Klaut des tages

Legt alle eure daten in die klaut, haben sie gesagt. Da sind sie viel sicherer als auf euren festplatten und kompjutern, haben sie gesagt.

Der Hack fand bereits im November 2022 statt. Nun hat der Anbieter von Software-as-a-Service und Remote-Work-Tools weitere Details in einem Statement veröffentlicht. Daraus geht hervor, dass die Eindringlinge auf einen Cloud-Speicher eines Drittanbieters zugreifen konnten, um dort verschlüsselte Backups zu kopieren. Davon sollen nach jetzigem Kenntnisstand die GoTo-Produkte Central, Pro, join.me, Hamachi und RemotelyAnywhere betroffen sein.

Bei dem Zugriff sollen die Angreifer aber auch einen Schlüssel erbeutet haben, mit dem sie auf einen Teil der Backups zugreifen könnten. Darin sollen sich unter anderem Nutzernamen und geschützte Passwörter (Hash plus Salt) von Central und Pro befinden. Außerdem sind E-Mail-Adressen und Telefonnummern geleakt

Oh, wie schön, wenn der schlüssel zum entschlüsseln gleich mit in der klaut liegt! Aber keine sorge:

Unklar ist, welches Hash-Verfahren zum Einsatz kam. Damit steht und fällt, ob die Angreifer Passwörter knacken können oder nicht

Dafür, dass der klaut-dienstleister die daten seiner kunden veröffentlicht hat, hält er auch wesentliche informazjonen zurück, um die schwere des datenlecks zu beurteilen.

Ihr müsst alles in der klaut machen. Der werber hat euch gesagt, dass das jetzt hipp, modern, super, ditschitäll und internetz ist, und sein stinkender bruder, der scheißjornalist, hat es noch mal wiederholt. Denen müsst ihr einfach glauben!!1!

„Cyber cyber“ des tages

Cyber-Angriff:
IT der TU Freiberg weitreichend lahmgelegt

Details zu der Cyber-Attacke auf die TU Freiberg sind nicht verfügbar; offenbar haben jedoch Intrusion-Detection-Systeme angeschlagen. Gegenüber dem MDR erklärte der Rektor Professor Barbknecht, dass bei „so exponierten Institutionen wie der Bergakademie oder auch bei größeren Unternehmen [..] das eigentlich eine Sache [ist], mit der man jederzeit rechnen, auf die man aber auch vorbereitet sein muss“. Dort führt er weiter aus, dass die Uni sehr gut vorbereitet gewesen sei, indem sie den Hackerangriff rechtzeitig bemerkt habe

Die waren so gut vorbereitet, dass sie wussten, wo man den stecker ziehen muss. Das weiß ja auch nicht jeder. Jetzt steht ein kalender neben der steckdose, denn in zwei wochen soll der stecker ja wieder eingestöpselt werden.

Grüße auch an die fachhochschule hamburch, die immer noch nicht wieder onlein ist. Und natürlich auch nach potsdam, die gerade schon wieder offlein sind. Cyber! Cyber! An allen diesen BRD-universitäten müsst ihr euch zur fachkraft ausbilden lassen, das sind so richtige auskenner!!1!

Die frage an den herrn professor Barbknecht, woher er denn so genau wisse, dass keine daten „abgeflossen sind“, haben die heise-jornalisten leider vergessen. Der angriff war ja angeblich am wochenende, und der stecker wurde erst „rechtzeitig“ am dienstag gezogen, da ist ja mehr als genug zeit zum datenkopieren. Ist halt ein ehemaliges fachmagazin.

Äppstohr des tages

Installiert alle äpps immer schön über unseren äppstohr, haben sie gesagt. Dann wird jede äpp genauestens von eurem digitalen gutsherrn kontrolliert, ihr kriegt keine schadsoftwäjhr und keine trojaner und habt deshalb viel mehr sicherheit, haben sie gesagt.

Sicherheitsforscher haben eine großangelegte Malvertising-Kampagne aufgedeckt, die über iOS-Apps abgewickelt wurde. Bei dem Betrug, der mit dem Namen VASTFLUX bezeichnet wird, sollen laut Angaben des Unternehmens Human Security bis zu 11 Millionen iPhones betroffen gewesen sein. Das Ausspielen betrügerischer Anzeigen wurde demnach in insgesamt 1700 App-Store-Anwendungen von insgesamt 120 Entwicklern durchgeführt. Wie hoch der Gesamtschaden ist, lässt sich aktuell noch nicht beziffern

Wer sich jetzt zu früh freut, weil es ja „nur“ die feinde aus der reklameindustrie getroffen hat, denke bitte noch einmal nach. Denn die kosten für die — im internetz und in so genannten „äpps“ immer intelligenzverachtende und regelmäßig körperverletzende scheißreklame — zahlen ja nicht die arschlochklitschen aus der reklameindustrie, sondern die menschen, die diese produkte kaufen und den preis der reklame mitbezahlen. Aber trotzdem, werte kriminelle: je mehr ihr das reklamegeschäft angreift und kaputt macht, je mehr ihr einen beitrag dazu leistet, dass dieser ganze scheißdreck irgendwann nicht mehr bezahlt wird, desto sympatischer werdet ihr mir.

Äppstohr des tages

Die werber für die wischofonindustrie so zur generazjon wischofon: holt euch eure softwäjhr nicht mehr von irgendwo aus dem internetz, wo fiese cräcker euch fiese schadsoftwäjhr unterjubeln können, sondern holt euch eure softwäjhr aus dem äppstohr, den wir auf den von euch bezahlten gängelungs-, überwachungs- und technikverhinderungsgeräten vorinstalliert haben, denn das ist sicher und viel besser für euch!

Forscher der NCC Group haben bereits Ende letzten Jahres zwei neue Schwachstellen im Galaxy Store von Samsung entdeckt. Über eine davon ist es Angreifern möglich, beliebige Apps auf fremden Geräten zu installieren, ohne dass der Besitzer davon etwas mitbekommt. Mit der zweiten Lücke können sie ihre Opfer auf betrügerische Webseiten leiten, um darüber bösartigen JavaScript-Code auszuführen

Aber keine sorge, das problem ist doch behoben…

Nicht jeder Anwender dürfte jedoch in den Genuss der fehlerbereinigten Version 4.5.49.8 (oder neuer) des Samsung Galaxy Store kommen. Insbesondere ältere Geräte, die keinerlei Support mehr erhalten, bleiben damit weiterhin anfällig

…wenn ihr euch jedes jahr ein neues scheißwischofon kauft. Wenn ihr zu arm oder zu geizig seid, um funkzjonierende und gute technik einfach in den müll zu werfen, dann müsst ihr eben weiter mit der lücke leben. Schon dumm, wenn man sich kompjuter kauft, auf denen andere darüber entscheiden, welche softwäjhr darauf ausgeführt wird. Da müsst ihr dann unbedingt eure fernkontoführung mit machen!!1!

Security-lacherchen des tages

Sicherheitsprüfung:
13.000 Passwörter der US-Regierung in 90 Minuten geknackt

Weil Mitarbeiter des US-Innenministeriums leicht zu erratene Kennwörter wie Password-1234 nutzen, könnten Angreifer leichtes Spiel haben […] Insgesamt liegt die Erfolgsquote bei 21 Prozent. 288 der geknackten Accounts sollen weitreichende Nutzerrechte aufweisen und 362 sollen zu leitenden Regierungsangestellten gehören […] Am häufigsten kamen die vergleichsweise leicht zu erratenen Kennwörter Password-1234 (478 mal), Br0nc0$2012 (389 mal) und Password123$ (318 mal) zum Einsatz

Fernkontoführung des tages

Macht eure internetz-fernkontoführung mit dem wischofon, haben sie uns gesagt. Das ist hipp, ditischtäll, bekwem und vor allem sicher, haben sie uns gesagt.

Tja, und irgendwelche leute, die immer wieder mal gesagt haben, dass sogar ein windohs 95 sicherer gewesen wäre, sind halt allesamt technikfeindliche spinner und ewiggestrige.

Fefe erklärt den stand der kompjutersicherheit

DAS war bisher der Schutz vor Malware. Dass es zu schwierig für Skript-Kiddies war, Malware zu hacken. Nicht dass wir verteidigen. Nein. Dass die Angreifer zu blöde sind

Mit „häcken“ meint Fefe natürlich „programmieren“. Das wort hat nach dreißig jahren voller inkompetentem jornalismus (der seine technikkenntnisse überwiegend aus miesen US-amerikanischen scheißfilmen bezieht) seine bedeutung geändert.

Künstliche intelligenz des tages

Um weitere informazjonen zu erhalten, wie tschättGPT missbraucht werden könne, fragten die forscher tschättGPT [sic!]. In der antwort sprach tschättGPT über die verwendung der KI-technik, um überzeugende phishing-mäjhls und S/M-pohstings zu erzeugen, die menschen dazu bringen, persönliche informazjonen herauszugeben, auf schädliche links zu klicken oder um video- und audiodateien zu erzeugen, die für fehlinformazjonen verwendet werden könnten

Hach! Endlich reden sicherheitsforscher mit angelernten neuronalen netzwerken. Was für eine schöne forschung!!1! Und es gibt sogar antworten von gnadenloser flachheit. Tauben sind nicht nur hübsche und elegante vögel, sondern auch intelligente und sozjale geschöpfe, die in der lage sind, sich anzupassen und zu lernen

Habe ich eigentlich schon einmal erwähnt, dass ich dieses tschättGPT für völlig überbewertet halte. Es ist zwar so gut, dass es für viele dinge ein hilfsmittel sein kann, und es zeigt auch, dass die zeit, in der ein großteil der jornalistischen textprodukzjon von billigen maschinen übernommen wird, ganz nahe gekommen ist — freu dich schon auf das von dir selbst herbeigeschriebene hartz-IV-terrorsystem, das jetzt twix heißt, du arschloch von jornalist! — aber das war es auch. Ich bin da nicht so leicht zu beeindrucken, nur, weil ein extrem aufwändiges und keiner analyse (und damit keiner herkömmlichen möglichkeit zur entfehlerung oder verbesserung) zugängliches verfahren ein paar texte — oder schon etwas länger: bilder — auswirft, die zwar kleine fehlerchen haben, aber oft formal gut gebaut sind und gängigen ästetischen vorgaben entsprechen¹. Um davon so dermaßen hirnauswerfend beeindruckt zu sein, dass man den horizont neuer zeitalter zu erblicken scheint, muss man schon viel glaubensbereitschaft haben. Wenn man die erstmal hat, dann legt man auch seine kompjutersicherheit in die hände einer so genannten künstlichen intelligenz. Das wird dann aber wie das sparen durch beidseitige benutzung von klopapier. Der erfolg liegt auf der hand. 🤭️

¹Das näxste album von sinnesløschen wird eine mit stable diffusion generierte cover-gestaltung haben, damit ich diesen teil auch endlich maschinell erledigen kann, ohne ein fraktal zu benutzen. Die kleinen fehlerchen und artefakte stören mich dabei nicht, sondern ganz im gegenteil. Sie sind genau die richtige kälte.

Smartdinger des tages

Geöffnet und weggefahren:
Sicherheitsforscher knacken Autos von Kia, Honda & Co.

Dafür benötigten sie eigenen Angaben zufolge lediglich die Fahrzeug-Identifikationsnummer (FIN) in einer HTTP-Anfrage an den Endpoint zu schicken. Bei vielen Modellen kann man diese Nummer durch die Windschutzscheibe ablesen

Wenn doch nur vorher jemand gewarnt hätte! Aber ihr habt echt geglaubt, dass die kompjutersicherheit bei autos besser als bei anderen produkten wäre. Weil es ja hokus pokus autos sind. Und weil es so schöne bilder in der reklame gibt: leere straßen, schöne wege, freiheit. Tja, so ist das eben, wenn man kaufentscheidungen mit der psyche statt mit dem gehirn trifft.

Und weil es so schön ist…

Aufgrund von unsicher konfigurierten Single-Sign-On-Schnittstellen in etwa Händlerportalen konnten die Forscher eigenen Angaben zufolge auf unter anderem Github-Instanzen, interne Firmendaten, Mitarbeiter-Informationen und Kundendaten zugreifen. Das war etwa bei Ferrari, Mercedes-Benz, Porsche und Toyota der Fall

…gibt es gleich auch noch den industriestandard der datenschleuderei dazu. Grüße auch an die von verantwortungsloser datenspeicherung betroffenen mitarbeiter von ferrari, mercedes-benz, porsche und toyota. Habe ich „industriestandard“ gesagt?

In Webportalen von Mercedes und Rolls-Royce konnten die Forscher sogar eigenen Code ausführen und hatten Zugriff auf hunderte interne Tools

Ja, ich habe industriestandard gesagt. 😁️

Müsst ihr kaufen, diese ganze „smarte“ scheiße, wo die scheißwerber und ihre hässlichen brüder, die scheißjornalisten, ständig von vernetzung und „internet der dinge“ sprechen, um irgendwelche scheinprobleme zu lösen! Da ist nicht nur überwachung drin, da ist auch datenschleuderei und die werksseitig verbaute hintertür für kriminelle drin. Und abzocke, wenn man auf einmal produkteigenschaften seines scheißautos mit einem monatlichen betrag vom hersteller freischalten lassen muss, statt einfach über das gekaufte und bezahlte dingens selbst verfügen zu können.

Aber die leute finden es eben geil…

Kleines kryptogeld-lacherchen des tages

Einem der Bitcoin Core-Entwickler wurden gerade alle seine Bitcoins geklaut

Wer keine lust hat, sich zum zwitscherchen vorzuklicken, hier lang [archivversjon]. Man beachte den zwitscherchen-namen, der ein mastodon-konto ist… aber zum öffentlichen dem-geld-hinterherweinen dann doch lieber zum zwitscherchen, da ist die bühne nun einmal größer. 🤭️

Wenn man sich wanzen ins wahnzimmer stellt…

…weil das ja alles so smart, ditschitäll, hipp und internetz ist, dann gibts halt, was zu erwarten ist:

Google Home-Lautsprecher waren durch Fremde abhörbar

Unzählige im Einsatz befindliche Google Home-Lautsprecher ließen sich mindestens bis April 2021 von Hackern übernehmen. Durch die Verknüpfung mit einem eigenen Benutzerkonto konnten Angreifer auf sämtliche Dienste der Geräte über das Internet zugreifen. Dadurch war auch das Belauschen der Eigentümer über das integrierte Mikrofon möglich […] Für die tatsächliche Ausführung eines Angriffs war nicht einmal das WLAN-Passwort des Opfers erforderlich. Ein Angreifer konnte einfach mit einem entsprechenden Tool nach erreichbaren MAC-Adressen scannen und dabei nach Präfixen Ausschau halten, die typischerweise zu Google-Geräten gehören […] Doch die Möglichkeiten, die sich über ein verknüpftes Konto ergeben, sind noch weitaus vielfältiger. Beispiele dafür sind die Steuerung intelligenter Schalter, Online-Einkäufe, das Entriegeln von Türen und Fahrzeugen aus der Ferne sowie das heimliche Auslesen der PIN des Benutzers für intelligente Schlösser. Selbst kostenpflichtige Anrufe lassen sich darüber starten

Aber ihr habt ja alle nix zu verbergen, nicht wahr? Und warum sollte euch denn jemand häcken, nicht wahr? Macht alles schön „smart“ und sprecht jeden tag schön mit guhgell (oder amazon oder meta), wenn ihr was von euren „smarten“ dingern haben wollt! Erich Mielke wäre so stolz auf euch gewesen!

Dass aber sogar die ansonsten gar nicht so dummen leute bei tarnkappe so eine wanze in völliger umkehrung ihres eigentlichen zweckes völlig unrelativiert zum „lautsprecher“ ernennen und damit dümmstes und vorsätzlich verdummendes reklamedeutsch nachplappern, ist etwas schade.

Internetz der dinge des tages

Für sich selbst reklamiert Toka „bisher unerreichbare Fähigkeiten“, die ungenutzte Sensoren im notorisch unsicheren Internet of Things (IoT) „in Informationsquellen umwandeln“ und „für nachrichtendienstliche und operative Zwecke“ genutzt werden können […] Selbst eine „smarte“ Glühbirne reiche aus, um ein WLAN-Passwort zu ergattern

Aber hej, ihr habt ja alle nix zu verbergen. Also freut euch schön darüber, wenn ihr mit eurem scheißhändi das licht ausschalten und die klospülung machen könnt! Wer braucht da noch privatsfäre? Wer braucht da noch diese freiheitsrechte? So tolle technik. Und so „smart“. Manches leuchtmittel mit eingebauter first world problem solution wird inzwischen schon mehr intelligenz als seine nutzer haben.

Ditschitäll first…

steckerziehen second [archivversjon]:

Nach Angaben der Stadt ist die Verwaltung aktuell nicht per E-Mail erreichbar. Auch sämtliche Verfahrenssoftware könne nur eingeschränkt genutzt werden. Insbesondere Anträge von Personalausweisen und Reisepässen sowie An- und Ummeldungen seien derzeit nicht möglich. Die Telefone seien jedoch nicht betroffen

So so, anträge von personalausweisen. 🤭️

Aber hej, die telefone funkzjonieren noch. Die faxgeräte vermutlich auch.

Datenschleuder des tages

Das zwitscherchen hat wahrscheinlich die daten von 400 milljonen nutzern „veröffentlicht“, die jetzt von interessierten gekauft werden können. Ich wusste gar nicht, dass das zwitscherchen weltweit so viele nutzer hat… 😁️

Das wort „wahrscheinlich“ steht hier jetzt nur aus juristischen gründen.

Das zwitscherchenkonto des sicherheitsforschers, das bis neulich noch unter @underthebreach@twitter.com verfügbar war, wurde inzwischen…

Account suspended
Twitter suspends accounts that violate the Twitter Rules. Learn more

…vom zwitscherchen wegzensiert. Vermutlich für die hl. meinungsfreiheit, die Elon Musk ja nach seinen eigenen lügenworten so sehr am herzen liegt. Ja, ich wollte Alon Gral eine kleine frage stellen (oder genauer: schauen, welche fragen ihm schon gestellt wurden, denn meine war eigentlich eine sehr naheliegende frage nach seiner einschätzung der vertrauenswürdigkeit des kriminellen anbieters, seiner behauptungen und natürlich auch nach den gründen für diese einschätzung, und die wurde ihm bestimmt schon gestellt, vermutlich mehrfach, weil jornalisten), bevor ich etwas dazu schreibe. Als ob die eigene datensauerei davon verschwände, dass man ein weißes tuch mit einer kontensperrung über die scheiße zu decken versucht!

Der digitale gutsherr Elon Musk ist leider sehr dumm. Anstatt sich in gutgeübter macherpose hinzustellen und rauszuposaunen, dass das alte mänätschment beim zwitscherchen halt nicht so toll und verantwortungsvoll war und dass jetzt alles straffer, besser und sicherer wird, wisst schon, eine viel bessere erfahrung für alle nutzer, und dass man selbstverständlich die verantwortung für die fehler der alten führung übernimmt (geht ja auch nicht anders, wenn man ein unternehmen kauft), zensiert er leuten mit unerwünschten nachrichten ihren twitterkanal weg und bestätigt damit gleich die schlimmsten vermutungen. So ein vollidjot wie Elon Musk, der schon einen dreiviertel Trump auf der nach oben offenen skala für realitätsverluste erreicht, stopft ganz sicher auch so einem asozjalen scheißerpresser das scheißgeld in den arsch und fördert damit die kriminalität! Und morgen so: huch, hier wird so viel gecybert, da müssen wir was gegen tun!

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Und immer schön eure telefonnummer auf den webseits irgendwelcher unternehmen ohne seriöses geschäftsmodell angeben, um „die sicherheit eures kontos zu erhöhen“. Ihr wollt doch kein gehäcktes nutzerkonto haben!!1! Und wenn die daten dann mal im halbmilljardenpäckchen abgepumpt werden können: ist doch schön, wenn mal wieder jemand anruft. Die liste wäxt und wäxt und wäxt, und auch in zukunft wird es nur einen einzigen wirksamen datenschutz geben: pingeligste datensparsamkeit.

Und jetzt nicht gleich reflexartig in das wahnzimmer „alexa, wie macht man das mit der datensparsamkeit?“ reinsprechen! Auf dem weg in die idiocracy grüßt man mit mach mal, guhgell

Das FBI empfiehlt…

Zu guter Letzt folgt noch eine etwas kurios anmutende, aber dennoch wirksame Empfehlung: “Verwenden Sie bei der Internetsuche eine Werbeblocker-Erweiterung“, so der Ratschlag des FBI

Das ist einer dieser tipps, denen ich mich völlig anschließe. Aus gründen. Aber benutzt bitte einen wirksamen adblocker, also einen, der sämtliche reklame wegblockt. Es gibt keine erträgliche reklame, und es gibt vor allem keine sichere reklame. Wenn man in webseits kohd einbettet, der von irgendwelchen dritten kommt und über irgendwelche abstrakt-technischen verfahren zur ladezeit einer webseite ausgehandelt wird, ist das natürlich auch ein paradies für verbrecher und ganz unseriöse überwacher und datensammler.

Datenschleuder des tages

Die kryptogeldbörse gemini hat die daten von fünf milljonen nutzern veröffentlicht.

Ich wünsche auch weiterhin viel spaß beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt. Ditischtäll first, hochdruck second.

Niemand hätte damit rechnen können!

Mit der schnell zunehmenden Verbreitung von Bezahl-Apps nehmen einer Analyse zufolge auch Angriffe auf Handys und Tablets zu, und zwar ebenso schnell

Oh, ich kriege ein déjà vu. So etwas habe ich doch schonmal erlebt… erst, als die scheißbanken vom onlein-bänking laberten und die ganzen lemminge ihre fernkontoführung im webbrauser machten, das geschäft für kriminelle lohnend war und es auch einmal ganz viel betrug gab; dann, als die leute paypal benutzten und es auf einmal ganz viel betrug gab; dann, als die leute kryptogeld nutzten und es auf einmal ganz viel betrug gab und jetzt nochmal mit bezahläpps fürs wischofon. Wieso läuft das nur immer so ähnlich? 😁️

Inzwischen erzwingen die scheißbanken die fernkontoführung über den webbrauser geradezu und tun auch alles dafür, dass man nur noch mit mühe an bargeld kommt. Und demnächst werden die scheiß-einzelhandelsketten die verwendung von händi-bezahlungen geradezu erzwingen, und die scheißbanken werden sich wie die gierigen kinder darüber freuen, dass sie für jede pipi-bezahlung eine transakzjonsgebühr nehmen können. Einfach, bekwem, ditschitäll und bargeldlos. Und alle finden es geil! Müsst ihr verstehen, geld ist echt unpraktisch. Und, wie wir seit corona wissen, auch total unhygjenisch. Da klebt die pest dran. Cyber cyber!

Und nein, heise, du ehemaliger fachverlag: phishing ist kein häckerangriff. mäjhl zu versenden ist kein häcken. Ach, du schreibst einfach von der DPA ab? Ich sags ja: ehemaliger fachverlag. Cyber cyber!

Heise: Ehemaliger Fachverlag