Lösung des tages

Arne Schönbohm, obermotz des bummsamtes für sicherheit in der informazjonstechnik, hat anlässlich der aufmerksamkeit von dummen, ahnungslosen scheißjornalisten für die CEBIT endlich die lösung für die ganzen sicherheitsprobleme mit diesem internetz der dinge gefunden:

Auch die Politik muss für Sicherheit sorgen […] Wir wollen ein Gütesiegel einführen, das garantiert, dass das Gerät Mindeststandards für die IT-Sicherheit erfüllt

Bwahahahaha!

Die IT-sicherheit wird bestimmt genau so toll gemessen wie die abgaswerte und der kraftstoffverbrauch von autos! Mit einem tollen secure-o-meter beim TÜV. Wenn sich der zeiger nur ein bisschen bewegt, statt gleich an den anschlag zu klappern, gibts auch einen teuren aufkleber mit BRD-reichsamsel¹ und draufgestempelten siegel, mit etwas frischem schlangenöl bestrichen.

Bwahahahaha!

Oder wollen die etwa wirklich kwelltexte von richtigen, teuren experten analysieren lassen. Selbst das garantiert keine fehlerfreiheit. Man kann getrost davon ausgehen, dass sich sehr viele leute mit einem gewissen maß an ahnung die kwelltexte vom linuxkernel anschauen, und doch werden da immer wieder einmal wirklich schwere fehler gefunden, die jahrelang unentdeckt blieben. Aber ein ordentliches sicherheits-auditing wäre deutlich mehr als irgendwelche bullschitt-verfahren. Es kostete allerdings auch deutlich mehr.

Aber hej, eine gute idee steckt in den ganzen konjunktiven:

Wer ein Produkt herstellt, das nicht sicher ist, sollte für Schäden verantwortlich gemacht werden können

Ich wünsche eine übertragung dieses tollen ansatzes vom „internetz der dinge“ auf gewöhnliche kompjuter, wischofone und allerlei smartdinger, die ja gar nichts anderes sind!!!1!elf!!1!!!!1!

Schluss mit dem haftungsausschluss!!!!111!1!!!1! Und scheiß auf die sonst immer geforderte globalisierung!

Die herstellung von softwäjhr (programmieren) muss endlich wieder ein riesengroßes juristisches risiko werden, das existenzbedrohende kosten nach sich ziehen kann!!!ölf!!!hundertelf!1! So geht es voran!!!!!!1! Und vor allem: so kann man auch endlich diese industrie 4.0 machen und jedes plumpsklo mit dem internetz verbinden, es ist ja ein bullschitt-siegel drauf, das sicherheit verspricht! Denn diese lösung ohne problem (außer vielleicht des problemes der totalen überwachung des lebens aller menschen und sämtlicher wirtschaftsvorgänge) wird ja ganz unbedingt und alternativlos gebraucht, also muss man sie den leuten, deren intelligenz man offen verachtet, immer und immer wieder verkaufen…

Cyber, cyber!

¹Amtliche bezeichnung: bundesadler.

Schlangenöl des tages

13 von 29 untersuchten Antiviren-Programmen klinken sich in die verschlüsselten TLS-Verbindungen ein. Und alle bis auf eines verschlechtern dabei die Sicherheit der Verbindung; in vielen Fällen konnten die Forscher den angeblichen Schützern sogar massive Sicherheitsprobleme nachweisen

Ich wünsche euch allen da draußen, die ihr euch von onkel werber und seinem hässlichen bruder, dem jornalisten, „informieren“ lasst, auch weiterhin viel spaß beim festen glauben an das ganze antivirus-schlangenöl! Es funkzjoniert nicht und macht eure kompjuter unsicherer… zumindest ich bin davon nicht so überrascht.

Und TLS, die bekweme „sicherheit“ durch den anblick eines schlösschens im brauser, die durch ein paar klitschen hergestellt wird, die für dieses privileg geld an die brausermacher geben, ist schon lange, lange, lange tot. Leider gibt es noch nix besseres…

Antivirus-schlangenöl des tages

Ex-Firefox-Entwickler rät zur De-Installation von AV-Software

Mir glaubt ja nie einer, wenn ich so etwas empfehle… der onkel werber aus allen scheißpresseartikeln und aus der scheißwerbung ist ja viel glaubwürdiger.

Oder vielleicht mal die c’t von vor sieben jahren lesen, als ungekennzeichnete reklame im redakzjonellen teil noch nicht so ein wichtiges geschäftsmodell für den scheißjornalismus war und man deshalb auch gegen gewisse unternehmen mit unseriösem geschäftsmodell schreiben konnt… :mrgreen:

Schlangenöl des tages

Wie schütze ich meinen Computer am besten? Wie unterschiedlich die Einschätzung von Experten und Computernutzern – Fachleuten sowie Durchschnittsnutzern – ist, zeigt nicht zuletzt eine Studie von Google. Die befragten Nutzer hielten Antivirenprogramme für die wichtigste Maßnahme, um sich vor Gefahren zu schützen. Das halten jedoch nur sieben Prozent der Experten für besonders wichtig. Umgekehrt ergibt sich ein ähnlich kontroverses Bild. Auf Platz eins bei den Experten: regelmäßige Updates. Die schafften es bei den Nutzern nicht einmal in die Top fünf

Aber so lange der jornalismus in erster linje werbeplatzvermarktung ist statt eine aufklärung der menschen, die diesen menschen ein selbstverantwortliches und vernünftiges handeln ermöglicht, so lange werden die scheißjornalisten den menschen auch erzählen, dass das schlangenöl aus der reklame ganz wichtig und unabdingbar ist — und ihnen verschweigen, worauf es wirklich ankommt. Aber das würde ja auch das geschäftsmodell der jornalisten beschädigen

via @schulle4u@twitter.com

Schlangenöl des tages

Sicherheitspatches:
McAfee VirusScan Enterprise gefährdet Linux-Systeme

Na, wenn man mit linux schon — vor allem, weil es immer noch so wenig verbreitet ist, dass es sich für die verbrecher nicht lohnt — keine probleme mit schadsoftwäjhr hat, dann muss man sich doch wenigstens probleme und klaffende sicherheitlöcher durch irgendwelche schlangenöle gegen schadsoftwäjhr holen. Sonst würde einem ja was fehlen… :mrgreen:

Krüpplografie des tages

Intel will am 10. November seine für Android und iOS erhältliche Verschlüsselungs-App Intel File Protect beerdigen. Für die Nutzer hat das ernste Konsequenzen: Wer seine geschützten Daten nicht rechtzeitig aus der App exportiert, kann ab dem Termin offenbar nicht mehr darauf zugreifen

Es gibt keinen technischen grund dafür, warum eine kryptosoftwäjhr, die lokal verschlüsselt, nicht auch wieder lokal entschlüsseln können sollte, selbst, wenn sie nicht mehr weiterentwickelt wird — außer, sie funkt nach hause und die schlüssel sind nicht privat, sondern werden zentral gesammelt. Und das ist nun einmal krüpplografie; und gegenüber den menschen, die sich darauf verlassen haben, ists eine ganz üble verarschung.

Lasst euch niemals krypto-schlangenöl andrehen! Schon gar nicht von scheißfirmen aus dem folter- und überwachungsstaat USA! Da könntet ihr eure daten auch gleich offen ins fratzenbuch schreiben.

Aber kaum ists internetz im händi, schon ists gehirn im arsch.

Schlangenöl des tages

Eben in einem tschätt gehabt:

Zudem … also dazu muß ich sagen, ich hab zuletzt ja den 360° drauf und der hat mir gestern, als ich ihn mal startete, eine komplette Analyse gefordert … ich dachte mir, was kann es schaden – mach mal. Und dann löschte er Windows-Systemdateien die angeblich überflüssig waren und änderte die Dienste, die für ihn nötig waren und … in der Nacht ließ sich der Rechner nicht mehr richtig runterfahren und ein Neustart versagte … so mußte ich mein Image zurückspielen und … puhh, es läuft wieder

Was für eine unerträgliche strokelscheiße!

Ich wünsche euch auch weiterhin viel spaß mit allerlei antivirus-schlangenölen, die jetzt auch fast alle eifrig in „tjuhning“ und „systemoptimierung“ machen, damit man sie benutze, obwohl sie als antivirus-schlangenöle gegen die gegenwärtige internetz-kriminalität kaum wirksam sind. Man hat ja nix besseres mit seiner lebenszeit anzufangen, als so einer scheiße hinterherzuräumen und/oder damit zu leben, dass so eine scheiße als antivirus-dingens völlig wirkungslos ist, so dass man dann doch die neueste trojanerbrut auf seinem kompjuter hat.

Macht datensicherungen, leute, macht datensicherungen! Und klickt nicht auf alles, was sich anklicken lässt! Und macht nicht jeden mäjhlanhang auf! Und gebt eurem webbrauser einen wirksamen adblocker und noscript! Und haltet eure softwäjhr aktuell! Das alles trägt stärker zur kompjutersicherheit bei als dieses ganze schlangenöl…

Mein kompjuter ist sicher, ich hab doch antivirus…

Eine gefährliche Sicherheitslücke in fast allen Sicherheitsprodukten von Norton und Symantec ermöglicht Angreifern, die PCs der Nutzer zu übernehmen. Schuld ist ein schwerwiegender Designfehler: Malwaresamples werden nicht in einer Sandbox entpackt, sondern direkt im System. Um die Sicherheitslücke auszunutzen, ist keinerlei Interaktion der Nutzer notwendig

Ich wünsche euch auch weiterhin ganz viel spaß und gefühlte sicherheit mit eurem ganzen antivirus-schlangenöl! Müsst ihr haben. Der onkel jornalist hats euch gesagt!

In einigen Fällen werde der verwundbare Code sogar direkt im Windows-Kernel ausgeführt und ermögliche so eine Manipulation der Kernel-Speicherbereiche aus der Ferne

Weia!

(Mein verschwörungsteoretisch wertvoller hinweis: wenn ich ein weltüberwachungsdienst aus den USA wäre, der einen hintertür zu möglichst vielen kompjutern auf der welt aufmachen will, dann würde ich antivirus-klitschen zum einbau von hintertüren zwingen. Fast jeder mensch hat ein derartiges schlangenöl in der einen oder anderen form laufen. Wird ja auch von der polizei empfohlen. Zugegebenermaßen neben einer menge wirklich nützlicher und guter hinweise.)

DE-mäjhl-nachfolger fertiggestellt!

E-Mail-Verschlüsselung für jedermann:
Volksverschlüsselung steht bereit

Einmal ganz davon abgesehen, dass sichere kryptografie für jedermann in form von PGP und thunderbird-addons wie enigmail schon lange bereit steht, ohne dass sich ein kwasistaatsbetrieb des überwachungsstaates DD… ähm… BRD unserer erbarmt: vor dem verschlüsseln muss man erstmal schön datenmäßig die hosen runterlassen! Juchu! Endlich ein internetzausweis! Wäre ja auch voll kacke, wenn man in die „verschlüsselung“ nicht eine überwachungstechnik einbauen würde. In diesem zusammenhang bitte ich auch um nochmalige beachtung dessen, was ich schon im märz über diese krüpplografie geschrieben habe. Auch diesmal gilt die gleiche anmerkung:

Der private Schlüssel verbleibt dem Fraunhofer SIT zufolge zu jedem Zeitpunkt in den Händen des Nutzers

Entscheidend ist, dass der private schlüssel exklusiv in den händen des nutzers bleibt — und gut wäre es, wenn man dafür nicht einer zusicherung eines BRD-kwasistaatsbetriebes glauben müsste.

Danke @skynet@quitter.is!

Schlangenöl des tages

Sicherheitsforscher haben Schwachstellen in einem halben Dutzend Virenjägern für Android-Smartphones entdeckt. Bis zu 675 Millionen Installationen sollen weltweit betroffen sein. Angreifer können über die Lücken den Virenschutz abschalten, persönliche Daten abgreifen und im schlimmsten Fall das Gerät sperren und Lösegeld verlangen. Betroffen sind Produkte von Avira, Eset, Kaspersky, Malwarebytes, McAfee und die weniger weit verbreiteten Virenjäger AndroHelm und Cheetahmobile

Ich wünsche euch allen auch weiterhin viel spaß mit dem sicherheitsgefühl, dass euch die reklame und die ständige jornalistische schleichwerbung für antivirus-schlangenöle macht!

Ach ja:

Der Scanner von Kaspersky lädt ungenügend gesicherte Werbung nach, die manipuliert werden kann, um Schadcode mit den Rechten der App auszuführen

Seid bitte vorsichtig! Die webseit von heise onlein lädt ungenügend gesicherte reklame von drittanbietern nach, was immer wieder von verbrechern als kanal für die verbreitung von schadsoftwäjhr benutzt wurde und wird. Dagegen hilft nicht ein antivirus-schlangenöl, sondern ein wirksamer adblocker, der ausnahmslos alle reklame von drittanbietern abblockt. Heise onlein fordert seine leser in der „richtigen“ webseit dazu auf, diese im gegensatz zu antivirus-produkten wirksame sicherheitssoftwäjhr abzuschalten, was der grund dafür ist, dass ich zurzeit ausschließlich die mobilseite verlinke — nicht, dass noch jemand wegen meines links auf die verantwortungslose jornalistische blödheit aus der karl-wiechert-allee reinfällt und sich einen erpressungstrojaner oder dergleichen holt.

Schlangenöl des tages

Tja, einer der vorteile von TLS-verschlüsselung ist ja, dass auf dem weg niemand anders mitlesen kann. Das gilt natürlich auch für irgendwelches security-schlangenöl. Und deshalb stellt sich das schlangenöl gern als TLS-proxy in den weg und reißt dabei gleich ein paar sicherheitslöcher auf, die man vorher nicht gehabt hätte:

Unter 14 Antivirus- und Kinderschutzprodukten, die Inhalte in gesicherten TLS-Verbindungen filtern, fand sich kein einziges, das dabei keine zusätzlichen Sicherheitsprobleme verursachte

Ich wünsche auch weiterhin viel spaß beim festen glauben an die kompjutersicherheit durch schlangenöl — und natürlich an den kinder- und jugendschutz durch technische zensur.

Antivirus-schlangenöl des tages

Bitte jetzt getränke aus dem mund entfernen!

Die Trojaner in den Datei-Anlagen sind zum Teil so alt, dass sie in den aktuellen Pattern-Files nicht mehr enthalten sind

Bwahahahaha!

Einfach rechner mit alter schadsoftwäjhr pwnen. Geht. In zukunft sagen wir also, wenn wir jemandes daten vom gepwnten kompjuter retten (oder zu retten versuchen): „hättest du die signaturen von deinem antivirus-dingens nicht aktualisiert, wäre dir das nicht passiert“. :mrgreen:

Ich wünsche auch weiterhin viel spaß beim festen glauben an das antivirus-schlangenöl! Der oben verlinkte artikel bietet ja ein neueres schlangenöl an, weil das ältere schlangenöl nicht mehr wirkt. Wer einfach niemals einen unabgesprochenen anhang einer mäjhl aufmacht, ist auf der sicheren seite und braucht zumindest für diesen zweck gar kein schlagenöl. Und wenn man dann auch noch digitale signaturen benutzt — das ist alles seit fünfundzwanzig verdammten jahren fertig programmiert, bekwem anwendbar, kostet nix und wartet drauf, dass man es einsetzt — und die digitalen signaturen eigehender mäjhl prüft, kann man auch nicht mit gefälschtem absender irregeführt werden.

Warum solche security-spezjalexperten (und PResseerklärungen abschreibende scheißjornalisten) euch so etwas nicht einfach immer und immer wieder empfehlen? Ganz einfach: weil man euch so nix verkaufen kann. Lasst euch nicht verblöden!

„Volxverschlüsselung“ und krüpplografie des tages

Könnt ihr euch noch an diesen bullschitt von fraunhofer, an diese geradezu bildzeitungsmäßig angepriesene „volxverschlüsselung“ mit dem ganz besonders windigen verfahren zur schlüsselerzeugung, erinnern?

Das dingens ist jetzt „open source“. Jedenfalls behaupten die PR-lügner vom fraunhofer-institut das, obwohl das dingens eben nicht offen und schon gar nicht frei ist, aber deshalb sind PR-lügner ja auch PR-lügner:

In einer E-Mail erklärt das SIT darüber hinaus: „Es gibt noch keine Entscheidung zur genauen Lizenzart.“ Da die Volksverschlüsselung bereits seit mehr als einem Jahr in Entwicklung ist und damit beworben wird, künftig als Open Source zur Verfügung zu stehen, wirkt dies eher irritierend

Lasst euch nicht verarschen, leute! Die so genannte „volxverschlüsselung“ ist DE-mäjhl 2.0 und enthält mit an sicherheit grenzender wahrscheinlichkeit eine eingebaute hintertür für den staatlichen lauschangriff und noch schlimmere attacken.

Auch weiterhin frohes glauben an bekwemes security-schlangenöl!

The Bulletproof Security plugin for WordPress [sic!] is prone to a multiple cross-site scripting vulnerabilities because it fails to sufficiently sanitize user-supplied input.

An attacker may leverage this issues to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and to launch other attacks.

Ohne weitere worte!