Security des tages

Über Ersatzteile könnten Angreifer unbemerkt Malware in Smartphones schmuggeln

Übrigens: wenn man das händi zum reparieren aus der hand gibt, können auch klassische wanzen eingebaut werden. 😉

Allerdings ist es für die geheimdienste totalitärer, über den menschenrechten stehender überwachungsstaaten wie der „VR“ china, den USA oder der BRD eine einladung, über post und spedizjonen versendete händis abzufangen und umzubauen. Selbst die leute, die sich danach ihr wischofon rooten und sich ein betrübssystem eigener wahl aufspielen, wären dann weiterhin mit staatlicher schadsoftwäjhr verseucht. Und wer jetzt glaubt, dass ich ein spinner bin: wartet mal ein paar jahre ab! Die überwachung wurde bislang weiter und weiter und weiter ausgebaut, und sie wird niemals mehr zurückgebaut werden… 😦

Kleines lacherchen des tages

Ein einzelner, motivierter Angreifer mit Script-Kiddie-Tools kann in vier Monaten so viele Angriffe ausführen, dass auch routinierte Sicherheitsforscher erst mal an eine staatlich-finanzierte Kampagne glauben

Bwahahahaha!

So, und jetzt noch schnell eine wirre verschwörungsteorie, um das lachen zu bremsen: gar nicht auszudenken, wenn das doch eine staatliche häckergruppe war, die ihre spuren schnell verwischt hat und lauter indizjen ausgelegt hat, die zu einem nigeranischen mann führen — der zwar vermutlich keinen eigenen internetzanschluss hat, aber immerhin eine von verschwörern eingerichtete fratzenbuch-seite… :mrgreen:

Im moment klingt so etwas natürlich ziemlich meschugge, aber je mehr gecybert wird, desto wahrscheinlicher wird ein derartiges, dem täter-selbstschutz dienendes vorgehen sowohl bei kriminellen als auch bei staatlichen verbrechen. Die vorstellung, dass man vielleicht in zwei jahren überraschend von einer kampfdrohne abgeknallt werden kann — einfach nur, weil jemand entsprechende spuren bei einem cräck in einer bank, einem kernkraftwerk oder dergleichen gelegt hat, mit dem man gar nix zu tun hat, ist gar nicht so absurd. Schon jetzt wird im „krieg gegen den terror“ auf grundlage sehr fragwürdig ermittelter und prinzipjell leicht fälschbarer daten staatlich gemordet, und zwar ohne dieses ganze „rechtsstaatliche“ gemache, und das hat für die vereinigten staaten eines teils von nordamerika, die seit vielen jahren so vorgehen, keinerlei konsekwenzen.

Ändräut des tages

Wisst ja, ein voll jetzt echt mal wichtige und einfacher schutz vor schadsoftwäjhr auf euren telefonen ists, wenn ihr nur über guhgell pläjh installiert… ähm:

Die Sicherheitsfirma Lookout hat eine neue Malware-Familie für Android entdeckt, deren Code in mehr als 4.000 verschiedenen Apps enthalten ist […] waren einige der Apps zeitweise auch bei Google Play zu finden

Auch weiterhin viel spaß mit euren wischofonen und der kultur, die da eingerissen ist.

„Freie softwäjhr ist sicher“ des tages

Im Open-Source-Datenbankserver PostgreSQL klaffen drei Sicherheitslücken […] Eine der Lücken kann missbraucht werden, um sich ohne Angabe eines Passworts am Server anzumelden und Zugriff auf Datenbanken zu bekommen. Der Fehler fußt in einem Bug in der C-Bibliothek libpq, die leere Passwörter ignoriert und so behandelt, als sei kein Passwort gesetzt […] Zwei weitere Lücken in der Software ermöglichen es Nutzern unter bestimmten Umständen, Zugriff auf die Passwörter anderer Nutzer zu bekommen und in Datenobjekte zu schreiben, auf die sie eigentlich keinen Zugriff haben sollten

Also los, holt euch die neue versjon, wenn ihr postgresql im einsatz habt! Klar, bei heise im sommermodus hat mal wieder ein praktikant geschrieben, der gar nicht richtig klar gemacht hat, was das für ein fehler ist und wie man den ausnutzen kann. (Das problem liegt darin, dass die besagte libpq sich um die autentifikazjon kümmert, und dabei auch den sonderfall „kein passwort“ abfängt, nicht der datenbanksörver. Wenn man kohd hat, der diese bibliotek nicht benutzt, sondern direkt mit dem datenbanksörver kommuniziert, und wenn ein benutzer auf inaktiv gesetzt wurde, indem sein passwort auf NULL gesetzt wurde, dann tritt der fehler auf. Ich würde mich niemals darauf verlassen, auf der sicheren seite zu sein, weil meine anwendungen die bibliotek benutzen. Wenn ein angreifer über eine andere schwachstelle in irgendeiner anwendung kohd ausführen kann, ist er eventuell ganz schnell DBA.

Die frage, was für ein kraut die entwickler geraucht haben müssen, um eine autentifizierungsschwäche in einer bibliotek zu umgehen, statt sie im sörver zu fixen, müsst ihr den entwicklern stellen.

„Internetz der dinge“ des tages

Fehlerhaftes Firmware-Update legt smarte Türschlösser lahm

Nun lassen sich diverse bei Airbnb-Vermietern beliebte und per WLAN programmierbare Türschlösser nicht mehr per Tastenkombination öffnen. Betroffene Kunden müssen deshalb die Hardware tauschen

Bwahahahaha!

Ich wünsche euch auch weiterhin ganz viel spaß mit den ganzen smartdingern in diesem „internetz der dinge“. Wenn euch doch nur vorher jemand gewarnt hätte… :mrgreen:

Security, schlangenöl und „cloud“ des tages

Festhalten!

Cloud-Antivirensoftware hilft beim Datenklau aus luftdichten Netzwerken

Spacebin macht moderne Antivirensoftware zum Sprungbrett für Datendiebstahl umfunktionieren lässt [sic!]: Mindestens vier Antivirenprodukte – Avira Antivirus Pro, Comodo Client Security, ESET NOD32 und Kaspersky Total Security 2017 – sind beziehungsweise waren anfällig für die neue Angriffsmethode

Ich wünsche auch weiterhin viel spaß beim festen glauben an die kompjutersicherheit, die durch irgendwelche schlangenöl-softwäjhr hergestellt werden soll. Die wird bestimmt noch viel viel größer, wenn man eine „cloud“ an das schlangenöl dranflanscht. Oder…

Kaspersky empfiehlt seinen Kunden, auf den Cloud-Upload von verdächtigen Dateien zu verzichten. Die Schutzwirkung sei dadurch nicht beeinträchtigt

…auch mal nicht. Denn diese tolle idee zur erhöhung der komplexität und angriffsfläche gegen kompjuter, auf denen das tief ins system verflochtene schlangenöl läuft, bringt nach PResseerklärter meinung der gleichen klitsche, die ihrer strenggläubigen anwendergemeinde so eine funkzjon verkauft hat, für den anwender keinerlei zusätzliche sicherheit. :mrgreen:

Ändräut des tages

Stellt euch mal vor, ihr benutzt ein schlangenöl, mit dem ihr dafür sorgt, dass nicht irgendwelche trojaner an wirklich empfindliche daten rankommen — sowas wie die kronjuwelen, also private schlüssel, biometrische daten und dergleichen. Natürlich muss dieses schlangenöl aktualisierbar sein, denn auch in schlangenöl sind ja gern mal dicke fehler drin. Und dann stellt euch weiterhin einmal vor, dass diese schnittstelle zum aktualisieren des schlangenöles so totalverkackt implementiert wurde, dass die trojaner einfach eine ältere versjon des schlangenöles einspielen können, die noch eine sicherheitslücke hatte, die die trojaner ausnutzen konnten — und dann werden durch ausnutzen einer längst gestopften sicherheitslücke daten geschaufelt, bis die leitung kwalmt. Wo es so eine unglaubliche, dumme, nutzlose krüppelscheiße gibt? In ändräut-wischofonen (auch der gehobenen preisklasse) gibt es regelmäßig so eine unglaubliche, dumme, nutzlose krüppelscheiße.

Die Hersteller können zwar Patches für verwundbaren Code verteilen, um mögliche Lücken zu schließen. Auf Android-Systemen hält aber offenbar weder Nutzer noch Angreifer prinzipiell nichts davon ab, alte und verwundbare Trustlets aus alten Firmware-Dateien wieder einzuspielen […] „Solange dies der Fall bleibt, werden Mängel in TEEs so viel wertvoller für Angreifer sein, da Schwachstellen, die einmal gefunden wurden, die TEE des Gerätes für immer kompromittieren“

Weia! 😯

Und klar kann man damit ein ändräut-wischofon komplett übernehmen und alles mögliche damit machen. So ist das eben, wenn die tinnefverkäufer euch die root-rechte auf euren persönlichen kompjutern verweigern und euch die gewährleistung entziehen, wenn ihr auf eurem eigenen kompjuter die softwäjhr laufen lassen wollt, die ihr selbst für richtig haltet. Wenn den besitzern der geräte root verweigert wird, dann haben eben vor allem die verbrecher root. Ist halt eine scheißkultur, die entsteht, wenn ihr euch von irgendwelchen kaufleuten mit irgendwelchen analsadistischen technikverhinderungen enteignen lasst. Die einzigen, die davon — neben den scheißkaufleuten, die für eine künstliche produktalterung sorgen — profitieren, sind die verbrecher.

Ich wünsche auch weiterhin allen menschen viel spaß bei der fernkontoführung mit dem händi: modern, schnell, einfach und überall, jetzt mit der praktischen, voll sicheren äpp ihrer bank! Was kann dabei schon passieren?! :mrgreen:

„Mein mäc ist aber sicher“ des tages

Obwohl die Mac-Malware offenbar schon seit langem aktiv ist, wurde diese erst jüngst in zwei Varianten entdeckt. Der Schädling kann die integrierte Webcam aktivieren, Tastatureingaben mitlesen und Screenshots anfertigen

Aber hej, bei so einem keylogger, mit dem man sich auch anschauen kann, wer da hinterm rechner sitzt und was der gerade macht, da kann ja gar nix schiefgehen. Das ist der ungefähre funkzjonsumfang des bundestrojaners, der demnächst in der BRDDR gegen schwerste kriminalität (falschparken, haschischrauchen, bei-rot-über-die-ampel-gehen, schwarzfahren, linkspartei wählen) eingesetzt wird. Nur, dass die bundeswanze „virtual Mielke“ auch noch das mikrofon einschaltet und mithört.

Angesichts des alten versjonsstandes und des ausschließlichen befalls von kompjutern in den USA würde es mich nicht weiter wundern, wenn es sich um einen veralteten staatstrojaner der USA handelt, der sich nicht sauber entfernt hat und einfach weiterläuft. Inzwischen haben die sicherlich bessere dinger.

Datenschleuder des jahres

Ja, das jahr hat noch ein paar tage, aber dieses kaliber wird vermutlich in diesem jahr nicht mehr überschritten.

Das schwedische regierung hatte eine tolle idee, wie man sensible staatliche daten speichern kann: in der „cloud“. Das ist einfach, bekwem, modern, preiswert und sicher — so hat es vermutlich der lobbyist in den dunkelkammern des schwedischen reichstages gesagt. Und dann wurde das eben gemacht. Nachdem so ein p’litiker mit einem lobbyisten geredet hat (und vielleicht auch das eine oder andere kleine freundschaftserhaltende geschenk bekommen hat), fühlt er sich sofort ganz kompedingsbums und möchte gleich zur tat schreiten.

Das waren keine besonderen daten. Nur so ein großfrachtschiff mit militärischen geheimnissen, wo jeder, der sie jemanden anders einfach mitteilte, in den knast käme, und zwar lebenslänglich hinter die schwedischen gardinen. Ergänzt um ein paar weniger wichtige personenbezogene daten. Zum beispiel name, wohnanschrift und foto diverser bediensteter des schwedischen staates. Und name, wohnanschrift und foto jedes menschen, der in schweden mal von der polizei erkennungsdienstlich behandelt wurde. Und name, wohnanschrift und foto jedes menschen, der mit einem schwedischen zeugenschutzprogramm geschützt wurde. Und sämtliche daten zu in schweden vergebenen führerscheinen. Und sicherlich noch eine menge mehr…

Nun, diese „cloud“ scheint ein bisschen über russland abgeregnet zu sein, da es sich um kompjuter handelte, die im einfluss- und zugriffsbereich russischer verbündeter stehen. (Hier ein paar weitere daten in einer zeitleiste, aber die automatische übersetzung ist nicht so pralle. Englisch ist lesbarer als deutsch.) Das ist natürlich sehr praktisch für den russischen geheimdienst, der sich so die gefährliche und teure klassische spionahsche sparen kann, und doch an zuverlässige und wertvolle informazjonen kommt. Und so ein lieferdienst liegt ja auch ganz im trend der zeit, wie die vielen essensbringdienste belegen, die ihr auskommen finden.

Immerhin, einer der verantwortlichen musste richtig teuer dafür zahlen, nein, nicht mit einer lebenslangen haftstrafe, sondern…

There’s more: by this guilty plea, an appeal (by either prosecutor or defense) has been prevented, and so things will never go to public court and discovery. Further, since there is no appeal, the penalty has been set in stone – Ågren loses half a month’s pay in fines for leaking pretty much the entire military and civilian database set

…mit einem halben monatseinkommen. Das tut weh! Gut, dass das recht manchmal auch milde ist, wenn es sich um straftaten im staatsdienst handelt. Und hej, irgendwann im herbst soll ja mit der veröffentlichung der ganz geheimen geheimdaten auf rechnern im russischen einflussbereich aufgehört werden. Zumindest besteht die absicht. Vielleicht. Wenn es möglich ist.

Ich wünsche auch weiterhin allen ahnungslosen und reklamegläubigen ganz viel spaß dabei, allerlei daten auf den kompjutern anderer leute zu speichern, was man reklamedeutsch als „cloud“ bezeichnet. Was kann dabei schon schiefgehen?! :mrgreen:

Und genau so wünsche ich auch weiterhin ganz viel beruhigung wegen der ganzen staatlichen überwachungsdatenbanken, die alle staaten über ihre menschenverfügungsmasse anlegen. Beim staat sind die daten ja in guten, sicheren und voll kompetenten händen, ja, der staat hat sogar ci-ca-cyberkampftruppen, die ordentlich zurückcybern können. :mrgreen:

Faszinierend auch die BRD-jornalistische berichterstattung über diese kleinigkeit, die einfach nicht stattfindet, so dass hier niemand etwas davon mitbekommt. Würde ja auch nur beim vermarkten der werbeplätze an „cloud“-anbieter stören. Und bei den meldungen, dass bei der BRD-STASI wieder irgendwelche „dateien“ mit „gefährdern“ (BRD-neusprech für: nicht straffällige leute, die nach der geheimmeinung eines geheimpolizisten irgendwann einmal etwas tun könnten) angelegt werden. Wer sich nur aus glotze und presse informiert, schläft ruhig und ist auch dann nicht richtig wach, wenn die äuglein wieder offen sind.

In diesem sinne: aufwachen! Oh… gucke mal, so ein süßes kätzchen und wie der Trump wieder twittert… 😦

Ändräut des tages

Müssen Händler Kunden über möglicherweise unsichere Software auf Smartphones informieren? Das soll eine Zivilklage gegen eine Media-Markt-Filiale klären

[…] Es kann nicht sein, dass ich ein neuwertiges Gerät in einem Markt kaufe, das mit Sicherheitslücken behaftet ist, die auch im Nachhinein, wenn ich es in Betrieb nehme, nicht geschlossen werden und ich das nicht weiß […]

Ich wünsche viel erfolg! Es wird zeit, dass zu den ganzen schrott-wischofonen in der reklame der deutlich lesbare satz steht: „dieses gerät ist fabrikneuer müll und wird niemals eine sicherheitsaktualisierung sehen. Es ist nicht für die nutzung geeignet“.

Leider nicht mehr verlinkbar: die webseit der FAZ

Warum sehe ich FAZ.NET nicht? -- Sie haben Javascript für Ihren Browser deaktiviert. -- Aktivieren Sie Javascript jetzt, um unsere Artikel wieder lesen zu können. AGB Datenschutz Impressum

Die von den FAZ-lügenpressejornalisten aufgestellte behauptung, dass man javascript benötige, um die artikel lesen zu können, ist natürlich — genau wie bei anderen lügenpresseprodukten — eine ziemlich intelligenzverachtende lüge, mit der die leser belogen werden sollen.

Es ist eine tatsache, dass javascript beinahe immer, wenn kompjuter über den webbrauser übernommen werden, eine wesentliche und zentrale rolle spielt. Ich empfehle menschen, die nicht zum opfer von kriminellen werden wollen, die ausnahmslose verwendung eines guten javascriptblockers. Angesichts der tatsache, dass die FAZ mit lügen ihre leser dazu bringen will, sicherheitseinstellungen ihres webbrausers zu lockern, hat sich die webseit der FAZ aus dem verantwortlich verlinkbaren internetz entfernt, weil sie zum hilfreichen komplizen der organisierten internetzkriminalität (bullschittdeutsch: cybercrime) geworden ist.

Wer mir nicht glaubt, dass es sich bei der erlogenen behauptung der FAZ, man benötige javascript, um die texte zu lesen, um eine lüge — also um eine absichtlich und vorsätzlich ausgesprochene unwahrheit — handelt: der textbrauser lynx kann gar kein javascript, und so sieht im moment die startseite der FAZ in diesem webbrauser aus:

Bildschirmfoto der im textbrauser lynx (kein javascript möglich) dargestellten startseite der FAZ

Die weiter oben verlinkte betrachtung einer vergleichbaren vorgehensweise von handelsblatt onlein gilt völlig äkwivalent für die webseit der FAZ. Es wurde die gleiche metode angewendet, nämlich ein den ganzen darstellungsbereich überdeckender, undurchsichtiger layer, der später mit javascript entfernt wird. Der einzige zweck dieser vorgehensweise ist es, die leser zum lockern von sicherheitseinstellungen zu nötigen. Diese gleiche metode kombiniert sich mit der gleichen lüge. Es ist wirklich schade, dass presseverleger aus der BRD ihre leser so massiv verachten, dass sie derart dümmliche irreführungen ausprobieren. Aber es zeigt, dass es keineswegs schade um die gegenwärtige presse der BRD ist, wenn sie in kürze verschwindet, sondern ganz im gegenteil.

Schade ist es nur im moment um die texte von Don Alphonso, die ich unter diesen umständen auch nicht mehr verlinken kann und wohl auch nicht mehr lesen werde… 😦

Möge er einen besseren (und ebenfalls lohnenden) publikazjonsweg finden!

Security des tages (nochmal)

Installier dir nur noch digital signierte softwäjhr, haben sie gesagt. Die ist sicherer gegen schadsoftwäjhr, weil es geld kostet, ein zertifikat zu bekommen, haben sie gesagt.

Die durch ein Apple-Entwicklerzertifikat signierte Malware OSX/Dok manipuliert Web-Verbindungen, um Login-Daten für Online-Banking abzugreifen

Auch weiterhin viel spaß mit der internetbasierten fernkontoführung. Wo das aas ist, da sammeln sich die geier.