Security-bullschitt des tages

Symantec, bei vielen besser unter der von synmantec völlig kaputtgemachten marke „norton“ bekannt und berüchtigt, hat eine tolle neue idee, wie man das mit der kompjutersicherheit im internetz der dinge machen kann: mit einem tollen extrasicheren router, der jede verdammte DNS-abfrage erstmal nach hause funkt, um sie dort zu überprüfen. Kann man natürlich abstellen, aber dann ist das dingens nicht mehr so extrasicher. Und ein toller kompjutersicherheitsdienst von symantec, der zehn dollar im monat kostet (in der BRD werden daraus mindestens zwölf øre, denn die bewohner der BRD sind doof und zahlen noch mehr). Und damit die tolle routerkugel noch extrasicherer wird, kann man die bekwem mit seinem wischofon administrieren, denn alles, was auf einem wischofon läuft, ist ja extrasicher.

Bemerkenswert und ein guter fnord ist auch das dießein der netzwerkenteignungs- und überwachungswanze aus den vereinigten staaten eines teils von nordamerika, das sich nahtlos in das dießein größerer US-überwachungsanlangen einbettet.

Kurz: eine rundum gelungene lösung für leute mit zu viel geld und zu wenig hirn. Alle anderen wissen aber auch schon, wie man das internetz der dinge sicher kriegen kann: durch verzicht auf den ganzen sinnlosen techniktinnef, der allerlei lösungen ohne bestehendes problem anbietet. Aber da die welt ja reif ist und gepflückt werden muss, werden die leute sogar zwitschernde klopapierabroller kaufen, die rechtzeitig neue bratzpappe bei irgendwelchen halunken mit webseit einkaufen. Das ist doch toll, wenn sich das geld wie von allein ausgibt. Und wenn man dann (zusammen mit dem rest der gelangweilten welt) beim zwitscherchen nachlesen kann, dass man 2016 im durchschnitt pro sitzung 14,6 blatt klopapier verbraucht hat, für eine defäkazjon im schnitt 3:15,19 sekunden benötigt hat und nur drei tage im jahr dünnschiss, aber wesentlich häufiger verstopfung hatte, dann hat sich das internetz der dinge doch in jeder erdenklichen weise gelohnt. Schade nur, dass die klospülung jetzt dauernd läuft, die wohnung auf 35°C geheizt wird und der klopapierabroller fünftausend dildos bestellt hat, weil sich der nachbarsjunge ein bisschen gelangweilt hat, dieser idjot… oh, warum fährt jetzt das auto auf einmal von alleine weg… :mrgreen:

Tja, wenn euch doch nur jemand gewarnt hätte, ihr idjoten!

Security des tages

Na, hat sich etwa ein alter vodafone-kunde von den missverständlich und einschüchternd formulierten drexbriefen dazu verleiten lassen, seinen internetzanschluss auf die kabel vom früheren kabel deutschland umstellen zu lassen? Das war keine so gute idee:

Bis zu 1,3 Millionen Router im Kabel-Netz von Vodafone sind über WLAN angreifbar. Der Provider verspricht, die Lücken mit Firmware-Updates zu schließen. Das kann sich jedoch noch bis Jahresende hinziehen

Wisst ja, jetzt schonmal einen brief hinschreiben und klarmachen, dass man sich schadenersatzansprüche offenhält, wenn da nicht binnen eines tages der fehler gefixt wird. (Um dieses WLAN nutzen zu können, muss es aus der ferne freigeschaltet werden und man muss auch noch jeden monat zwei øre dafür latzen, und die plastikrouter sind hoffentlich fernwartbar und aus der ferne aktualisierbar. Wenn nicht, ist das ein problem von vodafone, nicht von vodafones kunden. Die hätten es auch anders haben können, wenn sie nicht ihre eigene hardwäjhr aufgezwungen hätten, aber die wollten ihre kunden auspressen und enteignen, und deshalb kriegen sie es nicht anders.) Und auch weiterhin viel spaß mit der hardwäjhr anderer leute, deren benutzung euch von großen kryptomafiösen unternehmen aufgezwungen wird und die überdem gefährlich ist. Und natürlich viel spaß beim onlein-bänking und mit den daten auf euren ganzen „smarten“ dingern…

Ach ja, und um justizja, die markant nach vielfachem besteigen duftende hure, zu besänftigen: ich bin kein jurist und darf keine rechtsberatung geben.

Security des tages

Achtung! So eine saudumme idee habe ich seit jahren nicht mehr gesehen:

Auch die weiteren Lücken, die das CERT der Carnegie-Mellon-Universität auflistet, lesen sich wie ein Handbuch zum Thema wie man Router-Firmware nicht programmieren sollte. Ab Werk ist für das Web-Administrations-Interface kein Passwort gesetzt. Passt der Admin des Gerätes auf und setzt ein Passwort, nützt das auch nicht viel, da dieses auf dem Client verifiziert wird

Hervorhebung von mir. Nuklear angetriebener facepalm!

Client: hey, sörver, sag mir doch mal bitte das passwort von root, ich muss mal autentifizieren!
Server: es ist 123geheim123.
Client: jau, habs geprüft, mein passwort ist in ordnung!

Weia! 😦

(Und nein, es ist bei diesem verfahren scheißegal, wie das passwort übertragen wird, das kann auch ruhig als häsch übertragen werden, um wenigstens „sicherheit“ zu simulieren.)

Hej, und weil dieser epic fail noch nicht reicht, kann ein angreifer die gesamte namensauflösung umstricken und den nutzern beliebige inhalte unter hübschen domäjhns wie… sagen wir mal… paypal (punkt) com, sparkasse (punkt) de oder ubuntu (punkt) com unterjubeln. So wird das mit dem internetz wieder zur aufregenden erfahrung! Und nein, die fehler sind nicht behoben, die bleiben noch ein bisschen offen. Falls trotzdem noch jemand glaubt, man könne ja ruhig die router von „belkin“ kaufen, weil die so tolle, vielversprechende reklame machen und so geile gehäuse bauen, die wie ein zäpfchen aussehen und weil die früher so tolle geschäftsideen implementiert hatten, kann ich auch nicht mehr helfen. Fragt mal den metzger, ob er nachschaut, ob da noch hirn im schädel ist!

Warum man unbedingt javascript beschränken sollte…

Das Exploit-Kit greift den Router über den Browser an, wenn man auf einer verseuchten Webseite landet. Dabei wird verschlüsselter JavaScript-Code ausgeführt, der zunächst versucht, die interne IP-Adresse des Routers und das Modell zu ermitteln. Anschließend startet das Exploit-Kit einen auf den Router zugeschnittenen Angriff. Je nach Modell versucht es entweder bekannte Sicherheitslücken auszunutzen oder es probiert Standardzugangsdaten wie admin:admin durch. […] Ist der Angriff erfolgreich, ändert des Kit den im Router eingestellten DNS-Server auf eine IP-Adresse, die unter der Kontrolle der Online-Ganoven steht

Das bisschen javascript kann euch überall übern weg laufen. Vielleicht sogar in einem werbebanner auf einer renommierten webseit, das ist alles schon passiert. Und danach wünsche ich euch viel spaß auf der webseit eurer bank. Oder bei amazon. Oder bei ebay. Oder bei paypal. Oder sonstwo. Und verlasst euch schön auf euer HTTPS und auf das schlösschen, das euch der brauser anzeigt, wenn er TLS verwendet! Sogar die polizei erzählt euch, dass das irre wichtig ist, und der ahnungslose scheißjornalist tut das sowieso. Ihr werdet schon sehen, wie viel sicherheit das bringt!

Sicherer ists, standardmäßig so wenig webseits wie nur irgend möglich mit dem privileg auszustatten, kohd im brauser auszuführen. Und ein adblocker ist sowieso elementare und unverzichtbare sicherheitssoftwäjhr. Lasst euch von niemanden anders was anderes erzählen!

Urteil des tages

Rechteinhaber sind mit einer Filesharing-Klage vorm Antsgericht Braunschweig gescheitert: Das Gericht sah es als nicht widerlegt, dass sich Dritte über eine Sicherheitslücke im Router des Beklagten Internetzugriff verschafft haben

Immer häufiger entsteht für die verwerter „geistigen eigentums“ die bislang eher ungewohnte situazjon, dass sie ihre vorwürfe gerichtsfest belegen müssen — und nicht etwa so, wies bislang in der BRD gehandhabt wurde, dass ein anschlussinhaber seine unschuld beweisen musste, wenn die spezjalexperten der rechteverwertungsindustrie mit irgendwelchen IP-adressen rumwedelten.

Wenn dieses richterrecht bestand behält, dann ists mit abmahnistan vorbei, und zwar endgültig. Den geforderten beleg, dass es kein ausgebeutetes sicherheitsloch gegeben hat, kann man nicht erbringen. Vielleicht sollten sich die geistigen eigentümer mal etwas anderes überlegen als diese taktik, einzelne leute rauszupicken und an ihnen unter gewissen pressetamtam teure exempel zu statuieren. Kleiner tipp von mir an die rechteverwerter: holt euch das geld doch mal von den ganzen zugangsproweidern, die ihren zahlenden kunden einen (oft unsicheren) zwangsrouter reindrücken und somit niemanden eine schangse geben, etwas gegen einen möglichen missbrauch des internetzzuganges zu machen. Ich würde mich freuen, wenn dieser BRD-typische schwachsinn aufhört.

Übrigens: wer eine abmahnung im briefkasten hat, lese bitte hier weiter. Und ans gehorsame zahlen und unterschreiben des mitgeschickten formschriebs gar nicht erst denken! [Danke, Hans!]

Router des tages

Wieso angesichts des „single point of pwnage“ für so viele geräte überhaupt noch irgendwer in der BRD mit der juristischen idee „störerhaftung“ durchkommen kann, wenn jemand einen zugang mitbenutzt, ist mir ein rätsel. Kurze zusammenfassung: hast du ein zwangsgerät von deinem proweider, dann kann dir darauf zurzeit jeder versierte häcker beliebig rummachen und deinen zugang missbrauchen, ohne dass du eine schangse hast, das abzustellen. Liebesbriefe bitte an die proweider, die euch solche zwangsgeräte reindrücken und sich weigern, euch zugangsdaten zu geben, damit ihr wenigstens beliebige hardwäjhr verwenden könntet…

Warum haften die proweider eigentlich nicht für ihre produkte und die dadurch angerichteten schäden? Ach, ist ja BRD hier…

Cisco des tages

Hej, Cisco kennt ihr doch noch! Das waren die, die unter anderem ihre drexgeräte mit einer hintertür in der firmwäjhr ausgeliefert haben, die da nicht einfach so reinkam, sondern reinprogrammiert wurde. Also ein echt lustiger laden, der einfach verrecken sollte. Diese beflissenen freunde der weltüberwacher, die ihren kunden einfach abhörwanzen mit passwortabgriffschnittstelle verkauft haben und dann so getan haben, als ob sie von der programmierung gar nichts wüssten, die gehen gerade in den hochnotpeinlichen jammermodus und beklagen sich bei der US-regierung, dass sie so nicht weiter arbeiten können, wenn auch noch die pakete mit ihren drexgeräten von der NSA abgefangen und manipuliert werden. Kann man sich kaum noch selbst ausdenken, diese völlig schambefreite und schmerzhaft dumme PR-scheiße von cisco.

Nur noch mal zur erinnerung: hier ist das „unwissen“ von cisco, und hier ist eine dauerhaft archivierte versjon eines nutzerhinweises auf die hintertür über port 32764 im cisco-supportforum aus dem jahr 2010. Man beachte die antwortzeit von vier jahren. Die antwort von seiten ciscos kam erst, als die rotzfrech verbaute hintertür durch die presse ging. Cisco? Das sind lügner, die ihre kunden für dumm halten und offen verachten. Sonst nichts. Sein geld kann man sicherlich auch woanders hintragen.

Cisco, ihr seid tot. Ihr habts bloß noch nicht gemerkt. Aber das kommt…

„Netgear“ des tages

So so…

[…] will der Netzwerkausrüster die Vorwürfe nun umfassend prüfen

Hat ja damals bei anderen auch geklappt, die jornalisten mit einem „wir rätseln und analysieren erstmal“ ruhigzustellen, weil man dabei erwischt wurde, auf trojanern das wort „router“ draufzuschreiben. Und nein, kohd schreibt sich… leider… nicht von allein!

Stirb, „netgear“, stirb! Und du, jornalist, der du dich immer und immer wieder mit so einer intelligenzverachtenden scheiße abspeisen lässt und sie auch noch als kwalitätsjornalismus wiedergibst, stirb gleich hinterher, denn dich braucht niemand mehr. Außer vielleicht die werbeabteilung der NSA-trojaner-verkäufer.

Backdoor-fix des tages

Au weia, kaum lese ich mal ein paar tage lang nicht bei Fefe

„Netgear“ so: Oh, wir haben uns mit einer offensichtlichen hintertür erwischen lassen. Das ist ja mistig. Gut, „fixen“ wir das problem mal, indem wir die offensichtliche hintertür durch eine besser versteckte hintertür ersetzen.

Hol euch der insolvenzverwalter, ihr NSA-schergen!

(Nein, kohd schreibt sich nicht von allein, sondern er wird geschrieben. Und wenn man mit dem einen päckchen den hintertür-kohd als hintergrundprozess starten kann, um ihn mit dem anderen päckchen wieder beenden zu können, ist das ganz sicher kein kohd, der versehentlich passiert ist. „Netgear“ ist ein laden, der kriminelle überwachungswanzen verkauft und „router“ draufschreibt. Das ist widerwärtig. Und nein, heise wird keine stellungnahme bekommen, denn beim letzten mal, als sich „netgear“ erwischen ließ, gab es auch keine stellungnahme. Nicht einmal irgendeinen unverbindlichen blah, sondern gar keine. Das liegt an diesen verschwiegenheitsabkommen. Was im auftrag eines geheimdienstes gemacht wird, wird nun mal geheim gehalten, deshalb heißt so eine mord- und unrechtsbehörde ja auch „geheimdienst“. Alles, was an hardwäjhr oder softwäjhr aus den USA kommt, muss zurzeit als vorsätzlich kompromittiert betrachtet werden. Alles. Und wer trotzdem drüber nachdenkt: alles, wo „linksys“ und „netgear“ auch nur in der nähe stand, niemals wieder anschaffen! Übrigens finde ich gerade den englischen wikipedia-artikel zum lemma „netgear“ sehr interessant, der liest sich wie ein verdammter reklametext. Sogar die tollen sicherheitsgeräte von „netgear“ werden dort kurz und vollkommen unkritisch vorgestellt. Und von vorsätzlich eingebauten hintertüren steht kein wort drin, das würde ja den gewünschten eindruck zerstören. So funkzjoniert professjonelle hirnfickerei! Ein grund mehr, niemals etwas von diesem verrotteten scheißladen zu kaufen. Und die frage, was alles passieren kann, wenn jemand solche „lücken“ findet — es ist natürlich in wirklichkeit eine hintertür, und die router sind in wirklichkeit so etwas wie staatlich gewünschte trojaner in vielen lokalen netzwerken — der sich die info lieber mit ein paar milljonen aus der organisierten kriminalität versilbern lässt, beantwortet sich durch kurze anwendung des verstandes.)

Router des tages

Alle asus RT-AC68U (nein, das sind keine pfennig-billigkisten) sind anfällig für einen XSS-angriff in der web-benutzerschnittstelle. Ein übergebener parameter wird ungefilter auf die seiten übernommen und ermöglicht so das einschleusen beliebigen kohds. Und als ob das nicht schlimm genug wäre, kann man den dingern auch beliebigen kohd zum ausführen unterjubeln; ein fehler, den asus jetzt schon fast einen monat lang kennt und nicht behandelt.

Cisco des tages

In zwei Routern und einer Firewall von Cisco klafft eine Sicherheitslücke, die es Angreifern erlaubt, sich mit Administratorrechten anzumelden. Die Geräte geben die Passwörter im Quelltext des Anmeldefensters preis

Strg+U beim feierfox tippen, das ist jetzt das neue häcken! :mrgreen:

Aber keine sorge, da wird gewohnt schnell gehandelt, wenn eine lücke so groß ist, dass ein angriff darauf für jeden neunjährigen nachwuxhäcker möglich ist. Das problem ist ja erst seit dem letzten jahr bekannt.

Die „aicloud“ in asus-ruhtern

Es ist ein einfaches muster. Immer, wenn irgendwas irgendwie mit „cloud“ heißt, ist der datenschutz im arsch:

Bei Routern ohne Patch erlaubt der FTP-Server in der Grundeinstellung das Einloggen ohne Passwort und die AiCloud-Software der Geräte speichert ihre Zugangsdaten in einem öffentlich zugänglichen Verzeichnis

Großes kino! Hier weht mit wehem wehen der geist des internet, alles ist für jeden zugänglich. Von asus kauft man doch immer wieder gerne! :mrgreen:

Übrigens, ein kleiner tipp von mir: Wenn jemand so einen ruhter irgendwo im internetz findet, ruhig beherzt zugreifen und alles nehmen, was zu kriegen ist! Vielleicht für ein paar andere leute noch ein bisschen was interessantes ablegen! Da es keinen zugriffsschutz gibt, der umgangen werden müsste, sollte das völlig legal sein. Eigentlich ist diese wolkige technik doch mal eine gute alternative zum „filesharing“… :mrgreen:

Aber sabotiert keine kompjuter, das wäre strafbar!

(Vielleicht sollten die hersteller solcher hardwäjhr, die zwangsläufig immer mit einem ende im internetz hängt und damit ein opferrechner ist, mal darüber nachdenken, ob sich nicht die sicherheit verbessern ließe, indem man die komplexität ein bisschen reduziert. Wozu um alles in der reklamehölle braucht es darauf printserver, FTP, „cloud“-scheiße und SMB-freigaben. Dafür hat man im lokalen netz kompjuter rumstehen. Und wer wirklich übers internetz drauf zugreifen will, muss halt eine portweiterleistung konfigurieren. So schwer ist das doch nicht, verdammt noch mal! Aber nein, werber haben eben einen haufen scheiße dort, wo richtige menschen ein gehirn haben, und sie labern hohle, verantwortungslose frasen dort, wo man besser etwas sachkenntnis hätte und dementsprechend sind und klingen ihre ideen.)

Lacher des tages

Was es mit dem ominösen Dienst auf sich hat, dazu hüllen sich die Hersteller bislang in Schweigen

Die müssen ja auch darüber schweigen, wenn sie für die NSA eine schnorchelschnittstelle einbauen, sonst gehen die in den knast. Deshalb ist es ja ein geheimdienst, weil das geheim bleiben soll.

Wer über die anschaffung von netzwerkhardwäjhr nachdenkt: „linksys“ und „netgear“ haben mit ihrer werksseitig eingebauten hintertür eine hilfstellung für kaufentscheidungen gegeben.

D-Link mit hintertürchen

Der Kern der Lücke ist eine Hintertür, die Zugriff auf die Einstellungen der Router ermöglicht — auch wenn der Anwender dafür einen Benutzernamen und Passwort gesetzt hat. Durch die Backdoor wird diese Abfrage schlicht umgangen.

Und ja, dieses gefährliche hintertürchen haben die verantwortungslosen arschlöcher von d-link absichtlich eingebaut. Wer einen DIR-100 von d-link hat, sollte sofort jede konfigurazjonsmöglichkeit übers internetz abschalten.

Und nein, solche absichtlich in netzwerk-hardwäjhr eingebaute hintertürchen haben ganz bestimmt nichts mit den weltüberwachungsbestrebungen irgendwelcher geheimdienste im rechtsfreien raum zu tun. Zumindest würde das niemand jemals offen bestätigen.