Schlangenöl des tages

Du kommst hier nicht rein:
Adobes PDF-Tools blockieren Antivirenschutz

Adobe Acrobat blockiert die DLL-Injektionen von Antivirensoftware und ist für die Schutzprogramme damit unsichtbar […] Bei Adobe Acrobat und Reader enthält libcef.dll laut Minerva eine Blacklist von Sicherheitsprodukt-DLLs, die über das Aktivieren eines Registry-Keys dann aus dem PDF-Reader ausgesperrt würden. Ob ein PDF Schadcode ausführt, kann die Schutzsoftware ohne einen Blick in Acrobat so nicht überprüfen

Auch weiterhin viel spaß mit der softwäjhr von unternehmen, die als digitale gutsherren viel besser als ihr wissen, was ihr wollt und was ihr wirklich braucht! Vor allem, wenn diese softwäjhr eine sicherheitsgeschichte wie die adobe-programme zum anzeigen von PDFs haben. Die dinger sind nicht nur eine schwefelfeuerlodernde komplexitätshölle, sondern auch noch skriptfähig, also im grunde genau so schlimm wie ein webbrauser. Mit evince bzw. atril oder einem vergleichbaren kleinen programm für andere betrübssysteme wäre das nicht passiert.

Und natürlich noch ganz viel spaß mit der gefühlten sicherheit durch irgendwelches antivirus-schlangenöl! So viel gefühlte sicherheit, so wertvolle gefühle…

„Cyber cyber“ des tages

Die mäjhlkonten von Annalena Baerbock und Robert Habeck (beide grüne) wurden gecybert.

Tja, hätten sie ihre wichtige kommunikazjon PGP-verschlüsselt, könnten sie sich zurücklehnen und sagen: es ist mir doch egal, wer mir die ganzen für dritte praktisch unlesbaren daten rausgetragen hat. Aber das haben die bestimmt nicht getan, denn dafür müsste man verständnisvoll klicken können, und damit ist BRD-p’litabschaum regelmäßig völlig überfordert… und auch der neue vorsitz der grünen war sicherlich nicht dazu imstande… so schade! Egal, dass wird es halt nicht als dummheit und technikanalfabetismus von BRD-p’litikern bezeichnet, sondern über die (vermutlich nur mit bullschitt begründete) zuschreibung an „russische häcker“ als teil der gegenwärtig laufenden kriegspropaganda benutzt!!1!

Der goldene facepalm des tages 🤦‍♂️️

Na, wie wäre es mit einer großen pulle security-schlangenöl, zum beispiel S-protect, der hokus-pokus-schlangenöl-webbrauser der spaßkassen, mit dem man angeblich sogar auf einem von schadsoftwäjhr übernommenen kompjuter „sicheres“ onlein-bänking machen können soll. Was rauskommt, wenn man solche vollmundigen versprechungen einmal etwas genauer abklopft, entspricht weitgehend dem, was man sich auch vorher schon gedacht hat.

Hinter S-Protect steckte anscheinend keine revolutionäre Schutztechnologie, sondern vielmehr der Versuch, Trojaner durch Tricksereien am Zugriff auf Daten aus dem Browser zu hindern

Weia!

Was ich überhaupt nicht verstehe: wenn man schon so eine ambizjonierte security-idee hat, warum im namen aller schwefelkackenden höllenhunde nimmt man dann einen voll aufgeplusterten webbrauser dafür, statt einfach eine anwendung zu schreiben, die nur die gewünschten funkzjonen implementiert? Diese anwendung abzusichern ist immer noch extrem schwierig bis unmöglich, aber allemal leichter als die absicherung eines fressenden komplexitätsmonsters von webbrauser mit seinen hunderten von möglichen angriffspunkten. Und wenn man seine anwendung — oh, wie altmodisch! — statisch linkt, kann ihr auch nicht ganz so leicht eine dynamische bibliothek (windohs-anwender lesen hier: DLL) mit hintertür untergejubelt werden. Gut, man muss sich noch irgendwie darum kümmern, dass die dynamischen bibliotheken des betrübssystems sauber sind, und ich habe keine gute idee, wie man das sicherstellen kann (man könnte zum beispiel nach änderungen eine scharfe warnung ausgeben, aber das hilft ja nicht beim ersten start des schlangenöl-brausers). Aber deshalb ist eine anpreisung „ist sogar sicher auf einem von fieser schadsoftwäjhr übernommenen kompjuter“ ja auch so ein gärender, zum himmel stinkender bullschitt. Vor allem, wenn die wirklichkeit dann so aussieht:

Nachdem wir die Banking-Software erneut gestartet hatten, führte sie den Metasploit-Code in der DLL sofort aus. Daraufhin baute das Testsystem eigenmächtig eine sogenannte Reverse-Shell-Verbindung zu einem unserer Analysesysteme auf und schuf so eine Backdoor

Treffer! Versenkt! 💀️

Müsst ihr verstehen: solche sogar aufgeweckten kindern bekannten 08/15-sicherheitslücken wurden von den security-spezjalexperten der scheißspaßkassen und anderer banken gar nicht erst untersucht. Aber die reklameheinis märchenhafte zusagen der marke „mit unserem brauser bist du sogar sicher, wenn kriminelle deinen kompjuter übernommen haben“ machen lassen!

Allein, dass die spaßkasse so einen unfassbaren security-bullschitt auf ihre offenbar für hirnversehrt gehaltenen kunden loslässt, wäre für mich übrigens ein grund zur sofortigen kündigung, wenn ich dort kunde wäre. Ich mag es nicht, wenn man mich so offen verachtet — und naivere kunden einfach grundlos ins offene messer laufen lässt. Es gibt keine auch nur im weitesten sinn des wortes vertrauenwürdige datenverarbeitung auf einem kompjuter, der von schadsoftwäjhr übernommen wurde und deshalb in wirklichkeit ein kompjuter anderer leute ist. Niemals. Wer etwas anderes sagt, ist entweder dumm wie scheiße oder ein gefährlicher, vorsätzlicher lügner.

Übrigens: diese bullschitt-versprechungen mit einem eigenen webbrauser der klitsche „coronic GMBH“ machen nicht nur die spaßkassen, sondern offenbar auch die volxbanken. Wendet euch von diesen gefährlichen irren ab, bevor ihr den schaden durch diesen irrsinn habt! Im härtefall seid ihr selbst in der beweispflicht. Und lasst eure intelligenz nicht von solchen irren aus der hirnhölle beleidigen!

Früher…

…konnte man sich wenigstens sicher sein, dass der kompjuter nicht von schadsoftwäjhr übernommen wird, während er ausgeschaltet ist. Mit dem wischofon-zeitalter hat sich das verändert [archivversjon]:

Forscher haben einen Weg gefunden, Malware auf einem ausgeschalteten iPhone zu installieren – und das lässt sich nicht mit einem iOS-Update beheben

Aber früher hieß „ausschalten“ ja auch „totale verbindungstrennung, kein strom mehr“ und noch niemand hatte den menschen so tief und schmatzend ins gehirnchen gebissen, dass sie meinten, kompjuter müssen ständig an sein, auch wenn sie aus sind. Die lösung ist dann auch ganz einfach:

Die Forscher schlagen vor, dass Apple „einen hardwarebasierten Schalter zum Trennen des Akkus hinzufügen sollte“

Aber wenns internetz im händi ist, ists gehirn im arsch. Daran, dass man geräte ganz altmodisch — und übrigens klimaschonend — vom strom trennen kann, wird wohl auch in zukunft nicht zu denken sein. Es widerspräche ja auch den diversen staatlichen überwachungsambizjonen in den so genannten „demokratischen staaten“ dieser welt. Stattdessen ist die zeit gekommen, in der menschen auch ihre schreibtischrechner gar nicht mehr richtig ausschalten. Aber dort gibt es immerhin noch die möglichkeit, ganz altmodisch — und übrigens klimaschonend — den stecker zu ziehen (oder besser und bekwemer: eine steckdosenleiste mit schalter zu benutzen). Noch…

Linux des tages

Nehmt linux, haben sie uns gesagt. Das ist sicherer als das betrübssystem von meikrosoft, haben sie uns gesagt.

Bei Code-Analysen hat Microsoft mehrere Sicherheitslücken in Linux entdeckt, durch die Angreifer etwa auf einem Linux-Desktop-System root-Rechte ergattern und somit die Kontrolle darüber übernehmen könnten. Dazu müssten sie die Schwachstellen verketten, die Microsoft unter dem Namen Nimbuspwn bündelt, und könnten schließlich Schadsoftware wie Backdoors einrichten oder andere schädliche Aktionen mit root-Privilegien ausführen

Hihi, ausgerechnet meikrosoft findet lücken in linux. Das ist etwa so, als ob man ein quake-deathmatch macht und dabei zur erhöhung der demütigung geaxtet wird. 😁️

Und, woran liegt es?

Die Schwachstellen seien den Forschern bei Code-Analysen durch Lauschen am Systembus aufgefallen. Dabei fanden sie ein ungewöhnliches Muster in der systemd-Komponente networkd-dispatcher

Ach, wenn doch nur vorher jemand vor dem beschissenen systemd gewarnt hätte!

Nutzt hier jemand ändräut?

Dann passt mal auf, dass euer wischofon nicht gepwnt wird, wenn ihr eine audiodatei anhört. Zum beispiel, weil ihr eine webseit besucht, in der das im hintergrund abgespielt wird. Oder in der ein werbebanner ist, in der das im hintergrund abgespielt wird. Wenn ihr glück habt, kriegt ihr ja sicherheitsaktualisierungen. Die meisten menschen müssen entweder damit leben oder sich einfach ein neues wischofon kaufen. Seht ihr den waxenden müllberg da vor der stadt? Das ist das wirtschaftswaxtum.

Auch weiterhin viel spaß bei der fernkontoführung mit dem wischofon! Die banken haben euch ja erzählt, dass das sicher ist. Wenns internetz im händi ist, ists gehirn im arsch.

Strom zu teuer? Klau dir welchen!

Experte warnt:
Hacker können Ladestationen mit gestohlenen IDs kostenlos nutzen

An die ID des Stromkunden zu kommen, die auf Ladekarten zum öffentlichen Laden gespeichert wird, sei für Hacker eine leichte Übung […] „Auf den Ladekarten ist rein gar nichts gespeichert, bis auf diese ID. An die kommt man locker ran – ganz ohne Authentifizierung. Das geht schon mit gängigen Android-Handys.“ […] Eine Stromladekarte brauche man nur in die Nähe eines Smartphones zu halten, um dann per App die ID auslesen zu können, so Lottermann. Anschließend könne man eine Blankokarte mit der neuen ID klonen oder direkt das Smartphone nutzen, um mit geringem Aufwand eine Ladekarte samt ID zu simulieren

Ich finde es ja ein bisschen schade, dass geldautomaten besser gesichert sind. 😉️

via @benediktg5@twitter.com

Security des tages

Nehmt java, haben sie uns gesagt. Da kann man nix falsch machen, es gibt keine bufferüberläufe und keine pointer, es ist also viel sicherer, haben sie uns gesagt.

Jetzt Patch patchen!

Als jemand, der vor über zwanzig jahren zum letzten mal in seinem leben java angefasst hat und beschlossen hat, sich nur noch angenehmeren dingen zuzuwenden, frage ich mich ja: an welcher stelle beim wegschreiben einer logdatei kann es eigentlich zur ausführung von kohd kommen und warum ist das so?

In eine logdatei gehen kurze texte zusammen mit einer einfachen kategorisierung ihrer wichtigkeit und einer kennung des erzeugers, denen bei der entstehung noch datum und uhrzeit zugeordnet wird. Selbst, wenn das extrem flexibel und abstrakt programmiert wird, so dass auch netzwerktransparent und in völlig andere dinge als textdateien weggeschrieben werden kann, bleiben es kurze texte mit einem erzeuger, einer gewichtung und einer erzeugungszeit. Nichts, was ausgeführt wird. Was müssen die für eine rottige, überkomplexe krüppelscheiße programmiert haben, damit es zu solchen problemen überhaupt kommen kann?! Und was müssen die für eine rottige, überkomplexe krüppelscheiße programmiert haben, damit man so ein problem nicht sofort in den griff kriegt und behebt?! 🤦‍♂️️

Die progger kamen sicherlich direkt von der uni. Ich brauche nur das problem zu hören, das sie angerichtet haben, und habe sofort eine vorstellung des überkomplexen kohds, den sie zum wegschreiben von logdateien geschrieben haben müssen. So frei nach dem motto: probieren wir doch einfach mal alles aus, was in diesem tollen buch „design pattterns, elements of reuseable object-oriented software“ drinsteht¹. So schade, dass heute kein mensch an den verblödungsanstalten mehr lernt, dass komplexität das genaue gegenteil von sicherheit, analysierbarkeit und robustheit ist.

Vermutlich wird man einige jahrzehnte nach meinem tod feststellen, dass die hl. kirche der objektorientierten programmierung auch nicht die erlösung gebracht hat, sondern eine neue art von spagettikohd: gordisch verworrene objektorientierte spagettiknäuel, die auch mit guten werkzeugen niemand mehr so entwirren kann, dass sie verständlich, analysierbar, entfehlerungsfähig und anpassbar werden. Aber dafür kann man halt viel zeit mit dem aufbau solcher knäuel verbringen, dazu viele lustige UML-diagramme zeichnen, und wenn man für arbeitszeit und nicht für fortschritt und erfolg bezahlt wird, verbringt man eben viel zeit damit.

¹Disclaimer: ich mag das buch. Wirklich. Aber wenn die dort vorgestellten entwurfsmuster zum hammer werden, mit dem ein progger rumläuft, um überall nägel zu sehen, dann wird auch noch die einfachste aufgabe überkomplex implementiert. Was habe ich früher in typischem java-drexkohd viele klassen mit genau einer metode gesehen und mich gefragt, ob diese ganzen factories und singletons nicht eigentlich das sind, was wir früher einmal funkzjonen genannt haben, und ob kohd wirklich überschaubarer wird, wenn man jeden noch so kleinen oder nur mittelgroßen switch() über ein gewebe aus context, abstract state und state implementiert, gern über acht bis zwanzig bandwurmlangnamige dateien im projekt ausgebreitet, weil das „überschaubarer“ sein soll. Vielleicht hätte man doch lieber bei funkzjonaler programmierung bleiben sollen. Es muss ja nicht gerade LISP sein. (Obwohl LISP sehr gut ist, wenn man einen modernen editor wie vim hat, der die zugehörige klammer hervorhebt.) Aber dann hören menschen so begriffe wie „monoid“ und „assozjativgesetz“ und kriegen im lande des matematischen analfabetismus diese schreckliche angst. Geh sterben, zivilisazjon!

Security des tages

Nehmt UEFI, das ist besser und moderner, haben sie gesagt. Nehmt UEFI, da können wir unser digitales gängelungsmänätschment anflanschen und alles wird sicherer, weil ihr nur noch buhten könnt, was meikrosoft signiert hat, haben sie gesagt.

Verwundbare UEFI Backdoors in Lenovo Laptops entdeckt

ESET-Forscher entdecken mehrere Schwachstellen in verschiedenen Lenovo-Laptop-Modellen. Angreifer könnten Backdoors nutzen, um Malware auf Firmware-Ebene zu platzieren.

Kryptogeldbanküberfall des tages

Mit Beanstalk ist erneut eine Kryptogeldplattform bestohlen worden, diesmal konnten Unbekannte ungefähr 80 Millionen US-Dollar an sich bringen

Achtzig megadollar in ein paar sekunden klauen ist ganz schön sportlich! 🏆️

Meine launigen anmerkungen vom 5. september 2017 — damals allerdings zu bitcoin und auf dem hintergrund einer sintflut aus dummer reichwerdspämm — sind immer noch aktuell. Und dass man seine kryptopatte auf irgendwelchen systemen hat, die von nutzern beliebig umgestrickt werden können, wenn diese nutzer nur genug kryptogeld zusammengerafft (oder in diesem fall: geliehen) haben, macht nichts besser, sondern ganz im gegenteil.

Was, die haben ihr eigenes kryptogeld auf dieser technik echt stablecoin genannt? Und die leute haben nicht gelacht, sondern geld draufgeworfen? Weia! Das muss diese generazjon wischofon sein. Da gab es bestimmt eine tolle äpp. Wenns internetz im händi ist, ists gehirn im arsch.

Klaut und kryptogeld des tages

Hach, das ist ja mal eine kombinazjon, und dann kommt auch noch äppel dazu! Eine regelrechte dreieinigkeit aus bullschitt und dummheit:

Metamask speichert Daten im iCloud-Backup des iPhones. Nach einem Betrugsfall warnt der Anbieter, dass gezielte Phishing-Angriffe den Klau des Wallets erlauben

Was kann da auch schiefgehen, wenn man „geld“ völlig intrasparent auf irgendwelchen klaut-rechnern speichert? 😁️

Nutzt hier jemand krohm, diese brauserwanze von guhgell?

Dann holt euch mal die sicherheitsaktualisierung ab. Und wie immer bei securityproblemen im webbrauser in den letzten jahren…

Eine Lücke (CVE-2022-1364 „hoch“) betrifft die JavaScript Engine V8.

…erweist sich javascript als risikotechnik, und menschen, die die ausführung von kohd in irgendwelchen webseits (oder werbebannern) mit einem äddon unterbinden, sind sowieso auf der sicheren seite. Noscript ist eine wirksame sicherheitssoftwäjhr, viel wirksamer als jedes antivirus-schlangenöl. Aber trotzdem sollte man sich aktuellen brauser holen, denn ein beseitigter fehler kann nicht mehr ausgenutzt werden.

Gruß auch an die ganzen scheißjornalisten, die leser contentindustriell-jornalistischer webseits mit immer mehr gängelung zu javascript zwingen wollen! Ihr macht die welt zum paradies für verbrecher, und ihr seid feinde!

Aber linux ist doch sicher…

Der Sicherheitsforscher David Bouman hat in nf_tables aus dem netfilter-Subsystem des Linux-Kernel zwei Sicherheitslücken entdeckt, die das Ausweiten der Rechte zu Root ermöglichen […] In den Kernel-Quellen haben die Entwickler die betroffenen Netfilter-Routinen bereits am 17. März dieses Jahres korrigiert. Die Fehlerbehebungen haben in den Kernel 5.17.1 Einzug gehalten. Die Linux-Distributionen müssen noch aktualisierte Kernel ausliefern. Red Hat, Debian und Ubuntu haben inzwischen evaluiert, welche Distributionen verwundbar sind. Die aktualisierten Kernel stehen jedoch zum Zeitpunkt der Meldung noch nicht bereit

Na, dann gibts demnächst mal wieder eine kleine sicherheitsaktualisierung. Weil irgendjemand (natürlich mit ein paar zeilen kohd zwischen free und memcpy) so etwas gemacht hat:

void quux (void *buf)
{
  extern void *quox;
  free (buf);
  memcpy (buf, quox, BUFFER_SIZE);
}

Nee, so offensichtlich wird das nicht drinstehen. Hoffe ich zumindest.

Cyber-cyber-lapsus$ des tages

Na, wer waren wohl diese hammerharten cyberterrorkriegs-elitehäcker, die bei samsung, nvidia, ubisoft, vodafone und meikrosoft eingedrungen sind? Das waren doch sicherlich welche von einem staat, die waren so irre gut. Waren es die russen? Waren es die chinesen? Waren es die nordkoreaner?

Nein, es war niemand von diesen staatlichen elitehäckern aus armee und geheimdienst:

Cybersecurity-forscher, die eine serje von häckerangriffen auf technikunternehmen, darunter microsoft corp. und nvidia corp. untersuchen, haben die angriffe auf einen 16jährigen zurückgeführt, der im haus seiner mutter in der nähe von oxford, england, lebt.

Vier forscher, die im auftrag der angegriffenen unternehmen gegen die häckergruppe lapsus$ ermitteln, halten den jugendlichen für den drahtzieher.

Bwahahahahaha! 🤣️

Wir können alle nur froh darüber sein, dass die richtig bösen cyber-cyber-krieger noch nicht versucht haben, hier mal etwas anzugreifen. Sonst geht hier vermutlich in wenigen minuten das licht aus. Denn unsere kompjutersicherheit ist ein aufregender abenteuerspielplatz, der jedem halbstarken und jedem backfisch ruckzuck ein schönes erfolgserlebnis gewährt. 😎️

Cyber! Cyber! 🤡️

Meikrosoft des tages

Meikrosoft, die klitsche, die in ihrem beliebten betrübssystem windohs 11 mal eben die möglichkeit der einrichtung eines lokalen benutzerkontos ratzefummel entfernt hat, hat 37 gigabyte interne daten veröffentlicht.

Unter den geleakten Daten sollen sich der Source Code von 250 Microsoft-Projekten befinden

[Falsche grammatik aus dem originaltext bei heise onlein.]

Aber keine sorge: meikrosoft versichert in seiner PResseerklärung, dass keine kundendaten dabei waren. Woher man weiß, dass keine kundendaten mitgenommen wurden? Tja, das sagt meikrosoft nicht. Wenn jemand ein system richtig gepwnt hat, hinterlässt das mitnehmen von daten keine spuren…

In diesem sinne wünsche ich euch allen noch viel spaß mit windohs 11. Immer ganz fest daran glauben, dass meikrosoft eure daten besser sichert als seine kwelltexte, die nichts weniger als die grundlage des geschäftsmodells von meikrosoft sind!!1!

Also immer schön brav und gläubig vor irgendwelchen konzernen datennackig machen!