchste hundert hände! Das „product security incident response team“ von „adobe“ auf einem seiner blogs so: BEGIN PRIVATE KEY BLOCK. m(

Bild eins, bild zwei, bild drei, archivversjon aus dem guhgell-zwischenspeicher, kwelle beim zwitscherchen, via Fefe… und natürlich ist der key schon zurückgezogen.

Nachtrag 23. september, 12:20 uhr: Golem erklärt uns mal allen, wie es dazu kommen konnte, dass für security-tätigkeiten bezahlte security-spezjalexperten bei „adobe“ ihren private key irgendwo markiert, kopiert und in ihr CMS eingefügt haben. Das lag nicht etwa daran, dass die einen ziemlich peinlichen fehler gemacht haben, der auf dummheit oder drogengebrauch schließen lässt, das lag vor allem daran, dass PGP oder GnuPG nicht benutzerfreundlich genug sind:

PGP gilt nicht als übertrieben benutzerfreundlich. Warum, musste jetzt auch Adobe feststellen, als ein Mitarbeiter im Sicherheitsblog des Unternehmens den privaten PGP-Schlüssel des Teams veröffentlichte

Dabei benutzt man bei „adobe“ — übrigens das englische wort für einen luftgetrockneten lehmziegel — schon eine äußerst klickige und benutzerfreundliche softwäjhr:

Die Kombination aus öffentlichem und privatem Schlüssel wurde mit dem Browser-Plugin Mailvelope exportiert

Es geht doch nix über die anwendung im webbrauser! :mrgreen:

An der kommandozeile wäre das nämlich nicht passiert, da muss man schon etwas umständlich --export-secret-keys oder in härtefällen auch mal --export-secret-subkeys tippen. Und das ist auch gut so, dass das nicht aus versehen passieren kann.

Wieviel reklamegeld golem wohl von „adobe“ bekommt? ❓

Cyber cyber des tages

Jetzt wird auch bei heise onlein abgecybert, dass das hirnchen schmerzen kriegt:

Für eine Handvoll Dollar bieten Online-Shops spezielle Geräte an, die sich für perfide Angriffe auf Rechner, Smartphones und Netzwerke eignen […] in den falschen Händen werden diese Geräte jedoch zu gefährlichen Cyber-Waffen

Cyber-waffen!!ölf!1!!!1! Vielleicht sollte jemand den autor dieser miesen zeilen mal sagen, dass — wenn so etwas eine pöse und gefährliche cyber-waffe ist — auch ein handelsüblicher hammer eine pöse und gefährliche cyber-waffe ist, denn damit kann man auch ganz schön viel schaden an einer „cyberanlage“ (das wort von innimini Thomas de Maizière für einen kompjuter) anrichten, an die man rankommt. Eine andere fiese und schwere bedrohung für solche cyberanlagen sind etwa benzinkanister und feuerzeuge. Oder büroklammern, die man in lüftungsschlitze steckt. Es wird höchste zeit, dass diese hochgefährlichen cyber-massenvernichtungswaffen verboten werden!!1!!!!!!!1!

Das tintengeklexe des offenbar komplett ahnungslosen praktikanten oder gesetzlich erzwungenen kwotenidjoten wird noch besser:

Viele der Hacking-Gadgets beherrschen überraschende IT-Angriffe, vor denen kein Virenscanner schützen kann

Antivirus-schlangenöl schützt nicht vor hardwäjhrangriffen! Gut, dass das mal ein richtiger fachjornalist klargestellt hat!!1!!!1! m(

Echt jetzt, heise?! Wollt ihr mit der kompjuterbild fusjonieren? 😦

Merkt euch: immer, wenn ihr irgendwo „cyber“ lest oder hört, wird nur bullschitt gelabert.

Ändräut des tages

Stellt euch mal vor, ihr benutzt ein schlangenöl, mit dem ihr dafür sorgt, dass nicht irgendwelche trojaner an wirklich empfindliche daten rankommen — sowas wie die kronjuwelen, also private schlüssel, biometrische daten und dergleichen. Natürlich muss dieses schlangenöl aktualisierbar sein, denn auch in schlangenöl sind ja gern mal dicke fehler drin. Und dann stellt euch weiterhin einmal vor, dass diese schnittstelle zum aktualisieren des schlangenöles so totalverkackt implementiert wurde, dass die trojaner einfach eine ältere versjon des schlangenöles einspielen können, die noch eine sicherheitslücke hatte, die die trojaner ausnutzen konnten — und dann werden durch ausnutzen einer längst gestopften sicherheitslücke daten geschaufelt, bis die leitung kwalmt. Wo es so eine unglaubliche, dumme, nutzlose krüppelscheiße gibt? In ändräut-wischofonen (auch der gehobenen preisklasse) gibt es regelmäßig so eine unglaubliche, dumme, nutzlose krüppelscheiße.

Die Hersteller können zwar Patches für verwundbaren Code verteilen, um mögliche Lücken zu schließen. Auf Android-Systemen hält aber offenbar weder Nutzer noch Angreifer prinzipiell nichts davon ab, alte und verwundbare Trustlets aus alten Firmware-Dateien wieder einzuspielen […] „Solange dies der Fall bleibt, werden Mängel in TEEs so viel wertvoller für Angreifer sein, da Schwachstellen, die einmal gefunden wurden, die TEE des Gerätes für immer kompromittieren“

Weia! 😯

Und klar kann man damit ein ändräut-wischofon komplett übernehmen und alles mögliche damit machen. So ist das eben, wenn die tinnefverkäufer euch die root-rechte auf euren persönlichen kompjutern verweigern und euch die gewährleistung entziehen, wenn ihr auf eurem eigenen kompjuter die softwäjhr laufen lassen wollt, die ihr selbst für richtig haltet. Wenn den besitzern der geräte root verweigert wird, dann haben eben vor allem die verbrecher root. Ist halt eine scheißkultur, die entsteht, wenn ihr euch von irgendwelchen kaufleuten mit irgendwelchen analsadistischen technikverhinderungen enteignen lasst. Die einzigen, die davon — neben den scheißkaufleuten, die für eine künstliche produktalterung sorgen — profitieren, sind die verbrecher.

Ich wünsche auch weiterhin allen menschen viel spaß bei der fernkontoführung mit dem händi: modern, schnell, einfach und überall, jetzt mit der praktischen, voll sicheren äpp ihrer bank! Was kann dabei schon passieren?! :mrgreen:

Händi des tages

Stell dir mal vor, du hängst richtig in der scheiße und brauchst hilfe, greifst nach deinem wischofon, wählst eine verdammte notrufnummer und dein scheißwischofon stürzt ab, und zwar reproduzierbar, wenn du die notrufnummer wählst

Na ja, wenigstens kann du dir dann die restzeit bis zu deinem ableben mit dem fratzenbuch versüßen. Zum telefonieren sind die scheißdinger doch gar nicht mehr gebaut.

Macht hier jemand fernkontoführung auf seinem kompjuter?

Echt? Und, schon gelesen, was die spezjalexperten von der sparda-bank über kompjutersicherheit von sich geben (hervorhebung von mir):

Zudem ist es prinzipiell egal wie lange das Passowrt ist, denn in der Regel hat der Kunde einen Keylogger auf seinem Rechner installiert. Dieser würde dann auch ein Passwort mit unbegrenzter Länge und Komplexität mit lesen

Daran glauben, dass nahezu jeder kunde (denn es ist ja die regel) einen trojaner auf dem rechner hat, der die tastatureingaben mitschneidet und trotzdem noch die fernkontoführung über das internetz anbieten und in der reklame noch einen von sicherheit faseln — diesen intellektuellen spagat kriegt man wohl nur als bänker hin. :mrgreen:

Die zusammenfassung von Mike Kuketz ist schon sehr gut:

Na wenn da so ist, können wir uns die Authentifizierung ja gleich sparen

Auch weiterhin viel spaß bei der internetzbasierten fernkontoführung und bei der scheibchenweisen abschaffung des bargeldes!