Ehemaliges fachmagazin des tages

Achtung, niewo-tiefflieger aus der karl-wiechert-allee fliegen mit viel platz unter der kompjuterbild durch.

Heise: Ehemaliger Fachverlag

Heise onlein erklärt euch mal, wie ihr euch davor schützt, mit euren wischfonen überwacht zu werden:

  1. Wenn ihr euch das natürliche recht verschafft habt, selbst darüber zu entscheiden, was für eine softwäjhr auf eurem kompjuter läuft, dann gebt dieses recht sofort wieder ab und ent-root-et euer wischofon!
  2. Ihr habt eine systemweite firewall? Abschalten!
  3. Ihr habt einen systemweiten adblocker? Abschalten!
  4. Stattdessen: Lasst guhgell regelmäßig mit einer wischofon-überwachungs-äpp prüfen, ob das wischofon in ordnung ist!

Weil, müsst ihr wissen, von guhgell gibt es keine überwachungs-äpps. :mrgreen:

Fürwahr, fürwahr, heise onlein, ich erwarte im gleichen vollständigen hirnverzicht die näxsten artikel von euch. Zum beispiel über den datenschutz durch speicherung sensibler daten in der klaut. Oder über den schutz des autos vor urbanen brandstiftern, indem man es einfach selbst anzündet.

Wenns internetz im händi ist, ists gehirn im arsch!

🤦 Datenschleuder des tages 🤦

Nicht, dass jetzt jemand sagt, niemand hätte davor gewarnt

Könnt ihr euch noch an dieses „vivy“ erinnern, diese wischofon-äpp, die euch von krankenversicherern angedreht werden sollte (ihr habt euch hoffentlich gehütet oder die versicherung mit sonderkündigung und für eure kosten gestellter rechnung gewexelt), damit eure gesundheitsdaten in einer extrasicheren „deutschland-klaut“ gespeichert werden und ihr die verwalten könnt? Und damit so richtige orwellness aufkommt, sind in der scheißäpp von „vivy“ auch noch träcker verbaut, die ihre daten bei irgendwelchen dritten speichern.

Eine wirklich beschissene idee, nicht wahr? Der security- und privatsfären-albtraum der zehner jahre, die scheißwischofone, und daten, die verdammt weit in die intimsfäre reinragen? Eine idee, die sich eigentlich sofort von selbst verbietet, wenn man nur eine einzige verdammte sekunde drüber nachdenkt, nicht wahr? Nichts, was jemand ernst meinen und ernst nehmen könnte, nicht wahr?

Von daher wundert es mich überhaupt nicht, dass der wischofon-krüppelscheiß sörverseitig dermaßen beschissen implementiert wurde, dass jeder an die weit in die privatsfäre reichenden daten kommen und sie sogar manipulieren konnte [archivversjon].

Die beworbenen Schutzmaßnahmen entsprechen grundsätzlich gängiger Praxis zum Schutz sensibler Daten, aber die Betonung der Sicherheitsmerkmale liest sich für IT-Sicherheitsforscher wie eine Einladung, dies einmal genauer zu prüfen. Unser Kollege Martin Tschirsich ist dieser Einladung gefolgt und fand innerhalb kürzester Zeit gravierende Sicherheitslücken in der Vivy-App und den dazugehörigen Servern […] Informationen darüber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, lagen ungeschützt für jeden lesbar im Netz […] Unbefugte konnten über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln […] konnten beispielsweise über trivial ausnutzbare Fehler in der Server-Anwendung die geheimen Schlüssel der Ärzte ausgelesen werden

Als ob die benutzung von wischofonen nicht unsicher genug wäre, muss man auch noch unfähig in der implementazjon kryptografischer verfahren sein!

Spätestens jetzt ist es an der zeit, bei jeder verdammten krankenkasse, die ihren versicherten diese krüppelscheiße namens „vivy“ aufdrücken will, wegen unheilbaren vertrauensbruchs fristlos zu kündigen und dieser krankenkasse die eigenen kosten in rechnung zu stellen. Wenn man alles mit sich machen lässt, hört diese verantwortungslose und sich täglich verschlimmernde datenschleuder-scheiße ganz sicher niemals auf!

Und nein, die drexäpps anderer anbieter sind nicht besser:

modzero steht derzeit in Kontakt mit einem weiteren Anbieter einer Gesundheits-App, da auch die Konkurrenz mit durchaus schwerwiegenden Sicherheitsproblemen zu kämpfen hat

Wenns internetz im händi ist, ists gehirn im arsch!

Nachtrag, 17:50 uhr: Sehr herzerfrischend ist diese tolle PRessseerklärung. Nur für den selbstverständlich völlig undenkbaren fall, dass diesem dokument in der domäjhn vivy punkt com irgendetwas zustoßen sollte, habe ich hier noch eine sicherheitskopie der tollen PRessearbeit abgelegt:

Sicherheit auf höchstem Niveau ist im Umgang mit den hochsensiblen
Daten unserer Nutzer ein Grundpfeiler des Selbstverständnisses der Vivy GmbH. Darum arbeitet unser Unternehmen fortlaufend an der Verbesserung der Sicherheitsarchitektur und lässt die Vivy-App, die Vivy-Browser-Applikation und die Backend-Systeme regelmäßig durch externe IT-Sicherheitsexperten überprüfen

Vielen dank auch an die scheißjornalisten, die so einen durch und durch verlogenen scheißdreck abschreiben und als ungekennzeichnete reklame im redakzjonellen teil ihrer scheißjornalismusmachwerke veröffentlichen! Möge das sterben bald beginnen, aber kwalvoll lange dauern!

Facepalm-bild: MjolnirPants, kwelle: wikimedia commons, lizenz: CC BY-SA 3.0.

Wie „sicher“ sind wahlkompjuter?

Mit einem Adapter im Wert von zehn US-Dollar konnten die Hacker nach eigenen Angaben eine serielle Verbindung zum Hauptprozessor aufbauen. Mithilfe eines darüber angeschlossenen Laptops verschafften sie sich Administratorrechte mit dem gängigen Benutzernamen „root“, ein Passwort war nicht nötig

Security des tages

Nehmt UEFI! Das ist viel sicherer, moderner und besser als so ein olles BIOS.

Das von Eset Lojax getaufte UEFI-Rootkit beruht auf einer Technik und Software, die Lojack, früher bekannt als Computrace, als Diebstahlsicherung einsetzt. Dabei injiziert ein UEFI-BIOS-Modul beim Booten des Systems Überwachungssoftware in Windows, bevor dieses überhaupt gestartet ist. So kann Malware selbst eine Windows-Neuinstallation oder einen Austausch der Festplatte überleben […] Der Lojax-Beschreibung von Eset zufolge erforderte die Installation des UEFI-Rootkits keinen physischen Zugang zum System. APT28 schafft es immer wieder, durch sehr gezielte Spear-Phishing-Mails Trojaner bei ihren Zielpersonen einzuschleusen

Ein entsetztes „ich bin gehäckt worden“ klingt immer noch viel epischer als „ich bin dermaßen digital unwissend, dass ich auf jeden link in einer mäjhl klicke und jeden anhang aufmache, außerdem verstehe ich und meine mäjhlpartner nix von digitalen signaturen, so dass sich jeder in einer mäjhl an mich als jeder beliebige andere ausgeben kann, indem er einfach die absenderadresse fälscht, und wir wollen diesen längst fertigen und einsatzfähigen kryptografiekram auch seit zwei verdammten jahrzehnten auch nicht lernen, weil das lernen immer so anstrengend ist“. Tja, wenn man mit dem internetz umgeht wie tiehnätscher im hormonrausch mit der sexualität — nämlich schnell, einfach und gefährlich — dann wird halt gecräckt. Gern auch mal im regierungsmaßstab. Schon doof, wenn man so doof ist und es um jeden preis bleiben will.

Datenschleuder des tages

Die schweizer steuer-äpp fürs wischofon „steuern59.ch“ hat sämtliche daten aller nutzer ohne zugriffsschutz in eine „cloud“ von amazon gestellt und somit im internetz veröffentlicht. Alle diese auch für kriminelle banden sehr leckeren daten waren auch für technisch eher weniger interessierte zeitgenossen mit frei verfügbarer softwäjhr automatisiert aufzufinden.

Nach Informationen, die heise online exklusiv vorliegen, speicherten die Android- und iOS-Apps dieser Firma alle in der App erhobenen Daten sowie abfotografierte Dokumente beim Cloud-Anbieter Amazon Web Services (AWS). Die Daten in diesem sogenannten AWS Bucket waren für jeden, der ein kostenloses AWS-Konto besitzt, frei einsehbar. Darunter unter anderem die Steuererklärungen und Steuerbescheide, sowie alle abfotografierten Belege wie Lohnabrechnungen, Versicherungsnachweise und Geburts- und Heiratsurkunden hunderter App-Nutzer […] Des Weiteren enthielt der AWS Bucket die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert

Natürlich waren auch die passwörter der nutzer im klartext gespeichert, dieses gesalzene häsching aus den siebziger jahren kann ja niemand implementieren, wenn er nur ein geschäft mit einer schnell gehäckselten äpp machen will…

Aber sage niemand, dass er nicht vorher gewarnt war! Da steht zwar in den „datenschutzbestimmungen“ für die nutzung dieser scheißäpp…

Die Sicherheit der Nutzer steht an erster Stelle

*kicher!* …dass die sicherheit an erster stelle steht, vermutlich, weil der lügenwerber diese 08/15-formulierung so empfohlen hat, aber da steht auch…

Die Übermittlung von Daten über das Internet ist leider nicht absolut sicher. Die App Steuern59.ch arbeitet mit Dienstleistern und Internetanbietern zusammen, welche angemessene technische und organisatorische Sicherheitsvorkehrungen treffen, um die personenbezogenen Daten der Nutzer zu schützen. Die App Steuern59.ch kann jedoch keine Garantie für die Sicherheit der vom Nutzer übermittelten Daten übernehmen. Jede Datenübertragung erfolgt daher auf eigenes Risiko

…dass die offenbar völlig unseriöse und offen kundenverachtende klitsche, die diese äpp „steuern59.ch“ anbietet, mit allen möglichen, selbstverständlich gegenüber den nutzern ungenannten subunternehmern und subsubunternehmern zusammenarbeitet, jegliche verantwortung für deren datenverarbeitung ablehnt. Was bleibt, ist das „eigene risiko“. Wisst schon, eure sicherheit steht an erster stelle. :mrgreen:

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den überall so leicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

Liebe JUSOs,

Abt.: die partei, die partei, die hat immer recht…

ich fand es ja nett von euch, dass ihr gestern in hannover gegen das neue niedersäxische polizeigesetz demonstriert habt, weil ich nun einmal jede nennenswerte verkehrsbehinderung nett finde. Aber warum seid ihr überhaupt noch in dieser scheiß-SPD, die planvoll und vorsätzlich die p’litische absicht verfolgt und im begriffe ist, dieses niedersäxische polizeigesetz zu geltendem recht zu machen? Seid ihr etwa komplett bescheuert? Oder wollt ihr mich und andere menschen mit ein paar cerebralen restfunkzjonen einfach nur verarschen?

Geht sterben! Oder tretet aus der stinkenden scheiß-hartz-IV-polizeistaats-SPD aus, ihr intelligenzverachtenden fäkalmaden, ihr!

Feierfox des tages

Nein, wirklich! Firefox braucht jetzt node.js zum bauen

Wer überhaupt nicht weiß, was node.js ist, schaue bitte kurz in die wikipedia. Alle anderen haben schon längst die hand im gesicht.

Ich habe für solche schwachsinnsideen ja nur eine erklärung: die feinde bei der mozilla foundation wollen nicht, dass man den feierfox wie jede andere freie softwäjhr im prinzip mit einem einfachen configure; make; make install selbst kompilieren kann und sorgen deshalb immer absurdere abhängigkeiten.

Tolle idee: kryptogeldbeutel gleich in den webbrauser einbauen

Da kriegste angst, dass du am facepalm sterben könntest…

Ob der private schlüssel der wallet wohl im speicher des gleichen prozesses wie der rest des webbrausers rumlungert? Was kann da schon schiefgehen?! :mrgreen:

Oder liegt der private schlüssel (also der zugang zum geld und damit der besitz des geldes) etwa zentral bei opera herum, zusammen mit dem zugang zu einigen zehntausend weiteren kryptogeldbeuteln?

Mir reicht jedenfalls schon „kryptogeld auf dem wischofon im webbrauser haben“ für das sichere gefühl, dass da einige pöse jungs in ein paar wochen ganz schön viel kryptogeld mitnehmen werden. Sage bitte niemand, dass er nicht vorher gewarnt wurde! Es ist eine unfassbar schlechte idee, die opera da hat. Wer mir das nicht glauben mag, weil ich ein dahergelaufener blogger bin, der nicht einmal richtig deutsch schreibt, der frage bitte einfach einen richtigen fachmann! Zum beispiel einen professor für informatik mit schwerpunkt kryptografie oder so etwas. Der wird nix anderes sagen, als dass es eine unfassbar schlechte idee von opera ist — nachdem er sich vergewissert hat, dass auch nicht der erste april ist. Einfach ausprobieren! Nur jornalisten dürft ihr nicht fragen, die haben wirklich keine ahnung und halten die inhalte von PResseerklärungen für ganz was hochkwalitativ tolles und wahres.

Kennt ihr noch den ollen opera, mit der guten benutzerschnittstelle? (Das war jahrelang der aus anwendersicht beste brauser überhaupt.) Könnt ihr euch noch erinnern, dass der irgendwann einmal eine eingebaute mäjhlsoftware verpasst bekam, und dass die erste versjon einen kleinen, peinlichen fehler hatte: manchmal waren sämtliche mäjhls einfach weg? Also jetzt: richtig weg, auch auf dem sörver. Ich will mal hoffen, dass so ein kryptogeldbeutel bei opera ein bisschen solider geproggt wird. :mrgreen:

Wisst ihr noch?

DIRTY COWWisst ihr noch? Dirty cow? Überall im oktober 2016 gefixt. Wirklich überall? Mitnichten, bei „domainfactory“ wurde „dirty cow“ angeblich im juli 2018 für einen kräck ausgebeutet. Da möchte ich nicht wissen, wie der rest der security bei „domainfactory“ aussieht… 😦

Betroffene des datenlecks fordere ich dazu auf, von ihren rechten nach DSGVO gebrauch zu machen und mindestens einen schadenersatz für ihren zeitlichen aufwand mit dieser von „domainfactory“ verbockten riesenscheiße rauszuholen. Also:

  1. Auskunft von „domainfactory“ einfordern!
  2. Den mutmaßlich grob fahrlässigen verstoß gegen die DSGVO bei der nächsten polizeidienststelle zur anzeige bringen!
  3. Schadenersatz einfordern.

Ich bin wirklich daran interessiert, zu sehen, ob diese DSGVO nur ein gesetz zur einschüchterung privater und mittelständischer webseit-betreiber ist, das niemals gegen wirtschaftsunternehmen und großdatenschleuderei angewendet wird, oder ob sich die situazjon der betroffenen solcher datenschleudereien wirklich verbessert hat.

Ach ja, auch weiterhin viel spaß beim festen glauben an den euch überall versprochenen schutz euer persönlichen daten! Die liste wäxt und wäxt und wäxt. 😦

Nachtrag: „ein pfund gehacktes bitte“ beim webrocker

Endlich!!1! Meikrosoft „Active Desktop“ for Linux!!elf!1!

Jade: Ein neuer linux-desktop auf der grundlage von python, HTML5 und javascript

*grusel!*

Zu den risiken und nebenwirkungen eines voll aufgeplusterten webbrauserdingens zum rendern des desktops schaut bitte einfach in die sicherheitsgeschichte von meikrosoft windohs. Die frage, ob menschen mit solchen ideen ein gehirn haben, lässt sich leider nur in der metzgerei beantworten.

Wer linux hat und mal einen kleinen höllentrip machen möchte, kann sich die kwältexte auf einer plattform runterladen, die demnächst möglicherweise jetzt endlich meikrosoft gehört¹. Da wäxt wahrlich zusammen, was zusammen gehört! Da gibt es auch schon naheliegende wünsche für die zukünftige funkzjonalität, zum beispiel, dass man das hintergrundbild ändern kann. :mrgreen:

(Ja, letzteres ist ein bisschen unfäjhr, so jung wie dieses projekt ist.)

via @tux@pod.geraspora.de

¹„Github“ war meikrosoft 7,5 gigadollar wert. Nicht jeder ist begeistert, wie ich vernommen habe. Aber wer jetzt von einem zentralen anbieter zum anderen zentralen anbieter migriert, ist ein bisschen wie ein doofes kind, das sich die hand an der glühenden herdplatte verbrannt hat und sich dann sagt: vielleicht sind die anderen herdplatten ja weniger heiß, wenn sie so hübsch rot glühen.

P’litische neuland-gestaltungsidee des tages

Bundesjustizministerin Katarina Barley (SPD) fordert, dass Nutzer von Messengerdiensten wie WhatsApp miteinander kommunizieren können

m(

Was tun die senkkopfzombies denn sonst die ganze zeit außer zu kommunizieren?

Und nein, ich glaube nicht, dass hier frau Barley die blöde ist, sondern ein praktikant im wochenendmodus in der karl-wiechert-allee. Die forderung nach offenen schnittstellen hätte man auch weniger missverständlich ausdrücken können.

Selbst dann ist die gute frau Barley aber noch ein bisschen deppert, denn eine offenlegung der schnittstellen führt noch lange nicht dazu, dass man miteinander kommunizieren kann. Dafür muss erst — achtung, triviale aussage folgt hier — jemand softwäjhr schreiben. Und dann diese frage, was eigentlich mit den menschen ist, die kein wischofon haben — das fratzenbuch-angebot whatsäpp ist an eine telefonnummer gebunden, und genau dieses merkmal führte zum erfolg von whatsäpp, weil es sich problemlos in die schon vorhandenen adressbücher auf den wischofonen integrierte, ohne dass vom nutzer noch einmal neue daten zusammengewischt werden mussten. Dieser ansatz lässt sich aber nur schwer in andere IM-protokolle (wie etwa dezentrales XMPP) übernehmen. Letztlich würde er sogar dazu führen, dass überall ein personenbezogenes datum mit rausposaunt werden müsste (die telefonnummer), wo ich bislang prächtig ohne ausgekommen bin. Oder anders gesagt: endlich kann dieses whatsäpp vom fratzenbuch auch eine menge metadaten von menschen einsammeln, die gar nicht beim whatsäpp vom fratzenbuch sind. Und das soll mir dann ermöglichen…

Kunden sollten zu Angeboten wechseln können, „die bessere Datenschutzstandards haben, und trotzdem in ihrer WhatsApp-Gruppe bleiben“, sagte Barley in dem Interview

…die „besseren datenschutzstandards“ auszuwählen? Tolle idee! Wirksam wie ein brechmittel. Kompetenzfrei wie die BRD-p’litik. Von vollidjoten für unwissende. Dumm wie scheiße. CDUCSPDU eben.

Übrigens gibt es eine schnittstelle, mit der man — ganz genau so, wie frau Barley von der hochkompetenten SPD es hier einfordert — schon seit jahrzehnten völlig unabhängig vom proweider miteinander kommunizieren kann: die gute alte mäjhl. Bei bedarf lässt sich sogar eine wirksame verschlüsselung draufpropfen (wenn man private schlüssel auf einem möglicherweise trojanifizierten wischofon speichern mag). Und es geht sogar ohne wischofon. Und es geht sogar für blinde und schwer körperbehinderte menschen. Und es gibt jede menge softwäjhr ohne jede überwachung und ohne mitgelieferte trojanerfunkzjon dafür. Aber dafür ist die generazjon wischofon zu gleichgültig und zu doof geworden — und wird an den zwangsschulen des staates, der solche digitalbeglückungsideen wie etwa diese scheißidee von frau Barley hervorbringt, weiterhin doof gehalten. Warum? Weil doof dümmer und teuer kauft, und das ist gut für die wirtschaft…

Elektronische krankenkarte des tages

Erbarmen!

eGK soll als ELGA smartphonetauglich werden

Ich wünsche euch viel spaß dabei, eure gesundheitsdaten über solche datensicherheitsalbträume wie eure schon mit werksseitig vorinstallierten trojanern ausgestatteten wischofone laufen zu lassen! Was kann dabei schon schiefgehen?

Hej, aber hauptsache, jeder betreiber einer webseit fühlt sich in der BRD zurzeit wie jemand, der mit einem bein im knast steht und mit der hand auf der anderen seite die existenzbedrohende abmahnung aus dem briefkasten zieht, nur, weil er ein paar informazjonen zu seinem hobby veröffentlicht oder ein paar persönlich gefärbte anmerkungen zum tagesgeschehen von sich gibt. Da muss man ja nicht auch noch die gesundheitsdaten von menschen vor irgendwas schützen. Das wäre ja wirklich zu viel verlangt!!!1!elf!

Aber vollidjoten kann man eben alles andrehen.

via @gehrke_test@libranet.de.

Web- und datenschutzspezjalexperte des tages

Der preis „verrostetes schwert im kampf für menschenrechte im digitalzeitalter“ geht an den vor allem bei scheißjornalisten sehr beliebten und von diesem pack stets als blogger und internetzexperte vorgestellten Sascha Lobo, der mit allen seinen spezjalexpertenkenntnissen noch nicht dazu imstande ist, freie schriftarten auf seinem eigenen sörver selbst zu hosten und deshalb lieber einen flapsig formulierten und seine leser verhöhnenden, vorsätzlich intelligenzverachtenden absatz für seine datenschutzerklärung getippselt hat.

Möge ihm ein aufgeweckter elfjähriger mal in aller ruhe erklären, wie das mit dem selbsthosten von schriftarten geht, wenn man die vom brauserbenutzer (meist aus gutem grund) eingestellten standardschriftarten mit etwas eigenem überschreiben will. Und ja: die schriftarten in guhgell fonts sind frei und dürfen so genutzt werden.