TLS des tages

Abt.: einfach, schnell, gefährlich und ahnungslos bei sennheiser.

Bei der Installation legt die Software zwei Root-Zertifikate im Zertifikatsspeicher von Windows ab. Das ist Sennheiser zufolge nötig, um zum Beispiel ein Softphone im Webbrowser über eine gesicherte HTTPS-Verbindung zu nutzen. Zusätzlich gelangt jedoch auch ein privater Schlüssel auf Computer, der sich ebenfalls in einigen .exe-Dateien von HeadSetup befinden soll […] Der Schlüssel ist bei allen Installationen identisch und das Passwort könne man extrahieren

Autsch!

Ich wünsche auch weiterhin viel spaß beim festen glauben an die leichte kryptografie und die sicherheit, wenn man im webbrauser ein schlösschen an der adresszeile sieht. Haben euch ja jahrelang die idjoten mit jornalismushintergrund erzählt, dass das „sicherheit“ ist. Dank eines root-zertifikates könnt ihr sogar klicki-klicki auf das schlösschen klicken und „überprüfen“, dass die webseit von kriminellen wirklich die webseit der… sagen wir mal… deutschen bank ist. Und als kleiner bonus kann da dann gleich eine „bänking-schutz-softwäjhr“ zum daunlohd angeboten werden, die signiert ist und von windohs völlig anstandslos installiert wird.

Es gibt übrigens diesmal einen schutz: einfach einen webbrauser verwenden, der…

Firefox-Nutzer sind nicht gefährdet, da der Browser seinen eigenen Zertifikatsspeicher mitbringt

…weder von scheißguhgell noch von scheiß-meikrosoft gemacht wurde. Aber von einem feierfox oder generell von einem webbrauser der mozilla-foundation würde ich auch eher abraten. Ich nutze immer noch den palemoon. Inzwischen seit über einem jahr. Völlig ohne probleme, wenn man einmal davon absieht, dass scheiß-guhgell-dienste mir immer sagen, dass ich gefälligst einen anderen brauser (am besten scheißguhgells scheiß-krohm) nehmen soll, um sie überhaupt nutzen zu können. Ja, guhgell, ihr könnt mich auch mal am arsche lecken! Macht einfach webseits, die mit brausern funkzjonieren, und das von euch behauptete problem existiert nicht mehr! Euer scheißträcking und eure scheißreklame und eure scheißdatensammelei funkzjoniert doch auch mit jedem brauser.

Wie eine klitsche wie sennheiser aber auch die völlig bescheuerte idee kommt, dass sie ein root-zertifikat installieren müsse, um kopfhörerfunkzjonen zu realisieren, bleibt das geheimnis von sennheiser. Bislang kannte ich solche wahnsinnsideen nur von antivirus-schlangenöl, damit sich irgendwelche webseit-überwachungsdinger in den weg stellen konnten und hokus pokus security machen konnten — um den preis, dass andere die so geschaffene infrastruktur für angriffe missbrauchen könnten.

TLS ist unrettbar im arsch. Seit jahren schon. Wir haben nur noch nix besseres.

Wördpress und ehemaliges fachmagazin des tages

4 Millionen WordPress-Seiten mit WooCommerce-Plug-in von Übernahme gefährdet

Hui, vier milljonen lemminge halten wördpress für eine gute grundlage für einen onleinschopp?!

Prof. dr. Offensichtlich hat in der redakzjon des ehemaligen fachmagazins mal wieder sonderschichten eingelegt und rausgekriegt, dass man sich überlegen sollte, wem man ein login an wördpress gestattet — und heise in seiner gier nach clickbait konnte diese erkenntnis gar nicht alarmierend genug verlautbaren (und mit reklameversuchen umgeben). Klar, wenn so eine webseit einen schopp-mänätscher hat, der kriminell ist, dann kann sie kriminell übernommen werden, wenns mal ein geeignetes sicherheitsloch gibt. Niemand hätte das jemals ahnen können!

Kernenergie und datensicherheit des tages

Sensible Daten im Netz
Hacker erbeuten Pläne von Atomanlagen

[Archivversjon]

Hihi, reiche beute durch die meute! 😀

Tja, deshalb stöpselt man rechner, auf denen empfindliche daten vorgehalten werden, auch nicht an dieses internetz. Auch nicht indirekt. Ist vielleicht ein bisschen unbekwem, wenn man daten auf weniger angreifbarem weg befördern muss, aber das hat man früher auch so gemacht, und zwar mit deutlich weniger missbrauchbaren daten. Ich werde nie vergessen, wie sich hier in hannover die fahrradkuriere im vorfeld der EXPO 2000 gesundgestoßen haben, als es noch nicht üblich war, zeichnungen und dokumente zu mäjhlen (oder in der klaut vorzuhalten).

Guhgell des tages

Guhgell will die „sicherheit“ erhöhen, indem es benutzer von guhgell-angeboten dazu bestupst, sicherheitseinstellungen im webbrauser zu lockern.

Ab ob ein bot kein javascript könne! Natürlich geht es dabei nicht um irgendeine „sicherheit“, sondern um besseres träcking. Abgeschaltetes javascript hilft gegen die meisten fortgeschrittenen überwachungsverfahren der scheißwerber und übrigens auch gegen die allermeisten angriffe von richtigen verbrechern auf den webbrauser. Aber das ist guhgell doch egal, wenn andere leute einen schaden haben — hauptsache, das geschäft von guhgell läuft. Und damit das auch in zukunft läuft, wird den leuten in bestem volxverdummerton erzählt: „wer kein AIDS will, der soll jetzt ohne präser ficken“. Toll!

🤦 Datenschleuder des tages 🤦

Nicht, dass jetzt jemand sagt, niemand hätte davor gewarnt

Könnt ihr euch noch an dieses „vivy“ erinnern, diese wischofon-äpp, die euch von krankenversicherern angedreht werden sollte (ihr habt euch hoffentlich gehütet oder die versicherung mit sonderkündigung und für eure kosten gestellter rechnung gewexelt), damit eure gesundheitsdaten in einer extrasicheren „deutschland-klaut“ gespeichert werden und ihr die verwalten könnt? Und damit so richtige orwellness aufkommt, sind in der scheißäpp von „vivy“ auch noch träcker verbaut, die ihre daten bei irgendwelchen dritten speichern.

Eine wirklich beschissene idee, nicht wahr? Der security- und privatsfären-albtraum der zehner jahre, die scheißwischofone, und daten, die verdammt weit in die intimsfäre reinragen? Eine idee, die sich eigentlich sofort von selbst verbietet, wenn man nur eine einzige verdammte sekunde drüber nachdenkt, nicht wahr? Nichts, was jemand ernst meinen und ernst nehmen könnte, nicht wahr?

Von daher wundert es mich überhaupt nicht, dass der wischofon-krüppelscheiß sörverseitig dermaßen beschissen implementiert wurde, dass jeder an die weit in die privatsfäre reichenden daten kommen und sie sogar manipulieren konnte [archivversjon].

Die beworbenen Schutzmaßnahmen entsprechen grundsätzlich gängiger Praxis zum Schutz sensibler Daten, aber die Betonung der Sicherheitsmerkmale liest sich für IT-Sicherheitsforscher wie eine Einladung, dies einmal genauer zu prüfen. Unser Kollege Martin Tschirsich ist dieser Einladung gefolgt und fand innerhalb kürzester Zeit gravierende Sicherheitslücken in der Vivy-App und den dazugehörigen Servern […] Informationen darüber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, lagen ungeschützt für jeden lesbar im Netz […] Unbefugte konnten über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln […] konnten beispielsweise über trivial ausnutzbare Fehler in der Server-Anwendung die geheimen Schlüssel der Ärzte ausgelesen werden

Als ob die benutzung von wischofonen nicht unsicher genug wäre, muss man auch noch unfähig in der implementazjon kryptografischer verfahren sein!

Spätestens jetzt ist es an der zeit, bei jeder verdammten krankenkasse, die ihren versicherten diese krüppelscheiße namens „vivy“ aufdrücken will, wegen unheilbaren vertrauensbruchs fristlos zu kündigen und dieser krankenkasse die eigenen kosten in rechnung zu stellen. Wenn man alles mit sich machen lässt, hört diese verantwortungslose und sich täglich verschlimmernde datenschleuder-scheiße ganz sicher niemals auf!

Und nein, die drexäpps anderer anbieter sind nicht besser:

modzero steht derzeit in Kontakt mit einem weiteren Anbieter einer Gesundheits-App, da auch die Konkurrenz mit durchaus schwerwiegenden Sicherheitsproblemen zu kämpfen hat

Wenns internetz im händi ist, ists gehirn im arsch!

Nachtrag, 17:50 uhr: Sehr herzerfrischend ist diese tolle PRessseerklärung. Nur für den selbstverständlich völlig undenkbaren fall, dass diesem dokument in der domäjhn vivy punkt com irgendetwas zustoßen sollte, habe ich hier noch eine sicherheitskopie der tollen PRessearbeit abgelegt:

Sicherheit auf höchstem Niveau ist im Umgang mit den hochsensiblen
Daten unserer Nutzer ein Grundpfeiler des Selbstverständnisses der Vivy GmbH. Darum arbeitet unser Unternehmen fortlaufend an der Verbesserung der Sicherheitsarchitektur und lässt die Vivy-App, die Vivy-Browser-Applikation und die Backend-Systeme regelmäßig durch externe IT-Sicherheitsexperten überprüfen

Vielen dank auch an die scheißjornalisten, die so einen durch und durch verlogenen scheißdreck abschreiben und als ungekennzeichnete reklame im redakzjonellen teil ihrer scheißjornalismusmachwerke veröffentlichen! Möge das sterben bald beginnen, aber kwalvoll lange dauern!

Facepalm-bild: MjolnirPants, kwelle: wikimedia commons, lizenz: CC BY-SA 3.0.

Systemd des tages

Verbaut den scheiß-systemd in jede verdammte linux-distribuzjon, haben sie gesagt. Der ist robust und sicher genug, haben sie gesagt. Und jeder, der diesen überkomplizierten monoliten ablehnt, weil es ein überkomplizierter monolit und damit das gegenteil von sicherheit ist, ist ein fundamentalist, haben sie gesagt.

An interesting aspect of this bug is that systemd-networkd will restart automatically after a crash, which means that even a somewhat unstable exploit can work reliably

Bwahahahahaha!

Da müsste man ja nur noch diese vielen plastikrouter übernehmen, um dann von dort ausgehend bei der vergabe einer IPv6-adresse die PCs zu pwnen. Das ist ganz sicher voll schwierig… :mrgreen:

Auch weiterhin viel spaß mit dem systemd!

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich hat zum baffen erstaunen des gesamten universums (einschließlich der mindestens sex eingerollten dimensjonen) rausgekriegt, dass irgendwelche TÜV-siegel auf webseits nix als schlangenöl sind, das „gefühlte sicherheit“ vermitteln soll.

Wird sich der kosmos jemals wieder von dieser einsicht erholen?

Ach ja, Fefe dazu:

Wer sein Geld nicht in Sicherheit sondern in PR-Prüfsiegel investiert, dem traue ich nicht

Übrigens: die europäische unjon will für das „sichere internet der dinge“ zertifizierungen einführen. Aber keine sorge, das macht nicht der europäische cyber-cyber-TÜV, das können die hersteller auch einfach selbst machen. Bwahahahahaha!

Security des tages

Hl. scheiße! Nutzt hier jemand die libssh auf einem sörver? Gut, dass die nicht so häufig benutzt wird:

Wer die SSH-Programmbibliothek libssh auf Serverseite nutzt, sollte diese zügig updaten. Eine kritische Sicherheitslücke erlaubt Angreifern, den Authentifizierungsprozesses zu umgehen, sprich: den Serverzugriff ohne Zugangsdaten

Das ist ein verdammter GAU!

Übrigens: der beliebte openssh-sörver nutzt die libssh nicht. Das gleiche gilt für die meisten anderen beliebten sörveranwendungen, hier mal eine kleine auswahl (das hätte heise eigentlich machen sollen, aber heise macht leider seit jahren lieber clickbait):

$ function wlib() { ldd `which "$1" | sed 1q` | grep so | sed -e 's/^\s*//' -e 's/\s.*$//' ; }
$ wlib apache2
linux-vdso.so.1
libpcre.so.3
libaprutil-1.so.0
libapr-1.so.0
libpthread.so.0
libc.so.6
libcrypt.so.1
libexpat.so.1
libuuid.so.1
libdl.so.2
/lib64/ld-linux-x86-64.so.2
$ wlib exim4
linux-vdso.so.1
libresolv.so.2
libnsl.so.1
libcrypt.so.1
libm.so.6
libdl.so.2
libdb-5.3.so
libgnutls.so.30
libpcre.so.3
libc.so.6
/lib64/ld-linux-x86-64.so.2
libpthread.so.0
libz.so.1
libp11-kit.so.0
libidn2.so.0
libunistring.so.2
libtasn1.so.6
libnettle.so.6
libhogweed.so.4
libgmp.so.10
libffi.so.6
$ wlib mysqld
linux-vdso.so.1
libaio.so.1
liblz4.so.1
libnuma.so.1
libwrap.so.0
libcrypt.so.1
libdl.so.2
libz.so.1
librt.so.1
libpthread.so.0
libstdc++.so.6
libm.so.6
libgcc_s.so.1
libc.so.6
/lib64/ld-linux-x86-64.so.2
libnsl.so.1
$ _

Bei den meisten menschen dürfte also kein grund zur panik bestehen. Wie man schnell herausbekommt, welche libs ein binärprogramm verwendet, kann einfach so übernommen werden — es sieht so kompliziert aus, weil ich die ausgabe noch ein bisschen aufgehübscht und von unnötigen angaben befreit habe.

Der Schwerdtfegr-beta-kompetenzpreis…

Der Schwerdtfegr-beta-kompetenzpreis geht an die partei „freie wähler“ in bayern, die mit einer kompetenzsondergroßleistung in sachen sörversicherheit glänzten:

Die Freien Wähler Bayern haben nach der Landtagswahl am vergangenen Sonntag ungewollt die Zugangsdaten für die MySQL-Datenbank ihrer Website veröffentlicht. Wohl auf Grund des großen Stimmenzuwachses bei der Wahl kam es auf der Seite der Partei zu einem Besucheransturm, dem der Webserver offensichtlich nicht gewachsen war. Das resultierte in einer Fehlermeldung durch Typo3, dem Content Management System der Seite, in der auch die Zugangsdaten zum MySQL-Server des Backends auftauchten […] Auf dem Server kommt zum Teil Software zum Einsatz, die anscheinend seit Jahren nicht mehr gepatcht wurde […] möglich, sich mit den MySQL-Zugangsdaten in das CMS der Webseite einzuloggen und dessen Benutzerkonten und Passwort-Hashes auszulesen […] Zugang zu allen auf dem Server gespeicherten Dokumenten

Übrigens: typo 3 gibt nicht das datenbankpasswort aus, nicht einmal, wenn man das debug-flägg setzt. Die haben da offensichtlich schrott-addons drin verbaut, die eigene mysqli_connect()s aufgemacht haben, statt die API von typo 3 zu nutzen, und das hat dann natürlich die fehlermeldungen hochblubbern lassen.

Hej, p’litik machen wollen, den menschen ihr gemeinsames leben mit gewalt gestalten wollen und nicht eine dumme, dumme maschine anhand frei verfügbarer, vollständiger und eindeutiger dokumentazjon administrieren können! Ab jetzt bin ich überzeugt: die „freien wähler“ sind der natürliche koalizjonspartner der CSU! Das wird die erfolgskoalizjon für bayern!!!1!

Und ein dank an heise onlein, die endlich bei so einem inkompetenten scheißdreck ganz offen in ihrer überschrift davon sprechen, dass daten veröffentlicht wurden. Bitte diese schreib- und sprechweise beibehalten, denn sie schafft klarheit!

S/M und security des tages

Eine Sicherheitslücke in WhatsApp ermöglicht es, ein Smartphone mit einem einzigen Video-Call zu kapern […] Der Fehler steckt in der Speicherverwaltung des Video-Conferencings. Ein speziell präpariertes RTP-Paket kann die so durcheinanderbringen, dass der Absender eigenen Code einschleusen und damit das Smartphone kapern kann

Los, leute, installiert euch die aktuelle versjon von WanzÄpp! Und bis ihr die habt, nehmt keine videoanrufe von irgendwelchen leuten an, die ihr nicht kennt! Schlimmer kann ein sicherheitsproblem gar nicht mehr werden. Diese dreckswanze vom fratzenbuch hat doch sicherlich alle berechtigungen, die man auf einem ändräut vergeben kann.

Und hej, heise: „elitehäcker“ bei guhgell?! Weia! Was müsst ihr für geld von guhgell für solche offen schleichwerbenden PR-dummfickbegriffe im redakzjonellen teil kriegen!

„Kameraüberwachung schafft sicherheit“ des tages

Offen wie ein Scheunentor:
Millionen Überwachungskameras im Netz angreifbar

[…] Mit etwas Glück kann er sich auf dem Gerät mit dem Benutzernamen admin ohne Passwort einloggen – das ist die Standard-Konfiguration der Geräte ab Werk […]

Aber hej, hier haben doch alle nix zu verbergen! Und der sicherheitsgewinn ist mal wieder so richtig knalle geil, denn der hersteller hat eine hintertür eingebaut, mit der man die in der klaut gespeicherten überwachungsaufnahmen auch manipulieren kann, damit der einbruch von unsichtbaren geistern durchgeführt wurde. Oder gleich eine neue firmwäjhr auf die kamera aufspielen. Oder sonstwas. Alles geht. Fuckup as a service.

Wisst ja, durch hintertüren in geräten wird auch alles sicherer, sagen euch die scheißp’litiker und ihre jornalistischen speichellecker ja auch jedes mal.

Datenschleuder des tages

Ermöglichen Sie Ihrem Team, die richtigen Kontakte zur richtigen Zeit zu erreichen, mit der perfekten Botschaft, die intelligent, schnell und reichweitenstark umgesetzt wurde

Nun, diese möglichkeit ist jetzt auch kriminellen gegeben, denn die big-däjhta-klitsche namens apollo hat die auch aus nicht-öffentlichen kwellen gesammelten daten zu über 200 milljonen menschen veröffentlicht.

Auch weiterhin viel spaß beim ganz festen glauben an den überall schnell, gern und völlig konsekwenzenlos zugesagten schutz eurer persönlichen daten. Die liste wäxt und wäxt und wäxt.

Enteignung des tages

Die scheißbanken stufen es als ein sicherheitsrisiko ein, wenn man ihre fernkontoführungssoftwäjhr auf einem kompjuter benutzen will, auf dem man selbst darüber entscheidet, welche softwäjhr darauf läuft und verhindern die nutzung ihrer scheißsoftwäjhr. Gut, das gilt jetzt natürlich für händis. Aber ich bin mir sicher, dass es nicht mehr lange dauert, bis solche bullschitt-bestimmungen der geldgutsherren auf PCs ausgeweitet werden und man den dort als web-anwendung laufenden scheißdreck aus „sicherheitsgründen“ nur noch benutzen kann, wenn man das von banken vorgeschriebene windohs zehn verwendet — weil das viel sicherer ist als alles andere. Denn auf den händis halten sie es dann ja genau so, da spielt es auch keine rolle, dass die meisten menschen nicht einmal sicherheitsaktualisierungen ihres verrotteten scheiß-ändräuts vom hersteller kriegen, scheunentorgroße sicherheitslücken in ihrem werksseitig vortrojanifizierten system haben und deshalb alles andere als „sicher“ sind. Und wenn die scheißbanken mit so einer drexscheiße durchkommen, werden andere folgen, wisst schon, wegen der „sicherheit“. Cyber cyber!

Leute, kauft euch einfach jedes jahr einen neuen kompjuter, legt eure ganzen daten in die klaut, damit ihr bekwem den kompjuter wexeln könnt und benutzt dieses ding nur mit dem vorinstallierten betrübssystem, denn er gehört euch gar nicht mehr! (Aber kaufen und für strom und internetz bezahlen, das müsst ihr noch.) Ein tolles signal, das da vorbereitet wird! Wer sich enteignende und technikverhindernde scheißwischofone andrehen lässt, darf sich nicht wundern, wenn in der folge ein paar jährchen später seine freiheitsrechte weg sind, während auf der anderen seite die kriminalität aufblüht.

Wisst ihr noch…

Wisst ihr noch, wie sie euch den vergifteten keks „UEFI“ mit dem argument in den rachen drücken wollten, eure kompjuter würden dadurch sicherer? Tja, jetzt könnt ihr halt eure kompjuter in den sondermüll geben, wenn sie von den pösen, pösen russen gehäckt wurden.

Der Code, der sich in dem UEFI Chip (einem kleinen Stück Silizium auf der Hauptplatine) eines Computers befindet, wird hierdurch umgeschrieben. Die „Kreml-Hacker“ könnten dadurch immer wieder auf den infizierten Computer zugreifen. Dabei wird ein UEFI-Rootkit eingesetzt

Nein, schlangenöl hilft nicht dagegen. Ein sicheres systemdesein für die PCs hätte geholfen. Oder: wenn ihr einfach keine kompjuter mehr gekauft hättet, die die anforderungen für windohs acht und windohs zehn erfüllen und das mit einem schönen silbernen sticker in die welt posaunten, das hätte vielleicht noch geholfen — aber auch nur, wenn diese zumutung praktisch unverkäuflich gewesen wäre. Dafür hätte es nur zwei dinge gebraucht: wissen und genug gehirn, um auch dann noch im eigenen interesse handeln zu können, wenn die auswirkungen eigenen tuns nicht unmittelbar, sondern eher mittelfristig sind…

Ach!

Klaut des tages

Bericht:
Winzige Chips spionierten in Cloud-Servern von Apple und Amazon

Hej, idjoten! Schön weiter alle geschäftsdaten in die klaut pumpen, der jornalist und der werber hat euch schließlich gesagt, dass das toll, modern und zukunft ist! Digital first, bedauern second.

Ich bin jedenfalls gespannt, wann es zur ersten kriminellen nutzung dieser jetzt bekannten hintertür kommt.

(Und nein, ich halte es nicht für unmöglich, dass china gar nix damit zu tun hat, sondern dass das eine erzählung der NSA ist, um den verdacht von sich selbst wegzulenken. Es ist nur unwahrscheinlich. Die NSA kommt doch eh an die daten der ganzen US-klitschen, einschließlich aller klaut-speicher, und ihr könnt euch sicher sein, dass die vereinigten staaten eines teils von nordamerika auch wirtschaftsspionahsche betreiben. Und von der NSA manipulierte hardwäjhr gibt es auch schon etwas länger. Von daher scheint das größte problem im wegbrechen des spionahsche-monopoles der USA zu bestehen, da muss dann mal kurz die jornalistische empörungskanone in posizjon gebracht werden…)