Lieber schwerbehinderte mitmenschen…

Liebe schwerbehinderte mitmenschen,

die frakzjon der „alternative für deutschland“ im deutschen bundestage möchte mal kurz wissen, ob eure eltern miteinander verwandt sind. Denn gemäß neuesten wisschenschaftlichen erkenntnissen der AFD-frakzjon entsteht schwerbehinderung durch inzucht, und zwar vor allem durch inzucht von „menschen mit migrazjonshintergrund“ — dies ist das wegen der formulierung der förmlichen anfrage leider erforderliche, formaldeutsche wort für „nichtarier“.

Nur für den unwahrscheinlichen fall, dass diese perle des parlamentarismus in der BRD verloren gehen sollte, habe ich hier auch noch eine lokale kopie der kleinen anfrage der AFD-frakzjon.

Advertisements

„Cyber cyber“ des tages

Wisst ihr noch, der bundeshäck? Nein, nicht der vorletzte, sondern der letzte. Der, der total harmlos war, weil er völlig unter kontrolle war (obwohl niemand zu sagen wusste, ob er noch weiterläuft) und bei dem die „häcker“ nur sex dokumente des auswärtigen amtes mitnehmen konnten.

Das scheint doch ein bisschen mehr mitgenommen worden zu sein, denn die bummspolizei hat jetzt strafanzeige erstattet, weil etliche anmeldedaten… ähm… irgendwoanders zu datenreichtum führten. Und jetzt erfährt man auch endlich mal, was für unsere ganzen cyber-cyber-komiker in der BRD-p’litik so ein häckerangriff ist, für den natürlich nur die pösen pösen russen in frage kommen:

Laut der Zeitung geht die dem Bundesinnenministerium unterstellte Polizeieinheit davon aus, dass die Angreifer mit Phishing-Mails rund 3000 Zugangsdaten von Bundespolizisten für ein Portal der zunächst betroffenen Hochschule des Bundes (HS Bund) beziehungsweise der am gleichen Ort sitzenden Bundesakademie für öffentliche Verwaltung (BAköV) in Brühl erbeutet haben

Müsst ihr verstehen: jemanden eine (hoffentlich wenigstens leidlich personalisierte) mäjhl zu schicken, wo irgendein bullschitt gefolgt von einem „klicken sie hier“ drinsteht (oder ein trojaner zum klicke-klicke-aufmachen dranhängt), das ist das neue häcken. Was ich nicht schon alles an „häckerangriffen“ erlebt habe!!elf!!!1!1! :mrgreen:

So, und jetzt noch eine kleine zusatzaufgabe für angehende hobbyadministratoren: wenn ihr einen neuen sörver aufsetzt, wann vergebt ihr ein selbstgewähltes und gutes passwort für das administratorkonto auf dem sörver?

[ ] Sofort nach der installazjon des betrübssystemes
[ ] Nicht sofort, aber bevor der sörver ans netzwerk geht
[ ] Gar nicht, wenn es ein vorgabepasswort gibt, das muss ja sicher sein…

Dreimal dürft ihr raten, was administratoren in lohn und brot der bummsverwaltung hier geantwortet hätten:

Zusätzlich verwies das DFN-Cert darauf, dass in Standardinstallationen von Ilias bekannte Zugangsdaten für den Benutzer „root“ verwendet und Administratoren der Software „zu keiner Zeit im Installationsvorgang zu einer Änderung des Passworts aufgefordert werden“. Es sollte daher sichergestellt werden, dass das Standardpasswort für dieses weitreichende Konto nicht verwendet werde

Oh, hl. scheiße! Einmal ganz davon abgesehen, dass womöglich sogar ein sshd durch die firewall gelassen wurde, der eine anmeldung als root ermöglicht hat, wenn das nicht mit einem trojaner erledigt wurde… m(

Fehlt nur noch, dass das vorgabepasswort changeme gelautet hat. :mrgreen:

Meikrosoft des tages

Na, nutzt hier jemand windohs sieben?

Klar, ihr habt das alle schon bei Fefe gelesen, aber der vollständigkeit halber und weil heise onlein so ein passendes symbolfoto ausgewählt hat, hier nochmal:

Sicherheitspatches gegen Meltdown haben eine neue, riesige Sicherheitslücke in Windows 7 aufgerissen […] Die Updates stoppen zwar Meltdown, reißen jedoch eine neue gefährliche und vergleichsweise einfach ausnutzbare Sicherheitslücke auf […] Aufgrund der Verwundbarkeit soll jeder Prozess — auch ohne Admin-Rechte — den kompletten Inhalt des Kernelspeichers mit sehr hoher Geschwindigkeit auslesen können […] sogar Schreibzugriff auf den Kernel

Die haben bei meikrosoft ja nur ein halbes jahr zeit für ihren pätsch gehabt… unter so einem zeitdruck kann ja mal ein kleines fehlerchen passieren… m(

Übrigens gibt es immer wieder probleme mit dem automatischen aufspielen der sicherheitsaktualisierung vom märz 2018, die dieses problem fixt. Viele dürften sie zurzeit noch gar nicht haben.

Denen, die tiefgläubig und fest auf die kompetenz von meikrosoft vertrauen, wünsche ich auch weiterhin viel spaß mit ihren kompjutern.

Nur echt mit fratzenbuch-klickeknöpfchen…

tagesschau.de -- Kommentar -- Facebook-Datenmissbrauch: Von wegen Panne, das ist das Geschäftsmodell -- Darunter diverse S/M-klickeknöpfe, an erster stelle der vom fratzenbuch

…kannste dir mal wieder gar nicht selbst ausdenken, sowas! m(

Kwelle des bildschirmfotos: internetz¹.

Ach ja, Fefe hat gerade ein interwjuh zu der sache gegeben, das in diesem kontext durchaus verlinkenswert ist. Einen kleinen nichtnachtrags-nachtrag hat er auch noch. Und Hadmut Danisch hat auch ein paar warme worte für die ganzen aufmerksamkeitshuren gefunden

¹Gerade die tagesschau-redakzjon fällt mir immer wieder durch verzicht auf jegliche kwellenangaben bei „entnahmen aus dem web“ auf…

Heise onlein verblödet seine leser

Oh, symantec — eine klitsche, die damals in jedem webbrauser als CA für die ausgabe von TLS-zertifikaten eingetragen war — stellte einfach unter nicht näher geklärten umständen 30.000 TLS-zertifikate an irgendwelche gestalten aus. (Die könnten sich dann zum beispiel völlig unbmerkt und mit schlösschen in der adresszeile des webbrausers als guhgell ausgeben, wenns ein TLS-zertifikat für google punkt com ist. Oder als deutsche bank, wenns ein TLS-zertifikat für deren domäjhn ist.) Gesichert ist zum beispiel das ausstellen von zertifikaten an geheimdienste im nahen osten, die dann mit einer (bei verwendung von TLS an sich unmöglichen) MITM-attacke dissidenten ausspioniert haben. Wie viele menschen auf grundlage dieser bewusst herbeigeführten schwächung von kryptografie ermordet wurden, ist natürlich unklar¹.

Und, wie erklärt das ehemalige fachmagazin heise onlein das seinen lesern? Ganz einfach: guhgell ist voll pöse und macht einen „rachefeldzug“, wenn sein webbrauser keine zertifikate dieser unseriösen klitsche namens „symantec“ mehr akzeptiert. m(

Hej, das war kein „einzelner kleiner fehler“. Das waren eher so 30.000 einzelfälle. In einem system, dass vollständig auf das vertrauen der zertifizierungsstellen aufgebaut ist. Das ist, wenn man mich fragt, ja schon kaputt genug, vor allem, wenn man mal vom brauser die liste der CAs anzeigen lässt. Aber wenn eine CA das vertrauen missbraucht, dann gibt es darauf nur eine antwort: den vollständigen entzug des vertrauens. Ansonsten kann man sich den ganzen TLS-scheiß auch gleich schenken (und viel rechenzeit sparen, die auf dem sörver und im webbrauser für aufwändige kryptografie draufgeht).

Hat sich denn in der karl-wiechert-allee heute niemand anders gefunden, der wenigstens eine spur von sach- und fachkenntnis hat? Oder hat heise inzwischen bei der erstellung von clickbait jeden maßstab verloren?

¹Ja, ich weiß: das waren unter-CAs. Aber diese wurden von symantec ermächtigt und nicht kontrolliert. Verantwortlich ist allein symantec. Was meint ihr wohl, was einem hausmeister passierte, der seinen generalschlüssel an dritte verleiht, wenn hinterher das haus leergeklaut wurde…

Aber linux ist doch sicher…

Abteilung: spaß mit den dümmsten fehlern in linux.

Wie kann man jemanden, der linux mit KDE-desktop nutzt und von der sicherheit seines linuxrechners tiefgläubig überzeugt ist, mal so richtig den tag versauen? Ganz einfach: ein datenzäpfchen nehmen, darauf ein VFAT-dateisystem schreiben (windohs-anwender lesen hier: es als VFAT-formatieren) und den datenträger als $(rm -rf ~) benennen. Ja, richtig. Der name des datenträgers ist das kommando zum rekursiven löschen des benutzerverzeichnisses, umgeben vom bash-kwoting für die ersetzung mit der ausgabe bei ausführung eines befehles.

Man kann natürlich auch backticks nehmen, also `rm -rf ~`, das ist dann auch kompatibel zur ollen bourne-shell¹ und spart ein zeichen. Aber auch die zehn zeichen der lesbareren schreibweise passen locker in die elf zeichen, die man platz hat.

Auf das datenzäpfchen zum beispiel ein paar harmlose dateien draufspielen und dem KDE-freund das datenzäpfchen in die hand drücken.

Nach möglichkeit rasch vom KDE-freund entfernen, denn der könnte explodieren. 😀

Ohren offenhalten. Wenn er zu weinen beginnt, hat es geklappt… 👿

m(

via Fefe

Auch POSIX mit korn-shell ermöglicht $(...).

Schlangenöl des tages

Foto eines Kindes beim FacepalmWoran erkennt meikrosofts defender jetzt irgendwelche schadsoftwäjhr, die den CPU-fehler „spectre“ ausnutzt? Richtig: an ein paar zeichenketten mit text im programm und nicht etwa an irgendwas im programmkohd. Da sind die ganzen verbrecher auf dieser welt jetzt völlig machtlos geworden, denn auf die idee, einfach andere texte als im original-exploit zu verwenden, kommen die nie!!!!1!!1!!elf!!1!

Ja, meikrosoft prüft wirklich auf einen verdammten string! Auf so eine schwachsinnige idee muss man erstmal kommen. Die ist selbst für meikrosofte verhältnisse ungewöhnlich bescheuert.

Ich wünsche allen schlangenölnutzern auch weiterhin viel spaß mit ihrer vom jornalistenonkel in der schleichwerbung und vom reklamelügner in der offenen reklame versprochenen gefühlten sicherheit! Glaubt einfach schön weiter an den ganzen lügenhokuspokus „heuristik“, „KI“, „verhaltensanalyse“, mit dem ihr euch das schlangenöl andrehen lasst, erlaubt dem schlangenöl schön, weitere klaffende sicherheitslöcher in eure rechner zu reißen und fühlt euch wohl dabei, wenn ihr euch in doofheit und leichtgläubigkeit suhlt, als wärt ihr esoteriker! (Aber macht wenigstens halbwegs regelmäßig verdammte sicherungskopien! Bitte! Die werden nämlich am ende eure einzige rettung sein.)

Facepalm des tages

Hauptwerkzeug des Angriffes war eine Phishing-Website, die einen Online-Seed-Generator bereitstellte und durch Suchmaschinenoptimierung in der Google-Suche bei Anfragen zu „IOTA Seed“ an prominenter Stelle im Suchergebnis auftauchte. Diese Webseite richtete sich an unerfahrene Benutzer von Kryptowährungen, die einen einfachen Weg suchten, die zufällige Zeichenfolge für den 81-stelligen privaten Schlüssel (Seed) für ihre IOTA-Wallet zu erzeugen: Über ein einfaches Online-Formular ließ sich ein vermeintlich sicheres Seed mit wenigen Mausklicks erzeugen

m(

Der vorteil von kryptowährungen

Man muss gar nicht erst nahe an einen menschen herankommen und ihn mit einem kleinen trick ablenken, um ihm die patte aus der tasche zu ziehen, das geht auch aus sicherer entfernung, technisch und anonym

Anwender sollten ihre Clients schleunigst aktualisieren, da sich die Sicherheitslücke aus der Ferne, mit geringem Aufwand und vom Nutzer unbemerkt ausnutzen lässt.

Was da für ein fehlerchen drin ist? Och, nix ungewöhnliches oder schlimmes, nur der normale wahnsinn:

Die Sicherheitslücke besteht darin, dass aufgrund eines Fehlers in Electrum seit Version 2.6 auch dann der integrierte JSON-RPC-Server gestartet wird, wenn ein Anwender Electrum auf dem Desktop mit GUI nutzt – und zwar ungeschützt ohne Notwendigkeit zur Authentifizierung

m(

Security des tages

Hat hier jemand so ein NAS von western digital mit dem abschreckenden namen „my cloud“ bei sich herumstehen? Zieht mal lieber den stecker! Da ist werksseitig ein klitzekleines hintertürchen eingebaut worden:

Die Firmware zahlreicher Modelle ermöglicht offenbar das Login mit hardgecodeten Default-Zugangsdaten aus der Ferne […] Zugriff mit Root-Rechten übers Internet […] erbat sich Western Digital bereits im Juni 2017 90 Tage Zeit, um die Sicherheitslücken zu schließen, was jedoch bis heute nicht passiert ist. Die Backdoor steht somit noch immer offen

m(

Natürlich, warum sollte man denn ein kleines hintertürchen schließen, wenn man es doch selbst eingebaut hat? (Andere erklärungen für so ein verhalten wollen mir beim besten willen nicht einfallen.) Auch weiterhin viel spaß mit irgendwelchen plastikkästen, die man euch verkauft, damit ihr sie schön, voll einfach und echt jetzt mal benutzerfreundlich mit einem ethernet-kabel ins internetz hängen könnt, ohne jemals auch nur elementare sicherheitsaktualisierungen dafür zu kriegen! Wenn euch das scheunentor nicht passt, könnt ihr ja einfach den näxsten plastikkasten kaufen.

Fest verdrahtete standard-anmeldungen für root? Das ist die neue offenheit! Den verbrechern dieser welt zum genuss und allen geheimdiensten zum wohlgefallen. Halleluja!

Aber hej, wo „cloud“ draufsteht, da regnen halt platschepampe die daten ab. Und die einladung zur freien kohdausführung für jedes siebenjährige häckkind bei seinen ersten unbeholfenen schritten ins neuland wird gleich mitgeliefert. Schon der produktname hätte bei mir eine akute kauf- und nutzungshemmung ausgelöst, so ganz irrazjonal und überhaupt nicht weiter begründbar. Ich würde ja auch keine nahrungsmittel kaufen, wo ganz groß zyankali auf der packung draufsteht… na ja, dumm kauft eben gut. Und frisst alles, was ihm werbeheins vorsetzen.

Schneller nachtrag: aus dem heiseforum, also ohne gewähr

Baugleich: D-Link DNS-320L ShareCenter

In dem Artikel wird mit keinem Wort erwähnt, das das D-Link DNS-320L ShareCenter baugleich mit dem WD Zeugs ist. Beide haben die selben hardcoded Login Daten.
Was für ein Zufall…

Es sind also vermutlich noch ein paar… ähm… fernwartbare NAS mehr im umlauf, und nicht alle tragen so alberne namen. Augen auf beim hardwäjhrkauf.

Einmal der normale irrsinn, bitte… facepalm des tages

Die frickelbude ATOS — „global leader in digital transformation“ oder auf deutsch: ein führendes unternehmen für „cloud“, cyber und big fätt däjhta — hat bei einem dieser beliebten BRD-leuchtturmprojekte für lichtallergiker einige ihrer besonders bewährten spezjalexperten drangesetzt, und diesmal einen mit nur selten erlebten kryptografie-sonderkompetenzen für das verkacken in regierungsmaßstäben.

Einem IT-Dienstleister war nämlich aufgefallen, dass der beA-Client nicht den Public Key, sondern den Private Key des von T-Systems signierten Zertifikates verteilte

Hej, aber immerhin hatte man bei den schlüsseln eine schangse von fuffzich prozent, dass man auch den richtigen verteilt. Dann gehts halt auch mal schief… :mrgreen:

m(

TLS und „cloud“ des tages

Bitte vor dem klick alle tischkanten aus gebissnähe entfernen!

In einem Cloud-ERP-Produkt hat Microsoft für verschlüsselte HTTPS-Verbindungen auf allen Instanzen dasselbe Zertifikat genutzt

Erstes durchatmen und irgendwas gegen die hand tun, die im gesicht klebt, damit man weiterlesen kann:

Bei der Cloud-Version von Dynamics 365 for Operations erhält jeder Kunde eine Instanz der Software auf einem eigenen Server. Davon gibt es eine Sandbox-Version, die als Testumgebung gedacht ist. Das Webinterface dieser Systeme wurde mit einem HTTPS-Zertifikat ausgeliefert, das für *.sandbox.operations.dynamics.com ausgestellt war – von Microsofts eigener Zertifizierungsstelle […] Kunden können sich selbst über das Microsoft-eigene Remote Desktop Protocol (RDP) auf dem Sandbox-Server einloggen. Da sie damit direkten Zugriff auf den Server haben, ist es nicht schwer, den zum Zertifikat zugehörigen privaten Schlüssel zu extrahieren und herunterzuladen

Weia! Und wenn man bei golem noch ein bisschen weiter liest, wird es eher noch schlimmer, denn meikrosoft hat zunächst eine extra meikrosofte form der problembehandlung probiert. Aber ich will mal nix vorwegnehmen…

WTHF des tages

$ man -V
man 2.7.5
$ faketime "00:29:57" sh -c "for i in `seq 6`; do man; sleep 1; done"
Welche Handbuchseiten möchten Sie haben?
Welche Handbuchseiten möchten Sie haben?
Welche Handbuchseiten möchten Sie haben?
gimme gimme gimme
Welche Handbuchseiten möchten Sie haben?
gimme gimme gimme
Welche Handbuchseiten möchten Sie haben?
gimme gimme gimme
Welche Handbuchseiten möchten Sie haben?
$ _

Nein, nicht nur bei unbuntu, sondern überall, wo es den man von Colin Watson gibt, also wohl auf jedem GNU-system, wird bei parameterlosem aufruf um 0:30 uhr „gimme gimme gimme“ ausgegeben. Warum? Wegen „Gimme, gimme, gimme a man after midnight“ von ABBA.

via Fefe.

Wie eure stadtverwaltungen daten geheimhalten…

Doch wer die Angebote sehen will, braucht nur etwas Geduld. Man muss einfach irgendein öffentliches Papier an seinem Bildschirm aufrufen und dann die Dokumentennummer in der Adresszeile des Browsers ändern. Wer lange genug mit diesen Nummern spielt, stößt auch auf Unterlagen, die nicht für die Öffentlichkeit bestimmt sind

Der artikel enthält noch weitere gruselbeispiele. Ich finde es ja schön, dass der staat zumindest in seinen kleinstrukturen vorangeht und überall für datenreichtum sorgt, aber menschen, die von datenlecks betroffen sind, sind dann eher weniger begeistert.

Golem des tages

Wisst ihr, was für golem — lt. eigenverständnis gibt es da IT-njuhs für profis, aber leider nicht von profis — jetzt das USENET ist? Richtig, es ist ein daunlohdportal:

Die Beschuldigten im Alter von 23 bis 72 Jahren sollen usenetrevolution.info betrieben und organisiert haben. Das Downloadportal hatte rund 27.000 Mitglieder

Weia!