Nutzt hier jemand posteo?

Mir ist das nur ein einziges mal berichtet worden. Meine anmerkungen dazu deshalb als gerücht behandeln.

Jemand hat eine mäjhladresse bei posteo. (Nein, ich werde die identität weder preisgeben noch andeuten.) Da er noch ein paar mäjhladressen mehr hat, sich aber nicht immer bei allen möglichen mäjhlkonten einloggen will, um seine mäjhl zu lesen, nutzt er den bekwemen, von posteo angebotenen „sammeldienst“. Dieser meldet sich in regelmäßigen abständen bei anderen postfächern mit den bei posteo hinterlegten zugangsdaten für diese anderen konten an, schaut nach, ob dort neue mäjhl angekommen ist, holt diese ab und sortiert sie in das lokale posteo-postfach ein.

Dieser jemand hat am dienstag, den 8. juni, eine mäjhl von posteo erhalten, dass der „sammeldienst“ deaktiviert wurde, weil posteo sich wiederholt nicht einloggen konnte.

Daraufhin hat er sich die konfigurazjon des sammeldienstes angeschaut und festgestellt, dass das login-passwort für das externe mäjhlkonto falsch war. Es handelte sich nicht um das passwort für das abzurufende konto, sondern um das klartext-passwort für das posteo-konto.

Davor hat dieser „sammeldienst“ über einen langen zeitraum ohne derartige probleme funktioniert.

Tatü! Tata! 🚨️

Ich kann mir nur einen einzigen möglichen grund für so einen „fehler“ vorstellen:

  1. Posteo sollte seine nutzerpasswörter nur in gehäschter form speichern, nicht im klartext. Das ist elementare security-praxis.
  2. Das BRD-gesetz zur bestandsdatenauskunft verpflichtet mäjhlproweider, klartext-passwörter an BRD-polizeien und BRD-geheimdienste rauszugeben.
  3. Da posteo diese passwörter nicht hatte, hat sich posteo drangesetzt, die angegebenen passwörter nach einer erfolgreichen anmeldung zu speichern.
  4. Als dieses anti-sicherheits-funkzjonsmerkmal — vermutlich mit etwas zu heißer nadel, weil die staatsanvergewaltschaft vor der tür stand und bußgelder für verzögerungen androhte — gestrickt wurde, hat der progger, der damit gestraft war, die datenbank nicht vollständig verstanden und sein UPDATE user_accounts SET password=%klartext_passwort% WHERE user_id=%id% eingefügt¹, der dann wegen eines nicht ganz koscheren datenbankdeseins mehr veränderte, als der programmierer eigentlich verändern wollte. Und so kam es zu dem fehler.
  5. (Ich kann natürlich nicht ausschließen, dass ein programmierer so einen fehler vorsätzlich macht, weil er anstand hat und will, dass die sache bemerkt wird. In diesem fall: danke! Du bist ein ehrenmann! Und frauen sind dabei mitgemeint. Ist grammatik.)

Mein schluss: mäjhlproweider aus der BRD sind allesamt nicht mehr vertrauenswürdig und geben nicht nur metadaten, sondern auch zugangsdaten an BRD-polizeien und BRD-geheimdienste weiter, ohne ihre nutzer darüber zu informieren. Posteo tut dies wohl seit dienstag, dem 8. juni 2021.

Diese kooperazjon ist mit einer klartext-speicherung von passwörtern in den datenbanken der mäjhlproweider verbunden. Oder anders gesagt: mit einem rückbau vernünftiger und bewährter grundlagen der kompjutersicherheit, die aus guten gründen seit den 1970er jahren standard sind.

Oder noch einmal anders gesagt: die gegenwärtige CSPDU-regierung unter Angela „bleierne raute“ Merkel zerstört mit ihren (technisch extrem inkompetenten) überwachungsgesetzen die grundlagen vertrauenswürdiger und sicherer informazjonstechnik und nötigt informazjonstechnischen unternehmen in der BRD eine reduzierung ihrer sicherheitsvorkehrungen auf. Den schaden davon haben nicht verbrecher, sondern alle menschen, die mäjhl für ihre private und geschäftliche kommunikazjon nutzen und im falle eines datenlecks (zum beispiel auch durch einen korrupten mitarbeiter bei posteo, der für eine handvoll geld ein paar daten rausträgt) völlig bloßgestellt werden.

Dass eine herausgabe von passwörtern beliebiges fälschen von kommunikazjon durch BRD-polizeien und BRD-geheimdienste ermöglicht und dass diese kommunikazjon anhand der logdateien nicht von kommunikazjonsakten des regulären nutzers unterschieden werden kann, sei nur nebenbei erwähnt. Wegen gefälschter beweise unschuldig im knast zu sitzen, ist ziemlich scheiße. Dieses möglichkeit wird den BRD-polizeien und BRD-geheimdiensten von unserer CSPDU-bummsregierung in die hände gedrückt. Klar, werter herr polizeibeamter, sie würden so etwas niemals tun. Aber selbst sie kennen den einen oder anderen kollegen, dem sie so etwas zutrauen, oder?! Man kann ja gar nicht dabei erwischt werden…

(Mir sind mehrere menschen mit BTM-vorstrafen persönlich bekannt, bei denen die beschlagnahmte kokainmenge viel größer war als die kokainmenge, die schließlich in der anklageschrift angegeben wurde. Natürlich hat da keiner vor gericht gesagt, dass er in wirklichkeit viel mehr hatte. Und wenn man als polizeibeamter nicht erwischt werden kann, dann hat das eben ein gewisses verführungspotenzjal.)

Ich kann nur noch davon abraten, einen mäjhlproweider aus der BRD zu nutzen.

Ach ja, und eines noch: diese „kleinigkeit“ ist nur aufgefallen, weil für jedes benutzerkonto andere passwörter benutzt wurden. Wer überall das gleiche passwort nutzt, kann diesen effekt gar nicht bemerken.

Natürlich sind tabellen- und spaltennamen hier nur geraten. Ich kenne das bei posteo verwendete datenbankschema und die dort verwendeten namenskonwenzjonen nicht. Aber im groben werden die tabellen so heißen.

Fernkontoführung des tages

Volksbanken:
Cyber-Angreifer legen Online-Banking lahm

Da freuen sich doch alle kunden, dass die filjalen geschlossen sind, wenn da einer rumcybert! Und wenn ich mir nur überlege, wie billig es ist, so ein botnetz zu mieten und damit einen DDoS zu machen, können sich ruhig schon mal alle dran gewöhnen…

Warum zum hackenden henker?

Warum kann ich in eine meikrosoft-excel-zelle =cmd|'/C calc'!xxx reinschreiben und beim öffnen der excel-mappe wird calc.exe ausgeführt? (Die referenz auf eine zelle ist in diesem fall völlig wirkungslos, deshalb habe ich sie durch xxx ausgetauscht.)

Und warum zum hackenden henker funkzjoniert das auch nach dem import einer CSV-datei (wisst ja, CSV ist voll sicher, da können schließlich keine fiesen makros drinsein) mit einer solchen zelle? Gut, es wird eine warnung beim öffnen/beim import angezeigt. Wir wissen alle, was anwender mit so einer warnung machen: ungelesen wegklicken, ohne dass von dieser unwillkürlichen tat auch nur ein bisschen bewusstsein zurückbleibt. Und hinterher, wenn es zu spät ist, sagen sie immer: „ich habe doch gar nichts gemacht“.

Gibt es dafür auch nur eine einzige sinnvolle anwendung, oder ist das nur eine eingebaute hintertür, damit die US-dienste kohd in einer CSV-datei verbauen und auf fremden rechnern ausführen können. Für letzteres spricht meiner meinung nach, dass diese „funkzjon“ nicht dokumentiert ist.

Hej, schön weiter überall excel verwenden, das ist voll gut. Der onkel werber hats ja gesagt, und sein stinkender bruder jornalist auch. Also muss es stimmen.

Luca-äpp des tages

Über manipulierte Einträge ins Luca-System könnten Hacker angeschlossene Gesundheitsämter lahmlegen […] Beide Angriffe funktionieren mit sogenannten code injections. Die sind im Video nicht zu sehen, wahrscheinlich um Angreifern keine Tipps zu geben, laufen aber im Prinzip wie folgt ab: Mengs fügt als Luca-Nutzer bestimmte Sonderzeichen in die Eingabefelder für seine eigenen Daten ein, beispielsweise ins Feld für die Postleitzahl seiner Anschrift. Luca exportiert die Daten als CSV-Datei ans Gesundheitsamt. Wird die Datei dort mit Microsoft Excel geöffnet, interpretiert Excel die Sonderzeichen automatisch als Formel, und die Formel kann auszuführende Befehle enthalten

[Archivversjon]

Aber hej, keine sorge leute, es gibt schlangenöl dagegen. Natürlich könnte man alternativ auch die scheißäpp sicherer kohden…

Betreibt hier jemand einen windohs-sörver

Dann pätscht mal schön!

Angreifer sollen die Lücke aus der Ferne ausnutzen können, um Schadcode mit Kernel-Rechten auszuführen. Anschließend könnte sich ein Trojaner wurmartig in Netzwerken verbreiten und noch mehr Computer infizieren

Weia!

Für die mehrzahl der „einfachen“ windohs-anwender gibt es allerdings kein problem. Der dienst, der die fehlerhafte komponente nutzt, muss von hand aktiviert werden, und das wird kaum jemand tun. Und wer es tut, weiß (hoffentlich), was er tut.

Wahlkrampf-äpp des tages

Als ich dann aber auch noch den Bug gefunden habe, durch den ich mich im Web-Interface selbst zum Superadmin machen konnte, das war völlig unerwartet

Ditschitäll first, datenschleuder second! 🤣️

Also schön aufpassen, was ihr jemanden erzählt, der bei euch klingelt und für irgendeine scheißpartei werbt. Schnell landet das alles über das scheißhändi des wahlwerberidjoten in einer datenbank, die dann nicht nur der scheißpartei, sondern sogar jedem verbrecher dieser welt zur verfügung steht.

Datenschleuder des tages

Der französische Versicherungskonzern Axa hat bestätigt, in Südostasien Opfer eines gezielten Ransomware-Angriffs geworden zu sein […] hat eine Gruppe Cyberkrimineller namens Avaddon die Axa-Partner in Asien angegriffen und drei TByte an Daten erbeutet. Dies ginge aus einem Beitrag im Dark Web hervor, den die Financial Times gesehen habe. Die Daten stammen aus den vier zuvor genannten asiatischen Ländern und umfassen persönliche Daten der Kunden, Krankenakten und Versicherungsansprüche sowie Daten von Krankenhäusern und Ärzten

Auch weiterhin viel spaß und orwellness beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Selbst weit in die privat- und intimsfäre hineinreichende gesundheitsdaten landen schließlich bei verbrechern, je größer die datensammlung, desto größer der anreiz und der betriebene aufwand. Die liste wäxt und wäxt und wäxt.

Hat hier jemand dinger mit WLAN…

…zum beispiel router, termostate, fernseher, radios, verstärker, autos, wischofone, sexspielzeug, kinderspielzeug, kameras, „smarte“ haushaltsgeräte, täbletts, wohnzimmerwanzen (wie diese scheißdinger von amazon), so genannte „smartwatches“, kaffeemaschinen oder dergleichen mehr? Tja, dann schmeißt die mal weg und kauft euch demnächst, nach einführung eines korrigierten, fehlerfreien WLAN-standards, neue — oder schaltet wenigstens das WLAN ab, wo immer ihr das noch könnt!

Nach derzeitiger Sachlage ist davon auszugehen, dass einige der Sicherheitslücken designbedingt im WiFi-Standard vorliegen und somit herstellerübergreifend ausgenutzt werden können. Die verwendete Verschlüsselungstechnik spielt für Attacken ebenfalls keine Rolle. Ferner führen die Sicherheitsforscher aus, dass jedes von ihnen getestete WLAN-Gerät von mindestens einer der genannten Schwachstellen betroffen ist

Die hervorhebung ist von mir. Gute nacht!

Tja, war wohl doch keine so gute idee, tinnef aller art durch schnelles dranflanschen von WLAN „aufzuwerten“. Wenn doch nur vorher jemand davor gewarnt hätte! 😉

Luca-äpp des tages

Achtung, bitte jetzt den verstärkten gesichtsschutz gegen unwillkürliche handbeklatschung anlegen! 🤦‍♂️️

Mit unserer Luci App kannst du beliebig oft bei Luca einchecken. Wer und wo du bist, kannst du völlig frei wählen. Das geht, weil die Luca App nicht sicher gebaut wurde […] Wir demonstrieren hier einfach nur, was seit Monaten an Analysen zur Software öffentlich diskutiert wurde. Dass ein Rapper auf ein windiges Unternehmen reinfällt ist eine Sache, aber diejenigen, die unsere Steuern verwalten, sollten sie gerade in diesen Zeiten etwas achtsamer umverteilen. (Toll wäre zB. die Pflegekräfte mit nem Geld zu bewerfen!)

Bwahahahahaha! 🤣️

via @benediktg5@twitter.com

Security des tages

Was alles so passieren kann, wenn man irgendwelche dinge — sagen wir mal: alarmanlagen — an das internetz hängt, sich aber bei seinem angebot nicht um eine zuverlässige struktur für sicherheitsaktualisierungen gekümmert hat, weil die ja jahrelang mühe und kosten macht, ohne etwas einzubringen, das demonstriert uns heute abus:

Erneut wurde eine gefährliche Sicherheitslücke in der vernetzten Alarmanlage Secvest FUAA50000 von Abus entdeckt. Über eine bestimmte URL liefert die Alarmzentrale ohne Authentifizierung ihre Gerätekonfiguration aus – einschließlich der zur Konfiguration nötigen Admin-PIN […] Wer will, kann damit das System deaktivieren […] Entdeckt hat die Lücke der Sicherheitsexperte Niels Teusink von Eye Security. Er kontaktierte Abus nach eigenen Angaben bereits im Oktober vergangenen Jahres, um auf die gefährliche Schwachstelle aufmerksam zu machen. Im November gelang es Abus laut Teusink, das Problem nachzuvollziehen und im Januar des laufenden Jahres erschien schließlich ein Firmware-Update, das die Lücke abdichten soll […] Mit dem Firmware-Update auf Version 3.01.21 konnte Abus das Problem offensichtlich nicht in den Griff bekommen: Laut Teusink ist die abgesicherte Firmware bislang nur auf etwa 10 Prozent der rund 10.000 Secvest-Alarmanlagen in Deutschland angekommen, die aus dem Internet erreichbar sind. Das bedeutet im Umkehrschluss, dass derzeit mutmaßlich noch tausende Alarmsysteme kinderleicht über das Internet kompromittierbar sind

„Hängt alles unbedingt und immer an das internetz“, haben sie uns gesagt. „Das ist ditschitäll, hipp, modern und zukunft“, haben sie uns gesagt.

Was hat sich doch das berufsbild des einbrechers gewandelt. Erstmal im fratzenbuch nachschauen, wann niemand zuhause ist, dann über das internetz die alarmanlage abstellen, damit auch kein gejaule stört, wenn man die bude leerräumt.

Das ist doch fortschritt!

„Cyber cyber“ des tages

Wenn das onlein-beitrittsformular der CSU wegen brüllender inkompetenz mit einem pösen häckerangriff ge-ci-ca-cybert wird, dann sind daran natürlich die grünen schuld. Wer auch sonst? Das näxste mal sinds bestimmt wieder die russen, aber diesmal war das sogar der CSU zu peinlich, also gibts nur eine nutzung für den laufenden wahlkrampf…

Cyber cyber!

Die Verlagsgruppe Madsack ist offenbar von Ransomware befallen worden. Laut einem Medienbericht deutet eine interne Mail des Verlags auf eine Infektion mit dem Erpressungstrojaner Nefilim hin. Ein Sprecher von Madsack erklärte heise online auf Anfrage lediglich, dass es am Freitag „zu einem Cyberangriff auf die Computersysteme der Madsack Mediengruppe“ gekommen sei

Das wort „cyberangriff“ klingt ja auch viel epischer als „einer unserer mitarbeiter klickt auf alles aus dem internetz, was er im posteingang findet und unsere administratoren schaffen es nicht, den dadurch verursachten schaden einzugrenzen“. Müsst ihr verstehen: für contentindustrielle scheißjornalisten ist mäjhl mit link oder anhang, wo sich gar nix von selbst aktivieren kann, schon ein cyber-cyber-angriff. Nach dem maßstab werde ich aber auch öfter mal angegriffen — und wehre das ab, indem ich einfach nicht in mäjhl klicke und schon gar nicht irgendwelche anhänge von unbekannten öffne. Und unbekannt ist jeder, dessen mäjhl nicht mindestens digital signiert ist, denn die absenderadresse einer mäjhl zu fälschen, ist eine fingerübung für ein verspieltes kind. Und hey, wenn ich so etwas lese…

Auch vom Austausch von Daten via Outlook solle man absehen

…bleibt vom „cyber cyber“ nur übrig, dass die kompjutersicherheit bei madsack einfach nur scheißegal ist. Vermutlich schon seit jahrzehnten. Denn sonst würde man meikrosoft autlukk nicht benutzen. Warum nicht? Weil der scheiß eine erhebliche sicherheitsgeschichte hat, die nix gutes erwarten lässt. Außer, man ist dummgläubig und verwexelt reklame mit der wirklichkeit. Ach ja, sind ja jornalisten und presseverleger… 🤭️

Übrigens: ein dank an die autoren aus der karl-wiechert-allee, dass sie das wort „cyberangriff“ in anführungszeichen gesetzt haben. Ich hätte ja noch „so genannter“ davor geschrieben, damit es auch weniger lesekundigen menschen klar wird, was für ein bullshitt hier mal wieder rausgeblaht wird.

Aber genug spott, da hinten fressen ein paar leute gerade scheiße. Denen, die jetzt versuchen, das ohne ihr verschulden entstandene problem einzugrenzen, wünsche ich jedenfalls viel erfolg dabei!

Die luca-äpp: höchste security-standards!!1!

Wer ein bisschen java lesen kann, wird nach dem genuss dieses kleinen bildschirmfotos von gitlab sicherlich eine hand im gesicht haben.

Eine gülden gleißende glanzleistung! 🥇️

Das kann man natürlich auch auf gitlab lesen, zunächst die zeilen 515 bis 520, dann die zeilen von 534 bis 537.

Was sonst noch an testkohd in der äpp ist, schaue ich mir nicht mehr an.

Schadsoftwäjhr des tages

Hat hier jemand ein wischofon von gigaset? Die haben offensichtlich bei der letzten softwäjhr-aktualisierung eine fiese schadsoftwäjhr installiert bekommen, weil gigaset offenbar seine aktualisierungssörver nicht absichern kann:

Mittlerweile hat die Qualitätssicherungs-Abteilung von Gigaset gegenüber dem Autor dieser Meldung vorab bestätigt, dass ein Update-Server des Unternehmens die Malware ausgeliefert hat […] Die beschriebenen „Symptome“ reichen von der Umleitung zu Glücksspielseiten und das Einblenden von Werbung über Probleme mit WhatsApp bis hin zu Zugriffen auf private Daten und die ungefragte Nachinstallation unerwünschter Apps […] Neben den eingangs beschriebenen Symptomen beobachten viele Nutzer, dass der Smartphone-Akku binnen kurzer Zeit „leergesaugt“ wird. Auch sollen betroffene Geräte sehr langsam reagieren und sich über Nacht in den „Nicht stören“-Modus schalten oder automatisch aktivieren (ein scheinbar ausgeschaltetes Gerät ist wohl nicht heruntergefahren, sondern nur das Display abgeschaltet). Weiterhin berichten Betroffene, die WhatsApp nutzen, durch den Instant Messaging-Dienst gesperrt worden zu sein. Nach Aufhebung der Sperre hätten sie plötzlich Nachrichten von unbekannten Absendern aus Latein-Amerika, Asien und Afrika erhalten

Na, macht ihr eigentlich fernkontoführung (werbedeutsch: onlein-bänking) mit eurem wischofon, weil der reklameonkel und sein stinkender freund, der jornalist, euch immer erzählt, dass das hipp, sicher, modern, zukunft und bekwem ist? 🤭️

Gar nicht auszudenken, wenn die bescheuerten kriminellen nicht so viel auffälligen kram installiert hätten, sondern nur einen kleinen, völlig unauffälligen bänking-trojaner. 😰️

Security des tages

Die gewählte Architektur des besonderen elektronischen Anwaltspostfachs sei sicher im Rechtssinne […] Die Wahl der Verschlüsselungsmethode beeinträchtigt weder die Vertraulichkeit der Kommunikation noch das anwaltliche Vertrauensverhältnis zum Mandanten, wenn die gewählte Methode als sicher im Rechtssinne anzusehen ist

Kannstedirmalwiedergarnichtselbstausdenkensowas. 🤦‍♂️️

Wischofon-trojaner des tages

Oh, hl. hölle! Oh, henker!

Der hersteller einer sicherheits-äpp für ändräut (ein passwort-mänätscher) so, nachdem er dabei erwischt wurde, dass eine überwachungsfunkzjon in seiner sicherheits-äpp ist: Tja, ähm, wissense, kompjutersicherheit ist ein echt kitzliges tema, wir wissen nix von einer überwachungsfunkzjon, vermutlich hat sich der trojaner-kohd einfach von selbst geschrieben

Ja! Wirklich!

Ein schönes beispiel der scheißkultur, die bei den scheißwischofonen eingerissen ist. Auch weiterhin viel spaß mit euren trojanifizierten scheißwanzen, die ihr im gegensatz zum DDR-bürger auch noch selbst bezahlt, selbst mit euch rumtragt und selbst und auf eigene kosten mit strom versorgt! Weil alles so schön bunt ist! Gibt ja sicherheitssoftwäjhr, mit der ihr eure sicherheit dabei erhöhen könnt. Die ist zwar auch trojanifiziert, aber das weiß nicht mal der hersteller, also kanns ja kein problem sein. 🤦‍♂️️