Security des tages

Verwende einen passwort-mänätscher, haben sie gesagt. Dann sind deine passwörter viel sicherer, haben sie gesagt. Und damit du das auch wirklich tust, wird dir der passwort-mänatscher mit deinem windohs automatisch mitinstalliert.

Advertisements

TLS des tages

ROBOT-Angriff:
19 Jahre alter Angriff auf TLS funktioniert immer noch

[…] Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal […] Als Beleg für einen erfolgreichen Angriff gelang es, eine Signatur mit dem privaten Schlüssel von Facebooks Zertifikat zu erstellen

Weia!

Auch weiterhin viel spaß beim festen glauben an die sicherheit, die euch vom angezeigten schlösschen im brauserfenster versprochen wird! Kommt leute, der onkel jornalist hat euch doch immer wieder gesagt, dass webseits mit diesem schlösschen sicher sind. Der ist ganz großer experte und sogar jornalist, also glaubt ihm einfach!

Und vor allem: immer schön weiter irgendwelche kompjuter kaufen…

Besonders hart trifft das Problem Nutzer von ACE-Loadbalancern der Firma Cisco. Diese Geräte erhalten schon seit einigen Jahren keinen Support mehr. Im Einsatz sind sie trotzdem noch […] Vermutlich verwendet Cisco auch selbst die verwundbaren Devices für seine eigene Domain cisco.com – die Sicherheitslücke ist dort vorhanden

…bei denen andere darüber entscheiden, was für softwäjhr darauf läuft. Das prinzip kennt ihr ja schon von euren wischofonen und smartglotzen. Das ist ganz grundsätzlich eine güldene 1A extragute idee. Dann ist das mit den sicherheitsaktualisierungen auch gleich viel einfacher: einfach ein neues gerät kaufen. Kommt schon, das bisschen geld tut doch bei weitem nicht so weh wie daunlohd und installazjon fehlerbereinigter softwäjhr!

HP bettelt um den insolvenzverwalter

Oder gibt es eine andere erklärung dafür, warum HP klapprechner mit vorinstallierter und — zur krönung dieser kundenverachtung — nicht deinstallierbarer (es handelt sich um einen treiber) schadsoftwäjhr zur überwachung sämtlicher tastendrücke ausgeliefert werden. Die wollen bei HP einfach nicht mehr, dass jemand ihre scheißdinger kauft. Nie mehr. Am besten auch keine andere hardwäjhr mehr. Oder gibt es einen vernünftigen grund, warum man jetzt zum beispiel noch einem HP-druckertreiber trauen sollte? Der kann ohne weiteres eine derartige scheiße huckepack mitinstallieren.

Und nein: das ist kein versehen. Solche ausreden sind intelligenzverachtend. Kohd schreibt sich (leider) nicht von allein, und softwäjhr installiert sich (leider) nicht von allein. Kohd wird von jemanden vorsätzlich geschrieben, und ein installazjonsprogramm auch. Da ist nicht „zufällig“ ein trojaner drin, sondern er wurde absichtlich drin untergebracht. Auch weiterhin gilt: niemals einen neu gekauften rechner benutzen, ohne ihn vorher plattzumachen und ein frisches betrübssystem ohne die ganzen beglückungsideen der hardwäjhr-hersteller aufzuspielen. Fast immer sind kompjuter ohne diese ganze herstellerseitig draufgeschissene blähkacke auch performanter und erfreulicher zu benutzen — und da es sich zudem immer häufiger um eine grundlage des datenschutzes, des schutzes vor internetzkriminalität und des schutzes der privatsfäre handelt, ist die neuinstallazjon nach dem kauf wohl alternativlos.

Aber vor allem gilt auch weiterhin das allererste gebot: niemals hardwäjhr von kunden- und intelligenzverachtenden scheißklitschen wie HP (oder lenovo) kaufen, die sich dabei erwischen ließen, ihre scheißkompjuter mit krimineller schadsoftwäjhr oder leicht ausbeutbaren hintertüren für kriminelle schadsoftwäjhr auszuliefern! Alles andere ist dummheit. HP kauft man einfach nicht mehr. Punkt. (Und lenovo sowieso nicht mehr. Und jeden anderen hersteller, der sich in zukunft noch bei so einer widerlichen scheiße erwischen lässt, ebenfalls nicht.)

TLS und „cloud“ des tages

Bitte vor dem klick alle tischkanten aus gebissnähe entfernen!

In einem Cloud-ERP-Produkt hat Microsoft für verschlüsselte HTTPS-Verbindungen auf allen Instanzen dasselbe Zertifikat genutzt

Erstes durchatmen und irgendwas gegen die hand tun, die im gesicht klebt, damit man weiterlesen kann:

Bei der Cloud-Version von Dynamics 365 for Operations erhält jeder Kunde eine Instanz der Software auf einem eigenen Server. Davon gibt es eine Sandbox-Version, die als Testumgebung gedacht ist. Das Webinterface dieser Systeme wurde mit einem HTTPS-Zertifikat ausgeliefert, das für *.sandbox.operations.dynamics.com ausgestellt war – von Microsofts eigener Zertifizierungsstelle […] Kunden können sich selbst über das Microsoft-eigene Remote Desktop Protocol (RDP) auf dem Sandbox-Server einloggen. Da sie damit direkten Zugriff auf den Server haben, ist es nicht schwer, den zum Zertifikat zugehörigen privaten Schlüssel zu extrahieren und herunterzuladen

Weia! Und wenn man bei golem noch ein bisschen weiter liest, wird es eher noch schlimmer, denn meikrosoft hat zunächst eine extra meikrosofte form der problembehandlung probiert. Aber ich will mal nix vorwegnehmen…

Schlangenöl des tages

Die Malware Protection Engine von Microsoft weist eine Schwachstelle auf, über die Angreifer Schadcode auf Computer schieben könnten

Immerhin, der üble fehler wird gleich mit den näxsten signaturaktualisierungen gefixt (kommt, das könnt ihr doch händisch anstoßen, also macht mal!) und wurde von meikrosoft gefunden, bevor bekannt wurde, dass ihn jemand kriminell ausgebeuet hat.

Auch weiterhin viel spaß und viel gefühlte sicherheit (nebst gestiegener angriffsmöglichkeit für kriminelle) beim festen glauben an das ganze antivirus-schlangenöl.

Bitcoin des tages

Ich weiß ja nicht, wie es anderen menschen geht, aber mir sind in meinem leben schon öfter daten abhanden gekommen als mir mein portmoanee abhanden kam — und das, obwohl niemand versucht hat, mir die für andere recht wertlosen daten zu klauen. In diesem sinne:

4736,42 Bitcoins

Auch weiterhin viel spaß mit dem geld für ein internetz, das euch durch geld wohl noch nicht vergiftet genug ist! Und wenn ihr schon in bitcoin macht, dann macht es nicht wie die technisch analfabetischen vollidjoten und verlasst euch nicht auf die kompjutersicherheit und den datenschutz bei irgendwelchen dritten, sondern haltet euren zaster in einer eigenen wallet! Das ist nämlich die gute idee an bitcoin: dass es so etwas wie einer bank nicht mehr bedarf.

Aber linux ist doch sicher…

Der im Oktober vergangenen Jahres von den Linux-Kernelentwicklern veröffentlichte Patch für die Sicherheitslücke „Dirty Cow“ hat diese zwar geschlossen, dafür jedoch einen neuen Bug in den Kernel-Code geschleust […] gelang es ihnen, schreibend auf Speicherbereiche privilegierter Prozesse zuzugreifen

Weia! Immerhin gibts ein glimmchen licht in der ganzen finsternis:

[…] agte einer der Forscher, dass Android-Systeme grundsätzlich nicht betroffen seien. Der Grund hierfür sei das dort standardmäßig deaktivierte THP-Subsystem

Es sind jetzt also nicht wieder ein paar hundert milljonen händis mit einem scheuentorgroßen eingang für kinder und kriminelle unterwegs, die im gegensatz zu den richtigen kompjutern niemals eine sicherheitsaktualisierung kriegen. Macht aber nix, denn auch die „normalen“ fehler läppern sich ganz enorm, und aktuelle softwäjhr kriegt ihr nicht, weil ihr euch neue wischofone kaufen sollt. Auch weiterhin schön doof bleiben und das wischofon „smart“ nennen!

Ich sage es ja immer wieder…

Das wichtigste für die kompjutersicherheit ist nicht irgendein antivirus-schlangenöl, sondern aktuelle softwäjhr und ein aktuelles betrübssystem (weil beseitigte fehler nicht mehr ausgenutzt werden können) und darüber hinaus die verwendung wirksamer adblocker im webbrauser (auch wenn die von stinkenden reklamelügnern bezahlten scheißjornalisten euch das regelmäßig verschweigen und euch stattdessen einen vom schlangenöl erzählen) sowie äußerste vorsicht beim täglichen umgang mit mäjhl.

Oder um es mit heise onlein zu sagen:

Die Schadsoftware Andromeda wird zum einen durch E-Mails verteilt, die schadhafte Links enthalten. Wenn Anwender auf den Link klicken, starten sie den Download eines infizierten Dokuments. Die Nutzer können ihren Rechner aber auch über sogenannte Drive-by-Exploits infizieren. Dabei setzen die Angreifer vor allem manipulierte Werbebanner oder Websites ein

Jene scheißwebseits, die von euch das abschalten von werbeblockern fordern, arbeiten damit der organisierten kriminalität zu und helfen irgendwelchen verbrechern dabei, eure kompjuter zu pwnen.

Kompetenzgranaten

Derzeit ist es beispielsweise nicht möglich, über Gruppenrichtlinien die Datenströme zwischen dem eigenen Rechner und den Microsoft-Servern vollständig zu kontrollieren, wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) feststellte

So etwas klickt man sich ja auch nicht im betrübssystem zurecht, wenns drauf ankommt, sondern man blockiert es durch eine firewall¹ mit striktem whitelisting. Und zwar erst recht, wenn man angesichts der veröffentlichungen von Edward Snowden davon ausgehen muss, dass jede softwäjhr aus den USA eine spionahschewanze ist und dass die konfigurazjonsmöglichkeiten vorsätzlich irreführend sein können.

Gruppenrichtlinjen, wie lustig! Krachende kompetenzgranaten, wohin mal auch blickt!

¹Ich meine eine richtige firewall auf einem eigenen gerät, die den gesamten netzverkehr zum internetz filtert, und nicht das, was euch schlangenölverkäufer als „firewall“ verkaufen wollen.

Security des tages

Äpple ist mal wieder so richtig sicher:

Schwere Sicherheitslücke:
root ohne Passwort mit macOS High Sierra

Das ist doch bestimmt ein ganz schwieriger häck, oder? Das kann doch bestimmt nicht jedes dahergelaufene kind, oder?

Um die Lücke auszunutzen, muss man sich in die Systemeinstellungen begeben und einen Dialog auswählen, der Administratorrechte verlangt – etwa jenen, mit dem sich neue Accounts kreieren lassen. Nach dem Klick auf das Schlosssymbol zum Entsperren wird als Username „root“ eingegeben und das Passwortfeld leer gelassen. Nach einmaligem Selektieren des leeren Feldes lässt sich auf „Schutz aufheben“ klicken (gegebenenfalls mehrmals) – und man ist drin

Weia! 😦

Security des tages

Ich muss ja eigentlich in meinem üblichen duktus fragen: nutzt hier jemand den „thunderbird“ für seine mäjhl? Aber die frage muss an dieser stelle ein bisschen genauer gestellt werden:

Da das Scripting im Mailclient standardmäßig deaktiviert ist, soll sich ein Angriff nicht über Mails einleiten lassen

Ist jemand so doof, seine mäjhlsoftwäjhr freiwillig und absichtlich so zu konfigurieren, dass javascript in mäjhls ausgeführt wird? Und wenn ja: warum zum hackenden henker? Schon HTML-mäjhl ist eine sinnlose seuche, die direkt zum käsigen zerfall der privatsfäre führt. Man kann alles in einer guten, alten textmäjhl sagen. Wenn stark formatierte dokumente wirklich einmal erforderlich sind, kann man sie immer noch anhängen. Die einzigen auf dieser welt, die so eine rotzkacke wie HTML-mäjhl brauchen, sind widerliche werber und verbrecherische spämmer, die über webbugs heimlich zurückfunken lassen, dass die mäjhl angekommen ist und betrachtet wird. (Bei mir gehen HTML-formatierte mäjhls automatisch und ungelesen in den müll — es ist eh nur mäjhl von reklameheinis und von idjoten, die meine mäjhladresse auf ihrem scheißwischofon benutzen.) Wer daran noch nicht genug hat, aktiv dafür sorge trägt, dass auch noch javascript in mäjhls ausgeführt wird und dann wegen dieser seiner totalblödheit gepwnt wird, bekommt kein mitleid von mir gespendet. Ganz im gegenteil. Leute, die so doof sind, sollten sich vielleicht besser eine andere beschäftigung als kompjuter und internetz suchen. Zum beispiel eine modelleisenbahn. Oder eine gummipuppe.

Übrigens: natürlich ist skripting in mäjhl beim „thunderbird“ standardmäßig abgestellt, und externe inhalte in HTML-formatierter mäjhl werden vom „thunderbird“ nicht angezeigt, so dass die empfängerüberwachenden webbugs nicht funkzjonieren.

Hat hier jemand dieses „uber“ benutzt?

An Skandale um den Fahrdienst-Vermittler Uber konnte man sich schon gewöhnen, doch eine neue Enthüllung offenbart schockierende Verantwortungslosigkeit. Hacker stahlen schon 2016 Daten von 57 Millionen Fahrgästen und Fahrern, Uber verschwieg das

Und wie haben die „häcker“ das jetzt gehäckt? Mit einer axt? Mitnichten…

Die Hacker seien im Oktober 2016 durch eine schlecht geschützte Datenbank in einem Cloud-Dienst an die Daten gekommen

…es waren „uber“, die diese daten selbst auf den kompjutern anderer menschen abgelegt und somit veröffentlicht haben.

Auch weiterhin viel spaß beim festen glauben an den euch überall völlig folgenlos und frei von jeglicher haftungspflicht zugesicherten schutz eurer daten! Und immer ganz ganz feste an die „cloud“ glauben, der onkel werber und sein hässlicher bruder, der jornalist, hats euch ja gesagt!!1! Die liste wäxt und wäxt und wäxt

Noscript…

Dieses noscript für den neuen feierfox, von dem euch die jornalisten und träschblogger gerade erzählen, dass es fertig sei, ist noch nicht so ganz fertig. Ich würde den gegenwärtigen stand eher als eine in der benutzerschnittstelle schnell hingestrokelte betaversjon bezeichnen. Nur, um es kurz mitgeteilt zu haben.

Aber wer den neuen feierfox nutzen will oder muss: es ist allemal besser als nix. Vielleicht ist das ja mal ein guter grund, sich umatrix wenigstens einmal genauer anzuschauen. Es ist allerdings ein aus nutzersicht etwas komplexeres addon. Dafür läuft es problemlos im aktuellen feierfox.

Wie eure stadtverwaltungen daten geheimhalten…

Doch wer die Angebote sehen will, braucht nur etwas Geduld. Man muss einfach irgendein öffentliches Papier an seinem Bildschirm aufrufen und dann die Dokumentennummer in der Adresszeile des Browsers ändern. Wer lange genug mit diesen Nummern spielt, stößt auch auf Unterlagen, die nicht für die Öffentlichkeit bestimmt sind

Der artikel enthält noch weitere gruselbeispiele. Ich finde es ja schön, dass der staat zumindest in seinen kleinstrukturen vorangeht und überall für datenreichtum sorgt, aber menschen, die von datenlecks betroffen sind, sind dann eher weniger begeistert.

„Cloud“ und smartdingens des tages

Amazon Cloud Cam enthält Lücke für smarten Einbruchdiebstahl

Amazon Key öffnet Paketboten und anderen Dienstleistern die Tür zum privaten Smarthome per Cloud-Funktion. Leider lässt sich die zugehörige Überwachungskamera mit einem Trick überlisten […] Dazu benötigt man lediglich einen Computer mit WLAN-Schnittstelle in Reichweite des Funknetzes der Amazon-Kamera

Ich wünsche euch allen auch weiterhin viel spaß in eurem privaten „smarthome“ mit „cloud“-anschluss. Was kann dabei schon passieren? :mrgreen:

Smarte dinger, idjotische nutzer! Nicht daten sind das öl der zukunft, dummheit ists.