Schlangenöl des tages

Microsoft hat die Scan-Funktion der Anti-Viren-Software Defender kaputt gepatcht

[…] Nach der Auswahl von „Schnellüberprüfung“ und „Vollständige Überprüfung“ war bei einigen Nutzern schon nach zehn Dateien Schluss […]

🤦

Es gibt wohl kein anderes technisches produkt, bei dem dermaßen lax und beliebig auf die funkzjon geachtet wird wie das sicherheitsschlangenöl, mit dem ihr eure kompjuter einreiben sollt. Wozu interne tests machen, ob die grundfunkzjon noch läuft und die so ein totalversagen sofort entdecken? Hej, aber hauptsache, es läuft ein schlangenöl und ihr fühlt euch sicher

Die kombinierte kraft von klaut und schlangenöl

Wenn ich schon höre, dass klaut und irgendwelches security-schlangenöl in einem produktnamen zusammenfließen, dann wundert mich das abregnen der wolken nicht:

Es sind persönliche Daten von einigen Imperva-Kunden geleakt, die Cloud Web Application Firewall nutzen

Auch weiterhin viel spaß mit der klaut, und auch weiterhin viel spaß mit dem ganzen schlangenöl. Fühlt euch sicher!

Schlangenöl des tages

Mit seiner Antiviren-Software verspricht Kaspersky Sicherheit und Datenschutz. Durch ein Datenleck konnten Dritte die Nutzer allerdings jahrelang beim Surfen ausspionieren

In jede verdammte webseite, die man im brauser aufgerufen hat, wurde ein javascript-fetzen von kaspersky eingebettet, der im grunde „nach hause funkte“, was man sich gerade anschaute. Ja, auch bei der fernkontoführung, bei paypal und beim drogenhändler im so genannten darknet. Einschließlich eindeutiger benutzerkennung, damit es auch nicht so anonym ist. Und das beste daran: die eindeutige ID ist auch für irgendwelche weiteren träcking-schmarotzer lesbar. Da kann man tausendmal alle cookies ablehnen… 😦

Wer noch weitere gründe dafür braucht, nicht in jeder dahergelaufenen webseit jedes javascript zuzulassen, das ist einer.

Auch weiterhin viel spaß mit der gefühlten sicherheit und verbesserten privatsfäre durch irgendwelche antivirus-schlangenöle! Ist total toll, klick und sicher, der onkel werber hats euch gesagt, und sein hässlicher bruder jornalist hats euch auch gesagt. Muss also stimmen.

Krüpplografie des tages

In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land

Das haben wir hier auch bald. Schlösschen wird im brauser angezeigt, aber der staat und seine hochkriminellen geheimdienste können alles mitlesen, verändern und zensieren. Müsst ihr verstehen:

Die Nutzer würden durch das Zertifikat vor Identitätsdiebstahl, Hackern und anderen digitalen Gefahren geschützt

Wer könnte dazu „nein“ sagen?! Mitmensch blöd sagt ganz sicher nicht „nein“. Der lässt sich sogar antivirus-schlangenöl andrehen, weil es ihm ein bisschen gefühlte sicherheit gibt. Ein schlangenöl von der polizei nimmt der erst recht. In vielen fällen völlig freiwillig. Blitzeblank datennackig zu sein, ist den meisten menschen egal geworden, wenn es nur abstrakt genug ist, also für diese idjoten nicht unmittelbar sichtbar wird. Da muss es erstmal richtig knallen und ein faschistischer staat mordknastlager für irgendwelche anhand von datensammlungen ermittelte menschengruppen — wie zum beispiel schwule, kommunisten, milchtrinker, autoliebhaber, fleischesser, radfahrer, kartenspieler oder religjöse — bauen, bis wenigstens ein paar menschen wieder begreifen, dass zentrale datensammlungen eine ganz große und hochgefährliche scheiße sind, die man vermeiden muss. Aber nachdem sie von scheißjornalisten genug propaganda ins hirn gestopft bekommen haben, werden viel zu viele menschen erst einmal daran glauben, dass schwule, kommunisten, milchtrinker, autoliebhaber, fleischesser, radfahrer, kartenspieler und religjöse schuld an allem sind, was ihnen im leben fehlt — ganz anders als der gütige und heilige und mit gutem recht vom gewaltstaat vollumfänglich geschützte und gernbereit mittätliche scheißausbeuter, der ihnen keinen lohn mehr für ihre arbeit geben will, gepriesen sei seine gnade, gelobt und gefördert sei sie! 😦

Schade, dass der Erich Mielke nicht mehr lebt. Der wäre sicherlich begeistert von diesem neuland gewesen

Fefe des tages

Was wir hier haben ist ein klarer Fall von „die Organisation hielt es nicht für nötig, ordentliche Infrastruktur auszurollen“. Organisationen, die glauben, ein verkacktes Berechtigungskonzept im Unternehmen durch die Nachinstallation von Schlangenöl bekämpfen zu können. Und ja, das ist meiner Erfahrung nach der beste Indikator für verkackte Sicherheitskonzepte in Organisationen: Schlangenöl. Je verkackter die Security, desto mehr Schlangenöl […] Was mich ja bei solchen Geschichten immer am meisten mitnimmt: Das sind die Leute, denen wir glauben sollen, dass sie bei dem Rest ihres Krankenhauses schon alles ordentlich machen. Denen wir unser Leben anvertrauen sollen, wenn wir in Not sind. Die Leute, die es nicht schaffen, ihre IT ordentlich zu installieren, denen sollen wir dann glauben, dass sie aber ihre ärztlichen Dinge alle voll im Griff haben

Und natürlich wird mal wieder rumgecybert, dass es zum schreien ist… 😦

Windohs des tages

Stell dir mal vor, du kriegst neue signaturen für dein antivirus-schlangenöl, und danach sagt dir ein windohs-systemprogramm für die dateisystemüberprüfung, dass einige systemdateien unreparierbar im arsch sind.

Auch weiterhin viel spaß mit dem ganzen antivirus-schlangenöl! Müsst ihr nehmen, das macht eure unsicheren kompjuter sicherer, wenn ihr sie damit besprengt. Der onkel werber hats gesagt, und sein hässlicher bruder, der jornalist, hats auch gesagt.

(Übrigens: die von heise ohne weitere erläuterung als notfallhilfe angegebenen DISM-befehle sehen schon ein bisschen sinnlos aus. Aber vielleicht bin ich auch nur einfach zu blöd dazu. Schließlich benutze ich ja seit jahren kein windohs mehr. Trotzdem: dieses /checkhealth überprüft nur, ob es probleme aus einem früheren lauf von DISM gibt, was in diesem kontext gar nicht interessiert. Schreiben jetzt in der karl-wiechert-allee irgendwelche mit hungerpfennigen bezahlten praktikanten aus der kompjuterbild ab?)

Was kostet eigentlich so ein schadsoftwäjhrbefall?

Beim heise-verlach in der karl-wiechert-allee hat der erfolgreiche angriff mit dem emotet-trojaner mindestens 50.000 øre gekostet, und dass, obwohl schnell eine weitere ausbreitung der digitalpest unterbunden wurde. Die fuffzich kiloøre sind übrigens nur die kosten für externe experten, da es in der karl-wiechert-allee keine hauseigenen experten mehr zu geben scheint *ätz!*. Da kommt noch mehr schaden drauf, den man nur nicht so leicht ausrechnen kann. Nur, falls sich jemand fragt, wie es eigentlich mit den verdeckten kosten einer windohs-offißß-monokultur in einem unternehmen aussieht.

Tja, hatten die denn kein antivirus-schlangenöl, für das sie sonst immer reklame machen? Und vor allem: haben die nicht einmal ihre eigenen ratschläge gelesen bei heise? :mrgreen:

Sicherheit mit gütesiegel des tages

Eigentlich soll das Best-of-the-Web-Siegel die Sicherheit von Webseiten zertifizieren, stattdessen wurden über ein gehacktes Script Keylogger eingebunden

Übrigens, golem hat noch mehr als diesen von Fefe zitierten zwangsreflex für den lachmuskel:

Auch ein Siegel des TÜV soll sichere Onlineshops garantieren, allerdings konnte Golem.de mit geringem Aufwand auf mehreren Seiten mit Safer-Shopping-Siegel – und auf der TÜV-Webseite selbst – sehr banale Sicherheitslücken entdecken. Immerhin verteilt das TÜV-Siegel nicht selbst Schadsoftware

Noch nicht! :mrgreen:

Webseits, die ihr geld lieber für reklame-bullschittsiegel als für richtige sicherheit ausgeben, würde ich ja generell nur mit der kneifzange anfassen wollen. Woran man die erkennt? Na, daran, dass da reklame-bullschittsiegel drauf sind.

Dummheit ist ein gutes geschäft

Weiterhin ein großes Problem stellen sogenannte Cleaner-Apps dar, die so tun, als würden sie macOS-Systeme von Datenschädlingen, unnötigen Inhalten oder Dateileichen befreien, dabei aber schlicht versuchen, unbedarften Nutzern Geld aus der Tasche zu ziehen. Manchmal werden diese Programme auch mit Adware kombiniert und haben somit einen doppelten „Einnahmestrom“

Auch weiterhin viel spaß mit irgendwelchen schlangenölprogrammen zur so genannten „systemoptimierung“! Endlich sind auch äppel-käufer in nennenswerter menge doof genug geworden, um auf diese technokwacksalberische masche reinzufallen! Na ja, ans geldverschwenden sind sie ja auch schon gewöhnt… :mrgreen:

TLS des tages

Die mozilla foundation, wohlbekannt für ihre meilenweit neben jedem benutzerwunsch liegenden entscheidungen und die umwandlung des leider immer noch viel zu beliebten webbrausers feierfox¹ in eine distribuzjonsplattform für schadsoftwäjhr, spielt gerade mit dem gedanken, TLS-zertifikate aus unsicherer kwelle zu importieren, damit es für feierfox-nutzer nicht mehr so viele sicherheitswarnungen gibt, wenn so ein dahergelaufenes antivirus-schlangenöl für meikrosoft windohs die TLS-sicherheit einfach untergräbt, um besser schlangen ölen zu können.

Ja! Ernsthaft!

Nein, echt jetzt, es ja auch noch nicht der erste april. Das ist leider kein witz. Das ist leider keine fäjhknjuhs. Und ja, es geht um den gleichen feierfox, der euch jedes mal vor riesen sicherheitsproblemen warnt, wenn ihr einmal eine unverschlüsselte webseit darstellt. Der meint jetzt, dass das mit dem TLS schließlich doch nicht so wichtig ist. Dann gibts halt mal manipulierte fernkontoführung, ist ja ein problem anderer leute…

Ich wünsche euch auch weiterhin ganz festen glauben an die gefühlte sicherheit, wenn ihr ein schlösschen in eurem webbrauser seht! Und natürlich, wenn ihr so ein antivirus-schlangenöl

¹Nehmt etwas anderes, aber bloß nicht ausgerechnet die krohm-wanze von guhgell! Probiert es zum beispiel mal mit brave!

„Smartding“ des tages

Samsung so: wir wissen, was gut für dich ist und was du wirklich brauchst, und deshalb installieren wir dir ein antivirus-schlangenöl auf deine smartglotze, das du nicht einfach wieder deinstallieren kannst — obwohl du darauf nur die softwäjhr aus unserem äppstohr drauf installieren kannst und wir die äppchen einfach selbst durchskännen könnten, ohne die performännz deiner smartglotze runterzureißen.

Auch weiterhin viel spaß mit den ganzen vergewohltätigungen, gängelungen, entmündigungen und technikverhinderungen eurer smartding-hersteller! Ganz tief bücken und über den fortschritt freuen, alles so schön dumm hier!

Schlangenöl des tages

Eine von Microsoft für die Antimalware-Plattform des Windows Defenders veröffentlichte Aktualisierung (KB4052623) hindert einige Windows-10-PCs daran zu starten – das Update gibt es auch für Windows Server 2016

Ist doch ganz hervorragend: ein windohs, das nicht mehr hochfährt, kann auch nicht mehr von irgendwelchen kriminellen übernommen werden. So viel schutz!!!1! Endlich mal ein schlangenöl, das auch funkzjoniert!!elf!!!1!

Und, woran liegt es?

Admins bleibt nichts anderes übrig, als bei den betroffenen Maschinen ins BIOS/UEFI zu gehen und Secure Boot vorerst auszuschalten

Richtig, es liegt an meikrosofts bösem versuch, käufer von kompjutern mit technikverhindernder gängelscheiße daran zu hindern, auf den gekauften kompjutern diejenige softwäjhr auszuführen, die sie für gut und richtig halten. Wenn doch nur vorher jemand davor gewarnt hätte! Jetzt haben alle normalkonsumenten irgendwelche bei aldi oder satan hansa oder mädchen markt gekauften fertigrechner rumstehen, die nicht mehr hochfahren — denn diese irreführend als „secure boot“ bezeichnete gängelscheiße ist auf allen diesen rechnern ab werk aktiv. Na, die werden sich aber sicherlich darüber freuen.

Und jenen, die ein unixoides betrübssystem irgendwie kryptisch finden und deshalb irrazjonale angst davor haben, empfehle ich mal einen genauen blick auf den heise-artikel. 😀

Ach ja, und wenn ihr „secure boot“ im BIOS einfach ausgeschaltet lasst und auf gar keinen fall — wozu euch die reklamefinanzierten analjornalisten von heise in offener verachtung eurer intelligenz bestupsen wollen — wieder einschaltet, macht ihr nichts falsch. Der rechner läuft auch ohne diese meikrosofte gängelscheiße, und er läuft trotz des irreführenden namens dieses antifunkzjonsmerkmales kein bisschen unsicherer. Ganz im gegenteil, er fährt dann immer garantiert hoch, wenn ein betrübssystem installiert ist und die installazjon nicht gerade total zerschossen wurde. Und das gilt sogar für betrübssysteme, die nicht mit einem schlüssel von meikrosoft signiert sind. (Und wenn auf eurem windohs tatsächlich eine schadsoftwäjhr gelaufen ist, die genügend rechte hatte, um den bootsektor der festplatte zu überschreiben, dann habt ihr sowieso ein so unheilbar schweres problem, dass ihr euer windohs neu installieren dürft.)

So, und jetzt zur entspannung nach der ganzen scheiße ein kleines, heiteres filmchen aus den besseren tagen des chaos communication congress.

Schlangenöl des tages

Benutzt hier jemand dieses „avira browser safety“, um angeblich einen sichereren webbrauser zu haben? Keine gute idee, denn avira hat euch einen trojaner untergejubelt, der eurer gesamtes webnutzungsverhalten zu avira funkt. Natürlich auch unter benutzung eines scheißträckers, der gleich mitverbaut wurde. Und natürlich mit einer eindeutigen ID, damit pseudonyme nutzerprofile aufgebaut werden können, die später vielleicht auch personalisiert werden können. Was kann da schon passieren? Ihr schaut doch nie in diesem internetz nach, wenn ihr ein gesundheitliches, privates, finanzjelles oder juristisches problem habt, oder? Ihr stellt euch damit doch einfach auf die straße und teilt das irgendwelchen fremden mit, oder?

Wenn ihr einen sichereren webbrauser haben wollt, dann installiert euch einen wirksamen adblocker, noscript, und stellt in den einstellungen ein, dass ihr keine cookies von drittkwellen akzeptiert. Schlangenöl braucht ihr dafür nicht. Beinahe alle angriffe auf den webbrauser laufen über javascript (es gibt ein paar ausnahmen), und der häufigste angriffskanal sind werbebanner (ja, verbrecher geben für ein erfolgversprechendes versprechen auch mal ein paar hundert dollar aus, damit ihr verbrecherischer kohd auf allen möglichen webseits wirksam wird, auch auf der webseit eurer lieblingszeitung oder auf eurem S/M-scheiß). Schlangenöl mit irgendwelchen hokuspokus-versprechen braucht ihr dafür nicht.

Wer noch mehr tun will, wird mit dem so gesicherten webbrauser leicht weitere informazjonen in diesem web finden. Aber nicht auf reklame von schlangenölhändlern reinfallen. Die haben nur schlangenöl. Manchmal sogar mit eingebauter abhörwanze, wie man gerade am beispiel avira sieht.

Braucht hier vielleicht jemand etwas geld?

Geld ohne Pin:
Gängige Geldautomaten können in weniger als 20 Minuten gehackt werden

[…] 85 Prozent der untersuchten Geräte waren unzureichend gegen Netzwerkattacken wie Spoofing geschützt […] Automaten kommunizierten […] auch per GSM mit dem Banknetzwerk, wobei sich die eingesetzten Funkmodems oder Router als angreifbar erwiesen […] liefen unter Windows XP […] besonders gravierende „Zero Days“-Schwachstellen [sic!] in aufgespielter Sicherheitssoftware wie GMV Checker ATM Security, Kaspersky Embedded Systems Security oder McAfee Application Control (Solidcore)

Geil, durch schlangenöl noch unsicherer gemacht! 😀

Aber bevor ihr jetzt loshäcken wollt, denkt mal kurz nach! Die leute, die sich jackpots an geldautomaten ziehen, sprengen oder flexen die dinger lieber auf, und das scheint auch ganz gut zu klappen. Für die häcks braucht man fysischen zugriff auf den verbauten kompjuter, muss also ein bisschen rumbohren oder rumsägen und auch wissen, wo man das tut. Meistens sind überwachungskameras auf die dinger gerichtet, man will also schnell machen und schnell wieder wegkommen, wenn man da geld rausholt, und das verträgt sich nicht mit langer fummelei. Und ob die leute viel von dem geld aus gesprengten automaten haben, ist auch fraglich. Da sind typischerweise dünne glasröhrchen mit fieser markierungsfarbe neben den geldscheinen (kriegt man nicht mehr ab, diese soße, jedenfalls nicht so, dass der schein dabei erhalten bleibt).

Kurz gesagt: vieles an dem alarmtönenden heise-artikel ist bullschitt. Wenn man fysischen zugriff auf einen kompjuter hat, ist wohl jeder kompjuter unsicher. Und wenn die ganzen begrifflichen fehlgriffe im artikel aus einer PResseerklärung irgendwelcher spezjalexperten abgeschrieben wurden und nicht in der karl-wiechert-allee passiert sind, dann können die banken erstmal beruhigt sein. Denn leute, die solche fehler machen, sind nicht wirklich kompetent.

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich hat zum baffen erstaunen des gesamten universums (einschließlich der mindestens sex eingerollten dimensjonen) rausgekriegt, dass irgendwelche TÜV-siegel auf webseits nix als schlangenöl sind, das „gefühlte sicherheit“ vermitteln soll.

Wird sich der kosmos jemals wieder von dieser einsicht erholen?

Ach ja, Fefe dazu:

Wer sein Geld nicht in Sicherheit sondern in PR-Prüfsiegel investiert, dem traue ich nicht

Übrigens: die europäische unjon will für das „sichere internet der dinge“ zertifizierungen einführen. Aber keine sorge, das macht nicht der europäische cyber-cyber-TÜV, das können die hersteller auch einfach selbst machen. Bwahahahahaha!