Security des tages

Wisst ihr noch, wie die EFF vor drei tagen alarmschrie, PGP sei kaputt und man möge doch lieber „signal“ statt mäjhl nehmen und wie dieser alarmschrei von allen kwalitätsjornalisten unreflektiert wiedergegeben wurde? Nun, das von der EFF empfohlene „signal“ hatte einen kleinen fehler, der ein viel größeres sicherheitsloch war, dieses fehler wurde schnell repariert, aber er wurde nicht gründlich genug repariert und ist immer noch drin.

Aber die EFF hat ihre missjon erfüllt: für die meisten menschen ohne tiefere kenntnisse ist die wirksame verschlüsselung von mäjhl nachhaltig diskreditiert. Wer dafür wohl bezahlt hat?

Advertisements

Ist die EFF auf die dunkle seite der macht gewexelt?

Einen tag nach der jornalistisch breit und in gewohnter inkompetenz wiedergegebenen sache „verschlüsselte e-mäjhl ist ein sicherheitsrisiko“ ist folgendes klar:

  • Kein privater schlüssel fließt ab.
  • Wenn die verschlüsselte mäjhl digital signiert ist (und das ist sie eigentlich immer, weil es keine andere möglichkeit gibt, den absender jenseits jedes vernünftigen zweifels sicherzustellen), dann muss die digitale signatur entfernt werden, weil sonst die erforderliche manipulazjon des mäjhlinhaltes an der ungültig gewordenen signatur auffällt.
  • Der häck funkzjoniert nur, wenn extern referenzierte inhalte in einer mäjhl nachgeladen werden, aber zumindest im „thunderbird“ ist es standardeinstellung, dass sie nicht nachgeladen werden.
  • Es handelt sich nicht um einen fehler in gnupg, sondern um einen fehler in der mäjhlsoftwäjhr. Dieser fehler tritt auf, weil klartext und verschlüsselte anteile beliebig gemischt werden können, und dabei verschlüsselte inhalte auch dann noch entschlüsselt werden, wenn sie etwa teil einer extern referenzierten URI sind, die von der mäjhlsoftwäjhr bei der ansicht der mäjhl nachgeladen wird. Vermutlich lässt sich das gleiche problem auch noch auf andere weise ausnutzen. Dem anwender wird nicht einmal eine warnung präsentiert, wenn unverschlüsselte und verschlüsselte inhalte gleichzeitig dargestellt werden.
  • Das zurzeit bekannte und dokumentierte angriffsszenario lässt sich vollständig vermeiden, indem man mäjhls nicht als HTML darstellen lässt. Dies lässt sich in jeder gegenwärtigen mäjhlsoftwäjhr einstellen. Die von der EFF empfohlene deinstallazjon von enigmail oder gnupg ist nicht erforderlich, der von der EFF empfohlene verzicht auf wirksame verschlüsselung der mäjhl natürlich erst recht nicht.
  • Die von der EFF empfohlene „alternative“, doch einfach nicht mehr zu mäjhlen, sondern stattdessen „signal“ zu nutzen, ist angesichts eines aktuellen, viel größeren sicherheitsproblemes in „signal“ sehr peinlich. Auf die tatsache, dass „signal“ unter ändräut so mies geproggt ist, dass der akku rasendschnell leergenuckelt wird und deshalb in der praxis nicht benutzbar ist, gehe ich dabei gar nicht weiter ein.

Da stellt sich nur noch eine frage: warum um alles in der welt rotzt die EFF über ihre pressevermeldungsinfrastruktur so einen gell schreienden alarmartikel raus, dessen nunmehr erkennbare hauptfunkzjon darin zu bestehen scheint, die verwendung verschlüsselter mäjhl mit gezieltem streuen von angst, unsicherheit und zweifel in misskredit zu bringen.

Und je länger ich darüber nachdenke, desto klarer wird mir, dass der EFF überhaupt nicht mehr zu trauen ist. Genau das werde ich mir für alle zukunft merken, und ich lege jedem anderen menschen — auch jedem anderen jornalisten — nahe, sich das ebenfalls zu merken. Die von der EFF verbreitete, völlig haltlose alarmstimmung nützt nur jenen, die alle kommunikazjon überwachen und deshalb die verwendung wirksamer kryptografie zurückdrängen wollen, und sie nützt niemandem, der aus guten (oder bösen) gründen nicht mitgelesen werden will.

Versteht mich nicht falsch: das problem in der mäjhlsoftwäjhr besteht, es ist nicht harmlos, es ist also ernstzunehmen, und es muss repariert werden. Ich bin mir sicher, dass es genau in diesem moment repariert wird und dass ich in kürze meine sicherheitsaktualisierungen habe. Aber die meldung, die von der EFF dazu verbreitet wurde, war reiner und völlig klar erkennbarer FUD. Die einzig interessanten fragen, die dazu verbleiben, sind folgende: warum verbreitet die EFF solche propaganda gegen wirksame verschlüsselung? Wessen interessen wurden dabei vertreten, und wessen interessen wurden mit füßen getreten? (Letzteres ist deutlicher zu sehen: meine und deine.) Warum wurde das getan? Wer ist dafür verantwortlich? Wer hat für diese vorsätzliche desinformazjon bezahlt? Und: welche folgen wird das in den kommenden tagen innerhalb der EFF haben?

Für mich ist die EFF jedenfalls erledigt. (Und das kann durchaus der zweck einer staatlich gesteuerten sabotahscheakzjon durch einen eingeschleusten geheimdienstschergen am presseerklärungsknopf gewesen sein.) Der schaden ist nahezu irreparabel.

Zurzeit kann die EFF nur als feind des freien internetzes und des menschenrechtes auf privatsfäre betrachtet werden.

Security des tages

Schwerwiegende sicherheitslücke in GnuPG

Es wird sogar empfohlen, auf die Kommunikation via PGP/GPG vorerst zu verzichten und Plugins in Thunderbird und Co. zu deaktivieren

Ich werde einen teufel tun! Ach ja, es gibt auch schon ein paar hinweise, wie man bis zum kommenden pätsch mit der sicherheitslücke halbwegs gefahrenfrei leben kann:

Don’t use HTML mails. Or if you really need to read them use a proper MIME parser and disallow any access to external links

Nun, HTML-mäjhl ist aus so vielen gründen keine gute idee (und deshalb bei verbrechern, werbern und anderen menschenfeinden hochbeliebt), dass ich mir die aufzählung hier einmal spare. Im thunderbird-menü auf ansicht ▷ nachrichteninhalt ▷ reiner text! Das macht die tägliche mäjhl auch viel angenehmer lesbar. Und es schützt die privatsfäre vor träcking-pixeln in HTML-mäjhls. Die idjoten, die auf die idee gekommen sind, dass man mäjhl in HTML formatieren könne und solle (und das beinahe überall zum standard gemacht haben, bei dem verdammt viele leute gar nicht mehr wissen, wie man die kackscheiße abschaltet), die hätte man auf die erste bemannte pluto-missjon der menschheit schicken sollen. Ohne rückfahrkarte. Wenn ich ein formatiertes dokument mit einer mäjhl versenden will, dann hänge ich das an.

Nachtrag: Die kompjuterbild mit schlips aus der karl-wiechert-allee in hannover schreibt den kwatsch mit „mäjhlverschlüsselung ist zurzeit ein sicherheitsrisiko“ ohne die geringste relativierung ab.

Nachtrag zwei: FUD?

Nachtrag drei: Die alarmschlagzeile des tages geht an die aktuelle kamera des BRD-parteienstaatsfernsehens ARD.

Digitale Kommunikation
Forscher knacken E-Mail-Verschlüsselung

Unbuntu des tages

At least two of the snap packages, 2048buntu and Hextris, uploaded to the Ubuntu Snaps Store by user Nicolas Tomb, contained malware

Ist doch eine tolle sache in diesem snäpp-dingens bei unbuntu, dass da jeder honk beliebige pakete zum bekwemen installieren hochladen kann. Was kann dabei schon schiefgehen?! :mrgreen:

Wenn man sein betrübssystem wischofonnutzertauglich macht — hej, es gibt auch viele viele bunte äpps!!!!1! — bekommt man eben auch die gleische scheißkultur wie auf den beschissenen wischofonen. Dann ist halt schadsoftwäjhr in einem erheblichen teil der verfügbaren pakete, genau wie unter ändräut. Wer die verblödung einlädt, darf sich nun einmal nicht wundern, wenn sie die türe eintritt, um auch ja schön schnell reinzukommen.

Immerhin wird so endlich mal dieses gerücht verschwinden, dass linux irgendwie sicherer als andere betrübssysteme sei.

Security des tages

Glaubt hier jemand, dass sein betrübssystem sicherer als die anderen sei?

Entwickler fast aller PC-Betriebssysteme, inklusive Windows, macOS, Linux und FreeBSD, haben auf Grund eines Missverständnisses einen Fehler in ihren Code eingebaut, über den ein lokaler Angreifer Kernel-Speicher auslesen und unter Umständen manipulieren kann. Das könnte zum Ausführen bösartigen Codes mit Systemrechten führen. Die Entwickler hatten, unabhängig voneinander, Anweisungen in der Chipset-Dokumentation von Intel missverstanden

Sicherlich eine völlig unmissverständlich formulierte dokumentazjon, die intel da verfasst hat…

Warum man immer mit javascript-blocker unterwegs ist…

Unbekannte Angreifer haben es auf mit dem Content Management System (CMS) Drupal gebaute Webseiten abgesehen. Dabei suchen sie gezielt nach Seiten mit Sicherheitslücken (CVE-2018-7600 und CVE-2018-7602), um diese auszunutzen und einen Krypto-Miner zu platzieren […] Eigenen Angaben zufolge hat er über die gesamte Welt verteilt bis dato rund 350 infizierte Drupal-Webseiten entdeckt – auch Webauftritte aus Deutschland sind betroffen. Darunter finden sich vor allem Seiten von Universitäten und Regierungen, aber auch vom Computerhersteller Lenovo

Fällt euch übrigens auf, dass scheißjornalisten niemals auf die sicherheitsprobleme mit javascript hinweisen? Wenn vergleichbare probleme mit „fläsch“ aufgetreten wären, wäre klar, was geschrieben würde. Jornalismus ist nicht aufklärung und informazjon, jornalismus ist verdummung, hirnfick, desinformazjon und manipulazjon, finanziert von reklameunternehmen. Abhilfe gegen die kriminelle kohdausführung innerhalb des webbrausers ist frei verfügbar.

S/M des tages

Das zwitscherchen hat… ähm… „aus versehen“ passwörter im klartext gespeichert. Die ausrede mit den logdateien wirkt aber auf mich plausibel. Allerdings würde man genau so einen weg wählen, um die datenbank mit den nutzerdaten als hinreichend gesichert ausgeben zu können, und doch zugangsdaten raustropfen zu lassen, zum beispiel für eine der diversen mörderischen und alles überwachenden und manipulierenden US-geheimmilitärpolizeien. So lange ein unternehmen irgendetwas in den USA hat, ist es nicht wirklich vertrauenswürdig. (Das gilt insbesondere auch für „cloud“-klitschen.) Die dürfen nicht einmal mitteilen, dass sie zur kooperazjon gezwungen werden. Einen objektiven grund, warum man HTTP-GET verwenden sollte, so dass das passwort als bestandteil der URI in der logdatei des websörvers landet, wenn man genau das (bei verwendung üblicher biblioteken ohne zusätzlichen aufwand) mit HTTP-POST vermeiden kann, sehe ich jedenfalls nicht. Oder wurde etwa eigens für die speicherung der passwörter noch eine weitere logdatei angelegt? Dann ist es so gut wie sicher, dass die ausleitung der zugangsdaten beabsichtigt war.

Intel des tages

Die neuen Lücken, die noch keine dedizierten Namen haben und deshalb derzeit unter dem Sammelbegriff Spectre-NG (für Next Generation) laufen, sind derzeit noch geheim. Die von mehreren Forscherteams entdeckten Lücken sind aber von Intel bestätigt worden, wobei der Hersteller die Hälfte als „hochriskant“ und den Rest mit der Gefährlichkeitsstufe „mittel“ einschätzt. Die c’t, die nach eigenen Angaben bereits über verifizierte, aber noch nicht veröffentlichte technische Einzelheiten verfügt, schätzt eine der Lücken als gefährlicher ein als die bereits katastrophalen Vorgängerlücken Meltdown & Spectre

Hej, aber eure ganzen daten, die von irgendwelchen klitschen in der „cloud“ abgelegt wurden, sind sicher. Die renten übrigens auch.

Auto des tages

Das vielfach beworbene vernetzte Auto hat neben einigen Vorteilen vor allem rund um mehr Bequemlichkeit auch gravierende Sicherheitsnachteile […] Root-Zugang zu dessen Zentralrechner […] Die umfangreichen Angriffsflächen fanden die Sicherheitsforscher im WLAN-fähigen „Modularen Infotainmentbaukasten“

So so, über das infotäjhnmentdingens an den zentralrechner. Warum trennt man das nicht von den essenzjellen systemen? So hat man jedenfalls eine richtig tolle sache gebaut, die sich aus der ferne kräcken lässt, aber dafür nicht so einfach aktualisieren lässt, so dass die autos in die werkstatt müssen, um das kleine sicherheitslöchlein zu schließen. Ganz großes kino!

Über die Navigationskomponenten lasse sich zudem präzise nachvollziehen, wo der Fahrer unterwegs war oder wohin er sich aktuell bewege

Vermutlich, weil die geheimdienste dieser welt das nicht wünschen. Ich will ja nicht behaupten, dass die leute bei VW und audi komplett unfähig sind, ein sicherheitskonzept für die autos zu entwickeln und dabei elementare vernunft anzuwenden, zum beispiel, indem man essenzjelle teile vollständig vom „infotäjhnment“ trennt. In diesem sinne: auch weiterhin viel spaß und orwellness mit euren vernetzten autos!

Ist euch eigentlich im artikel aufgefallen, wie ein zwei jahre altes auto schon hirnficktaktisch als „älteres auto“ bezeichnet wird? Das wird noch laufen wie bei den scheißwischofonen: einfach jedes jahr ein neues auto! Kostet ja nicht mehr so viel und ist im trend der zeit… im VW-mänätschment kriegen die von solchen vorstellungen doch eine erekzjon.

Und freut ihr euch auch schon so auf die „selbstfahrenden“ autos? Da bekommt ein wort wie „mobiles botnetz“ auf einmal eine ganz andere bedeutung. :mrgreen:

Fernkontoführung des tages

Machen sie ihre bankgeschäfte bekwem und einfach mit unserer internetz-fernkontoführung (neudeutsch: onleinbänking) und ermöglichen sie es uns damit, achtzig prozent unserer mitarbeiter zu entlassen, ihnen aber weiterhin das gleiche geld abzuknöpfen wie vorher. Was kann dabei schon schiefgehen?

Eine katastrophal schiefgelaufene Migration von Kontodaten in ein neues Datenbanksystem hat Millionen britische Bankkunden aus ihrem Onlinebanking ausgesperrt. Seit Tagen kommen sie nicht an ihr Geld […] Wer sich einloggen kann, hat demnach aber auch Probleme und bekommt Buchungen eventuell nicht zu sehen oder gar einen falschen Kontostand angezeigt. Ein Kunde konnte andere Konten einsehen und hätte sogar überweisen können, erzählte er der BBC […] eine Behebung der Probleme ist nicht in Sicht

Weia!

Kompjuterenteignung des tages

Ich wünsche auch weiterhin ganz viel spaß mit den vielen kompjutern, die ihr bezahlt und euch ins leben stellt, aber bei denen nicht ihr selbst, sondern andere darüber entscheiden, was für eine software darauf laufen soll. Ich würde mir so eine technikverhindernde, enteignende krüppelscheiße jedenfalls nicht andrehen lassen und nur kompjuter benutzen, bei denen ich selbst problemlos und ohne irgendwelche häckereien die softwäjhr installieren kann, die ich haben will. Warum?

Die Entwickler des VLC Media Players haben ihre App aus dem Store des Fire TV entfernt. Amazon hatte sich zuvor geweigert, die neue Version der Anwendung abzunicken

Aber ich würde mir auch grundsätzlich nichts von so einem megadatenschnorchler wie amazon andrehen lassen… da kriegt man ja sehnsucht nach windohs!

(Übrigens: man kann sich das apk auch aus dem internetz saugen und installieren, man braucht den „schopp“ nicht. Macht das, wenn ihr den VLC haben wollt! Und wenn ihr dazu zu doof seid, dann legt euch ein anderes spielzeug zu. Zum beispiel einen bunten ball.)

Windohs zehn des tages

Stell dir mal vor, da ist eine sicherheitsfunktion verbaut, die die ausführung von schadkohd ermöglicht… und meikrosoft war nicht dazu imstande oder nicht willens, diesen fehler binnen dreier monate zu flicken.

Klar, es ist jetzt nicht der schwerste denkbare fehler. Aber die meisten cräcks basieren auf dem ausnutzen einer kombinazjon von schwächen und fehlern, und dann kann es schnell übel werden. Vor allem jetzt, wo der fehler bekannt ist, nachdem meikrosoft ihn einfach mal wieder unbehandelt verschweigen wollte.

Auch weiterhin viel spaß mit schlangenöl und gefühlter sicherheit! Wenn meikrosoft eure kompjutersicherheit zunehmend scheißegal wird, weil man dort offenbar alle geistigen resorßßen aufwändet, um nutzer von windohs zehn vollumfänglich in ihrer kompjuternutzung zu überwachen, dann könnt ihr eure rechner sogar in schlangenöl baden, und es nützt nix. Da kann man nur noch hoffen, dass meikrosoft mit anderen fehlern etwas verantwortungsvoller umgeht

Security des tages

Na, kriegt hier jemand passend zur hannovermesse appetit auf industrie 4.0 und die ganzen gewinngarantien fürs bullschittbingo?

Der beschwerliche Anstieg wird durch die Patscherkofel-Gondelbahn erleichtert. Leider machte es die Bahn Angreifern relativ leicht, die Steuerungsanlagen dafür über das Internet ausfindig zu machen […] egliche Kommandos wurden nach Angaben von Schäfers und Neef unverschlüsselt gesendet, also ohne den Einsatz von TLS. Eine Authentifizierung ist in dem System nicht vorgesehen, außerdem ist die Webapplikation für Cross-Site-Scripting (XSS) anfällig […] war die getestete Software auch für eine HTTP Header Injection anfällig

*grusel!*

Aber alles halb so schlimm. Erstens ist es ja nur eine seilbahn und kein kernkraftwerk, so dass der schaden sehr begrenzt ist, und zweitens haben die häcker sowieso nur halluziniert, als sie da steuerelemente für notbremsungen und zur regulierung des abstandes von gondeln sahen, aber mangels zerstörungslust nicht ausprobierten:

Doppelmayr-Pressesprecher Ekkehard Assmann sagte: „Es hat nie ein Sicherheitsproblem gegeben. Die Steuerung der Bahn war auf diesem Weg nicht möglich.“

Mit solchen PResseerklärern in die neue zeit! :mrgreen:

Datenschleuder des tages

Na, meldet sich hier jemand an irgendeine andere webseit bekwem mit seinem fratzenbuchkonto an?

Wenn ein Internet-Nutzer auf einer Webseite die Funktion „Login mit Facebook“ verwendet, gibt er der Webseite, auf der er sich befindet, unter Umständen Zugriff auf sein öffentliches Facebook-Konto. Forscher der Princeton-Universität in den USA warnen nun davor, dass auf dieser Webseite eingebettete Skripte von Dritten ebenfalls Zugriff auf diese Daten haben. Laut den Forschern sammeln Tracker so die Informationen der Webseitenbesucher – in den meisten Fällen wohl ohne dass die betroffene Webseite davon Kenntnis hat. Derartige Scripte fanden sie auf 434 der eine Million meistbesuchten Seiten im Netz

Hej, ist aber nicht weiter schlimm. Ist nur der fratzenbuch-name, der nach den nutzungsbedingungsen vom fratzenbuch ja der echte name sein muss. Und das profilbild. Und die mäjhladresse. Genau das, was ein verbrecher für personalisiertes phishing oder eine gut personalisierte betrugsnummer braucht.

Auch weiterhin viel spaß beim festen glauben an den überall vollmundig und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt

„Cloud“ des tages

Die Public Cloud ist beliebt, aber risikoreich: Laut McAfee war jedes vierte befragte Unternehmen schon Opfer eines Datendiebstahls. Trotzdem wird die Public Cloud zum Speichern von personenbezogenen Daten und geheimen Informationen genutzt

Auch weiterhin viel spaß bei der datenpreisgabe an irgendwelche klitschen, die diese daten dann auf den kompjutern anderer leute ablegen, wo sie von kriminellen mitgenommen werden können! Immer ganz feste an den überall versprochenen datenschutz und die tolle datensicherheit glauben!

Die größte Herausforderung für Administratoren sei demnach die teils ungenügende Übersicht darüber, wo und wie Daten in der Cloud gespeichert werden

Eine steigerung der komplexität ist immer, überall und ausnahmslos eine senkung der analyiserbarkeit und damit der sicherheit. Wer mir als rotzigen blogger, der nicht einmal richtig deutsch schreibt, so eine aussage nicht glauben mag, frage einfach einen beliebigen inschjenör — denn es gilt weit über die informazjonstechnik hinaus. 😉

Nur einen scheißjornalisten darf man halt nicht fragen, denn der kann nur die verlogenen reklametexte wiedergeben, die er auch in seinem scheißjornalismus wiedergibt…