Schlangenöl des tages

Heise erklärt euch heute mal versehentlich, dass schon lange bekannt ist, dass dieses ganze antivirus-schlangenöl nicht funkzjoniert.

Ach! 🤫

Auch weiterhin viel spaß mit der gefühlten „sicherheit“.

Wer mehr kompjutersicherheit haben möchte (oder haben muss) als die sicherheit, die man auch durch das aufkleben eines heiligenbildes auf dem kompjutergehäuse hinbekäme, benutzt einen werbeblocker und einen skriptblocker für seinen webbrauser und ist außerordentlich vorsichtig mit jeder nicht digital signierten mäjhl, die nicht vorher über einen anderen kanal abgesprochen wurde — denn die haupteinfallstore sind immer noch mäjhl (sowohl anhänge als auch links), werbebanner mit schadsoftwäjhr und auf irgendwelchen webseits eingeschleuste javascript-installazjonsprogramme für schadsoftwäjhr.

Warum ich von digitaler signatur von mäjhl spreche? Weil der absender einer mäjhl beliebig gefälscht sein kann. Dafür braucht man kein häcker zu sein. Das kann jedes aufgeweckte kind. Man kann da einfach eintragen, was immer man will. Genau so, wie man auf einen briefumschlag jeden beliebigen absender draufschreiben kann. Der absender ändert nichts am transport des briefes, und er ändert nichts am transport der mäjhl. Die mäjhl „vom scheff“, „von der freundin“ oder „vom kunden“ kann genau so gut von einem kriminellen irgendwo auf der welt sein, der vor einem gezielten angriff mal ein bisschen in den ganzen offenen stasiakten zum selberschreiben (linkedin, fratzenbuch, etc.) rescherschiert hat, um seinen angriff zu personalisieren. So viel aufwand lohnt sich nicht? Das durchschnittseinkommen in indien — also noch nicht einmal so richtig „dritte welt“ — liegt bei rd. 120 US-dollar im monat, und ein erheblicher anteil der bevölkerung verdient wesentlich weniger. Ein einziger erfolgreich platzierter erpressungstrojaner, der zur übergabe von 500 dollar führt, ist in indien ein äkwivalent für vier monate durchschnittlich bezahlte scheißarbeit. Von richtig armen ländern will ich gar nicht erst anfangen. Dafür lohnen sich auch ein paar stunden aufwand. Digitale signatur stellt, wenn man die signatur auch überprüft, sicher, dass der absender im besitz des privaten schlüssels ist. Das ist im alltag ausreichend sicher. Ansonsten gilt: dettelbach ist überall.

Und natürlich immer alle softwäjhr so aktuell wie möglich halten, denn ein beseitigter fehler kann nicht mehr von kriminellen ausgenutzt werden! Das gilt natürlich besonders für den webbrauser und die mäjhlsoftwäjhr.

Mit diesem bisschen vorsicht braucht ihr kein schlangenöl, wenn ihr euch nicht gerade irgendwelche daungelohdete softwäjhr installiert. Ihr werdet euch übrigens wundern, wie viel schneller ein kompjuter ohne dieses schlangenöl ist. 😉

Schlangenöl des tages

Über ein Tochterunternehmen soll der Antiviren-Software-Anbieter Avast massenhaft Browser-Daten von Nutzern verkauft haben

Müsst ihr überall schlangenöl draufschmieren, das macht alles sicherer und besser. Fast so wirksam wie ein heiligenbildchen auf dem kompjutergehäuse. Nur eben im gegensatz zum reinen hokuspokus auch noch mit trojaner und nutzerüberwachung, irgendwie muss man die kostenlose softwäjhr für privatnutzer ja finanzieren.

Wenn euch doch nur jemand vor dem ganzen schlangenöl gewarnt hätte!!!!!

Und wo bleibt eigentlich das empfindliche bußgeld nach DSGVO?!

„Cyber cyber“ des tages

Fefe hat mal ein paar recht deutliche worte gefunden, und nein, die gelten nicht nur beim dunkelkammergericht berlin, sondern in der gesamten verwaltung in der BRD. (Außer vielleicht in münchen, wenn da LIMUX noch irgendwo im einsatz ist, aber das ändert sich ja demnächst.)

Schlangenöl des tages

Den beliebten feierfox-brauser von mozilla gibt es jetzt auch mit wirkungslosem anti-javascript-schlangenöl.

Bitte auf gar keinen fall darauf verlassen, sonst seid ihr verlassen! Die leute, die eine groß angelegte schadsoftwäjhr-kampanje für den transport über webbrauser machen, probieren ihr gehäcksel vorher mit allen möglichen schlangenölen aus. Sie leben schließlich davon, dass es möglichst gut funkzjoniert.

Die angemessene strategie ist es da nicht, javascript jedem zu erlauben und einer externen blockliste gemäß zu verbieten, wie es die meisten adblocker bei inhalten aus drittkwellen tun, sondern javascript jedem zu verbieten und es für ein paar ausnahmen bewusst zu erlauben.

Benutzt niemals einen webbrauser ohne wirksamen werbeblocker und ohne richtigen skriptblocker. Es ist dumm und gefährlich. Denn es ist eine ganz schlechte idee, jedem dahergelaufenen gegenüber in einem anonymisierenden, technischen medium die ausführung von programmkohd im webbrauser zu gestatten. Praktisch alle brauser-exploits des letzten jahrzehntes waren nur über javascript möglich — einzige ausnahme war der exploit der PDF-darstellung im feierfox, die übrigens in javascript implementiert ist. Wer jedem die ausführung von kohd erlaubt, darf sich nicht wundern, wenn er auf einmal einen kompjuter anderer leute auf dem schreibtisch stehen hat.

Es ist übrigens erstaunlich, wie viel schneller einige webseits werden, wenn man ihnen nicht die ausführung von javascript gestattet. Bei heise onlein ist es oft der unterschied zwischen einer seite, die sofort da ist und einer wartezeit von mindestens anderthalb sekunden, bis sich der brauser von der initjalen skriptausführung „erholt“ hat. Tja, kein wunder, wenn pro seitenaufruf 2,2 sekunden CPU-zeit für javascript draufgeht, weil 48 javascript-dateien mit einer gesamtgröße von rd. 1,4 MiB übertragen, geparst und ausgeführt werden müssen, ohne dass das irgendeinen bezug zu den inhalten hätte, die einem eigentlich interessieren. Von der CO2-bilanz, die in den bis zur hirnverachtung heuchlerischen texten des ganzen scheißjornalismus gerade so irre wichtig genommen wird, während der strom bei der textbetrachtung für unnütze und meist unerwünschte programmausführung in wärme verwandelt wird, will ich da gar nicht erst anfangen. :mrgreen:

Und immer daran denken: eine webseit, die euch ohne javascript nix zu sagen hat und euch nur einen weißen bildschirm oder eine texttafel hinhält, die wird euch auch mit erlaubter kohdausführung nix zu sagen haben, da ihre hauptsächliche absicht etwas völlig anderes ist, als euch etwas sagen zu wollen. Die angeblichen „inhalte“ sind nur köder. 🎣

Schlangenöl des tages

Das schlangenöl so: hej, trojaner, du hast keine schangse. Ich habe mehrmals täglich aktualisierte signaturen und hänge mich bei so ziemlich jeder operazjon dieses kompjuters mit rein, um deine aktivität aufzuspüren und dich in die kwarantäne zu stecken. Mir doch scheißegal, dass der rechner dadurch so sehr ausgebremst wird, dass es den anwender nervt.

Der trojaner so: hej schlangenöl, dann fahre ich jetzt den kompjuter runter und im abgesicherten modus wieder hoch, damit du dich mir gar nicht erst in den weg stellen kannst, und dann starte ich meine schadfunkzjonen und übernehme in aller ruhe den kompjuter.

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an das ganze technokwacksalberische schlangenöl, das euch verlogene werber und saudumme jornalisten als inbegriff der kompjutersicherheit verkaufen! Müsst ihr immer eure unsicheren betrübssysteme mit einreiben, damit sie sicherer werden! Und müsst ihr vor allem ganz feste dran glauben! 🧚

Schlangenöl des tages

Nehmt schlangenöl für eure kompjuter, haben sie uns gesagt. Davon werden eure kompjuter sicherer, haben sie uns gesagt.

Eine bösartige anwendung kann unter ausnutzung einer schwachstelle in „symantec endpoint protection“ an vertrauliche informazjonen kommen und/oder kohd mit höreren rechten ausführen, um so die vollständige kontrolle über den betroffenen gastrechner zu übernehmen

Der rechner wäre ohne das schlangenöl sicherer gewesen? Oh! 💩

Auch weiterhin viel spaß mit dem ganzen schlangenöl, dass euch von werbern und ihren stinkenden brüdern, den jornalisten, als inbegriff der kompjutersicherheit angepriesen wird!

Schlangenöl des tages

Die Firefox-Erweiterungen von Avast und AVG sind derzeit nicht im Addons-Verzeichnis gelistet. Sie haben offenbar private Daten weitergegeben

Auch weiterhin viel spaß mit dem ganzen schlangenöl! Es hilft zwar nicht, aber ihr könnt euch sicherer fühlen, wenn ihr ein heiligenbild im auto… ähm… irgendeine security-bullshit-softwäjhr laufen lasst. Wer will es den herstellern solcher hokuspokusprogramme schon verdenken, dass sie dann gleich dazu übergehen, profile von menschen anzulegen, denen man jeden scheiß verkaufen kann.

Ich bin ja mal gespannt, wie hoch das bußgeld nach DSGVO für diese trojanifizierung des webbrausers wird! Ach, für den datenschutz im sinne des schutzes von menschen vor solchen machenschaften ist die DSGVO gar nicht gemacht, sondern nur zum einschüchtern von privaten webseitbetreibern. Ich verstehe.

Krüpplografie des tages

Achtung, tischkanten aus gebissnähe entfernen, denn bei fortinet gibts gutes schlangenöl mit echter kwalitätskrüpplografie:

The messages are encrypted using XOR „encryption“ with a static key

🤦

Ich zitiere mal deren reklame [archivversjon]:

Wir bieten erstklassige sicherheit für netzwerke und inhalte, desweiteren sichere zugangsprodukte, die informazjonen austauschen und zu einem kooperierenden gewebe fügen. Unsere einzigartige security fabric kombiniert sicherheitsprozessoren, ein intuitives betrübssystem und angewandte informazjonen über bedrohungen, um ihnen eine bewährte sicherheit, außergewöhnliche leistung nebst besserer transparenz und kontrolle zu gewähren und gleichzeitig eine einfachere administrazjon zu ermöglichen.

Schon wenn man diese aufgeblähten reklametexte in die deutsche sprache überträgt, kann man spüren, wie man ein bisschen verdummt. Und die klitsche, die so tollsprechend reklame an der bullschittbingofront macht, verschlüsselt ihre netzwerkkommunikazjon dann so (der schlüssel und die schlüssellänge sind von mir ausgedacht):

/* Key created by randomly picking numbers, must be random and secure enough */
static const unsigned char fortinet_key[] = { 3, 13, 7, 192, 88, 23, 242, 3 };
#define fortinet_keylen (sizeof (fortinet_key) / sizeof (char))

void fortinet_crypter (char *buf)
{
  int keyindex = 0;
  for ( ; *buf != 0; ++buf)
  {
    *buf = *buf ^ fortinet_key[keyindex];
    keyindex = (keyindex + 1) % fortinet_keylen;
  }
}

Aber immerhin: das geht sehr schnell! ⏱️

Nur eine verschlüsselung ist es nicht. Jedenfalls keine, die einem angriff durch einen gelangweilten elfjährigen standhält. Deshalb benutzt man eigentlich ja auch bewährte kryptografische verfahren, für die es guten bibliotekskohd in so ziemlich jeder brauchbaren programmiersprache gibt, statt sich selbst so eine krüppelscheiße auszudenken. 😂

Und diese heinis preisen sich als kompjutersicherheitsspezjalexperten an! Na, da wünsche ich aber auch weiterhin festen glauben und viel spaß beim einsatz von security-schlangenöl aller art. Müsst ihr viel geld für ausgeben, teures schlangenöl hilft bestimmt besser als billiges! :mrgreen:

Ach ja, heise hat auch etwas.

Auch weiterhin viel spaß mit schlangenöl

„Scanguard“ hat bis zum 12. november 2019 unter meikrosoft windohs unsichere berechtigungen für das installazjonsverzeichnis, was zu einer möglichen privilegjen-erweiterung über eine von einem trojaner platzierte ausführbare datei führt. Das produkt setzt schwache zugriffsbeschränkungen, da sämtliche berechtigungen für die „everyone“-gruppe vergeben werden. Deshalb kann nicht vertrauenswürdige schadsoftwäjhr „scanguard“ mit beliebigen dateien ersetzen

Nicht, dass das jetzt der vater aller security-fehler ist, aber ich muss doch immer wieder grinsen, wenn ich lese, dass kompjuter mit dem antivirus-schlangenöl unsicherer als ohne das antivirus-schlangenöl werden. Erstaunlich, dass man diese esoterische softwäjhrgattung trotzdem noch auf so vielen kompjutern findet… ach, der onkel jornalist hat immer gesagt, antivirus-schlangenöl sei wichtig für die kompjutersicherheit, und sein kuhler bruder aus der reklame hat das bestätigt, da glaubt ihr es halt. Na, dann glaubt es halt! 🐑

Endlich!

Endlich gibt es auch für mein immer weniger geliebtes, aber immer noch jeden tag benutztes linux ein hochwirksames kwalitäts-schlangenöl. Ich konnte es schon gar nicht mehr erwarten!!!1!!elf!

Mal schauen, wie viele idjoten sich die gefühlte sicherheit andrehen lassen. Von einer klitsche aus dem NSA-faschismusstaat, die nicht einmal ihr eigenes betrübssystem in einen einigermaßen vertrauenswürdigen zustand bringt, sondern es lieber mit meist unerwünschten überwachungs-, träcking- und datensammelfunkzjonen anreichert. Und mal schauen, wann die erste schadsoftwäjhr kommt, die eine schwäche in dem tief ins system eingreifenden schlangenöl ausnutzt. 😀

Meikrosoft offißß auf linux hätten sich ja sicherlich so einige leute geholt.

Schlangenöl des tages

Microsoft hat die Scan-Funktion der Anti-Viren-Software Defender kaputt gepatcht

[…] Nach der Auswahl von „Schnellüberprüfung“ und „Vollständige Überprüfung“ war bei einigen Nutzern schon nach zehn Dateien Schluss […]

🤦

Es gibt wohl kein anderes technisches produkt, bei dem dermaßen lax und beliebig auf die funkzjon geachtet wird wie das sicherheitsschlangenöl, mit dem ihr eure kompjuter einreiben sollt. Wozu interne tests machen, ob die grundfunkzjon noch läuft und die so ein totalversagen sofort entdecken? Hej, aber hauptsache, es läuft ein schlangenöl und ihr fühlt euch sicher

Die kombinierte kraft von klaut und schlangenöl

Wenn ich schon höre, dass klaut und irgendwelches security-schlangenöl in einem produktnamen zusammenfließen, dann wundert mich das abregnen der wolken nicht:

Es sind persönliche Daten von einigen Imperva-Kunden geleakt, die Cloud Web Application Firewall nutzen

Auch weiterhin viel spaß mit der klaut, und auch weiterhin viel spaß mit dem ganzen schlangenöl. Fühlt euch sicher!

Schlangenöl des tages

Mit seiner Antiviren-Software verspricht Kaspersky Sicherheit und Datenschutz. Durch ein Datenleck konnten Dritte die Nutzer allerdings jahrelang beim Surfen ausspionieren

In jede verdammte webseite, die man im brauser aufgerufen hat, wurde ein javascript-fetzen von kaspersky eingebettet, der im grunde „nach hause funkte“, was man sich gerade anschaute. Ja, auch bei der fernkontoführung, bei paypal und beim drogenhändler im so genannten darknet. Einschließlich eindeutiger benutzerkennung, damit es auch nicht so anonym ist. Und das beste daran: die eindeutige ID ist auch für irgendwelche weiteren träcking-schmarotzer lesbar. Da kann man tausendmal alle cookies ablehnen… 😦

Wer noch weitere gründe dafür braucht, nicht in jeder dahergelaufenen webseit jedes javascript zuzulassen, das ist einer.

Auch weiterhin viel spaß mit der gefühlten sicherheit und verbesserten privatsfäre durch irgendwelche antivirus-schlangenöle! Ist total toll, klick und sicher, der onkel werber hats euch gesagt, und sein hässlicher bruder jornalist hats euch auch gesagt. Muss also stimmen.

Krüpplografie des tages

In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land

Das haben wir hier auch bald. Schlösschen wird im brauser angezeigt, aber der staat und seine hochkriminellen geheimdienste können alles mitlesen, verändern und zensieren. Müsst ihr verstehen:

Die Nutzer würden durch das Zertifikat vor Identitätsdiebstahl, Hackern und anderen digitalen Gefahren geschützt

Wer könnte dazu „nein“ sagen?! Mitmensch blöd sagt ganz sicher nicht „nein“. Der lässt sich sogar antivirus-schlangenöl andrehen, weil es ihm ein bisschen gefühlte sicherheit gibt. Ein schlangenöl von der polizei nimmt der erst recht. In vielen fällen völlig freiwillig. Blitzeblank datennackig zu sein, ist den meisten menschen egal geworden, wenn es nur abstrakt genug ist, also für diese idjoten nicht unmittelbar sichtbar wird. Da muss es erstmal richtig knallen und ein faschistischer staat mordknastlager für irgendwelche anhand von datensammlungen ermittelte menschengruppen — wie zum beispiel schwule, kommunisten, milchtrinker, autoliebhaber, fleischesser, radfahrer, kartenspieler oder religjöse — bauen, bis wenigstens ein paar menschen wieder begreifen, dass zentrale datensammlungen eine ganz große und hochgefährliche scheiße sind, die man vermeiden muss. Aber nachdem sie von scheißjornalisten genug propaganda ins hirn gestopft bekommen haben, werden viel zu viele menschen erst einmal daran glauben, dass schwule, kommunisten, milchtrinker, autoliebhaber, fleischesser, radfahrer, kartenspieler und religjöse schuld an allem sind, was ihnen im leben fehlt — ganz anders als der gütige und heilige und mit gutem recht vom gewaltstaat vollumfänglich geschützte und gernbereit mittätliche scheißausbeuter, der ihnen keinen lohn mehr für ihre arbeit geben will, gepriesen sei seine gnade, gelobt und gefördert sei sie! 😦

Schade, dass der Erich Mielke nicht mehr lebt. Der wäre sicherlich begeistert von diesem neuland gewesen