Datenschleuder des tages

Die betreiber der ändräut-äpp „WIFI finder“ haben mal eben die zugangsdaten zu zwei milljonen WLANs veröffentlicht, jeweils SSID, passwort und koordinaten des zugangs. Es handelte sich wirklich um eine veröffentlichung. Die datenbank lag ohne passwortschutz im internet. Da brauchte man weder vertiefte kenntnisse noch musste man irgendeinen häck machen.

Ich wünsche euch allen auch weiterhin ganz viel spaß beim festen glauben an den euch überall versprochenen schutz eurer daten! Die liste wäxt und wäxt und wäxt.

Fratzenbuch des tages

Facebook hat eingeräumt, dass das kürzlich bekannt gewordene Datenleck größer ist, als angenommen. Statt Zehntausende sind „Millionen“ Passwörter von Instagram-Nutzern intern unverschlüsselt gespeichert worden

[Archivversjon gegen das p’litisch gewollte vergessen im internetz]

Müsst ihr verstehen, leute: das fratzenbuch ist mit der implementazjon einer sicherheitstechnik aus den frühen siebziger jahren — nämlich der speicherung von passwörtern als gesaltete häschwerte — überfordert. Dabei muss man das nicht einmal selbst proggen, dafür gibt es guten bibliotekskohd für jede halbwegs ernstzunehmende programmiersprache.

Meikrosoft des tages

Na, hat sich hier schon jemand dieses offißß 365 von meikrosoft andrehen lassen, weil eine terminal-anwendung nach ideen aus den großrechner-architekturen der sechziger jahre ja viel moderner und hipper ist und die klaut sowieso viel besser ist als der eigene massenspeicher und der eigene kompjuter?

Eines der verblüffendsten Ergebnisse ist, dass Office 365 beim ersten Anmelden das Kennwort des Nutzers im Klartext und nicht als Salted Hash übermittelt

Meine fresse! Oh, wie kriege ich diese hand wieder aus dem gesicht‽

Klar, das passwort wird über TLS übertragen, also mit transportverschlüsselung (wie bei HTTPS). Aber in einer unternehmung sitzt normalerweise mindestens ein proxy zwischen firmennetz und internetz. Und der macht viel mehr, als einfach nur proxy zu sein, zwischenzuspeichern und zugriffe zu beschleunigen. Oft macht er zum beispiel auch HTTPS unter verwendung eines eigenen zertifikates auf (zum beispiel für virenskänns und anderes schlangenöl), und dann wird halt auf den firmenrechnern ein weiteres TLS-zertifikat installiert, damit das ruckelfrei geht. Der privatschlüssel, den man braucht, um mit jedem irgendwo reingehängten einplatinenrechner die verschlüsselte übertragung mitlesen zu können, liegt dann auf dem proxy. Und dann gibt es natürlich auch noch lokale antivirus-schlangenöle, die genau die gleiche nummer machen und wo es eher ein noch kleinerer akt wird, die damit von sicherheitssoftwäjhr aufgerissene sicherheitslücke auszunutzen. Das ist eher so eine fingerübung für ein ehrgeiziges kind. TLS ist im arsch. Wir haben nur leider zurzeit nix besseres.

Mit einer sicherheitstechnik aus den frühen siebziger jahren, nämlich dem gesalteten häsching eines passwortes für die speicherung und die übertragung über einen möglicherweise unsicheren kanal, ist man bei meikrosoft aber leider überfordert.

Bedeutet das etwa, dass meikrosoft gar nix mehr hinkriegt? Aber nein doch. Es bedeutet nur, dass meikrosoft auch schon die elementarste kompjutersicherheit scheißegal ist. An anderen stellen zeigt sich meikrosoft hingegen sehr ambizjoniert, und…

Ebenso überrascht, dass Office 365 noch vor der Zustimmung zur zugehörigen Einverständniserklärung Telemetriedaten an Microsoft sendet

…die permanente heimliche überwachung des anwenders an seinem datensichtgerät funkzjoniert natürlich ganz hervorragend. Müsst ihr verstehen! Daten sind das öl des 21. jahrhunderts (A. Merkel). Das muss man aus den menschen rausfördern! Mit allen mitteln. Zur not mit dem äkwivalent zum fräcking. Da kann man sich doch nicht auch noch an gesetze halten, bei dem ganzen schönen öl und dem ganzen schönen reichtum durch datensammlungen. Oder sich gar um so einen unwichtigen scheißkram wie passwortsicherheit kümmern, wenn man eigentlich nur überwachungsfunkzjonen haben will und den menschen künstliche abhängigkeiten ins leben drücken will, damit sie niemals niemals niemals wieder frei werden…

Fratzenbuch des tages

Gut festhalten, denn die welt scheint endlich reif für derartig tolle ideen des fratzenbuches zu sein:

„Um Facebook zu nutzen, musst du deine E-Mail-Adresse bestätigen. Da du dich mit [E-Mail-Adresse] registriert hast, kannst du dies automatisch tun“, hieß es laut The Daily Beast in einem Facebook-Fenster. Darunter sei der Nutzer zur Eingabe seines E-Mail-Passwortes aufgefordert worden

Zeit, mal wieder zu überprüfen, ob das passwort auch sicher genug ist. :mrgreen:

„Internetz der dinge“ des tages

Dieses internetz der dinge ist wirklich toll, man kann alles aus der ferne machen und muss gar nicht mehr aus seinem sessel aufstehen. Jetzt müsste nur noch jemand an elementare sicherheitsmaßnahmen denken, wie etwa, das unmittelbar nach inbetriebnahme ein neues passwort erzwungen wird. Oh, viel zu schwierig? Na gut, dann wird eben gepwnt:

Mit einem Default-Benutzernamen in Kombination mit dem Standardpasswort 1234 können Angreifer via Webbrowser auf weltweit Tausende von Kühlsystemen des taiwanesischen Herstellers Resource Data Management (RDM) zugreifen

Eins, zwei, drei und vier; und dein kühlschrank gehorcht jetzt mir… :mrgreen:

Aber äppel ist doch sicher…

Erneut ist eine schwere Schwachstelle bei dem in macOS integrierten Schlüsselbund bekanntgeworden: Manipulierte Software sei dadurch in der Lage, sämtliche Zugangsdaten des Nutzers aus der lokalen Keychain auszulesen – mitsamt der Passwörter im Klartext […] Der Zugriff auf die Kennwörter sei selbst durch unsignierte Apps möglich und benötige weder Admin- noch Root-Rechte

Offenheit des tages

Beim Hack der Videoplattform DailyMotion gelang es unbekannten Angreifern Ende 2016, in die Server der Seite einzubrechen und eine Datenbank mit über 87 Millionen Nutzerkonten – inklusive knapp 18 Millionen Passwort-Hashes – mitgehen zu lassen. Nun wird deutlich, dass dies deswegen möglich war, weil die Betreiber der Seite ihren Quellcode auf GitHub veröffentlicht hatten. Unter anderem fand sich in dem Code-Repository das Passwort eines DailyMotion-Administrators

Heise! Wo ist das ein häck, wenn man ein völlig offen im internetz herumliegendes passwort verwendet? Das ist nix weiter als das nutzen frei verfügbarer informazjonen, das eintreten durch eine tür, die für besucher weit geöffnet war.

Aber hej, immerhin hat DailyMotion kräftig strafe dafür latzen müssen, dass sie nach dieser im internetze ausgesprochenen einladung mal eben 87 milljonen nutzerdatensätze (mit gehäschten und gesalzenen passwörtern) mit mäjhladressen veröffentlicht haben. Fünfzigtausend øre!!!1! Das ist bestimmt fast schon ein prozent der portokasse!!!!1! Das entspricht sex hundertstel ørecent pro veröffentlichter mäjhladresse. So viel ist die privatsfäre und spämmfreiheit von menschen zurzeit in scheißeuropa wert!

Alte und neue erpressungsmasche

Alte erpressungsmasche: ich habe deinen kompjuter gekräckt, weiß alles über dich, kenne alle deine freunde und habe dich beim wixen mit deiner kamera gefilmt. Gib bitcoin, oder ich leite das filmchen an alle deine freunde weiter.

Neue erpressungsmasche: genau das gleiche, aber jetzt steht auch noch ein richtiges passwort in der erpressermäjhl. [Link geht auf englischsprachige webseit]

Tja, so läuft es eben in einer welt voller verantwortungsloser datenschleuderei. Bitte nicht darauf reinfallen und auf gar keinen fall dem erpresser geld geben! Nichts an seiner geschichte stimmt. Und für die rd. dreitausend dollar gibt es wirklich bessere verwendungen, als einem schmierigen kriminellen das kokain und die puffbesuche zu finanzieren.

Nachtrag: Deutschsprachige meldung bei heise onlein.

„Cloud“ des tages

Hej, was nimmt man mal als standardpasswort für eine kamera, die sich eltern in die wohnung stellen, um ihre kinder zu überwachen, wenn sie es mal nicht direkt können? Ach, da nimmt man einfach 123, und dann baut man da extra noch eine spezjalschnittstelle ein, dass ein angreifer auch gleich das ganze LAN übernehmen kann.

Auch weiterhin ganz viel spaß mit dem ganzen techniktinnef mit internet!

S/M des tages

Das zwitscherchen hat… ähm… „aus versehen“ passwörter im klartext gespeichert. Die ausrede mit den logdateien wirkt aber auf mich plausibel. Allerdings würde man genau so einen weg wählen, um die datenbank mit den nutzerdaten als hinreichend gesichert ausgeben zu können, und doch zugangsdaten raustropfen zu lassen, zum beispiel für eine der diversen mörderischen und alles überwachenden und manipulierenden US-geheimmilitärpolizeien. So lange ein unternehmen irgendetwas in den USA hat, ist es nicht wirklich vertrauenswürdig. (Das gilt insbesondere auch für „cloud“-klitschen.) Die dürfen nicht einmal mitteilen, dass sie zur kooperazjon gezwungen werden. Einen objektiven grund, warum man HTTP-GET verwenden sollte, so dass das passwort als bestandteil der URI in der logdatei des websörvers landet, wenn man genau das (bei verwendung üblicher biblioteken ohne zusätzlichen aufwand) mit HTTP-POST vermeiden kann, sehe ich jedenfalls nicht. Oder wurde etwa eigens für die speicherung der passwörter noch eine weitere logdatei angelegt? Dann ist es so gut wie sicher, dass die ausleitung der zugangsdaten beabsichtigt war.

Security des tages

„T-mobile“ ist im jahre 2018 mit der implementazjon einer sicherheitstechnik aus den frühen siebziger jahren, nämlich der speicherung von passwörtern als (im idealfall gesalzene) häsches, überfordert. Und irgendwelche brechreizerregenden PR-komiker in der S/M-front begründen auch, warum:

What if this doesn’t happen because our security is amazingly good?

Da kann man nur entgegen: klitschen, die sich dermaßen selbst überschätzen, würden es vermutlich nicht einmal bemerken, wenn sie von kindern oder kriminellen gekräckt werden und alle daten rausgetragen werden. Das bemerken dann „nur“ ein paar davon betroffene kunden… 😦

Und in der tat:

An mehreren Stellen fanden sich Cross-Site-Scripting-Lücken auf den Webseiten. Außerdem wird die Haupt-Webseite offenbar mit uralter Software betrieben […] Wie der Autor dieses Texts herausfand, ließ sich bei mehreren Blogs des Unternehmens unter den Subdomains blog.t-mobile.at, kids.t-mobile.at und newsroom.t-mobile.at ein Git-Repository herunterladen […] Wenn man eine Webseite direkt mit dem Quellcode-Verwaltungstool Git ausliefert, lässt sich das entsprechende Verzeichnis mit den Git-Daten oft öffentlich abrufen […] Im Repository unter blogs.t-mobile.at fand sich eine WordPress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden

Es wird wohl gar nicht so schwierig werden, diesen vor dreister dummheit strotzenden vollidjoten-laden mit seiner „erstaunlich guten security“ zu kräcken. :mrgreen:

Auch weiterhin viel spaß dabei, solchen auf elementarsten datenschutz scheißenden und ihre kunden mit verlogenen PR-geschwafel zur datensicherheit verachtenden klitschen irgendwelche daten anzuvertrauen! Verträge kann man übrigens kündigen, und auf die löschung der daten sollte man bestehen (man hat ein recht darauf), denn von alleine werden die ihren „rohstoff des 21. jahrhunderts“ gewiss nicht löschen.

Macht hier jemand seine mäjhl mit einem ändräut-wischofon?

Mail-Apps:
Zahlreiche Android-Apps übermitteln Login-Passwort

Natürlich nicht nur an den mäjhlsörver, sondern auch an den hersteller der äpp. Ihr wart ganz heiß auf trojanische äpps und konntet gar nicht genug davon kriegen, und jetzt habt ihr halt kriminelle trojanerfunkzjonen in jeder verdammten äpp auf euren scheißwischofonen. Geliefert wie bestellt!

Datenschleuder des tages

Bei „onelogin“, einem „cloud“-basierten passwortmanätscher für „cloud“-dienste, hat die „cloud“ ein paar daten abgeregnet.

Onelogin wird von mehr als 2000 Unternehmen genutzt, um Nutzern einen vereinfachten Zugriff auf Webseiten und Webapplikationen zu bieten. Unter den kompatiblen Diensten finden sich die Amazon Web Services, Microsoft Office 365, Linkedin, Slack, Twitter und Google-Dienste

Ich bitte um beachtung für die kleine tatsache, dass in dem golem-artikel [hier sicherheitshalber eine dauerhafte archivversjon] das reklameblendwort „cloud“ mit geradezu schreiender sorgfalt vermieden wird, obwohl es sonst niemals fehlen darf, wenn verdeckte reklame für die saudumme idee gemacht wird, dass man seine daten auf den kompjutern anderer leute speichern soll. Tja, wäre halt scheiße, wenn den deppen allzudeutlich auffiele, dass es sich um ein völlig unnützes risiko handelt. In diesem sinne: seit weiterhin gut manipul… ähm… informiert durch „jornalistische“ medien!

Auch weiterhin wünsche ich allen menschen viel spaß beim festen glauben an den überall völlig folgenlos versprochenen, feierlich zugesagten und mit heiligem datenschleuder-ehrenwort garantierten „datenschutz“. Die liste wäxt und wäxt und wäxt.

Security des tages

Benutzt hier jemand unter meikrosoft windohs guhgells krohm als webbrauser?

(Übrigens: anders als heise schreibt, braucht da nix ausgeführt zu werden und wird da wohl auch nix ausgeführt. Der explorer öffnet irgendwann den daunlohd-ordner, in dem sich die .scf-datei befindet. Darin kann unter anderem ein piktogramm angegeben sein, das für diese datei dargestellt wird. Wenn dieses piktogramm sich auf einem SMB-server befindet, dann versucht der angegriffene rechner, sich über NTLM zu authentifizieren, um das piktogramm abzuholen. So kommt der angreifer an die gehäschten zugangsdaten — und hat schon einmal einen fuß für weitere angriffe in der tür. Das ist nicht wirklich ein krohm-problem, sondern eine ernsthafte schwäche von windohs. Krohms rolle beim angriff besteht einzig darin, dass so eine datei ohne jede rückfrage ins daunlohd-verzeichnis gestopft werden kann. Aber hej, wer SMB nicht im router nach außen blockiert, hat sie eh nicht mehr alle! Und wer ausgerechnet einen brauser von datenkrake und weltüberwacher guhgell benutzt, sollte sich besser ein anderes hobby als das internetz zulegen. Briefmarkensammeln zum beispiel. Dabei kann nix schiimmes passieren, auch wenn man sehr dumm ist. Ich frage mich jedenfalls bei jeder schwäche in krohm, ob die vielleicht doch beabsichtigt ist.)

„Cloud“ des tages

Legt eure passwörter in der „cloud“, also auf den kompjutern anderer leute, ab, haben sie uns gesagt. Das ist sicher und ihr habt sie immer von überall verfügbar, haben sie uns gesagt.

Britische Benutzer des Passwort-Managers Lastpass klagen über Unerreichbarkeit des Dienstes, was dazu führt, dass sie keinen Zugriff auf die gespeicherten Passwörter haben und sich bei Webdiensten nicht mehr einloggen können

😳

PHP und security des tages

Einmal der ganz normale PHP-wahnsinn: wenn man auf einmal das datenbankpasswort in einer PHP-fehlermeldung einer webseit lesen kann… weia!

Tja, deshalb hat man bei einem richtigen produkzjonssörver, der am richtigen web hängt, auch die php.ini ein bisschen bearbeitet:

display_errors = Off
display_startup_errors = Off
log_errors = On

Fehlermeldungen finden sich dann im error.log des websörvers. Das sollte reichen, um fehler nachvollziehen zu können, wenns auch nicht ganz so direkt ist.

Beim proggen ists ja manchmal noch ganz gut, wenn man bekwem im brauser sieht, wo der verdammte fehler steckt und noch einen kleinen backtrace sieht, wie es dorthin gekommen ist. Vor allem in PHP, wo man praktisch keine brauchbaren debugging-werkzeuge hat. (Von der kwalität und brauchbarkeit der PHP-fehlermeldungen schweige ich jetzt mal.) Aber bei einer webseit, die sich auch mal ein cräcker anschaut, ist es einfach eine scheißidee, auch nur anzuzeigen, wo welche dateien liegen (in PHP immer mit absoluten pfadangaben!) — und kohdfragmente in den fehlermeldungen sind eine noch schlechtere idee. Sonst macht die mysql mal bubu, und dann steht da ein datenbankpasswort in der fehlermeldung. Oder andere dinge, die ein potenzjeller cräcker interessant findet.

via @benediktg@gnusocial.de