Security des tages

Großbritannien:
O2 verschickt Malware als Werbegeschenk

Und zwar an geschäftskunden. Ist doch nett, dass die mal kostenlos einen topaktuellen kwalitätstrojaner geliefert kriegen. So läuft das eben, wenn klitsche ein bei reklameklitsche zwei billige reklamegeschenke ordert, und reklameklitsche zwei denn die billigste chinesische klitsche drei mit der lieferung beauftragt — da muss dann nur in china ein einziger beteiligter elendsarbeiter zusätzlich zu seinem hungerlohn noch ein paar klimpergroschen von der organisierten kriminalität für bestimmte dschobbs annehmen. Betroffene und erschrockene sollten das als kostenlose sicherheitsbelehrung betrachten und ab sofort alle ihre windohs-installazjonen so konfigurieren, dass niemals kohd von einem eingesteckten datenträger automatisch ausgeführt wird. Wie das geht, müsst ihr selbst in diesem internetz raussuchen. Das erklärt zum glück nicht jeder so mies wie meikrosoft (achtung: der link benötigt ohne technischen grund javascript). Die frage, warum windohs in der standardeinstellung einfach kohd von einem eingelegten oder eingesteckten datenträger ausführt, bitte an meikrosoft stellen! Einen vernünftigen grund — also etwas anderes als: es spart zwei total aufwändige doppelklicks — dafür gibt es nicht.

Ist jemand von euch DSL-kunde bei O2?

Hach ja, das telefonieren über internet-protokolle ist eine tolle sache. Bei O2 wissen die nämlich, wie man das mit der autentifikazjon macht: über die IP-adresse. Mehr braucht es dort nicht:

[…] fiel bei seiner Arbeit auf, dass der Router initial die externe IP-Adresse des Kunden an den ACS überträgt […] Auch Heinrichs Client übertrug die IP an o2. Als der Forscher einmal vergaß, die vom Client übertragene IP nach einer Zwangstrennung anzupassen, erhielt der Client vom ACS die VoIP-Zugangsdaten eines anderen Kunden, dem die eingestellte IP offenbar inzwischen zugeteilt wurde. Heinrichs setzte anschließend die IP eines eingeweihten Bekannten ein, der ebenfalls bei o2 ist und erhielt prompt dessen Zugangsdaten. Heinrichs konnte mit den Daten problemlos auf Rechnung seines Bekannten telefonieren

Nur, falls ihr mal eine zu hohe telefonrechnung habt und keinen bock habt, die zu bezahlen — oder falls ihr eine zu hohe telefonrechnung der letzten monate nachträglich anfechten wollt, um eure geld zurückzukriegen. Die „kleine“ sicherheitslücke ist nämlich schon etwas länger bei O2 bekannt (hervorhebung von mir):

Nachdem das ganze Ausmaß des Problems klar geworden war, informierte der Forscher im Oktober 2014 den Provider o2

Es scheint O2 nämlich scheißegal zu sein, ob die kunden von irgendwelchen dritten abgezockt werden oder nicht. Scheißegal? Aber nein doch, verschwiegen werden sollte es auch noch:

Im Dezember 2015 baten wir die O2-Mutter Telefónica um eine Stellungnahme zu den Ereignissen – also über ein Jahr, nachdem das Unternehmen über das Sicherheitsproblem informiert wurde. Einige Tage später meldete sich das Unternehmen mit der Bitte, die Veröffentlichung um mehrere Monate zu verschieben

Meiner bescheidenen meinung nach — ich bin kein jurist — rechtfertigt dieses verhalten auch ein sonderkündigungsrecht. Man kann es zumindest behaupten, wenn man aus einen vertrag mit O2 raus möchte.

Ach ja, und übrigens: Wer kunde bei 1&1 ist (wie vielleicht manchmal zwischen den zeilen deutlich wird, ist das eine andere hassfirma, die bei mir inzwischen einen genau so großen ekel wie die deutschen telekomiker auslöst): Da läuft DSL oft über die infrastruktur von O2. Ich weiß aber nicht, ob die auch betroffen sind, denn 1&1 betreibt eigene SIP-sörver und hat eigene (zwangs)router. Und so sehr ich 1&1 verachte, ich glaube nicht, dass die dort so scheppernd dumm sind, dass sie die IP-adresse für ein geeignetes merkmal für eine benutzerautentifizierung halten und sich in fünfzehn monaten nix anderes einfallen lassen können.

Natürlich kann man unter bezugnahme auf diesen irrsinn auch eine abmahnung wegen „filesharing“ anfechten — der nachweis, dass man es wirklich selbst war, dürfte angesichts derartiger scheunentore bei O2 unmöglich sein.

Datenschleuder des tages: O2 und emnid

Wenn eine händinummer, die insgesamt sieben menschen haben — darunter kein einziger nutzer eines so genannten „smartphones“ — und die ich niemals irgendwo angebe, die in keinem telefonbuch steht und auf keiner webseit zu lesen ist, auf einmal einen anruf von den forschen marktforschern von Emnid bekommt, kann das eigentlich nur bedeuten, dass O2 die telefonnummern (und wer weiß es schon: vielleicht sogar noch weitere daten) in großen paketen an solche für p’litik, manipulazjon und reklame „forschenden“ fäkalmaden verkauft.

O2! Das ist vermutlich euer „kundendienst“, wenn eure zahlenden kunden „PENETRANT WIEDERHOLTE, STÖRENDE UND SINNLOSE ANRUFE“ bekommen. Hol euch der insolvenzverwalter, aber hurtig!

Hej, und „emnid“ — jetzt ist mir noch ein bisschen klarer geworden, wie „seriös“ die von euch als „forschungsergebnisse“ publizierten daten gewonnen werden. Ich hoffe, es wird jedem klar und ihr bekommt in der allgemeinen wahrnehmung der menschen das ansehen eines spämmers! Bis euer auf belästigung basierendes scheißgeschäft zusammenbricht. Eine welt ohne eure nach scheiße stinkende telefonspämm mit halbseiden gehandelten daten ist eine bessere welt!