Datenschleuder des tages

Benutzt hier jemand „cloudflare“? Die wölkchen dort konnten ganz ordentlich daten abregnen. Oder, um es einmal mit jemanden zu sagen, der vor ein paar tagen auf das kleine Fehlerchen gestoßen ist:

It became clear after a while we were looking at chunks of uninitialized memory interspersed with valid data […] some of the nearby memory had strings and objects that really seemed like they could be from a reverse proxy operated by cloudflare – a major cdn service […] It looked like that if an html page hosted behind cloudflare had a specific combination of unbalanced tags, the proxy would intersperse pages of uninitialized memory into the output […] We fetched a few live samples, and we observed encryption keys, cookies, passwords, chunks of POST data and even HTTPS requests for other major cloudflare-hosted sites from other users

Weia! Wie der kohd aussieht, der so einen fehler verursacht, möchte man sich gar nicht weiter vorstellen.

Ah, heise onlein hat auch schon einen artikel. Nun ja, wenn da vorher schon jemand mit böseren absichten die daten aller art abgegriffen hat, ist „cloudflare“ auch jetzt im februar schon ein kandidat für die größte datenschleuder dieses jahres.

Auch weiterhin viel spaß beim festen glauben an den datenschutz! Die liste wäxt und wäxt und wäxt, und beinahe niemals führt die fahrlässigkeit zu einer haftungspflicht oder wenigstens zum konkurs der verantwortungslosen klitschen.

via @pbielefeldt@quitter.se

„Mit linux wär das nicht passiert“ des tages

[…] double-free vulnerability I found in the Linux kernel. It can be exploited to gain kernel code execution from an unprivileged processes

Sehr praktisch, wenn man mal gerade keine root-rechte hat, aber einen rechner administrieren möchte. Nicht, dass hier noch jemand glaubt, in linux gäbe es keine verheerenden sicherheitsprobleme. Dieses ist zum glück gefixt.

Meikrosoft des tages

Meikrosoft kriegt es nicht hin, binnen neunzig tagen einen schweren fehler in windohs zu fixen, und alle anwender von meikrosoft windohs haben jetzt eine schwere sicherheitslücke auf ihren rechnern, die von fiesen häckern ausgenutzt werden kann. Drei monate sind für einen monströsen laden wie meikrosoft schon eine ziemlich lange zeit, da fehlt es nicht an möglichkeit, da fehlt es am willen. Die anwender von meikrosoft-produkten sind meikrosoft egal. Meikrosoft ist eben nur auffällig schnell und wartet auch gar nicht extra einen „pätschdäjh“ ab, wenn mal ein paar ausbeutbare fehlerchen in der meikrosoften DRM-technikverhinderung und anwendergängelung gefixt werden müssen

Weia, GDI wird dauernd benutzt. Ich finde es fast ein bisschen schade, dass das schon jetzt kommt. Der anwendungsfall, einen mäjhlanhang mit meikrosoft offißß zu öffnen, wird genau da ein bisschen häufiger vorkommen, wo jetzt ein paar entscheidungsträger auf die idee gekommen sind, dass dieses limux scheiße ist und in kürze wieder durch kwalitätssoftwäjhr wie meikrosoft windohs ersetzt werden soll. Da hätte das wort von der „offenen verwaltung“ eine ganz neue bedeutung bekommen, wenn einen guten monat lang jedes häckkind dieser welt die schangse gehabt hätte, eine offene und dokumentierte sicherheitslücke auszunutzen. :mrgreen:

Und morgen im gleichen kanal, vorgetragen von ahnungslosen p’litikern: die fiesen cyber-cyber-angriffe, die hier alles, alles, alles bedrohen!!1!elf!!

Nachtrag: Trash-Log

„Internetz der dinge“ (und industrie 4.0) des tages

MQTT-Protokoll:
IoT-Kommunikation von Reaktoren und Gefängnissen öffentlich einsehbar

Wer muss denn auch eine zugriffskontrolle durch so ein altmodisches passwort machen, wenn man das auch alles ganz offen ins internetz stellen kann?

Das Problem der sichtbaren Broker ist […] dass die Betreiber der Server die Software nicht ordentlich konfiguriert haben und auf Nutzernamen, Passwörter und Verschlüsselung verzichten

Bwahahahahaha!

Wieso nennt man diese ganzen fiesen „cyber-cyber-angreifer“ eigentlich „häcker“. Ich werde doch auch nicht „häcker“ genannt, weil ich die völlig offene webseit von heise onlein aufrufen kann. :mrgreen:

Hej, und freut ihr euch auch alle fein über eure „intellenten“ autos?

Im Fall eines der betroffenen Automodelle – Lundgren wollte den Hersteller nicht nennen – gelang es ihm nach eigener Auskunft, dem Entertainment-System von außen das Kommando zum Abspielen eines anderen Songs zu erteilen. Ob das auch mit den ebenfalls per MQTT übertragenen Werten zu Lenkrad- oder Bremspedalstellung möglich wäre, konnte Lundgren aus nachvollziehbaren Gründen nicht sagen

Hach, das werden tolle erpressungen auf der autobahn! „Um wieder wie gewohnt die geschwindigkeit ihres autos sowie die bremswirkung selbst beeinflussen zu können, geben sie mir bitte jetzt 2,5 bitcoin“. Da wird schon eine gewisse zahlungsbereitschaft da sein; ich habe mir nämlich sagen lassen, dass menschen nicht so gern sterben… 👿

Javascript des tages

Weshalb man nicht jeder dahergelaufenden webseit standardmäßig das privileg gibt, kohd im webbrauser ausführen zu können, sondern sich ein addon installiert, um dieses privileg bewusst an bestimmte webseits vergeben zu können¹? Golem hat die heutige javascript-horrorgeschichte:

Ein wichtiger Mechanismus zum Schutz vor Exploits auf modernen Systemen lässt sich mittels Javascript umgehen. Einem Forscherteam des Instituts VUSec an der Vrije Universiteit Amsterdam ist es gelungen, mittels einer Cache-Timing-Attacke Informationen über das Speicherlayout in Browsern auszulesen. Damit schützt die Speicherrandomisierung (ASLR, Address Space Layout Randomization) nicht mehr effektiv vor Exploits

Weia! 😦

Natürlich gibts noch keinen exploit dafür, aber der kommt. Ist es nicht toll, dass die aktuellen versjonen vom feierfox und von guhgells-krohm-wanze zeitmessungen mit mikrosekunden-genauigkeit in javascript ermöglichen? Für alle, die so etwas schnell überlesen: das sind milljonstel sekunden. Wofür das gut sein soll? Na, für solche angriffe zum beispiel. Welche webseit das jemals brauchen wird? Egal, rein mit der überflüssigen funkzjon, irgendeine anwendung wird sich dafür schon finden. Der trend geht ja eindeutig dahin, den brauser als laufzeitumgebung für anwendungen zu betrachten, und dem trend wird blind und blöde nachgehetzt.

Und jetzt alle dem onkel IT-jornalisten nachsprechen, der ganz enttäuscht ist, dass er auf seinem zur tieferen kompromittierung zugesteckten äppelkram kein fläsch hat: „Fläsch ist pöse und unsicher, javascript und HTML5 sind die zukunft und viel sicherer“! So ists brav. Und jetze daran glauben! Ganz ganz fest daran glauben! Und immer schön über paranoide typen wie mich lachen, weil die so lächerlich sind! Idjoten!

Und jetzt zur scheiß-alpenprawda — von idjoten auch „süddeutsche zeitung“ genannt — rübergehen, die man ohne javascript gar nicht mehr lesen kann. Damit ihr von eurem feind, dem scheißjornalisten, lernt, dass es ohne javascript nun einmal nicht geht. Die gesamte organisierte kriminalität freut sich über euch, ihr dummgemachten. Oh, ist eure festplatte verschlüsselt und ihr braucht bitcoin, um wieder an eure daten zu kommen? Bedankt euch bei denen, die euch dumm machen und dumm halten! Und vergesst nicht, euren adblocker abzuschalten, damit eure feinde für die dienstleistung, euch dumm zu machen und dumm zu halten auch noch reibach über die scheißreklame absahnen!

via @tux@pod.geraspora.de

¹Normale menschen nehmen am einfachsten noscript. Wer keine probleme mit einem sehr fein steuerbaren addon hat, das aber einen gewissen aufwand bedeutet, sollte sich unbedingt mal umatrix anschauen.

„Internetz der dinge“ des tages

Das internetz der dinge ist in metasploit angekommen!

Dank einer neuen API können Sicherheitsforscher nun Payloads auf verschiedene Hardware loslassen, darunter etwa der CAN-Bus von Autos. Auch das Internet der Dinge nimmt Metasploit nun ins Visier

Das richtig große und beinahe kinderkompatible¹ dingehäcken ist eröffnet, der ganze techniktinnef wird jetzt aufgehäckselt. Tja, wenn euch doch nur vorher jemand gewarnt hätte!!ölf!1!

Oh, was steht da auf dem bildschirm im auto: „wenn sie wieder selbst die geschwindigkeit kontrollieren und ihre gewohnte bremswirkung haben möchten, zahlen sie jetzt bitte 2,5 bitcoin“? Und nein, das wird nicht besser, wenn man vom auto auf den bus umsteigt… :mrgreen:

¹Nein, ganz so leicht ist der umgang mit metasploit nicht, zugegeben… und natürlich gibts für den CAN-bus schon spezjelle softwäjhr. Aber metasploit können halt viele, und natürlich auch viele verbrecher und experimentierfreudige kiddies. Zudem ist der heise-artikel von einem jornalisten geschrieben worden, nicht von jemanden mit ahnung — und dementsprechend reißerisch und kompjuterbild-mit-schlips-mäßig liest er sich. So einen alarmtönend benannten „CAN-bus-sniffer“ kann man unter dem namen „CAN-adapter“ kaufen, und kleine progrämmchen zum mitschneiden der datenströme gibts auch schon länger.

Wördpress des tages

Benutzt jemand oder jefrud wördpress zusammen mit dem wördpress-addon easy table, weil er oder sie das an sich sehr einfache (aber tippintensive) auszeichnen von tabellen in HTML zu umständlich findet? Nun, ich will es mal so sagen: es ist mit diesem nicht ganz so gründlich geproggten plugin von der schwierigkeit her kinderkram für leicht fortgeschrittene kinder, auf dem sörver beliebigen kohd auszuführen oder an die anmeldedaten ranzukommen. Und das weiß jetzt jeder. Also deaktiviert das ding mal ganz schnell, bis der fehler gefixt ist!

Erster satz des tages

Golem hat den passendsten ersten satz zu einem artikel geschrieben:

Was kann da schon schiefgehen?

Ich wünsche euch allen viel spaß dabei, mit euren wischofonen mit oft scheunentorgroßen sicherheitslücken bargeld zu ziehen! Wisst ja, das ist sicherererer:

Die ersten Sicherheitsprobleme sind, wenig erstaunlich, bereits aufgetreten. Einer Kundin von JP Morgan Chase wurden über die Funktion 2.900 US-Dollar von ihrem Konto abgebucht, obwohl diese das System niemals genutzt hatte

Wenn euch doch nur vorher jemand gewarnt hätte!

Aber hej, wenn ihr ein wischfon mit einem ranzigen ändräut drauf habt, könnt ihr es ja rooten und ein etwas weniger unsicheres system aufspielen. Schade nur, dass bänking-äpps dann nicht mehr funkzjonieren. 😀

Wenn internetz im händi ist, ists gehirn im arsch.

Goldener facepalm des tages

Was es nicht alles für tolle addons für wördpress gibt:

Davon sind aber ausschließlich verwundbare WordPress-Versionen bedroht, auf denen ein PHP-Plugin zum Einsatz kommt, das PHP-Code in Kommentaren zulässt

Kannste dir gar nicht selbst ausdenken, sowas!

Wozu, zu heftig hackenden henker, wozu braucht man etwas, was jedem horst aus dem internetz die möglichkeit gibt, programmkohd zu schreiben, der auf anderer leute sörver ausgeführt wird?! Wer ist so gnadenlos kopfentkernt und installiert sich ein derartiges scheunentor in seine webseit? Und was denkt der sich dabei in seinem zuckenden rückenmark?

Ach, ich verstehe: die welt ist reif. Sie will gepflückt werden.

Schlangenöl des tages

13 von 29 untersuchten Antiviren-Programmen klinken sich in die verschlüsselten TLS-Verbindungen ein. Und alle bis auf eines verschlechtern dabei die Sicherheit der Verbindung; in vielen Fällen konnten die Forscher den angeblichen Schützern sogar massive Sicherheitsprobleme nachweisen

Ich wünsche euch allen da draußen, die ihr euch von onkel werber und seinem hässlichen bruder, dem jornalisten, „informieren“ lasst, auch weiterhin viel spaß beim festen glauben an das ganze antivirus-schlangenöl! Es funkzjoniert nicht und macht eure kompjuter unsicherer… zumindest ich bin davon nicht so überrascht.

Und TLS, die bekweme „sicherheit“ durch den anblick eines schlösschens im brauser, die durch ein paar klitschen hergestellt wird, die für dieses privileg geld an die brausermacher geben, ist schon lange, lange, lange tot. Leider gibt es noch nix besseres…

„Cloud“ des tages (zusammen mit wördpress)

Na, macht hier jemand seine bäckups vom wördpress-blog in die amazon-„cloud“ und automatisiert diesen prozess mit dem wördpress-plugin „blogvault“? Tja, da sind ein paar daten abgeregnet, und einige blogs, bei denen das so gemacht wurde, sind schon längst gepwnt und verteilen jetzt schadsoftwäjhr…

Hej, und was machen so viele daten beim entwickler eines plugins? Ach, ist ja „cloud“. Ist also das benutzen der kompjuter anderer leute. Das macht man jetzt so. Das ist voll gut. Hat der onkel reklameheini und sein hässlicher bruder jornalist gesagt. Na, dann macht es mal weiter so, ihr idjoten!

Wördpress des tages

Na, habt ihr alle brav eurer wördpress geupdäjhtet? Wenn nicht, habt ihr spätestens jetzt jeden verdammten grund, es so schnell wie möglich zu tun:

Der wördpress-pätsch der letzten woche hat einen zu diesem zeitpunkt in der öffentlichkeit unbekannten zero-day-fehler behoben, der jedem häcker über das internet die bearbeitung oder löschung von seiten in wördpress ermöglicht

Hl. scheiße!

Spätestens, nachdem diese geschichte draußen ist, könnt ihr euch darauf verlassen, dass jedes häckkind ein auge auf die unterschiede zwischen den versjonen wirft und versucht, den fehler zu verstehen und mit einer testinstallazjon der vorherigen versjon nachzuvollziehen.

Und glaubt es mir einfach: die vorstellung, mit einem kleinen häckchen beliebige inhalte auf zigmilljonen webseits veröffentlichen zu können, ist für kriminelle arschlöcher unwiderstehlich attraktiv. Für schadsoftwäjhr (wie etwa erpressungstrojaner), die über eure blogs ausgeliefert wird, werdet im zweifelsfall ihr als betreiber juristisch verantwortlich gemacht (was auch eine zivilrechtliche haftung für den angerichteten schaden begründen kann). Und wer nicht spätestens jetzt die aktuelle versjon aufspielt und mit dieser dummen verweigerung hoch fahrlässig handelt, wird völlig zu recht dafür verantwortlich gemacht!

Los, ran an die aktualisierung!

(Wenn schon jemand betroffen ist: es hat ja hoffentlich jeder bäckups rumliegen, oder?! Oh, nicht? Na, das ist aber auch ein bisschen dumm…)

„Mit linux wär das nicht passiert“ des tages

Ein Jahr alte Root-Schwachstelle in Systemd aufgetaucht

Übrigens ist die überschrift irreführend. Richtiger wäre: „Exploit für einen vor einem jahr gefixten fehler im systemd gefunden, bei dem es etliche distributoren verpasst haben, den gefixten systemd auszuliefern“. Aber ich gebs ja zu, das ist zu lang und würde das lesen des artikels völlig ersparen. So ungern ich persönlich den systemd auch mag, hier haben klar die distributoren gepatzt. Ein jahr lang einen fertigen fix nicht weiterreichen, heißt, den exploit einzuladen.