S/M des tages

Das zwitscherchen hat… ähm… „aus versehen“ passwörter im klartext gespeichert. Die ausrede mit den logdateien wirkt aber auf mich plausibel. Allerdings würde man genau so einen weg wählen, um die datenbank mit den nutzerdaten als hinreichend gesichert ausgeben zu können, und doch zugangsdaten raustropfen zu lassen, zum beispiel für eine der diversen mörderischen und alles überwachenden und manipulierenden US-geheimmilitärpolizeien. So lange ein unternehmen irgendetwas in den USA hat, ist es nicht wirklich vertrauenswürdig. (Das gilt insbesondere auch für „cloud“-klitschen.) Die dürfen nicht einmal mitteilen, dass sie zur kooperazjon gezwungen werden. Einen objektiven grund, warum man HTTP-GET verwenden sollte, so dass das passwort als bestandteil der URI in der logdatei des websörvers landet, wenn man genau das (bei verwendung üblicher biblioteken ohne zusätzlichen aufwand) mit HTTP-POST vermeiden kann, sehe ich jedenfalls nicht. Oder wurde etwa eigens für die speicherung der passwörter noch eine weitere logdatei angelegt? Dann ist es so gut wie sicher, dass die ausleitung der zugangsdaten beabsichtigt war.

Advertisements

Security des tages

„T-mobile“ ist im jahre 2018 mit der implementazjon einer sicherheitstechnik aus den frühen siebziger jahren, nämlich der speicherung von passwörtern als (im idealfall gesalzene) häsches, überfordert. Und irgendwelche brechreizerregenden PR-komiker in der S/M-front begründen auch, warum:

What if this doesn’t happen because our security is amazingly good?

Da kann man nur entgegen: klitschen, die sich dermaßen selbst überschätzen, würden es vermutlich nicht einmal bemerken, wenn sie von kindern oder kriminellen gekräckt werden und alle daten rausgetragen werden. Das bemerken dann „nur“ ein paar davon betroffene kunden… 😦

Und in der tat:

An mehreren Stellen fanden sich Cross-Site-Scripting-Lücken auf den Webseiten. Außerdem wird die Haupt-Webseite offenbar mit uralter Software betrieben […] Wie der Autor dieses Texts herausfand, ließ sich bei mehreren Blogs des Unternehmens unter den Subdomains blog.t-mobile.at, kids.t-mobile.at und newsroom.t-mobile.at ein Git-Repository herunterladen […] Wenn man eine Webseite direkt mit dem Quellcode-Verwaltungstool Git ausliefert, lässt sich das entsprechende Verzeichnis mit den Git-Daten oft öffentlich abrufen […] Im Repository unter blogs.t-mobile.at fand sich eine WordPress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden

Es wird wohl gar nicht so schwierig werden, diesen vor dreister dummheit strotzenden vollidjoten-laden mit seiner „erstaunlich guten security“ zu kräcken. :mrgreen:

Auch weiterhin viel spaß dabei, solchen auf elementarsten datenschutz scheißenden und ihre kunden mit verlogenen PR-geschwafel zur datensicherheit verachtenden klitschen irgendwelche daten anzuvertrauen! Verträge kann man übrigens kündigen, und auf die löschung der daten sollte man bestehen (man hat ein recht darauf), denn von alleine werden die ihren „rohstoff des 21. jahrhunderts“ gewiss nicht löschen.

Macht hier jemand seine mäjhl mit einem ändräut-wischofon?

Mail-Apps:
Zahlreiche Android-Apps übermitteln Login-Passwort

Natürlich nicht nur an den mäjhlsörver, sondern auch an den hersteller der äpp. Ihr wart ganz heiß auf trojanische äpps und konntet gar nicht genug davon kriegen, und jetzt habt ihr halt kriminelle trojanerfunkzjonen in jeder verdammten äpp auf euren scheißwischofonen. Geliefert wie bestellt!

Datenschleuder des tages

Bei „onelogin“, einem „cloud“-basierten passwortmanätscher für „cloud“-dienste, hat die „cloud“ ein paar daten abgeregnet.

Onelogin wird von mehr als 2000 Unternehmen genutzt, um Nutzern einen vereinfachten Zugriff auf Webseiten und Webapplikationen zu bieten. Unter den kompatiblen Diensten finden sich die Amazon Web Services, Microsoft Office 365, Linkedin, Slack, Twitter und Google-Dienste

Ich bitte um beachtung für die kleine tatsache, dass in dem golem-artikel [hier sicherheitshalber eine dauerhafte archivversjon] das reklameblendwort „cloud“ mit geradezu schreiender sorgfalt vermieden wird, obwohl es sonst niemals fehlen darf, wenn verdeckte reklame für die saudumme idee gemacht wird, dass man seine daten auf den kompjutern anderer leute speichern soll. Tja, wäre halt scheiße, wenn den deppen allzudeutlich auffiele, dass es sich um ein völlig unnützes risiko handelt. In diesem sinne: seit weiterhin gut manipul… ähm… informiert durch „jornalistische“ medien!

Auch weiterhin wünsche ich allen menschen viel spaß beim festen glauben an den überall völlig folgenlos versprochenen, feierlich zugesagten und mit heiligem datenschleuder-ehrenwort garantierten „datenschutz“. Die liste wäxt und wäxt und wäxt.

Security des tages

Benutzt hier jemand unter meikrosoft windohs guhgells krohm als webbrauser?

(Übrigens: anders als heise schreibt, braucht da nix ausgeführt zu werden und wird da wohl auch nix ausgeführt. Der explorer öffnet irgendwann den daunlohd-ordner, in dem sich die .scf-datei befindet. Darin kann unter anderem ein piktogramm angegeben sein, das für diese datei dargestellt wird. Wenn dieses piktogramm sich auf einem SMB-server befindet, dann versucht der angegriffene rechner, sich über NTLM zu authentifizieren, um das piktogramm abzuholen. So kommt der angreifer an die gehäschten zugangsdaten — und hat schon einmal einen fuß für weitere angriffe in der tür. Das ist nicht wirklich ein krohm-problem, sondern eine ernsthafte schwäche von windohs. Krohms rolle beim angriff besteht einzig darin, dass so eine datei ohne jede rückfrage ins daunlohd-verzeichnis gestopft werden kann. Aber hej, wer SMB nicht im router nach außen blockiert, hat sie eh nicht mehr alle! Und wer ausgerechnet einen brauser von datenkrake und weltüberwacher guhgell benutzt, sollte sich besser ein anderes hobby als das internetz zulegen. Briefmarkensammeln zum beispiel. Dabei kann nix schiimmes passieren, auch wenn man sehr dumm ist. Ich frage mich jedenfalls bei jeder schwäche in krohm, ob die vielleicht doch beabsichtigt ist.)

„Cloud“ des tages

Legt eure passwörter in der „cloud“, also auf den kompjutern anderer leute, ab, haben sie uns gesagt. Das ist sicher und ihr habt sie immer von überall verfügbar, haben sie uns gesagt.

Britische Benutzer des Passwort-Managers Lastpass klagen über Unerreichbarkeit des Dienstes, was dazu führt, dass sie keinen Zugriff auf die gespeicherten Passwörter haben und sich bei Webdiensten nicht mehr einloggen können

😳

PHP und security des tages

Einmal der ganz normale PHP-wahnsinn: wenn man auf einmal das datenbankpasswort in einer PHP-fehlermeldung einer webseit lesen kann… weia!

Tja, deshalb hat man bei einem richtigen produkzjonssörver, der am richtigen web hängt, auch die php.ini ein bisschen bearbeitet:

display_errors = Off
display_startup_errors = Off
log_errors = On

Fehlermeldungen finden sich dann im error.log des websörvers. Das sollte reichen, um fehler nachvollziehen zu können, wenns auch nicht ganz so direkt ist.

Beim proggen ists ja manchmal noch ganz gut, wenn man bekwem im brauser sieht, wo der verdammte fehler steckt und noch einen kleinen backtrace sieht, wie es dorthin gekommen ist. Vor allem in PHP, wo man praktisch keine brauchbaren debugging-werkzeuge hat. (Von der kwalität und brauchbarkeit der PHP-fehlermeldungen schweige ich jetzt mal.) Aber bei einer webseit, die sich auch mal ein cräcker anschaut, ist es einfach eine scheißidee, auch nur anzuzeigen, wo welche dateien liegen (in PHP immer mit absoluten pfadangaben!) — und kohdfragmente in den fehlermeldungen sind eine noch schlechtere idee. Sonst macht die mysql mal bubu, und dann steht da ein datenbankpasswort in der fehlermeldung. Oder andere dinge, die ein potenzjeller cräcker interessant findet.

via @benediktg@gnusocial.de

Security des tages

Benutzt hier jemand einen passwort-mänätscher für sein ändräut-wischofon, weil er mal gelesen hat, dass das sicherer ist? [Link geht auf einen englischen text]

[…] we performed a security analysis on the most popular Android password manager applications from the Google Play Store based on download count. The overall results were extremely worrying and revealed that password manager applications, despite their claims, do not provide enough protection mechanisms for the stored passwords and credentials. Instead, they abuse the users‘ confidence and expose them to high risks.

[…] Some applications stored the entered master password in plaintext […]

Weia, diese brandneue sicherheitstechnik aus den frühen siebziger jahren, ein passwort in form eines gesalteten häsches zu speichern, scheint immer noch viele programmierer von „sicherheitssoftwäjhr“ zu überfordern.

Auch weiterhin viel spaß mit der gefühlten sicherheit auf eurem windohs 95 für die zehner jahre (ändräut) durch sicherheitssoftwäjhr aller art!

USA des tages

Du willst in unseren staat? Da hat die US-regierung eine tolle idee: Dann gib uns mal alle deine passwörter!

Na ja, nachdem sich die menschen an nacktskänner und totalüberwachung ihres alltags und ihrer kommunikazjon gewöhnt haben, wisst schon, wegen der sicherheit und dem pösen, pösen terrorismus, da fällt das auch nicht mehr auf… 😦

Auch weiterhin viel spaß in der wertegemeinschaft der freiheit und der menschenrechte!

Datenschleuder des tages

Der fleischmarkt „adult friend finder“ hat die daten von sportlichen rd. 400 milljonen nutzern veröffentlicht, darunter auch solche, die schon gelöscht sein sollten. Die passwörter waren so abgelegt, dass der größte teil bereits geknackt ist.

Auch weiterhin viel spaß beim festen glauben an den datenschutz, der überall versprochen wird, ohne dass das irgendwelche konsekwenzen hätte, wenn die daten unter verbrechern zirkulieren. Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Datenschleuder des tages ist clixsense, ein anbieter, der seine nutzer (unter anderem) für das betrachten von reklame bezahlt und sportliche 6,6 milljonen datensätze seiner nutzer „veröffentlicht“ hat. Die passwörter waren wieder einmal im klartext gespeichert — warum soll man auch eine sicherheitstechnik aus den frühen siebziger jahren — das gesaltete häsching von gespeicherten passwörtern — implementieren, wenn das geschäft auch mit einem verzicht auf minimalste anforderungen an datenschutz und sicherheit läuft?

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den überall zugesagten datenschutz. Die liste wäxt und wäxt und wäxt

Datenschleuder des tages

Last.fm hat schon vor vier jahren rd. 43,5 milljonen datensätze von nutzern veröffentlicht, die jetzt für jeden interessierten und jeden halunken verfügbar sind. Die macher dieses tollen musikdienstes mit S/M-bullschitt waren offenbar im jahre 2012 nicht dazu imstande…

Für die Passwörter waren laut LeakedSource ungesalzene MD5-Hashes verwendet worden

…eine sicherheitstechnik aus den frühen siebziger jahren zu implementieren und die passwörter als gesaltete häsches abzuspeichern. Warum sollte man auch etwas für den datenschutz oder gar den schutz von passwörtern tun? Das verursacht ja nur kosten und bringt keinen umsatz. Das lässt man besser weg.

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den überall so schnell und leicht zugesicherten schutz eurer daten. Die liste wäxt und wäxt und wäxt. Es wäre allerding schöner, wenn den leuten mal ein gehirnchen im koppe waxen würde.

Security des tages

Kennt ihr auch diese in javascript realisierten anzeiger, wie gut das passwort ist, das ihr euch gerade ausdenkt. Die machen die passwörter doch bestimmt sicherer, oder?

Verschiedene Anzeigen der Passwortstärke haben „abc123“, „trustno1“, „ncc1701“ (die Registrierungsnummer der USS Enterprise), „iloveyou!“ und „primetime21“ für akzeptabel befunden

😯

Ich wünsche auch weiterhin viel spaß mit diesen ganzen schlangenöl-maßnahmen für die gefühlte kompjutersicherheit! Es ist übrigens mal wieder zeit, nachzuschauen, ob eure passwörter sicher sind

Security des tages

Studie:
Fast jeder zweite Nutzer verrät für Schokolade sein Passwort

Das gibt es sogar schon als geschäftsmodell. Nennt sich „sofortüberweisung„. Für so etwas wie reduzierte versandkosten und/oder schnellere lieferung geben ganz normale, erwaxene und sogar wahlberechtigte menschen einem gegenüber in einem anonymisierenden medium einen vollzugriff auf ihr bankkonto. Obwohl die banken explizit davon abraten. Obwohl damit auch einem fremden einmal der vollzugriff auf sämtliche kontotransakzjonen und auf die bei der bank gespeicherten stammdaten gewährt wird — die dann beliebig weiterverarbeitet, gespeichert, als dienstleistung verhökert oder vielleicht irgendwann einmal als bestandteil einer insolvenzmasse von irgendeinem halunken aufgekauft werden können. Und wenn ich dann mal sage, dass es eine völlig idjotische idee ist, so etwas zu machen, werde ich ausgelacht und als „dummkopf“ bezeichnet.

Nun gut, leute, müsst ihr eben dumm bleiben! Das beste an der dummheit ist ja, dass der dumme sich für schlau hält, das schmeichelt ja sehr der verhungerten narzissmus. Die banken sind jedenfalls fein raus, die verbieten explizit in ihren AGB die weitergabe einer PIN…

Ist übrigens mal wieder zeit, die sicherheit eurer passwörter zu überprüfen!