Ändräut des tages

Im guhgell pläjhstohr gibts mal wieder trojaner, die hinter eurem rücken für euch tolle teure premium-abos bei irgendwelchen windigen anbietern abschließen. In was für äpps der trojaner befördert wird? Na, hauptsächlich in irgendwelchen bullschitt-äpps zum fotomachen für lobotomierte und sonstige untalentierte und in…

  • Antivirus Security – Security Scan

…antivirus-schlangenöl. :mrgreen:

Auch weiterhin viel spaß mit dem von guhgell und äppel gepredigten technikglauben, dass eure persönlich genutzten kompjuter viel sicherer werden, wenn ihr alles über irgendwelche äppstohrs macht und gar nicht mehr das recht eingeräumt bekommt, diejenige softwäjhr auf einem kompjuter auszuführen, die ihr für gut und richtig haltet. 🐑

Internetz der dinge des tages

Unbekannte Täter haben die Server des spendenfinanzierten Wikimedia-Projekts, zu dem auch die Online-Enzyklopädie Wikipedia gehört, sabotiert […] Den Angaben zu Folge nutzen sie Geräte des Internet der Dinge (IoT). Immer mehr Verbraucher und Unternehmen nehmen vernetzte Geräte in Betrieb, die sich durch mangelhafte Sicherheitsmaßnahmen auszeichnen und kaum Updates erfahren

Auch weiterhin viel spaß mit den ganzen smartdingern, mit denen ihr euch eure wohnungen und eure leben vollrümpelt und für die es niemals irgendwelche sicherheitsaktualisierungen gibt, weil ihr sie als fabrikneuen müll gekauft habt! Die verbrecher dieser welt freuen sich jedenfalls schon drüber. Aber damit „normale“ menschen mit ihrer BRD-typischen umfassenden informatikblödheit erstmal begreifen, was für eine einladung für was für ein geschmeiß das ist, müssen sie wohl erstmal die polizei mit hausdurchsuchungsbefehl vor der tür stehen haben, weil über ihren internetzzugang fotos und videos von sexuellem kindesmissbrauch verbreitet werden… 😦

Im moment ist es ja „nur“ vandalismus zum schaden aller menschen und die eine oder andere erpressung, da erschreckt sich ja noch keiner.

Häufig besteht die beste Abhilfe darin, vernetzte Dinge offline zu nehmen und dem Recycling zuzuführen

Und erzählt ja niemandem, dass ihr nicht gewarnt gewesen seid! Ihr seid von anfang an gewarnt gewesen. Ein kompjuter, auf dem ihr nicht selbst darüber bestimmt, welche softwäjhr darauf läuft, ist von anfang an ein kompjuter anderer leute. Wenn der am internetz hängt, ist das gleich ein paar größenordnungen gefährlicher. Wer so etwas kauft und sich leben und wahnzimmer damit vollrümpelt, weiß entweder, was er tut und sollte alle konsekwenzen dafür tragen; oder er ist dermaßen dumm und/oder verantwortungslos, dass es ernsthafte zweifel an der geschäftstüchtigkeit geben sollte. Und wer sich dann von irgendwelchen reklameversprechen (auch im redakzjonellen teil der scheißzeitungen) oder — demnächst gibt es die ganz sicher — „sicherheitssiegeln“ verblenden lässt, der beweist damit, dass er dringend einen vormund braucht, weil er sonst sich selbst und andere gefährdet. ☣️

Ja, das gilt auch für eure scheißwischofone! 💩

ÖPNV-nulltarif des tages

In manchester, großbritannjen, hat der örtliche nahverkehrsbetreiber eine tolle äpp machen lassen, um fahrkarten mit dem händi kaufen zu können — und seinen private key gleich mit reingelegt, damit das auch funkzjoniert, wenn man seine fahrkarte onlein kauft und sie später offlein aktiviert, um seine fahrt zu starten [der link geht auf einen englischsprachigen text]:

Die private keys für RSA, mit denen der QR-kohd signiert wurde, lagen als PEM-dateien im APK.

🤦🤣🔐

Wer interesse daran hat und sich einen torbrauser installieren kann oder wer eine äpp daraus bauen möchte: die gesamte ticket-erzeugungs-ruhtine ist in javascript veröffentlicht. So als p’litische stellungnahme zum derzeit überteuerten, privatisierten nahverkehr… 😉

Und irgendwelchen unternehmen (insbesondere auch banken) wünsche ich auch weiterhin viel spaß dabei, sich schnell eine äpp für diese wischofone von irgendeiner klitsche zusammenstöpseln zu lassen, weil jetzt ja jeder eine äpp für diese wischofone braucht.

Benutzt hier jemand wördpress?

Über werbebanner verteilte schadsoftwäjhr kann, wenn ihr an eurem wördpress-blog mit administrativen rechten angemeldet seid, einen neuen benutzer „wpservices“ einrichten, dem weitgehende rechte gegeben werden und der irgendwelchen kriminellen jeden beliebigen missbrauch eures blogs oder eurer webseit ermöglicht [link geht auf einen englischsprachigen text].

Und wisst ihr, was dagegen schützt? Nicht schlangenöl, sondern wirksame adblocker, die jede werbung wegblocken und damit die ausführung des schadkohds an der wurzel verhindern. Das beste daran: die machen auch das web viel angenehmer und schneller. Also installiert euch einen wirksamen adblocker und schaltet den niemals, niemals, niemals wieder ab, egal, was euch irgendwelche scheißjornalisten erzählen! 😉

S/M des tages

Der Account von Twitter-Chef Dorsey ist gehackt worden und hat daraufhin mehrere fragwürdige Mitteilungen verbreitet, darunter eine Nachricht über Nazi-Deutschland. Twitter versicherte, andere User seien nicht betroffen

[Archivversjon]

Auch weiterhin viel spaß mit euren akzjen eines börsennotierten unternehmens ohne seriöses geschäftsmodell!

Aber äppel ist doch sicherer als windohs des tages

Über mehrere Jahre soll eine Gruppe bisher ungenannter Täter verschiedene Websites gehackt und mit Schadcode infiltriert haben […] Über äußerst komplexe Exploit-Chains, die Bugs in Safari, im Kernel sowie mehrere Sandbox-Escapes ausnutzten, kam so ein Implant auf die betroffenen Geräte, das nahezu vollständig freie Hand hatte […]War das Implant einmal auf dem iPhone, griff es unter anderem Nachrichtendatenbanken verschlüsselter Chats wie Telegram, WhatsApp sowie Apples iMessages ab und übertrug sie auf einen externen Server. Weiterhin gab es Funktionen zur Übertragung der Kontaktdatenbank, aller enthaltener Fotos sowie wichtiger Tokens wie denen von Google. Inhalte von Skype, Google, Outlook, Facebook und diversen weiteren interessanten Apps konnten abgegriffen werden. Auch Sprachnachrichten und SMS lagen offen, genauso wie die Keychain mit den Passwörtern und WLAN-Zugängen (Schlüsselbund)

Hej, kommt leute: eure passwörter könnt ihr doch ruhig ein paar kriminellen verraten. Was kann dabei schon schiefgehen?!

Achtung, der link geht zu heise onlein mit einem ganz diffus-nebulösen und nichtssagenden artikel, den offenbar schnell ein praktikant rausgerotzt hat. Wer informazjonen sucht, auf welchen webseits man sich die schadsoftwäjhr einfangen konnte, wie man erkennen kann, ob die schadsoftwähr gerade läuft und wie man sich in zukunft davor schützt, ist fehl am platze. Da kann man auch gleich die kompjuterbild lesen… 😦

Die kombinierte kraft von klaut und schlangenöl

Wenn ich schon höre, dass klaut und irgendwelches security-schlangenöl in einem produktnamen zusammenfließen, dann wundert mich das abregnen der wolken nicht:

Es sind persönliche Daten von einigen Imperva-Kunden geleakt, die Cloud Web Application Firewall nutzen

Auch weiterhin viel spaß mit der klaut, und auch weiterhin viel spaß mit dem ganzen schlangenöl. Fühlt euch sicher!

Bargeldabschaffung des tages

Kennt ihr den schon?

Cyberganoven sollen von Brasilien aus rund 1,5 Millionen Euro von den Konten von mehr als 2000 Kunden der Oldenburgischen Landesbank (OLB) abgeräumt haben […] Wie genau die Angreifer an die Kartendaten gelangt sind, blieb offen. Laut Bericht des NDR haben die Kriminellen Kreditkartennummern erbeuten können, mit einer Software die Geheimnummern geknackt, dann die Karten nachgebaut und schließlich das Geld an brasilianischen Geldautomaten abgehoben

Aha, man kann aus einer kartennummer irgendwie „mit einer softwäjhr“ die zugehörige PIN berechnen, um sich pinke pinke geld zu ziehen. Oder anders gesagt: wenn das stimmt, ist jetzt jede irgendwo „veröffentliche“ kreditkartennummer ein ziel für diesen kleinen häck. Oder vielleicht etwas klarer: die gefühlte sicherheit durch die PIN ist eine wirkungslose pseudosicherheit. Und wer jetzt trotzdem noch irgendwo im internetz seine kreditkartennummer angibt, ist ein idjot.

Ja, das meinen die ernst.

Wie kommt so eine bank dazu, so ein vollumfängliches totalversagen einzuräumen?

Die Bank betonte, dass kein „Datenschutzfall“ vorgelegen habe: „Konto- oder Kartendaten sind weder bei der OLB noch bei einem Drittanbieter gehackt worden.“

Achtung, vermutung: ach so, wegen der DSGVO! Deshalb sollen die kunden dieser bank jetzt glauben, dass irgendwo in brasiljen ein paar leute sind, die zutreffend kreditkartennummern und PINs ausschließlich von kunden der oldenburgischen landesbank erraten und sich geld damit ziehen, damit diese bank bloß nicht melden muss, dass man massenhaft kundendaten rausgeschleudert hat und damit sie ihren kunden bloß nicht erzählen muss, wie bei der oldenburgischen landesbank so mit daten umgegangen wird. Das ist jetzt aber schon ein bisschen durchschaubar… 🤦

Na, ist hier in der BRD ein datenschutzbeauftragter, der mal ein bisschen nachhaken will? Ach nee, ist ja die BRD, da sind banken leider heilig und völlig strafverfolgungsfreie zone.

Aber ehrlich gesagt: es freut mich schon ein bisschen, wenn die datenschleudereien mal den davon betroffenen menschen ans geld gehen. Dabei dürften die meisten menschen gleich viel weniger desinteressiert sein. Deshalb hat die OLB auch so hochnotkulant ihren kunden das geklaute geld wiedergegeben. Wäre ja bitter, wenn jemand strafanzeige erstattete… :mrgreen:

Security des tages

Benutzt hier jemand klapprechner von lenovo? [Link geht auf einen englischsprachigen text.]

Ich kanns nicht oft genug sagen: das erste, was man nach dem kauf eines kompjuters tun sollte, ist, dass man ein frisches, sauberes betrübssystem installiert, um diese ganze krüppelscheiße loszuwerden, die einem die hersteller immer reindrücken wollen. Das macht nicht nur den kompjuter schneller und angenehmer, es macht ihn oft auch sicherer. 😉

generateRandomId()

Wie erzeugt man in einem kompjuterprogramm eine „zufällige“ ID? Man könnte ja einfach einen kryptografischen zufallsgenerator nehmen, aber das ist doch immer ein gewisser aufwand. Wenn der anspruch etwas kleiner ist, könnte man auch einen ganz gewöhnlichen zufallsgenerator verwenden, nachdem man ihn mit der systemzeit initialisiert hat, so ein MT 19937 ist im zweifelsfall auch schnell selbst gekohdet. Das hier ist jedenfalls keine so gute vorgehensweise, die werte sind doch etwas vorhersagbar:

export function generateRandomId(): string {
    counter++;
    return 'id' + counter;
}

Wenn ich so etwas sehe, frage ich mich ja immer, wieviel derartiger schrottkohd in großen programmen und vor allem in schnell gemachten, billigen smartdingern drinstecken wird. 😦

Benutzt hier jemand irgendwas mit „bluetooth“?

Wenn ja: schade. Bluetooth ist kaputt [link geht auf einen englischsprachigen text]. Jeder angreifer — das meint: ein beliebiger dritter in empfangsreichweite — kann die verwendete schlüssellänge auf acht bit runterbringen, auch wenn die geräte schon gepäjhrt wurden. Das protokoll zur aushandlung der sitzungsschlüssel benutzt keine autentifikazjon, jeder kann sich auf die verbindung draufsetzen und sie manipulieren. Alle bislang untersuchten bluetooth-tschipps sind für den angriff anfällig. Wer zum beispiel eine bluetooth-tastatur benutzt, ermöglicht es jedem angreifer, alle eingaben mitzulesen, natürlich auch passwörter und dergleichen.

Das einzig gute: vielleicht kann man sich endlich mal eine kleine box bauen, mit der man diese nervigen bluetooth-lautsprecher ausschalten kann, die einem inzwischen alles draußensein an schönen sommertagen versauen.

Klaut des tages

Tonnenweise vertraulicher Sourcecode, Datenbanken mit persönlichen Daten samt Admin-Passwort, VPN-Logindaten, AWS-Keys, Google OAuth-Tokens, SSH Private Keys: All das fand ein Forscher frei zugänglich im Netz. Weil Nutzer der Amazon Web Services ihre virtuellen Festplatten absichtlich von „Privat“ auf „Öffentlich“ gestellt haben […] Problematisch hierbei ist, dass sich öffentliche, unverschlüsselte EBS-Speicher beliebig durchsuchen lassen […] Nachdem laut Ben Morris quasi jeder nach vertraulichen, auf EBS-Volumes gespeicherten Daten suchen kann, muss man diese im Fall eines „Public“-Volumes als kompromittiert betrachten

Hach, diese klaut ist aber auch so toll und zukunft! Und so einfach! :mrgreen:

Händizwang des tages

Die berliner spaßkasse zwingt ihren kunden erstens ein händi, zweitens den verzicht auf ein selbst installiertes, aktuelles und halbwegs sicheres betrübssystem und drittens ihre scheißäpp auf, wenn sie mit der kreditkarte bezahlen wollen. Vermutlich haben die zu viele kunden.

Wenn ich so etwas lese, wünsche ich mir ja, dass mal so richtig durchgehäckt wird und dass dabei ein milljardenschaden entsteht. Eine andere sprache verstehen die idjoten einfach nicht mehr. Weder die kunden, die sich von so einer gutsherrenart nicht vertreiben lassen, noch die scheiß-bänkster.

Sinnlos verbautes funkzjonsmerkmal des tages

Der KDE-Dateimanager führt unter bestimmten Umständen Schadcode aus. Die Entwickler entfernen die Funktion nun, da sie sowieso niemand verwendet hatte

Das wäre doch mal ein anfang: funkzjonen aus softwäjhr entfernen, die da drin sind, weil irgendwann einmal eine „tolle idee“ hatte (oder ausprobieren wollte, was er im studium gehört und nur halb verstanden hat), die aber gar nicht oder kaum benutzt werden. Wenn man jetzt damit anfängt und sich keine falsche zurückhaltung beim entfernen sinnloser funkzjonen auferlegt, ist in wenigen jahren alles besser. Die softwäjhr wird schneller geladen und schneller ausgeführt, und sie wird sicherer. Denn komplexität ist bei softwäjhr nun einmal das genaue gegenteil von sicherheit.

Ich musste jedenfalls unwillkürlich an einige nahezu unlesbar gewordene kwältexte im GNU-projekt denken. 😀

Smartdinger des tages

Die Hacker, die in den Bundestag einbrachen, haben eine neue Angriffstechnik im Repertoire: Sie steigen über Drucker oder VoIP-Phones in Firmennetze ein

Und wenn es so weitergeht, dann gibt es bald die ersten angriffe über termostate und/oder steckdosen. Alles muss ans internetz, scheißt doch auf die sicherheit! Und bloß keine sicherheitsaktualisierungen aufspielen, die dinger laufen doch alle. Dann kann eben der multifunkzjonsdrucker beim empfang eines faxes von jedem dahergelaufenen häckkind gepwnt werden, scheiß drauf! (Ja, so schlimm ist es.)

Und wisst ihr, wer schuld hat? Richtig: die pösen pösen russischen häcker haben schuld, als ob sie diese krüppelscheiße gebaut hätten.

Weil eure jornalisten es euch nicht sagen, sage ich es euch mal: Es ist nicht möglich, einen derartigen angriff zuzuordnen, und schon gar nicht, wenn ein geheimdienst einen gewissen aufwand treibt. Ich wiederhole: es ist nicht möglich. Klar, es gibt in binärdateien zeitstempel, die zeitzonen verraten und jede menge bezeichner aller art, die nach einer sprache aussehen können, aber alle diese daten können so leicht manipuliert werden, wie man auch jede andere datei verändern kann. Und IP-adressen sind genau so wertlos, weil jeder anständige cräcker spätestens mit dem siebten lebensjahr gelernt hat, wie man seine IP-adresse über proxys, botnetze und andere gekaperte rechner verschleiert und dabei beliebige falsche eindrücke erweckt. Jede angebliche zuordnung eines derartigen angriffes ist propaganda, mehr nicht. Aber eins ist seit den enthüllungen Edward Snowdens völlig sicher: die staatskriminellen, die wie kranke perverslinge permanent in eurer privatsfäre rumcybern und euch anlasslos totalüberwachen, das sind die geheimdienste der USA. Und die staatskriminellen, die diesen kranken arschlöchern so weit in den anus gekrochen sind, dass kaum noch die füße rausgucken, statt die interessen der bevölkerung ihres eigenen staates zu vertreten, von der sie übrigens gewählt wurden, die nennt man die bundesregierung der BRD.

Ach ja: freut ihr euch auch schon so auf diese „selbstfahrenden“ autos? :mrgreen: