„Cyber cyber“ des tages

Hier in nordrhein-westfalen sind wir sicher vor häckerangriffen und cyberattacken auf die landtagswahl. Wir erledigen die gesamte kommunikazjon über telefon, das ist sicherer als irgendein internetz.

Nach Angaben des Innenministeriums soll es auch einen Erlass geben, der den Wahlhelfern explizit untersagt, die Ergebnisse per E-Mail zu verschicken. Denn je weniger Kommunikation über Server und Computer läuft, desto geringer ist auch die Anfälligkeit für digitale Manipulationen

Toll, dass die extra überall, wo gewählt wird, nochmal olle analoge telefonkabel in die erde gelegt haben, damit auch ja nicht irgendeine kommunikazjon über sörver und kompjuter läuft. Das wäre ja gar nicht auszudenken, wenn es sich dabei dann um VoIP handelte.

Die autentifikazjon beim telefonischen melden der auszählungsergebnisse läuft hoffentlich nicht nur über… ähm… die übermittelte telefonnummer des anrufers… und hoffentlich wird ein einfacher DDOS auf eine telefonnummer durch andauerndes anrufen (leicht über ein botnetz von gepwnten wischofonen durchzuführen) auch durch geheimhaltung der verwendeten telefonnummern ausgeschlossen. Man hätte sogar übers fratzenbuch kommunizieren können, wenn man digitale signaturen verwenden würde, aber diese kryptologische flugscheibentechnologie flauschiger außerirdischer mit stark geschwollem gehirn scheint in den innenministerjen der bummsrepublik „technologiestandort“ deutschland noch nicht verstanden worden zu sein. :mrgreen:

Übrigens, werte vergewaltigungsfachwirte von der idjotenfront und werte jornalisten, die ihr das kompetenzfreie geblubber abschreibt: ein häcker ist etwas anderes als ein mitarbeiter eines ausländischen geheimdienstes. Für letzteres gibt es schon ein passendes und unmissverständliches wort.

Ich mag ja das symbolbild im heise-artikel… 😀

Cargokult des tages

Wer das wort „cargokult“ noch nie gehört hat: die wicked pedia hilft.

Beim US-senat gibt es jetzt einen cargokult, der ein sicheres digitales zugangssystem zum parlamentsgebäude sein soll. Es kann sich eigentlich nur noch um wenige monate handeln, bis die bewohner der USA ihre felder mit isotonischen getränken gießen, weil da elektrolyte drin sind. :mrgreen:

Was ist das erste und wichtigste?

Was ist das erste und wichtigste, was man tun, wenn man einen neuen kompjuter gekauft hat? Richtig: man installiert ein sauberes, neues betrübssystem auf diesem kompjuter. Eines ohne die ganze bläh- und reklamescheiße, die irgendwelche arschlöcher mit marketinghintergrund vorinstalliert auf die platte gekackt haben und die man oft nur mit großer mühe wieder loswird.

Warum man das tut? Zum einen, weils den rechner besser, angenehmer und schneller macht, und zum andern, weil man nicht will, dass kriminelle oder kinder den rechner pwnen. Darum tut man das! Oder hat jemand lust, solche zeilen zu tippen, nur um die von der vorinstallierten drexscheiße aufgerissenen sicherheitslöcher zu stopfen?

Wer das Update aus Gründen derzeit nicht einspielen kann, kann die Berechtigungen der App mit dem Befehl: sc sdset pdiservice D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU) selbst ändern

Und da sage mir noch mal einer, linux sei (im gegensatz zu windohs) kryptisch! 😀

Eventuelle strafanzeigen gegen die marketing-heinis, die euch völlig unerwünschte kwasitrojaner auf die festplatte kacken, nimmt jede staatsanwaltschaft entgegen. Leider werden die verfahren eingestellt. Es ist die BRD hier, da gibts recht nicht für menschen, sondern für geld. Aber immerhin könnt ihr auf richtigen kompjutern noch ein sauberes betrübssystem installieren und völlig nach euren vorstellungen und möglichkeiten einrichten, ganz im gegensatz zu den scheiß-wischofonen, die von der „generazjon jamba“ gekauft werden.

TLS des tages

Na, glaubt hier noch jemand an sicherheit, weil ein kleines schlösschen im webbrauser angezeigt wird? TLS-verschlüsselung wird jeden tag ein bisschen bullschittiger und überflüssiger:

Die Internet Engineering Task Force (IETF) sieht sich von einem Entwurf für eine Spezifikation herausgefordert, die nicht weniger als „vertrauenswürdige Middleboxen“ definiert: Sie sollen ganz legitim in TLS-verschlüsselten Verkehr hineinsehen können.

Middleboxen sind transparent, also für den Nutzer unsichtbar agierende Netzwerkgeräte, mittels denen zum Beispiel Netzbetreiber den IP-Verkehr lenken, indem sie Optionen aus dem IP-Header stillschweigend löschen oder ändern

Auch weiterhin viel spaß beim festen glauben an die kinderleichte sicherheit und verschlüsselung durch kwasiautomatismen, die kind- und analfabetengerecht durch irgendwelche piktogramme angezeigt wird! Müsst ihr dran glauben, der onkel jornalist hats euch erzählt, also ists ganz was tolles! Kommt, glaubt schon! Sind nur richtig tolle CAs im brauser vorkonfiguriert, denen jeder immer stets vertrauen kann. Und weil diese ganze scheiße noch nicht reicht, wird jetzt einfach die hintertür in der TLS-verschlüsselung als internetzstandard spezifiziert. Damit der ganze aufwand mit TLS so richtig richtig sinnlos und die kryptografie zur krüpplografie wird.

Schlangenöl des tages

Ein Virenscanner für Unternehmen und Privatanwender hat Zehntausende Dateien weltweit in Quarantäne gesteckt, weil er sie fälschlicherweise als bösartig eingestuft hat. Unter den betroffenen Dateien waren auch die Insider Previews von Windows

Und wieso wurden die fälschlich als bösartig eingestuft? Das war doch völlig korrekt… :mrgreen:

Hej, und eine luftige prise „cloud“ ist auch dabei:

Nach den Angaben war die betroffene Konfiguration des Cloud-basierten Virenscanners nur etwa 13 Minuten aktiv […] Webroot hat bislang noch keine Lösung zur Wiederherstellung der Daten entwickelt

Weil… müsst ihr glauben, mit „cloud“ wird alles besser. Hat der onkel jornalist gesagt.

Auch weiterhin viel spaß mit dem schlangenöl, das ihr an euer betrübssystem dranflanscht, weil ihr glaubt, dadurch würde euer betrübssystem sicherer!

Unbuntu des tages

Hat hier jemand ein wischofon mit unbuntu fon als betrübssystem?

Demnach gibt es ab Juni 2017 keinerlei Aktualisierungen mehr für die Plattform, auch keine Sicherheits-Updates

Könnt ja ein neues wischofon kaufen. Oder die fixes selbst reinpflegen, ist ja Freie softwäjhr. Auf dass die müllberge vor den städten waxen und waxen und waxen!

Ändräut des tages

Dass ihr eure softwäjhr — ach, das nennt man jetzt ja alles „äpp“ — nur über unsere äppstohrs installiert, ist gut für euch, haben sie uns gesagt. Denn wenn die softwäjhr über unseren appstohr läuft, können wir sie immer nach schadsoftwäjhr und trojanerfunkzjonen skännen und alles wird sicherer, haben sie uns gesagt.

Die Spyware war unter dem Namen „System Update“ im US-amerikanischen Google Play Store verfügbar und wurde drei Jahre lang nicht entdeckt

Weia, der name!!1!

Ich wünsche euch wischofon-benutzern auch weiterhin viel spaß bei eurer verdummung, entmündigung und enteignung durch die wischofon-gutsherren sowie beim abgezockt-, missbraucht- und überwachtwerden durch irgendwelche gängster. Und nein, bei äppel ists nicht besser, ganz im gegenteil… 😦

Fefe des tages

Ich sage erstmal nichts: das frühstück vom januar

Was zum hackenden henker! Immerhin wird mir so langsam klar, warum ein verfickter grafikkartentreiber für meikrosoft windohs mehr megabytes als ein ganzes, voll arbeitsfähiges linux-betrübssystem — natürlich mit treibern — auf die systemplatte installieren will: weil da dermaßen viel sinnlose, für die funkzjon nicht erforderliche und aufgeblähte kackscheiße mit reingepackt wird, die dann auch noch probleme für die kompjutersicherheit verursacht. Auch weiterhin viel spaß mit den beglückungsideen, die sich werber, spämmer und kompetenzgranaten immer wieder für anwender von meikrosoft windohs einfallen lassen, und zwar nur für die anwender von meikrosoft windohs…

Security des tages

Benutzt hier jemand eine fritzbox?

Ein Angreifer kann solche Lücken fast immer ausnutzen, um über das Netz beliebige Befehle auf den anfälligen Geräten auszuführen. Da der betroffene Dienst als root läuft, hat er dann sehr weitreichende Möglichkeiten, das System zu manipulieren

Also spielt mal die neueste versjon des betrübssystemes ein! Ist ja nur klick-klick.

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich hat rausgekriegt, dass diese ganzen „smarten“ dinger, die sich idjoten in die bude stellen, gar nicht so smart sind, sondern sich mit sehr dummen und einfachen angriffen von jedem reklameheini übernehmen lassen.

Auch weiterhin viel spaß mit euren smartdummen assistenten, ihr hirnstummel! Mein leben kommt jedenfalls (noch) prächtig ohne assistenz aus — und eine abhörwanze ist so ziemlich das letzte, was ich meinem dasein freiwillig hinzufüge.

Security des tages

Momentan heißt es besonders aufgepasst beim Öffnen von E-Mails. Das riesige Dridex-Botnetz verteilt Angriffsmails mit angehängten RTF-Dokumenten, die eine bisher ungepatchte Lücke in Microsoft Office ausnutzen sollen

Übrigens sollte man nicht nur „momentan“ vorsichtig mit mäjhlanhängen sein, sondern immer, denn der mäjhlanhang ist neben dem verseuchten werbebanner die häufigste form des schadsoftwäjhr-transportes. Alles weitere im spämmblog.

Pöse russische häcker des tages

Es spricht einiges dafür, dass die Longhorn-Gruppe tatsächlich zumindest im Auftrag der CIA agierte. Was jedoch verwundert: Unter den Zielen von Longhorn-Angriffen finden sich neben Regierungen auch Firmen aus den Bereichen Finanzen, Telekommunikation, Energie, Luftfahrt und IT; klassische Terroristen hingegen, wie man sie eigentlich im Fokus der CIA-Aktivitäten vermuten würde, finden sich nicht auf der Liste

PHP und security des tages

Einmal der ganz normale PHP-wahnsinn: wenn man auf einmal das datenbankpasswort in einer PHP-fehlermeldung einer webseit lesen kann… weia!

Tja, deshalb hat man bei einem richtigen produkzjonssörver, der am richtigen web hängt, auch die php.ini ein bisschen bearbeitet:

display_errors = Off
display_startup_errors = Off
log_errors = On

Fehlermeldungen finden sich dann im error.log des websörvers. Das sollte reichen, um fehler nachvollziehen zu können, wenns auch nicht ganz so direkt ist.

Beim proggen ists ja manchmal noch ganz gut, wenn man bekwem im brauser sieht, wo der verdammte fehler steckt und noch einen kleinen backtrace sieht, wie es dorthin gekommen ist. Vor allem in PHP, wo man praktisch keine brauchbaren debugging-werkzeuge hat. (Von der kwalität und brauchbarkeit der PHP-fehlermeldungen schweige ich jetzt mal.) Aber bei einer webseit, die sich auch mal ein cräcker anschaut, ist es einfach eine scheißidee, auch nur anzuzeigen, wo welche dateien liegen (in PHP immer mit absoluten pfadangaben!) — und kohdfragmente in den fehlermeldungen sind eine noch schlechtere idee. Sonst macht die mysql mal bubu, und dann steht da ein datenbankpasswort in der fehlermeldung. Oder andere dinge, die ein potenzjeller cräcker interessant findet.

via @benediktg@gnusocial.de