Datenschleuder des tages

Die schweizer steuer-äpp fürs wischofon „steuern59.ch“ hat sämtliche daten aller nutzer ohne zugriffsschutz in eine „cloud“ von amazon gestellt und somit im internetz veröffentlicht. Alle diese auch für kriminelle banden sehr leckeren daten waren auch für technisch eher weniger interessierte zeitgenossen mit frei verfügbarer softwäjhr automatisiert aufzufinden.

Nach Informationen, die heise online exklusiv vorliegen, speicherten die Android- und iOS-Apps dieser Firma alle in der App erhobenen Daten sowie abfotografierte Dokumente beim Cloud-Anbieter Amazon Web Services (AWS). Die Daten in diesem sogenannten AWS Bucket waren für jeden, der ein kostenloses AWS-Konto besitzt, frei einsehbar. Darunter unter anderem die Steuererklärungen und Steuerbescheide, sowie alle abfotografierten Belege wie Lohnabrechnungen, Versicherungsnachweise und Geburts- und Heiratsurkunden hunderter App-Nutzer […] Des Weiteren enthielt der AWS Bucket die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert

Natürlich waren auch die passwörter der nutzer im klartext gespeichert, dieses gesalzene häsching aus den siebziger jahren kann ja niemand implementieren, wenn er nur ein geschäft mit einer schnell gehäckselten äpp machen will…

Aber sage niemand, dass er nicht vorher gewarnt war! Da steht zwar in den „datenschutzbestimmungen“ für die nutzung dieser scheißäpp…

Die Sicherheit der Nutzer steht an erster Stelle

*kicher!* …dass die sicherheit an erster stelle steht, vermutlich, weil der lügenwerber diese 08/15-formulierung so empfohlen hat, aber da steht auch…

Die Übermittlung von Daten über das Internet ist leider nicht absolut sicher. Die App Steuern59.ch arbeitet mit Dienstleistern und Internetanbietern zusammen, welche angemessene technische und organisatorische Sicherheitsvorkehrungen treffen, um die personenbezogenen Daten der Nutzer zu schützen. Die App Steuern59.ch kann jedoch keine Garantie für die Sicherheit der vom Nutzer übermittelten Daten übernehmen. Jede Datenübertragung erfolgt daher auf eigenes Risiko

…dass die offenbar völlig unseriöse und offen kundenverachtende klitsche, die diese äpp „steuern59.ch“ anbietet, mit allen möglichen, selbstverständlich gegenüber den nutzern ungenannten subunternehmern und subsubunternehmern zusammenarbeitet, jegliche verantwortung für deren datenverarbeitung ablehnt. Was bleibt, ist das „eigene risiko“. Wisst schon, eure sicherheit steht an erster stelle.

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den überall so leicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

Gefühlte sicherheit des tages

Hej, es gibt so viel phishing, was kann man da mal gegen tun? Klar, man könnte seine eigenen mäjhls digital signieren, das kostet nichts und ist einfach. Aber hej, das ist doch viel zu neunziger jahre, wenn man kryptografische signaturen benutzt. Also machen wir es anders: wir plustern DMARC ein bisschen auf, dass die mäjhlsoftwäjhr angewisen wird, ein firmenlogo nachzuladen, das dem anwender dann außerhalb des mäjhltextes präsentiert wird. Natürlich mit einem TLS-ähnlichen verfahren, wisst schon, wegen der sicherheit. Dann wird mäjhl auf einmal und schlagartig viel viel sicherer, denn diese fiesen phisher können weder einfach eine grafik mit einem firmenlogo verwenden, noch werden sie unter missbrauch von punycode oder wasauchimmer ähnliche domäjhns verwenden, noch werden sie dazu imstande sein, das verfahren in ihrem mäjhlsörver zu implementieren…

Und dann erzählen wir unseren kunden, woran sich echte mäjhls von uns erkennen lassen, nämlich an unserem tollen unternehmenslogo. Und schon wird alles viel viel sicherer, oder fühlt sich zumindest so an, ohne dass wir digitale signaturen nach den standards der neunziger jahre verwenden müssen. Und hej, unseren werbern gefällt das auch, schließlich sorgen wir für die präsenz unseres logo innerhalb der desktopumgebungen unserer mäjhlempfänger. Und als dann dem scheißwerbern auch noch gesagt wurde, dass durch das nachladen externer inhalte statistiken darüber möglich sind, wie viele leute wann die legalisierte reklamespämm lesen, brach jubel in allen unternehmen aus.

Nein, das ist keine idee von rummsenden kompetenzgranaten mit einer spezjalexpertensonderkompetenz von mindestens neun Oettinger, das…

Die BIMI-Initiative mit den Mitgliedern Microsoft, Google, Oath (AOL, Yahoo), Comcast, Agari, RP, Valimail und PayPal setzt hier an. Das Ziel lautet schlicht, dass die Oberfläche der E-Mail-Clients authentifizierte Nachrichten mit Markenlogo anzeigt

…hat so viel gewicht, dass die phisher vor lauter vorfreude auf ihre kommenden milljardenabzocken schon ein paar kästen puffbrause¹ bestellt haben. Mann, mann, mann, die idiocracy wird wirklich jeden tag ein bisschen schlimmer.

Leute, benutzt digitale signaturen, wenn ihr euren mäjhlempfängern eine schangse geben wollt, dass sie den absender der mäjhl identifizieren können! Das kostet nichts. Das ist einfach. Softwäjhr ist kostenlos und frei verfügbar. Und außerdem ist verschlüsselung dann kein großer schritt mehr… oh, das ist für guhgell, meikrosoft und die ganzen üblichen verdächtigen ein problem? Ich verstehe.

¹Puffbrause: umgangssprachlich abwertend für schampanjer.

Liebe JUSOs,

Abt.: die partei, die partei, die hat immer recht…

ich fand es ja nett von euch, dass ihr gestern in hannover gegen das neue niedersäxische polizeigesetz demonstriert habt, weil ich nun einmal jede nennenswerte verkehrsbehinderung nett finde. Aber warum seid ihr überhaupt noch in dieser scheiß-SPD, die planvoll und vorsätzlich die p’litische absicht verfolgt und im begriffe ist, dieses niedersäxische polizeigesetz zu geltendem recht zu machen? Seid ihr etwa komplett bescheuert? Oder wollt ihr mich und andere menschen mit ein paar cerebralen restfunkzjonen einfach nur verarschen?

Geht sterben! Oder tretet aus der stinkenden scheiß-hartz-IV-polizeistaats-SPD aus, ihr intelligenzverachtenden fäkalmaden, ihr!

Feierfox des tages

Nein, wirklich! Firefox braucht jetzt node.js zum bauen

Wer überhaupt nicht weiß, was node.js ist, schaue bitte kurz in die wikipedia. Alle anderen haben schon längst die hand im gesicht.

Ich habe für solche schwachsinnsideen ja nur eine erklärung: die feinde bei der mozilla foundation wollen nicht, dass man den feierfox wie jede andere freie softwäjhr im prinzip mit einem einfachen configure; make; make install selbst kompilieren kann und sorgen deshalb immer absurdere abhängigkeiten.

Tolle idee: kryptogeldbeutel gleich in den webbrauser einbauen

Da kriegste angst, dass du am facepalm sterben könntest…

Ob der private schlüssel der wallet wohl im speicher des gleichen prozesses wie der rest des webbrausers rumlungert? Was kann da schon schiefgehen?!

Oder liegt der private schlüssel (also der zugang zum geld und damit der besitz des geldes) etwa zentral bei opera herum, zusammen mit dem zugang zu einigen zehntausend weiteren kryptogeldbeuteln?

Mir reicht jedenfalls schon „kryptogeld auf dem wischofon im webbrauser haben“ für das sichere gefühl, dass da einige pöse jungs in ein paar wochen ganz schön viel kryptogeld mitnehmen werden. Sage bitte niemand, dass er nicht vorher gewarnt wurde! Es ist eine unfassbar schlechte idee, die opera da hat. Wer mir das nicht glauben mag, weil ich ein dahergelaufener blogger bin, der nicht einmal richtig deutsch schreibt, der frage bitte einfach einen richtigen fachmann! Zum beispiel einen professor für informatik mit schwerpunkt kryptografie oder so etwas. Der wird nix anderes sagen, als dass es eine unfassbar schlechte idee von opera ist — nachdem er sich vergewissert hat, dass auch nicht der erste april ist. Einfach ausprobieren! Nur jornalisten dürft ihr nicht fragen, die haben wirklich keine ahnung und halten die inhalte von PResseerklärungen für ganz was hochkwalitativ tolles und wahres.

Kennt ihr noch den ollen opera, mit der guten benutzerschnittstelle? (Das war jahrelang der aus anwendersicht beste brauser überhaupt.) Könnt ihr euch noch erinnern, dass der irgendwann einmal eine eingebaute mäjhlsoftware verpasst bekam, und dass die erste versjon einen kleinen, peinlichen fehler hatte: manchmal waren sämtliche mäjhls einfach weg? Also jetzt: richtig weg, auch auf dem sörver. Ich will mal hoffen, dass so ein kryptogeldbeutel bei opera ein bisschen solider geproggt wird.

Wisst ihr noch?

Wisst ihr noch? Dirty cow? Überall im oktober 2016 gefixt. Wirklich überall? Mitnichten, bei „domainfactory“ wurde „dirty cow“ angeblich im juli 2018 für einen kräck ausgebeutet. Da möchte ich nicht wissen, wie der rest der security bei „domainfactory“ aussieht… 😦

Betroffene des datenlecks fordere ich dazu auf, von ihren rechten nach DSGVO gebrauch zu machen und mindestens einen schadenersatz für ihren zeitlichen aufwand mit dieser von „domainfactory“ verbockten riesenscheiße rauszuholen. Also:

1. Auskunft von „domainfactory“ einfordern!
2. Den mutmaßlich grob fahrlässigen verstoß gegen die DSGVO bei der nächsten polizeidienststelle zur anzeige bringen!
3. Schadenersatz einfordern.

Ich bin wirklich daran interessiert, zu sehen, ob diese DSGVO nur ein gesetz zur einschüchterung privater und mittelständischer webseit-betreiber ist, das niemals gegen wirtschaftsunternehmen und großdatenschleuderei angewendet wird, oder ob sich die situazjon der betroffenen solcher datenschleudereien wirklich verbessert hat.

Ach ja, auch weiterhin viel spaß beim festen glauben an den euch überall versprochenen schutz euer persönlichen daten! Die liste wäxt und wäxt und wäxt. 😦

Nachtrag: „ein pfund gehacktes bitte“ beim webrocker…

Heise erklärt die informazjonstechnik…

Heute: was ist eine programmiersprache.

Endlich!!1! Meikrosoft „Active Desktop“ for Linux!!elf!1!

Jade: Ein neuer linux-desktop auf der grundlage von python, HTML5 und javascript…

*grusel!*

Zu den risiken und nebenwirkungen eines voll aufgeplusterten webbrauserdingens zum rendern des desktops schaut bitte einfach in die sicherheitsgeschichte von meikrosoft windohs. Die frage, ob menschen mit solchen ideen ein gehirn haben, lässt sich leider nur in der metzgerei beantworten.

Wer linux hat und mal einen kleinen höllentrip machen möchte, kann sich die kwältexte auf einer plattform runterladen, die demnächst möglicherweise jetzt endlich meikrosoft gehört¹. Da wäxt wahrlich zusammen, was zusammen gehört! Da gibt es auch schon naheliegende wünsche für die zukünftige funkzjonalität, zum beispiel, dass man das hintergrundbild ändern kann.

(Ja, letzteres ist ein bisschen unfäjhr, so jung wie dieses projekt ist.)

via @tux@pod.geraspora.de…

¹„Github“ war meikrosoft 7,5 gigadollar wert. Nicht jeder ist begeistert, wie ich vernommen habe. Aber wer jetzt von einem zentralen anbieter zum anderen zentralen anbieter migriert, ist ein bisschen wie ein doofes kind, das sich die hand an der glühenden herdplatte verbrannt hat und sich dann sagt: vielleicht sind die anderen herdplatten ja weniger heiß, wenn sie so hübsch rot glühen.

P’litische neuland-gestaltungsidee des tages

Bundesjustizministerin Katarina Barley (SPD) fordert, dass Nutzer von Messengerdiensten wie WhatsApp miteinander kommunizieren können

m(

Was tun die senkkopfzombies denn sonst die ganze zeit außer zu kommunizieren?

Und nein, ich glaube nicht, dass hier frau Barley die blöde ist, sondern ein praktikant im wochenendmodus in der karl-wiechert-allee. Die forderung nach offenen schnittstellen hätte man auch weniger missverständlich ausdrücken können.

Selbst dann ist die gute frau Barley aber noch ein bisschen deppert, denn eine offenlegung der schnittstellen führt noch lange nicht dazu, dass man miteinander kommunizieren kann. Dafür muss erst — achtung, triviale aussage folgt hier — jemand softwäjhr schreiben. Und dann diese frage, was eigentlich mit den menschen ist, die kein wischofon haben — das fratzenbuch-angebot whatsäpp ist an eine telefonnummer gebunden, und genau dieses merkmal führte zum erfolg von whatsäpp, weil es sich problemlos in die schon vorhandenen adressbücher auf den wischofonen integrierte, ohne dass vom nutzer noch einmal neue daten zusammengewischt werden mussten. Dieser ansatz lässt sich aber nur schwer in andere IM-protokolle (wie etwa dezentrales XMPP) übernehmen. Letztlich würde er sogar dazu führen, dass überall ein personenbezogenes datum mit rausposaunt werden müsste (die telefonnummer), wo ich bislang prächtig ohne ausgekommen bin. Oder anders gesagt: endlich kann dieses whatsäpp vom fratzenbuch auch eine menge metadaten von menschen einsammeln, die gar nicht beim whatsäpp vom fratzenbuch sind. Und das soll mir dann ermöglichen…

Kunden sollten zu Angeboten wechseln können, „die bessere Datenschutzstandards haben, und trotzdem in ihrer WhatsApp-Gruppe bleiben“, sagte Barley in dem Interview

…die „besseren datenschutzstandards“ auszuwählen? Tolle idee! Wirksam wie ein brechmittel. Kompetenzfrei wie die BRD-p’litik. Von vollidjoten für unwissende. Dumm wie scheiße. CDUCSPDU eben.

Übrigens gibt es eine schnittstelle, mit der man — ganz genau so, wie frau Barley von der hochkompetenten SPD es hier einfordert — schon seit jahrzehnten völlig unabhängig vom proweider miteinander kommunizieren kann: die gute alte mäjhl. Bei bedarf lässt sich sogar eine wirksame verschlüsselung draufpropfen (wenn man private schlüssel auf einem möglicherweise trojanifizierten wischofon speichern mag). Und es geht sogar ohne wischofon. Und es geht sogar für blinde und schwer körperbehinderte menschen. Und es gibt jede menge softwäjhr ohne jede überwachung und ohne mitgelieferte trojanerfunkzjon dafür. Aber dafür ist die generazjon wischofon zu gleichgültig und zu doof geworden — und wird an den zwangsschulen des staates, der solche digitalbeglückungsideen wie etwa diese scheißidee von frau Barley hervorbringt, weiterhin doof gehalten. Warum? Weil doof dümmer und teuer kauft, und das ist gut für die wirtschaft…

Elektronische krankenkarte des tages

Erbarmen!

eGK soll als ELGA smartphonetauglich werden

Ich wünsche euch viel spaß dabei, eure gesundheitsdaten über solche datensicherheitsalbträume wie eure schon mit werksseitig vorinstallierten trojanern ausgestatteten wischofone laufen zu lassen! Was kann dabei schon schiefgehen?

Hej, aber hauptsache, jeder betreiber einer webseit fühlt sich in der BRD zurzeit wie jemand, der mit einem bein im knast steht und mit der hand auf der anderen seite die existenzbedrohende abmahnung aus dem briefkasten zieht, nur, weil er ein paar informazjonen zu seinem hobby veröffentlicht oder ein paar persönlich gefärbte anmerkungen zum tagesgeschehen von sich gibt. Da muss man ja nicht auch noch die gesundheitsdaten von menschen vor irgendwas schützen. Das wäre ja wirklich zu viel verlangt!!!1!elf!

Aber vollidjoten kann man eben alles andrehen.

via @gehrke_test@libranet.de.

Web- und datenschutzspezjalexperte des tages

Der preis „verrostetes schwert im kampf für menschenrechte im digitalzeitalter“ geht an den vor allem bei scheißjornalisten sehr beliebten und von diesem pack stets als blogger und internetzexperte vorgestellten Sascha Lobo, der mit allen seinen spezjalexpertenkenntnissen noch nicht dazu imstande ist, freie schriftarten auf seinem eigenen sörver selbst zu hosten und deshalb lieber einen flapsig formulierten und seine leser verhöhnenden, vorsätzlich intelligenzverachtenden absatz für seine datenschutzerklärung getippselt hat.

Möge ihm ein aufgeweckter elfjähriger mal in aller ruhe erklären, wie das mit dem selbsthosten von schriftarten geht, wenn man die vom brauserbenutzer (meist aus gutem grund) eingestellten standardschriftarten mit etwas eigenem überschreiben will. Und ja: die schriftarten in guhgell fonts sind frei und dürfen so genutzt werden.

Achtung! Keine satire! Nicht der postilljon!

Hier eine weitere digitalkompetenzextraknallgranate aus der BRD-parteienoligarchie mit bummstag-hintergrund beim zwitschern über netzwerktechnik:

Kandidatin für den „goldenen facepalm“ des jahres 2018.

„Github“ des tages

Ein spezjalexperte auf „github“ so: hej Linus, du hast da long long geschrieben, ich habe das unnütze doppelte wort mal für dich rausgelöscht.

Wer nicht C proggt und es nicht sofort versteht: long long ist ein datentyp in C.

Spam und security des tages

Nutzt hier jemand antivirus-programme?

Lieber schwerbehinderte mitmenschen…

Liebe schwerbehinderte mitmenschen,

die frakzjon der „alternative für deutschland“ im deutschen bundestage möchte mal kurz wissen, ob eure eltern miteinander verwandt sind. Denn gemäß neuesten wisschenschaftlichen erkenntnissen der AFD-frakzjon entsteht schwerbehinderung durch inzucht, und zwar vor allem durch inzucht von „menschen mit migrazjonshintergrund“ — dies ist das wegen der formulierung der förmlichen anfrage leider erforderliche, formaldeutsche wort für „nichtarier“.

Nur für den unwahrscheinlichen fall, dass diese perle des parlamentarismus in der BRD verloren gehen sollte, habe ich hier auch noch eine lokale kopie der kleinen anfrage der AFD-frakzjon.

„Cyber cyber“ des tages

Wisst ihr noch, der bundeshäck? Nein, nicht der vorletzte, sondern der letzte. Der, der total harmlos war, weil er völlig unter kontrolle war (obwohl niemand zu sagen wusste, ob er noch weiterläuft) und bei dem die „häcker“ nur sex dokumente des auswärtigen amtes mitnehmen konnten.

Das scheint doch ein bisschen mehr mitgenommen worden zu sein, denn die bummspolizei hat jetzt strafanzeige erstattet, weil etliche anmeldedaten… ähm… irgendwoanders zu datenreichtum führten. Und jetzt erfährt man auch endlich mal, was für unsere ganzen cyber-cyber-komiker in der BRD-p’litik so ein häckerangriff ist, für den natürlich nur die pösen pösen russen in frage kommen:

Laut der Zeitung geht die dem Bundesinnenministerium unterstellte Polizeieinheit davon aus, dass die Angreifer mit Phishing-Mails rund 3000 Zugangsdaten von Bundespolizisten für ein Portal der zunächst betroffenen Hochschule des Bundes (HS Bund) beziehungsweise der am gleichen Ort sitzenden Bundesakademie für öffentliche Verwaltung (BAköV) in Brühl erbeutet haben

Müsst ihr verstehen: jemanden eine (hoffentlich wenigstens leidlich personalisierte) mäjhl zu schicken, wo irgendein bullschitt gefolgt von einem „klicken sie hier“ drinsteht (oder ein trojaner zum klicke-klicke-aufmachen dranhängt), das ist das neue häcken. Was ich nicht schon alles an „häckerangriffen“ erlebt habe!!elf!!!1!1!

So, und jetzt noch eine kleine zusatzaufgabe für angehende hobbyadministratoren: wenn ihr einen neuen sörver aufsetzt, wann vergebt ihr ein selbstgewähltes und gutes passwort für das administratorkonto auf dem sörver?

[ ] Sofort nach der installazjon des betrübssystemes
[ ] Nicht sofort, aber bevor der sörver ans netzwerk geht
[ ] Gar nicht, wenn es ein vorgabepasswort gibt, das muss ja sicher sein…

Dreimal dürft ihr raten, was administratoren in lohn und brot der bummsverwaltung hier geantwortet hätten:

Zusätzlich verwies das DFN-Cert darauf, dass in Standardinstallationen von Ilias bekannte Zugangsdaten für den Benutzer „root“ verwendet und Administratoren der Software „zu keiner Zeit im Installationsvorgang zu einer Änderung des Passworts aufgefordert werden“. Es sollte daher sichergestellt werden, dass das Standardpasswort für dieses weitreichende Konto nicht verwendet werde

Oh, hl. scheiße! Einmal ganz davon abgesehen, dass womöglich sogar ein sshd durch die firewall gelassen wurde, der eine anmeldung als root ermöglicht hat, wenn das nicht mit einem trojaner erledigt wurde… m(

Fehlt nur noch, dass das vorgabepasswort changeme gelautet hat.

Meikrosoft des tages

Na, nutzt hier jemand windohs sieben?

Klar, ihr habt das alle schon bei Fefe gelesen, aber der vollständigkeit halber und weil heise onlein so ein passendes symbolfoto ausgewählt hat, hier nochmal:

Sicherheitspatches gegen Meltdown haben eine neue, riesige Sicherheitslücke in Windows 7 aufgerissen […] Die Updates stoppen zwar Meltdown, reißen jedoch eine neue gefährliche und vergleichsweise einfach ausnutzbare Sicherheitslücke auf […] Aufgrund der Verwundbarkeit soll jeder Prozess — auch ohne Admin-Rechte — den kompletten Inhalt des Kernelspeichers mit sehr hoher Geschwindigkeit auslesen können […] sogar Schreibzugriff auf den Kernel

Die haben bei meikrosoft ja nur ein halbes jahr zeit für ihren pätsch gehabt… unter so einem zeitdruck kann ja mal ein kleines fehlerchen passieren… m(

Übrigens gibt es immer wieder probleme mit dem automatischen aufspielen der sicherheitsaktualisierung vom märz 2018, die dieses problem fixt. Viele dürften sie zurzeit noch gar nicht haben.

Denen, die tiefgläubig und fest auf die kompetenz von meikrosoft vertrauen, wünsche ich auch weiterhin viel spaß mit ihren kompjutern.

Nur echt mit fratzenbuch-klickeknöpfchen…

…kannste dir mal wieder gar nicht selbst ausdenken, sowas! m(

Kwelle des bildschirmfotos: internetz¹.

Ach ja, Fefe hat gerade ein interwjuh zu der sache gegeben, das in diesem kontext durchaus verlinkenswert ist. Einen kleinen nichtnachtrags-nachtrag hat er auch noch. Und Hadmut Danisch hat auch ein paar warme worte für die ganzen aufmerksamkeitshuren gefunden

¹Gerade die tagesschau-redakzjon fällt mir immer wieder durch verzicht auf jegliche kwellenangaben bei „entnahmen aus dem web“ auf…