Security des tages

Benutzt hier jemand unter meikrosoft windohs guhgells krohm als webbrauser?

(Übrigens: anders als heise schreibt, braucht da nix ausgeführt zu werden und wird da wohl auch nix ausgeführt. Der explorer öffnet irgendwann den daunlohd-ordner, in dem sich die .scf-datei befindet. Darin kann unter anderem ein piktogramm angegeben sein, das für diese datei dargestellt wird. Wenn dieses piktogramm sich auf einem SMB-server befindet, dann versucht der angegriffene rechner, sich über NTLM zu authentifizieren, um das piktogramm abzuholen. So kommt der angreifer an die gehäschten zugangsdaten — und hat schon einmal einen fuß für weitere angriffe in der tür. Das ist nicht wirklich ein krohm-problem, sondern eine ernsthafte schwäche von windohs. Krohms rolle beim angriff besteht einzig darin, dass so eine datei ohne jede rückfrage ins daunlohd-verzeichnis gestopft werden kann. Aber hej, wer SMB nicht im router nach außen blockiert, hat sie eh nicht mehr alle! Und wer ausgerechnet einen brauser von datenkrake und weltüberwacher guhgell benutzt, sollte sich besser ein anderes hobby als das internetz zulegen. Briefmarkensammeln zum beispiel. Dabei kann nix schiimmes passieren, auch wenn man sehr dumm ist. Ich frage mich jedenfalls bei jeder schwäche in krohm, ob die vielleicht doch beabsichtigt ist.)

„Cloud“ des tages

Legt eure passwörter in der „cloud“, also auf den kompjutern anderer leute, ab, haben sie uns gesagt. Das ist sicher und ihr habt sie immer von überall verfügbar, haben sie uns gesagt.

Britische Benutzer des Passwort-Managers Lastpass klagen über Unerreichbarkeit des Dienstes, was dazu führt, dass sie keinen Zugriff auf die gespeicherten Passwörter haben und sich bei Webdiensten nicht mehr einloggen können

😳

PHP und security des tages

Einmal der ganz normale PHP-wahnsinn: wenn man auf einmal das datenbankpasswort in einer PHP-fehlermeldung einer webseit lesen kann… weia!

Tja, deshalb hat man bei einem richtigen produkzjonssörver, der am richtigen web hängt, auch die php.ini ein bisschen bearbeitet:

display_errors = Off
display_startup_errors = Off
log_errors = On

Fehlermeldungen finden sich dann im error.log des websörvers. Das sollte reichen, um fehler nachvollziehen zu können, wenns auch nicht ganz so direkt ist.

Beim proggen ists ja manchmal noch ganz gut, wenn man bekwem im brauser sieht, wo der verdammte fehler steckt und noch einen kleinen backtrace sieht, wie es dorthin gekommen ist. Vor allem in PHP, wo man praktisch keine brauchbaren debugging-werkzeuge hat. (Von der kwalität und brauchbarkeit der PHP-fehlermeldungen schweige ich jetzt mal.) Aber bei einer webseit, die sich auch mal ein cräcker anschaut, ist es einfach eine scheißidee, auch nur anzuzeigen, wo welche dateien liegen (in PHP immer mit absoluten pfadangaben!) — und kohdfragmente in den fehlermeldungen sind eine noch schlechtere idee. Sonst macht die mysql mal bubu, und dann steht da ein datenbankpasswort in der fehlermeldung. Oder andere dinge, die ein potenzjeller cräcker interessant findet.

via @benediktg@gnusocial.de

Security des tages

Benutzt hier jemand einen passwort-mänätscher für sein ändräut-wischofon, weil er mal gelesen hat, dass das sicherer ist? [Link geht auf einen englischen text]

[…] we performed a security analysis on the most popular Android password manager applications from the Google Play Store based on download count. The overall results were extremely worrying and revealed that password manager applications, despite their claims, do not provide enough protection mechanisms for the stored passwords and credentials. Instead, they abuse the users‘ confidence and expose them to high risks.

[…] Some applications stored the entered master password in plaintext […]

Weia, diese brandneue sicherheitstechnik aus den frühen siebziger jahren, ein passwort in form eines gesalteten häsches zu speichern, scheint immer noch viele programmierer von „sicherheitssoftwäjhr“ zu überfordern.

Auch weiterhin viel spaß mit der gefühlten sicherheit auf eurem windohs 95 für die zehner jahre (ändräut) durch sicherheitssoftwäjhr aller art!

USA des tages

Du willst in unseren staat? Da hat die US-regierung eine tolle idee: Dann gib uns mal alle deine passwörter!

Na ja, nachdem sich die menschen an nacktskänner und totalüberwachung ihres alltags und ihrer kommunikazjon gewöhnt haben, wisst schon, wegen der sicherheit und dem pösen, pösen terrorismus, da fällt das auch nicht mehr auf… 😦

Auch weiterhin viel spaß in der wertegemeinschaft der freiheit und der menschenrechte!

Datenschleuder des tages

Der fleischmarkt „adult friend finder“ hat die daten von sportlichen rd. 400 milljonen nutzern veröffentlicht, darunter auch solche, die schon gelöscht sein sollten. Die passwörter waren so abgelegt, dass der größte teil bereits geknackt ist.

Auch weiterhin viel spaß beim festen glauben an den datenschutz, der überall versprochen wird, ohne dass das irgendwelche konsekwenzen hätte, wenn die daten unter verbrechern zirkulieren. Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Datenschleuder des tages ist clixsense, ein anbieter, der seine nutzer (unter anderem) für das betrachten von reklame bezahlt und sportliche 6,6 milljonen datensätze seiner nutzer „veröffentlicht“ hat. Die passwörter waren wieder einmal im klartext gespeichert — warum soll man auch eine sicherheitstechnik aus den frühen siebziger jahren — das gesaltete häsching von gespeicherten passwörtern — implementieren, wenn das geschäft auch mit einem verzicht auf minimalste anforderungen an datenschutz und sicherheit läuft?

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den überall zugesagten datenschutz. Die liste wäxt und wäxt und wäxt

Datenschleuder des tages

Last.fm hat schon vor vier jahren rd. 43,5 milljonen datensätze von nutzern veröffentlicht, die jetzt für jeden interessierten und jeden halunken verfügbar sind. Die macher dieses tollen musikdienstes mit S/M-bullschitt waren offenbar im jahre 2012 nicht dazu imstande…

Für die Passwörter waren laut LeakedSource ungesalzene MD5-Hashes verwendet worden

…eine sicherheitstechnik aus den frühen siebziger jahren zu implementieren und die passwörter als gesaltete häsches abzuspeichern. Warum sollte man auch etwas für den datenschutz oder gar den schutz von passwörtern tun? Das verursacht ja nur kosten und bringt keinen umsatz. Das lässt man besser weg.

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den überall so schnell und leicht zugesicherten schutz eurer daten. Die liste wäxt und wäxt und wäxt. Es wäre allerding schöner, wenn den leuten mal ein gehirnchen im koppe waxen würde.

Security des tages

Kennt ihr auch diese in javascript realisierten anzeiger, wie gut das passwort ist, das ihr euch gerade ausdenkt. Die machen die passwörter doch bestimmt sicherer, oder?

Verschiedene Anzeigen der Passwortstärke haben „abc123“, „trustno1“, „ncc1701“ (die Registrierungsnummer der USS Enterprise), „iloveyou!“ und „primetime21“ für akzeptabel befunden

😯

Ich wünsche auch weiterhin viel spaß mit diesen ganzen schlangenöl-maßnahmen für die gefühlte kompjutersicherheit! Es ist übrigens mal wieder zeit, nachzuschauen, ob eure passwörter sicher sind

Security des tages

Studie:
Fast jeder zweite Nutzer verrät für Schokolade sein Passwort

Das gibt es sogar schon als geschäftsmodell. Nennt sich „sofortüberweisung„. Für so etwas wie reduzierte versandkosten und/oder schnellere lieferung geben ganz normale, erwaxene und sogar wahlberechtigte menschen einem gegenüber in einem anonymisierenden medium einen vollzugriff auf ihr bankkonto. Obwohl die banken explizit davon abraten. Obwohl damit auch einem fremden einmal der vollzugriff auf sämtliche kontotransakzjonen und auf die bei der bank gespeicherten stammdaten gewährt wird — die dann beliebig weiterverarbeitet, gespeichert, als dienstleistung verhökert oder vielleicht irgendwann einmal als bestandteil einer insolvenzmasse von irgendeinem halunken aufgekauft werden können. Und wenn ich dann mal sage, dass es eine völlig idjotische idee ist, so etwas zu machen, werde ich ausgelacht und als „dummkopf“ bezeichnet.

Nun gut, leute, müsst ihr eben dumm bleiben! Das beste an der dummheit ist ja, dass der dumme sich für schlau hält, das schmeichelt ja sehr der verhungerten narzissmus. Die banken sind jedenfalls fein raus, die verbieten explizit in ihren AGB die weitergabe einer PIN…

Ist übrigens mal wieder zeit, die sicherheit eurer passwörter zu überprüfen!

S/M und datenschleuder des tages

Na, hat hier jemand lust, für eine handvoll bitcoin hundert milljonen datensätze aus der S/M-webseit „vk.com“ zu kaufen? Das passwörter liegen übrigens im klartext vor. Solche techniken zur herstellung von datensicherheit aus den siebziger jahren wie das gesaltete häsching von gespeicherten passwörtern passen ja auch gar nicht zur modernen, tollen S/M-welt!

Auch weiterhin viel spaß beim festen glauben an den datenschutz! Die liste wäxt und wäxt und wäxt. Und natürlich auch viel spaß auf irgendwelchen S/M-webseits, ihr datenbergwerke!

Kleiner hinweis für kommende zeiten

Ich weiß, dass ich für die meisten menschen ein bisschen paranoid klinge, aber ich muss es schreiben und dazu auffordern, drüber nachzudenken: lasst euch von niemanden irgendein autentifikazjonsverfahren andrehen, bei dem ihr kein passwort mehr braucht, sondern durch irgendwelche biometrie-zaubertricks erkannt werdet! Bei einem passwort könnt ihr euch immer „glaubwürdig“ damit rausreden, dass ihr es schlicht vergessen habt, wenn eure daten einmal von strafverfolgern gegen euch (oder euren lebensgefährten oder euren freund oder euer kind) verwendet werden sollten — bei anderen verfahren gibt es auch in der BRD (und erst recht in unrechts- und folterstaaten wie den USA) erzwingungshaft dafür, dass man sich selbst durch eine weitergabe der daten an strafverfolger belastet. Lasst euch keine biometrie andrehen, keine fingerabdruckskänner, keine verhaltenserkennung, keinen bullschitt, den sie sich sonst noch ausdenken werden, um eure daten noch „sicherer“ zu machen! Lasst euch niemals irgend etwas anderes als ein von euch frei gewähltes passwort andrehen, und dann wählt ein schwieriges passwort und nach möglichkeit für jeden zweck ein anderes!

Einmal ganz davon abgesehen, dass eine passwort-autentifikazjon auch so einfach geht, dass man nicht jede anmeldung mit guhgell oder anderen NSA-kraken abgleichen muss und dort die datensammlungen aufbläht.

Security des tages

An der großen „linkedin“-datenveröffentlichung mit unzureichend gehäschten passwörtern sieht man mal wieder, was für passwörter die leute so benutzen: hier die fünf häufigsten.

„123456“ appears more than a million times (1,135,936 to be precise) in the dump, a long way clear of second-placed LinkedIn (207k)

Security des tages

Nutzt hier jemand spottifein, dieses striehming-dingens für musik, für das die scheißtelekom sogar die netzneutralität abgeschafft hat, damit es auch ja genutzt werde? Wenn ja, ändert mal besser euer passwort, denn da scheinen ein paar passwörter und weitere daten von benutzern ausgelaufen zu sein. Und wenn ihr das gleiche passwort auch woanders verwendet, wisst schon, könnt ihr gleich noch ein paar andere passwörter ändern. Vielleicht solltet ihr doch nicht überall das gleiche passwort verwenden…

Den spruch, dass eine MP3-datei (oder besser: ein OGG oder FLAC) keine datenschutzprobleme macht, würde ich mir ja gern sparen, aber ich spare mir dieses sparen. 😉

Auch weiterhin viel spaß mit der kostenpflichtigen enteignung derjenigen daten, die euch etwas bedeuten und mit allen damit einhergehenden datenschutz-problemen! Muss ja eine tolle sache sein, dieses striehming, denn die ganze scheißpresse hat geschrieben, dass es eine tolle sache ist.