Ändräut-security-großalarm des jahres

Benutzt hier jemand ein wischofon mit ändräut?

Zwei App-Rechte des Android-Betriebssystems lassen sich missbrauchen, um einen universellen Keylogger zu bauen, der alles mitliest, was der Benutzer des Gerätes in die Tastatur tippt. Außerdem kann ein Angreifer sie dazu nutzen, einer bösartigen App unbeschränkte App-Rechte zu verschaffen

„Ist aber nicht weiter schlimm, weil man doch die rechte einer äpp bei der installazjon abnicken muss, da kann man ja erstmal drauf achten“, denkt da vielleicht der eine oder andere… doch, es ist so schlimm:

Da alle aus dem Play Store installierten Apps routinemäßig diese Berechtigung haben, muss der Nutzer sie nicht explizit abnicken

Denn jede äpp braucht ja die rechte, einen unsichtbaren layer über die oberfläche legen zu können. Wozu? Ach, geht einfach weiter, hier gibts nichts zu sehen! Aber immerhin, guhgell tut ja was dagegen:

Google verhindert nun allerdings, dass Apps, die sie ausnutzen, in den Play Store geladen werden

Ob es wohl einen halbwegs effizjenten test gibt, um das ausnutzen eines exploits aus dem bytekohd rauszukriegen und von einer legitimen nutzungsform zu unterscheiden? Sind ja nur ein paar hunderttausend äpps in der großen müllhalde des pläjhstohr. Und die „kreativität“ von kriminellen kann erheblich sein, wenn es darum geht, an so einer kontrolle vorbeizukommen. Denn die kriminellen leben davon.

Na ja, guhgell tut ja sonst so irre viel für die kompjutersicherheit. Zum beispiel, wenn guhgell einen exploit in anderen betrübssystemen oder anwendungen findet. Dann muss der binnen neunzig tagen gefixt werden, denn dann kommt es zur veröffentlichung. Gnadenlos. Da wird „don’t be evil“ doch sicherlich selbst auch genau so schnell ausbeutbare schwächen in seinem eigenen scheißsystem fixen, oder?

Da diese Probleme inhärent Teil des Berechtigungssystems von Android sind, kann Google sie nicht ohne weiteres beheben – obwohl die Firma bereits im August 2016 von den Forschern über die Lücken informiert wurde […] Mit der nächsten Hauptversion von Android (Android O) will man solche Angriffe dann gänzlich verhindern

Aber nein doch, für die ändräut-gutsherren von guhgell gelten da ganz andere maßstäbe. Da wird eine offene, ausbeutbare sicherheitslücke einfach eine kleine ewigkeit lang vom august des letzten jahres bis zur veröffentlichung der näxten ändräut-hauptversjon vorsätzlich und jeden anwender in gefahr bringend offen gehalten. Und unterdessen erzählen euch die leute, dass ihr mit euren scheißwischofonen eure fernkontoführung¹ machen und überall bezahlen sollt, ist ja alles voll sicher, da kann ja gar nix passieren. Und ihr glaubt denen auch noch. Hej, und denkt immer dran, dass ihr immer überall schön sichere passwörter verwendet, euch dann aber mit eurem möglicherweise für euch völlig unentdeckbar von einer trojanischen äpp gepwnten scheißwischofon anmeldet! Eine trojanische äpp, wohlgemerkt, die keine besonderen privilegjen braucht, um einen keylogger zu implementieren. Weia, was für eine riesengroße scheiße! Wie fühlt sich das an, wenn man ein betrübssystem von guhgell hat und von guhgell mit so einem planetensystemweit offenen scheuentor einfach im stich gelassen wird? Mit meikrosoft wäre das jedenfalls nicht passiert, die fixen bei ganz großen scheunentoren sogar noch ihr obsoletes windohs XP… :mrgreen:

Auch weiterhin viel spaß mit euren wischofonen, die die security-blauäugigkeit der neunziger jahre mit der technisch kompententen kriminalität der zehner jahre kombinieren! Ob euer jetzt benutztes wischofon jemals eine aktualisierung des betrübssystemes sehen wird? Fragt doch mal euren wischofon-hersteller, der euch viel lieber neue wischofone verkaufen möchte! Und dann kauft einfach ein neues! Ihr habt das geld ja, und gut für die wirtschaft ist es auch. Vielleicht kann man das neue wischofon sogar mal ein halbes jahr lang benutzen, ohne dass man dadurch zum verantwortungslosen vollidjoten wird. Und dann kommt die nächste katastrofenmeldung… 😦

Nachtrag: wie man guhgells skänn im pläjhstohr umgeht? Das ist nicht schwierig, sondern könnte ähnlich wie bei den werbebanner-klickbetrugs-trojanern gemacht werden.

Google verwendet zwar für seinen Play Store eine Technik namens Bouncer, um solche Adware aus dem Shop fern zu halten. Doch die Kiniwini-Software lädt die Malware-Funktionen offenbar erst nach, wenn die jeweilige App bereits installiert ist und sich abseits des Goolge-Shops bei ihrem Hersteller registriert hat

Wenn man aber als schadsoftwäjhr-progger überhaupt keinen internetz-zugriff machen will, dann gibts halt ein paar mitgelieferte daten (serialisierte java-objekte), die so verschlüsselt abgelegt werden, dass sie beim skänn unauffällig bleiben und die dann einfach geladen und ausgeführt werden. Und den kohd zum entschlüsseln kann man beliebig schwer analysierbar machen — was übrigens kein bisschen anders aussehen muss, als ein legitimer versuch, irgendwelche „häcks“ einer softwäjhr zu erschweren.

Je länger ich darüber nachdenke, desto unmöglicher kommt es mir vor, auszuschließen, dass diese sicherheitslücke von einer äpp im pläjhstore ausgebeutet wird. Was guhgell mit seinen skänn vorschlägt, ist eine beseitigung des problemes durch auftragen von schlangenöl statt durch ausräumen der ausbeutbaren ändräut-schwachstelle.

¹Scheißwerber sprechen von „online-banking“, weil das hipper klingt…

Wannacry? Wannacry!

Inzwischen hat heise onlein ein niewoh erreicht, dass ich lieber in den kommentarbereich zu einem artikel verlinke, weil dort die lebenspraktisch wichtigen wahrheiten in klarer, unmissverständlicher sprache gesagt werden, die im text fehlen (siehe auch hier und hier), während der kommentierte text… na ja… irgendeine clickbait muss man ja als jornalist zu aktuellen temen schreiben, denn dafür gibts die groschen vom verleger.

Liebe betroffene und verängstigte: ihr könnt weder auf den scheißstaat (dessen innenministerjen und geheimdienste kein interesse an sicheren kompjutern in privathaushalten und wirtschaftsbetrieben haben und die in keiner sekunde eures lebens etwas anderes als eure feinde sind) noch auf irgendwelche antivirus-schlangenölverkäufer (deren geschäft sofort zusammenbräche, wenn die menschen nicht mehr auf dem stand informazjonstechnischer analfabeten wären und die deshalb großes interesse an massenhafter verdummung und kwasimagischer gläubigkeit an schlangenöl haben) vertrauen, wenn es um eine derartige kriminalität geht. Und dem scheißjornalisten, der dafür bezahlt wird, dass man werbeplätze vermarkten kann, schon gar nicht, denn der wird weder mit der gebotenen deutlichkeit gegen den scheißstaat noch gegen die wichtigen reklamekunden aus der scheiß-schlangenöl-zunft anschreiben. Sonst gibts für ihn nämlich schnell hartz IV.

Es ist nämlich nicht der dschobb eines jornalisten, die menschen aufzuklären. Es ist sein dschobb, ihnen die reklame zusammen mit verdummender scheininformazjon und wirkungslosem pseudowissen so in den rachen zu pressen, dass sie sich so gut „informiert“ fühlen, dass sie kaufen und konsumieren. Da klingt auch heise onlein schnell wie eine kompjuterbild mit schlips. Und die leute installieren sich, von diesem drexjornalismus „informiert“, die meikrosoft-telemetrie-softwäjhr — ich nenne das übrigens einen überwachungstrojaner — auf ihr windohs sieben nach, ist ja ein wichtiges updäjht, hat ja meikrosoft und der onkel jornalist gesagt, sonst wird man ja gehäckt. Obendrauf noch ein größerer spritzer schlangenöl. Hokus pokus security, dreimal schwarzer kater!

Bleibt nicht dumm, denn dummheit macht euch passiv und letztlich zum opfer! Werdet wissend, denn wissen macht euch frei!

Schlangenöl des tages

Security:
Unfassbar schlimmer fehler im schadsoftwäjhr-skänner von meikrosoft windohs kann ausgenutzt werden, um schadsoftwäjhr zu installieren

Nachtrag: artikel bei heise onlein. Keine sorge, es handelte sich „nur“ um die funkzjonalität, irgendwelchen kohd (aus webseits, aus IM-mitteilungen, aus mäjhls, die man dafür nicht einmal anschauen muss, aus irgendwas von irgendwo) mal eben testweise mit system-rechten auszuführen. Genau die art von funkzjonalität — von irgendwelchen verschwörungsteoretikern dann als „hintertür“ bezeichnet — wie sie die NSA gern hätte. Natürlich deute ich das nur völlig beleglos an…

Schlangenöl des tages

Ein Virenscanner für Unternehmen und Privatanwender hat Zehntausende Dateien weltweit in Quarantäne gesteckt, weil er sie fälschlicherweise als bösartig eingestuft hat. Unter den betroffenen Dateien waren auch die Insider Previews von Windows

Und wieso wurden die fälschlich als bösartig eingestuft? Das war doch völlig korrekt… :mrgreen:

Hej, und eine luftige prise „cloud“ ist auch dabei:

Nach den Angaben war die betroffene Konfiguration des Cloud-basierten Virenscanners nur etwa 13 Minuten aktiv […] Webroot hat bislang noch keine Lösung zur Wiederherstellung der Daten entwickelt

Weil… müsst ihr glauben, mit „cloud“ wird alles besser. Hat der onkel jornalist gesagt.

Auch weiterhin viel spaß mit dem schlangenöl, das ihr an euer betrübssystem dranflanscht, weil ihr glaubt, dadurch würde euer betrübssystem sicherer!

Schlangenöl des tages

Microsofts Windows Defender schützt Windows 10 kostenlos und ist vorinstalliert. Das stört Anbieter von Antivirus-Software, die sich benachteiligt fühlen. Kaspersky bereitet daher eine EU-Beschwerde vor

Macht mal! Wenn sich die schlangenölverkäufer auf dem marktplatz prügeln, kann es nur gewinner geben.

via @tux@pod.geraspora.de

Schlangenöl des tages

Nun gut, dieser artikel trägt ein bisschen die handschrift von prof. dr. Offensichtlich, aber was solls:

Mit Hilfe der von Antiviren-Software eingesetzten Signaturen könnten Angreifer gezielt Fehlalarme auslösen […] So gelang es den Forschern unter anderem, einen Virenwächter dazu zu provozieren, die komplette Mailbox eines Thunderbird-Nutzers zu löschen

Auch weiterhin viel spaß mit eurem ganzen antivirus-schlangenöl, von dem ihr glaubt, dass es euren kompjuter sicherer macht, weil der onkel jornalist euch das immer und immer wieder erzählt hat und erzählt!

Dieser stinkende onkel jornalist, dieser hässliche bruder des werbers, von dem ihr euch das weltbild in den kopf stempeln lasst, wird übrigens dafür bezahlt, dass er ein gutes umfeld für die vermarktung von reklameplätzen schafft, und nicht dafür, dass er menschen aufklärt und so zu selbstverantwortlichen entscheidungen befähigt. Wenn ihr so richtig schön knalle doof werden wollt, dann müsst ihr dem onkel jornalisten immer alles glauben.

Lösung des tages

Arne Schönbohm, obermotz des bummsamtes für sicherheit in der informazjonstechnik, hat anlässlich der aufmerksamkeit von dummen, ahnungslosen scheißjornalisten für die CEBIT endlich die lösung für die ganzen sicherheitsprobleme mit diesem internetz der dinge gefunden:

Auch die Politik muss für Sicherheit sorgen […] Wir wollen ein Gütesiegel einführen, das garantiert, dass das Gerät Mindeststandards für die IT-Sicherheit erfüllt

Bwahahahaha!

Die IT-sicherheit wird bestimmt genau so toll gemessen wie die abgaswerte und der kraftstoffverbrauch von autos! Mit einem tollen secure-o-meter beim TÜV. Wenn sich der zeiger nur ein bisschen bewegt, statt gleich an den anschlag zu klappern, gibts auch einen teuren aufkleber mit BRD-reichsamsel¹ und draufgestempelten siegel, mit etwas frischem schlangenöl bestrichen.

Bwahahahaha!

Oder wollen die etwa wirklich kwelltexte von richtigen, teuren experten analysieren lassen. Selbst das garantiert keine fehlerfreiheit. Man kann getrost davon ausgehen, dass sich sehr viele leute mit einem gewissen maß an ahnung die kwelltexte vom linuxkernel anschauen, und doch werden da immer wieder einmal wirklich schwere fehler gefunden, die jahrelang unentdeckt blieben. Aber ein ordentliches sicherheits-auditing wäre deutlich mehr als irgendwelche bullschitt-verfahren. Es kostete allerdings auch deutlich mehr.

Aber hej, eine gute idee steckt in den ganzen konjunktiven:

Wer ein Produkt herstellt, das nicht sicher ist, sollte für Schäden verantwortlich gemacht werden können

Ich wünsche eine übertragung dieses tollen ansatzes vom „internetz der dinge“ auf gewöhnliche kompjuter, wischofone und allerlei smartdinger, die ja gar nichts anderes sind!!!1!elf!!1!!!!1!

Schluss mit dem haftungsausschluss!!!!111!1!!!1! Und scheiß auf die sonst immer geforderte globalisierung!

Die herstellung von softwäjhr (programmieren) muss endlich wieder ein riesengroßes juristisches risiko werden, das existenzbedrohende kosten nach sich ziehen kann!!!ölf!!!hundertelf!1! So geht es voran!!!!!!1! Und vor allem: so kann man auch endlich diese industrie 4.0 machen und jedes plumpsklo mit dem internetz verbinden, es ist ja ein bullschitt-siegel drauf, das sicherheit verspricht! Denn diese lösung ohne problem (außer vielleicht des problemes der totalen überwachung des lebens aller menschen und sämtlicher wirtschaftsvorgänge) wird ja ganz unbedingt und alternativlos gebraucht, also muss man sie den leuten, deren intelligenz man offen verachtet, immer und immer wieder verkaufen…

Cyber, cyber!

¹Amtliche bezeichnung: bundesadler.

Schlangenöl des tages

13 von 29 untersuchten Antiviren-Programmen klinken sich in die verschlüsselten TLS-Verbindungen ein. Und alle bis auf eines verschlechtern dabei die Sicherheit der Verbindung; in vielen Fällen konnten die Forscher den angeblichen Schützern sogar massive Sicherheitsprobleme nachweisen

Ich wünsche euch allen da draußen, die ihr euch von onkel werber und seinem hässlichen bruder, dem jornalisten, „informieren“ lasst, auch weiterhin viel spaß beim festen glauben an das ganze antivirus-schlangenöl! Es funkzjoniert nicht und macht eure kompjuter unsicherer… zumindest ich bin davon nicht so überrascht.

Und TLS, die bekweme „sicherheit“ durch den anblick eines schlösschens im brauser, die durch ein paar klitschen hergestellt wird, die für dieses privileg geld an die brausermacher geben, ist schon lange, lange, lange tot. Leider gibt es noch nix besseres…

Antivirus-schlangenöl des tages

Ex-Firefox-Entwickler rät zur De-Installation von AV-Software

Mir glaubt ja nie einer, wenn ich so etwas empfehle… der onkel werber aus allen scheißpresseartikeln und aus der scheißwerbung ist ja viel glaubwürdiger.

Oder vielleicht mal die c’t von vor sieben jahren lesen, als ungekennzeichnete reklame im redakzjonellen teil noch nicht so ein wichtiges geschäftsmodell für den scheißjornalismus war und man deshalb auch gegen gewisse unternehmen mit unseriösem geschäftsmodell schreiben konnt… :mrgreen:

Schlangenöl des tages

Wie schütze ich meinen Computer am besten? Wie unterschiedlich die Einschätzung von Experten und Computernutzern – Fachleuten sowie Durchschnittsnutzern – ist, zeigt nicht zuletzt eine Studie von Google. Die befragten Nutzer hielten Antivirenprogramme für die wichtigste Maßnahme, um sich vor Gefahren zu schützen. Das halten jedoch nur sieben Prozent der Experten für besonders wichtig. Umgekehrt ergibt sich ein ähnlich kontroverses Bild. Auf Platz eins bei den Experten: regelmäßige Updates. Die schafften es bei den Nutzern nicht einmal in die Top fünf

Aber so lange der jornalismus in erster linje werbeplatzvermarktung ist statt eine aufklärung der menschen, die diesen menschen ein selbstverantwortliches und vernünftiges handeln ermöglicht, so lange werden die scheißjornalisten den menschen auch erzählen, dass das schlangenöl aus der reklame ganz wichtig und unabdingbar ist — und ihnen verschweigen, worauf es wirklich ankommt. Aber das würde ja auch das geschäftsmodell der jornalisten beschädigen

via @schulle4u@twitter.com

Schlangenöl des tages

Sicherheitspatches:
McAfee VirusScan Enterprise gefährdet Linux-Systeme

Na, wenn man mit linux schon — vor allem, weil es immer noch so wenig verbreitet ist, dass es sich für die verbrecher nicht lohnt — keine probleme mit schadsoftwäjhr hat, dann muss man sich doch wenigstens probleme und klaffende sicherheitlöcher durch irgendwelche schlangenöle gegen schadsoftwäjhr holen. Sonst würde einem ja was fehlen… :mrgreen:

Krüpplografie des tages

Intel will am 10. November seine für Android und iOS erhältliche Verschlüsselungs-App Intel File Protect beerdigen. Für die Nutzer hat das ernste Konsequenzen: Wer seine geschützten Daten nicht rechtzeitig aus der App exportiert, kann ab dem Termin offenbar nicht mehr darauf zugreifen

Es gibt keinen technischen grund dafür, warum eine kryptosoftwäjhr, die lokal verschlüsselt, nicht auch wieder lokal entschlüsseln können sollte, selbst, wenn sie nicht mehr weiterentwickelt wird — außer, sie funkt nach hause und die schlüssel sind nicht privat, sondern werden zentral gesammelt. Und das ist nun einmal krüpplografie; und gegenüber den menschen, die sich darauf verlassen haben, ists eine ganz üble verarschung.

Lasst euch niemals krypto-schlangenöl andrehen! Schon gar nicht von scheißfirmen aus dem folter- und überwachungsstaat USA! Da könntet ihr eure daten auch gleich offen ins fratzenbuch schreiben.

Aber kaum ists internetz im händi, schon ists gehirn im arsch.