Schadsoftwäjhrschleudern des tages

Na, hat hier jemand in den letzten tagen ein unternehmen angeschrieben und von dort eine antwort mit mäjhlanhang bekommen? Auch in so einem fall ist es eine unglaublich schlechte idee, den anhang aufzumachen:

Hierbei haben es Cyberkriminelle geschafft, durch z.B. Emotet einen Rechner/Server usw. einer Firma zu infizieren. Die infizierten Geräte wurden dadurch so manipuliert, dass die Schadsoftware darauf als Bot den eingehenden Mailverkehr übernimmt und automatisiert weiterführt.

Sie als Kunde schreiben diese Firma z.B. über eine Kontaktformular oder direkt per Mail an. In dieser Mail bitten Sie z.B. als Kunde um die Zusendung von Infomaterial, Broschüren usw.. Der Bot, der durch die Schadsoftware installiert wurde, antwortet eigenständig auf diese Mail. Hierbei wird sogar der Original-Text der ursprünglichen Mail mit angehängt. Zusätzlich wird mit einem schlichten Satz noch die beigefügte Word-Datei angepriesen […] Der Anhang selbst (Word-Datei) enthält dann Schadsoftware, die dann per Makrofunktion nachgeladen wird und dann bei Ausführung das nächste System befallen kann

Unbedingt und immer die ausführung von makros in meikrosoft offißß (und vergleichbaren programmen) unterbinden!

Und immer noch…

Und immer noch ist es eine ganz schlechte idee, einen mäjhl-anhang aufzumachen, der nicht vorher explizit und über einen anderen kanal als mäjhl verabredet wurde:

Damit das klappt, müssen die Hacker einem Opfer aber zunächst ihre PowerPool-Malware auf den Computer schieben, die einen Angriff initiiert. Das findet Eset zufolge derzeit über Mails mit Anhang statt. Damit Angreifer einen ersten Schritt auf Computer setzen können, muss ein Opfer erst mal auf eine Betrüger-Mail hereinfallen und den Dateianhang ausführen

Ich bin da ganz schlechter dinge. Die leute fallen immer noch darauf rein, wenn die mäjhl entsprechend formuliert ist; die leute klicken auch immer noch jeden warndialog von windohs ungelesen weg, wenn sie so einen anhang aufmachen. Dettelbach ist überall. 😦

Auch im jahr 2018…

Auch im jahr 2018 können jornalisten und forscher immer noch nicht adäkwart mit dem medium mäjhl umgehen. Wichtigste regel: man öffnet niemals anhänge (und klickt niemals auf links), außer die zustellung wurde vorher über einen anderen kanal als mäjhl vereinbart oder eine digitale signatur macht es jenseits jedes vernünftigen zweifels sicher, von wem die mäjhl kommt. Wer dazu zu doof ist, scheint in die mordwissenschaft (chemiewaffen) oder in den scheißjornalismus zu gehen. [Dauerhaft archivierte versjon des artikels, der wegen der von einer widerwärtigen verlegerbrut vorangetrieben lobbygesetze demnächst gelöscht wird.]

Wer es nochmal lesen möchte: hier ist noch mehr text.

Ist die EFF auf die dunkle seite der macht gewexelt?

Einen tag nach der jornalistisch breit und in gewohnter inkompetenz wiedergegebenen sache „verschlüsselte e-mäjhl ist ein sicherheitsrisiko“ ist folgendes klar:

  • Kein privater schlüssel fließt ab.
  • Wenn die verschlüsselte mäjhl digital signiert ist (und das ist sie eigentlich immer, weil es keine andere möglichkeit gibt, den absender jenseits jedes vernünftigen zweifels sicherzustellen), dann muss die digitale signatur entfernt werden, weil sonst die erforderliche manipulazjon des mäjhlinhaltes an der ungültig gewordenen signatur auffällt.
  • Der häck funkzjoniert nur, wenn extern referenzierte inhalte in einer mäjhl nachgeladen werden, aber zumindest im „thunderbird“ ist es standardeinstellung, dass sie nicht nachgeladen werden.
  • Es handelt sich nicht um einen fehler in gnupg, sondern um einen fehler in der mäjhlsoftwäjhr. Dieser fehler tritt auf, weil klartext und verschlüsselte anteile beliebig gemischt werden können, und dabei verschlüsselte inhalte auch dann noch entschlüsselt werden, wenn sie etwa teil einer extern referenzierten URI sind, die von der mäjhlsoftwäjhr bei der ansicht der mäjhl nachgeladen wird. Vermutlich lässt sich das gleiche problem auch noch auf andere weise ausnutzen. Dem anwender wird nicht einmal eine warnung präsentiert, wenn unverschlüsselte und verschlüsselte inhalte gleichzeitig dargestellt werden.
  • Das zurzeit bekannte und dokumentierte angriffsszenario lässt sich vollständig vermeiden, indem man mäjhls nicht als HTML darstellen lässt. Dies lässt sich in jeder gegenwärtigen mäjhlsoftwäjhr einstellen. Die von der EFF empfohlene deinstallazjon von enigmail oder gnupg ist nicht erforderlich, der von der EFF empfohlene verzicht auf wirksame verschlüsselung der mäjhl natürlich erst recht nicht.
  • Die von der EFF empfohlene „alternative“, doch einfach nicht mehr zu mäjhlen, sondern stattdessen „signal“ zu nutzen, ist angesichts eines aktuellen, viel größeren sicherheitsproblemes in „signal“ sehr peinlich. Auf die tatsache, dass „signal“ unter ändräut so mies geproggt ist, dass der akku rasendschnell leergenuckelt wird und deshalb in der praxis nicht benutzbar ist, gehe ich dabei gar nicht weiter ein.

Da stellt sich nur noch eine frage: warum um alles in der welt rotzt die EFF über ihre pressevermeldungsinfrastruktur so einen gell schreienden alarmartikel raus, dessen nunmehr erkennbare hauptfunkzjon darin zu bestehen scheint, die verwendung verschlüsselter mäjhl mit gezieltem streuen von angst, unsicherheit und zweifel in misskredit zu bringen.

Und je länger ich darüber nachdenke, desto klarer wird mir, dass der EFF überhaupt nicht mehr zu trauen ist. Genau das werde ich mir für alle zukunft merken, und ich lege jedem anderen menschen — auch jedem anderen jornalisten — nahe, sich das ebenfalls zu merken. Die von der EFF verbreitete, völlig haltlose alarmstimmung nützt nur jenen, die alle kommunikazjon überwachen und deshalb die verwendung wirksamer kryptografie zurückdrängen wollen, und sie nützt niemandem, der aus guten (oder bösen) gründen nicht mitgelesen werden will.

Versteht mich nicht falsch: das problem in der mäjhlsoftwäjhr besteht, es ist nicht harmlos, es ist also ernstzunehmen, und es muss repariert werden. Ich bin mir sicher, dass es genau in diesem moment repariert wird und dass ich in kürze meine sicherheitsaktualisierungen habe. Aber die meldung, die von der EFF dazu verbreitet wurde, war reiner und völlig klar erkennbarer FUD. Die einzig interessanten fragen, die dazu verbleiben, sind folgende: warum verbreitet die EFF solche propaganda gegen wirksame verschlüsselung? Wessen interessen wurden dabei vertreten, und wessen interessen wurden mit füßen getreten? (Letzteres ist deutlicher zu sehen: meine und deine.) Warum wurde das getan? Wer ist dafür verantwortlich? Wer hat für diese vorsätzliche desinformazjon bezahlt? Und: welche folgen wird das in den kommenden tagen innerhalb der EFF haben?

Für mich ist die EFF jedenfalls erledigt. (Und das kann durchaus der zweck einer staatlich gesteuerten sabotahscheakzjon durch einen eingeschleusten geheimdienstschergen am presseerklärungsknopf gewesen sein.) Der schaden ist nahezu irreparabel.

Zurzeit kann die EFF nur als feind des freien internetzes und des menschenrechtes auf privatsfäre betrachtet werden.

Krüpplografie des tages

Mailverschlüsselung […] in der Cloud

Wer sich eine mäjhlverschlüsselung auf den kompjutern anderer leute andrehen lässt und kein problem damit hat, dass diese anderen leute seinen privaten schlüssel haben, der hat den sinn eines privaten schlüssels nicht verstanden. Der heißt so, weil er privat bleibt. Die gesamte sicherheit, die man sich von der verschlüsselung verspricht, hängt davon ab. Wenn man irgendwelchen versprechungen irgendwelcher unternehmungen vertrauen muss, die eine kopie des schlüssels rumliegen haben, ist der schlüssel nicht mehr privat, und der durch solches krüpplografie-schlangenöl erreichte sicherheitsgewinn ist null.

Scheißt auf mäjhl im webbrauser (das ist eh nicht so eine tolle idee) und nehmt euch eine anständige mäjhlsoftwäjhr, leute! Und lasst euch keine krüpplografie andrehen.

Mal eben unterwegs diese PGP-verschlüsselte Mail checken? Das geht meist nur, wenn man seinen Rechner dabeihat oder seinem Smartphone den privaten PGP-Schlüssel anvertrauen möchte

Genau, leute die ihren privaten schlüssel nicht ihrem wischofon anvertrauen würden (was eine ganz gute idee ist), haben nicht das geringste problem damit, ihren privaten schlüssel irgendeiner unternehmung anzuvertrauen. Golem, die IT-njuhs für profis mal wieder! :mrgreen:

Und hej, mal ein paar wochen urlaub ohne mäjhl, das klingt doch auch gar nicht so schlecht. Ihr fliegt ja auch nicht jeden tag von malle nach hause zurück und wieder hin, um euren sackpost-briefkasten zu tschecken, und das, was da drinsteckt, kann viel wichtiger und teurer werden. Immer wieder toll, wie leuten irgendwelche lösungen ohne problem angedreht werden sollen.

Warum man keine mäjhlanhänge öffnet?

Warum man keine mäjhlanhänge öffnet? Weil dann sogar das licht ausgehen kann:

Die slovakische Sicherheitsfirma Eset berichtet, dass Mitarbeiter ukrainischer Energielieferanten ihre Rechner zunächst über eine Phishing-Attacke mit Black Energy infiziert haben sollen. Sie hätten Microsoft-Office-Dateien geöffnet, die Makros mit Schadroutinen enthielten und ausführten. Makro-Malware dieser Art ist momentan wieder stark im Kommen

Das antivirus-schlangenöl hat natürlich versagt, denn es versagt regelmäßig bei aktueller schadsoftwäjhr. Und das gehirn der mitarbeiter hat vermutlich in den letzten zehn jahren keine softwäjhraktualisierung mehr bekommen. Einmal ganz davon abgesehen, dass kompjuter, mit denen kritische infrastruktur gesteuert wird, nicht einmal indirekt am internetz hängen sollten. Nirgends. Aber für mitmensch jornalist wird daraus bestimmt wieder eine ci-za-cyberattacke statt einer logischen konsekwenz lebenspraktischer dummheit auf allen ebenen. Das war ja auch ein…

Sollte sich eine Beziehung zwischen beiden Modulen als tragfähig erweisen, heißt es bei den Sans-Experten, würde dies die These untermauern, dass der oder die Energieversorger und deren Industrieanlagen gezielt angegriffen worden seien

…richtig… ein gezielter angriff!!!!ölf!1! Habt angst, leute! Angst vor gezielten angriffen! Nicht vor der dummheit.

Denn es war ja auf gar keinen fall ein skriptkiddie, dass sich einen standardtrojaner aus dem baukasten genommen hat, ihn rumgespämmt hat und einfach den gepwnten rechner bei einem ukrainischen energieversorger irgendwo im darknet meistbietend verhökert hat, als es merkte, was es da „hübsches“ hatte. Das weiß man schon, bevor der vorgang auch nur halbwegs vollständig analysiert ist. So ein „fernwartungszugang“ auf ein kraftwerk bringt bestimmt einen richtig guten preis, wenn man ihn auf den richtigen marktplatz verscherbelt — und mir fällt da auch gerade mindestens ein staat ein, dessen horch- und morddienst diesen preis gern zahlen wird, weil es trotzdem noch die billigste form der sabotahsche ist.

Wenn ich nur daran denke, wie viele dieser „gezielten angriffe“ mit mäjhlanhängen ich schon in meinem pesteingang hatte! Ach!

Wie man sich vor der übernahme des kompjuters durch mäjhlanhänge schützen kann, habe ich übrigens hier beschrieben. Antivirus-schlangenöle kommen in dieser beschreibung nicht vor, weil sie nichts nützen.

Security des tages

Nutzer, die mobil E-Mails von ihrem Yahoo-Konto abrufen, waren bedroht und Angreifer hätten ihnen ohne viel Aufwand Schadcode unterschieben können

Es gibt übrigens tolle alte protokolle wie SMTP, POP3 und IMAP und tolle anwendungen, die das unterstützen, so dass man seine mäjhl nicht unbedingt in einer „anwendung im brauser“ machen muss, die mit einem wust von javascript realsiert wurde und leicht sicherheitslöcher aufreißt. Wenn man ein konto bei „yahoo“ hat, kostet die einrichtung des thunderbird nicht einmal eine minute.

Der artikel bei heise ist übrigens mal wieder sehr missverständlich geschrieben. Natürlich wird beliebiger javascript-kohd aus eine mäjhl ausgeführt. Damit kann man eine menge anfangen, wenn man böse absichten hat — zum beispiel verseuchte java-applets zur ausführung bringen, verseuchte plugin-elemente ausprobieren und bekannte sicherheitslücken des brausers abklappern. Wenn der brauser dicht ist, gut. Wenn nicht, dann nicht. Bei einer derartigen „anwendung im brauser“ hat man leider nicht die möglichkeit, javascript einfach abzuschalten.

S/M des tages

Vom zwitscherchen kann man momentan eine nette mäjhl bekommen, in der (in bergen extern verlinkten bildmateriales, das ich nicht sehe) die „neuen“ funkzjonen vorgestellt werden, zum beispiel diese hier:

Stell deine Freunde vor. Markiere Personen auf Deinen Fotos, um sie ins Gespräch zu bringen und jedem vorzustellen

Wäre ja auch scheiße, wenn das zwitscherchen — immer noch eine webseit eines börsennotierten unternehmens ohne seriöses geschäftsmodell, das bei steigender nutzung auch steigende verluste macht — das mögliche zukünftige geschäft mit einer riesigen biometriedatenbank dem fratzenbuch überlassen würde. Und genau wie beim fratzenbuch werden hier die nutzer zu unbezahlten inoffizjellen mitarbeitern für allerlei künftige biometrie-anwenduungen gemacht, zum beispiel in der auswertung von überwachungskameras. Ich habe ja den verdacht, dass ese genau die idjoten sein werden, die sich gerade noch auf der re:pups-ich-da den verstand rausapplaudiert haben, als irgendein nanoprominenter unter einer pseudo-punk-frisur mit populistisch-blöden bühnengeschrei ihren verstand beleidigt hat, die da ganz besonders billige und willige gehilfen des großen bruders werden.

Zieht euch doch einfach selbst den stecker raus, ihr borgdrohnen!

Madige mäjhl aus dschermänie

Zunächst ein kleines zitat, wie die marketing-lügner wollen, dass wir mäjhlanbieter aus der BRD sehen:

E-Mail made in Germany bietet unseren Kunden einen hohen Sicherheits- und Datenschutzstandard und steht für Produktqualität und Zuverlässigkeit.

So, nach diesen erhebenen worten über deutsche elektropost bei heise weiterlesen, wie diese unternehmungen spämmern und reklameheinis das träcken ermöglichen

WhatsApp: Zwei mäjhls und ein bildschirmfoto

In den beiden mäjhls habe ich alle namen, mäjhladressen, telefonnummern, URLs und sonstigen persönlichen daten entfernt — es geht mir nur um die dokumentazjon eines vorganges, der in mein mäjhlkonto geflossen ist.

Mäjhl vom 21. oktober 2012

Betreff: Kritische Sicherheitslücken in WhatsApp
Datum: Sun, 21 Oct 2012 15:52:38 +0200

Guten Tag Herr #### [name gelöscht],

wie ich Ihrem Artikel #### [URL gelöscht] entnehmen kann, verfolgen Sie aktuelle Meldungen über die Anwendung WhatsApp und deren kritische Sicherheitslücken. Für Ihren Beitrag möchte ich Ihnen gern eine thematische Ergänzung vorschlagen.

Vermeintliche Abzocke im App Store:

Die Entwickler befassen sich bereits mit den Sicherheitsproblemen und stellen regelmäßig Updates zur Verfügung. Der Haken daran: Ein Update auf eine neue WhatsApp-Version ist nicht kostenlos, wie viele Nutzer in den letzten Tagen befürchteten. Der App Store trägt massiv zur Verwirrung bei: Nutzer werden aufgefordert, sich mit der erneuten Zahlung von 0,79 Euro einverstanden zu geben.

An dieser Stelle werden sich zahlreiche Anwender leider gegen das notwendige Update entscheiden.

Unsere Redaktion klärt auf:

In unserem Ratgeber unter #### [URL gelöscht] erklärt unsere Redaktion, dass ein Update auf die neueste Version von WhatsApp definitiv kostenlos ist, der App Store dies fälschlicherweise aber widersprüchlich kommuniziert.

Ein Update ist unbedingt erforderlich:

Wir sind der Meinung, dass ein Update unbedingt erforderlich ist. Sicher teilen Sie unsere Meinung und sehen das vielleicht als Anlass, Ihren Artikel entsprechend zu ergänzen – gegebenenfalls mit Vermerk auf unseren Ratgeber.

An dieser Stelle bedanke ich mich stellvertretend im Namen unserer Redaktion für Ihr Interesse und wünsche Ihnen noch einen ruhigen Sonntag.

Mit freundlichen Grüßen
### [name gelöscht]

Techfacts
Chefredakteur

### [name, anschrift, telefonnummer und mäjhladresse gelöscht]

Diese E-Mail und eventuelle Anlagen können vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren, Veröffentlichen sowie die unbefugte Weitergabe dieser E-Mail sind nicht gestattet.

This e-mail and any attachments may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorized copying, publishing, disclosure or distribution of the material in this e-mail is strictly forbidden.

Kurze anmerkung zu diesem idjotischen einschüchterungskram am ende: zeigt mich doch dafür an, dass ich eure mäjhl veröffentliche!

Mäjhl vom 8. november 2012

Betreff: RE: Kritische Sicherheitslücken in WhatsApp
Datum: Thu, 08 Nov 2012 15:57:08 +0100

Guten Tag Herr #### [name gelöscht],

am 21.10.2012 habe ich Ihnen stellvertretend für die Redaktion unseres Informationsportals techfacts.de eine E-Mail bezüglich Ihres Artikels #### [URL gelöscht] über WhatsApp zugesandt.

In dieser E-Mail habe ich Ihnen erklärt, dass es im App Store zu Verwirrungen kommt. Ein Update soll vermeintlich kostenpflichtig sein – ist es aber natürlich nicht.

Bis zu dreimal täglich werden WhatsApp-User auf die Aktualisierung aufmerksam gemacht.

Da wir immer wieder nach Screenshots gefragt wurden, um die hartnäckigen Update-Aufforderungen zu beweisen, haben wir unseren Artikel unter #### [URL gelöscht] mit entsprechenden Screenshots und weiteren Informationen ergänzt.

Updates sind wichtig und unbedingt erforderlich

Wir sind der Meinung, dass regelmäßige Updates (nicht zuletzt aufgrund vieler behobener Sicherheitslücken) notwendig sind. Daher möchten wir mit unserem Ratgeber Nutzer aufklären, die Angst vor einer kostenpflichtigen Aktualisierung haben.

Vielleicht haben Sie die Möglichkeit Ihren Artikel daher entsprechend zu bearbeiten. Gern können wir Ihnen dabei behilflich sein.

Für weitere Fragen oder Anregungen, gern auch zu anderen unserer Ratgeber, würden wir uns sehr freuen.

Mit freundlichen Grüßen
### [name gelöscht]

techfacts.de
Chefredaktion

### [name, anschrift, telefonnummer und mäjhladresse gelöscht]

Diese E-Mail und eventuelle Anlagen können vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren, Veröffentlichen sowie die unbefugte Weitergabe dieser E-Mail sind nicht gestattet.

This e-mail and any attachments may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorized copying, publishing, disclosure or distribution of the material in this e-mail is strictly forbidden.

Kurze anmerkung zu diesem idjotischen einschüchterungskram am ende: siehe oben. Mit schwäbischem gruße!

Bildschirmfoto eines bekannten vom 20. november 2012

Deine WhatsApp Lizenz wird in 5 Tagen ablaufen. Verlängerung kaufen? Ja Nein

Das bildschirmfoto wurde mit ändräut erstellt. Der bekannte kann jetzt, wenn er die softwäjhr dieser leute weiterhin nutzen will, achtzig cent dafür hinlegen.

Ich wünsche allen freunden der knechtenden und entrechtenden wischofone und wischopädds auch weiterhin viel spaß mit den tollen produkten, die ihnen dafür angedreht werden!

Nachtrag 13:05 uhr: meldung bei heise onlein. Was auf diesem hintergrund von den zitierten mäjhls und von den leuten, die solche mäjhls schreiben zu halten ist, überlasse ich dem urteil jedes einzelnen lesers. Ich weiß nur, dass ich von derartigen leuten nicht einmal eine softwäjhr benutzen würde, wenn ich noch geld obendrauf bekäme.

Fail des tages: die paypal-umfrage

Diese mäjhl von paypal war ein derartiger fail, dass ich zunächst gar nicht daran glaubte, dass sie überhaupt von paypal komme — denn solche patzer lassen mich sofort zweifeln. Aber die mäjhl kam sicher und zweifelsfrei von paypal. Natürlich war es eine HTML-formatierte mähl, die herrn Müller¹ folgendermaßen anspricht:

PayPal Customer Survey

Guten Tag, Peter M�ller […]

Kein weiterer kommentar. Wenn es Leute gibt, deren technische imkompetenz (es ist ja nicht so schwierig, sonderzeichen als HTML-entitäten zu kohdieren) und dummheit genau so schreiend ist wie die technische inkompetenz und dummheit der meisten spämmer, denn sind es werber, die das internetz für ihre saudumme kommunikazjon nutzen.

Dass man einfach vorher mal testet, was man da millionenfach aufs netz loslässt… ach wozu!

¹Natürlich ist „Peter Müller“ ein platzhalter für den wirklichen namen, der ebenfalls einen umlaut enthielt.

Immer wieder eine „freude“…

…sind jene menschen, die mir etwas über ein ereignis mit einer mäjhl mitteilen wollen, aber statt einer kurzen, textuellen zusammenfassung der wesentlichen daten eine geskänntes flugblatt dranhängen, natürlich mit mindestens 300dpi und nicht unter einem megabyte dateigröße. So als mäjhlanhang kommt das auch gleich noch ein bisschen besser, weil die dateigröße wegen der base64-kohdierung nochmal um 25 prozent aufgebläht wird. Wie sehr ich diesen menschen wünsche, einmal zu erleben, wie eine solche mäjhlbombe über einen langsamen internetzzugang abgeholt wird und das virtuelle postfach nachhaltig verstopft.

Nichts gegen ein eingeskänntes flugblatt, aber ein bisschen kleiner darf es schon sein. Ich will es doch nicht drucken…