Juchu!

Endlich haben wir ein linux-subsystem unter meikrosoft windohs. Das ist bestimmt so sicher wie linux!? Aber mitnichten: endlich haben wir eine neue möglichkeit, schadsoftwäjhr zu installieren. Und die antivirus-schlangenöl helfen einmal mehr überhaupt nicht. Hirn hilft. Sonst nix.

Wördpress des tages

Aufgrund von zwei Sicherheitslücken im WordPress-Plug-in Gutenberg Template Library & Redux Framework sind unzählige Websites verwundbar. Nach erfolgreichen Attacken könnten Angreifer etwa mit Schadcode versehene Plug-ins installieren oder Posts löschen. Der offiziellen WordPress-Plug-in-Website zufolge weist die Software über eine Million aktive Installationen auf

Hej, was kann schon schiefgehen, wenn jeder mensch dazu ermächtigt wird, beliebigen kohd auf dem websörver auszuführen?! Also aktualisiert mal ganz schnell eurer WP-reinstecksel, wenn ihr diesen müll benutzt!

Kleines sicherheitsproblem des tages

Na, benutzt hier jemand so eine „intelligente“ alarmanlage mit internetz, die man über einen klautdienst fernsteuern kann? Die ist voll zuverlässig!!1!

Pwned!
Das haussicherheitssystem, dass mit deiner mäjhladresse gecräckt werden kann

Der erste Fehler, der schon im mai 2021 gemeldet wurde und CVE-2021-39276 genannt wurde, bedeutet, dass ein angreifer, der die mäjhladresse kennt, mit der du das produkt registrierst hast, diese mäjhladresse als passwort verwenden kann, um das system mit befehlen zu steuern — damit kann auch der gesamte alarm ausgeschaltet werden.

Weia! 🤦‍♂️️

Lasst euch niemals so eine kaputte scheiße andrehen! Sobald in einem produkt händi oder klaut drin sind, ist es tendenzjell als scheiße zu betrachten. Wenn es dann sogar noch ein „sicherheitsprodukt“ ist, dürft ihr euch übers versagen nicht wundern… wenn kameras dabei sind, wissen einbrecher sogar häufig, ob jemand in der wohnung ist und ob sich der einbruch überhaupt lohnt.

Security des tages

Was passieren kann, wenn ihr euch vor vielen jahren mal irgendwo registriert habt, kein besonders gutes passwort verwendet habt und euch dann jahrelang nicht mehr um das benutzerkonto gekümmert und es schließlich vergessen habt, zeigt euch Honeybee von tarnkappe am beispiel eines alten ihhbäh-kontos. Nur so als ein beispiel für die vielen anderen menschen, die ebenfalls irgendwelche vergessenen benutzerkonten haben.

So ein verbrecher nimmt für seinen betrug ja doch lieber die identität eines anderen menschen…

Aber linux ist doch viel sicherer…

…das ist doch diese freie software, wo jeder in die offenen kwältexte schaut, so dass jedes sicherheitsloch gefunden wird:

Dateimanager Midnight Commander seit neun Jahren angreifbar

Wie aus einer Mailing-Liste hervorgeht, wurde die Lücke (CVE-2021-36370) im Zuge einer Prüfung der Software (Audit) in der SFTP-VFS-Komponente entdeckt. Dabei fiel auf, dass die Fingerprints von entfernten Hosts zwar berechnet, aber nicht überprüft werden

🤦‍♂️️

Wer mit seinem mc nur lokal daten umherschiebt, sollte auf der sicheren seite sein. Aber aktualisiert trotzdem! Nur ein gefixter fehler ist ein guter fehler. Und SFTP mit dem mc ist echt praktisch. 😉

Datenschleuder des tages

Nach dem Cyberangriff auf T-Mobile US hat das Unternehmen Angaben zum Schaden gemacht: Die Hacker erbeuteten Daten von Millionen Mobilfunkkunden, darunter Sozialversicherungsnummern und Führerscheindaten

[Archivversjon]

Wieder ganz viel cyber-cyber, und niemals sind die verantwortlich, die riesige datensammlungen anhäufen und nicht gegen zugriff sichern. Bei diesem ableger der telekomiker musste man nicht einmal kunde sein…

[…] die Informationen von rund 7,8 Millionen Vertragskunden sowie von rund 40 Millionen früheren oder potenziellen Kunden und rund 850.000 Kunden mit Guthaben-Konten […]

…um ein opfer der datenschleuderei zu werden. Es war völlig ausreichend, wenn man „potenzjeller kunde“ war. Was das sein soll? Vermutlich ein anderer ausdruck für „mensch, dessen daten man irgendwo einsammeln oder aufkaufen konnte, um ihn mit scheißreklame vollzumüllen“.

Auch weiterhin ganz viel spaß beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten. Die liste wäxt und wäxt und wäxt.

Security des tages

Wir haben den schwierig ausbeutbaren fehler in der glibc gefixt, aber dafür leider einen viel leichter ausbeutbaren fehler neu reingemacht.

Menschen, die angst vor technik haben, hören am besten jetzt mit dem weiterlesen auf! ⚠️

Ich bin überhaupt nicht überrascht, denn die glibc ist ein rottiger scheißhaufen voller überkomplexität, und damit das genaue gegenteil von sicherheit, robustheit und fehlerfreiheit. Wenn man das folgende C-programm mit gcc kompiliert und gegen die glibc linkt (das ist beim gcc standard, das muss man nicht angeben)…

#include <stdio.h>
#include <stdlib.h>

int main (int argc, char **argv)
{
    puts("Hallo Welt");
    return EXIT_SUCCESS;
}

…um sich hinterher anzuschauen, was alles dazugelinkt wird, kommt man aus dem kopfschütteln gar nicht mehr raus. Nein, das ist nicht mit einem C++-kompeiler gemacht worden, der naturgemäß eine menge zusätzlichen kohd für C++-sprachelemente dazulinken muss. Das ist ein C-kompeiler. Der wust der sichtbaren symbole lässt mich vermuten, dass sie puts nicht etwa als einfache schleife implementiert haben, die abbricht, sobald ein nullbyte im string kommt…

int puts (const char *str)
{
    register int c;
    while ((c = *str++) != 0)
        if (putc (c, stdout) == EOF)
            return EOF;
    return putc ('\n', stdout);
}

(Dieses putc ist ein makro, das typischerweise ein byte in einen buffer im FILE * kopiert und diesen mit write ausgibt, wenn er voll ist oder ein zeilenende '\n' geschrieben wurde, also etwas sehr triviales, das nicht viel kohd benötigt.)

…sondern über eine glibc-typische versjon eines fprintf in einen dynamisch allozierten speicherbereich reinschreiben, den sie schließlich mit write ausgeben. Das ist aber nur eine vermutung. Auf eine betrachtung der glibc-kwältexte hatte ich nach meinem kurzen einblick schon keine lust mehr. Das ist ein unnötig verfrickelter scheißhaufen voller wexelseitiger abhängigkeiten, der überkomplex geworden ist. Solche fehler, die durch das beseitigen eines fehlers auftreten, werden wir da in zukunft noch häufiger sehen. 😦

Offißß 365 des tages

Ist es nicht schön, dass man dank der klaut-strategie großer softwäjhrunternehmen jetzt „anwendungen“ hat, die im webbrauser laufen, also in der vermutlich fettesten, unsichersten und lahmsten laufzeitumgebung, die überhaupt verfügbar ist. Gut, man zahlt schön geld dafür, dass man diese „anwendungen“ nutzen darf. Aber ist das nicht total superschön mit der klaut.

Im moment werden die konten von offißß-365-nutzern gephisht. Da gibt es eine mäjhl mit anhang, diesmal nicht mit der dateinamenserweiterung .doc.exe, sondern mit xls.html. Wenn man darauf klicki-klicki macht, wird der webbrauser aufgemacht und zeigt ein unscharfes bild eines tabellchens und der offißß-365-GUI, die von einem liebevoll nachgemachten meikrosoft-anmeldeformular überlagert werden. Die eingegebenen anmeldedaten gehen direkt zu verbrechern, und hinterher gibts einfach eine weiterleitung auf die richtige webseit von meikrosoft.

Das ist ja so eine was von gute idee gewesen, anwendungen im webbrauser laufen zu lassen und das mit dem klaut-geschäft zu verbinden! Aber so eine gute idee!

(Wer niemals in mäjhls rumklickt, deren absender nicht jenseits vernünftiger zweifel feststeht, kann übrigens niemals opfer von phishing werden. Und mäjhlanhänge sind sowieso oft das reinste gift. Deshalb macht man sie nicht auf, wenn sie nicht vorher über einen anderen weg als mäjhl abgesprochen wurden oder wenn die identität des absenders nicht durch überprüfte digitale signatur gesichert ist. Der absender einer mäjhl lässt sich übrigens beliebig fälschen.)

Datenschleuder des tages

Datenschleuder des tages ist das satiremagazin titanic, das ein paar daten im internetz veröffentlicht hat:

In dem per Mail verschickten Statement steht, dass unbefugte Dritte Zugriff auf E-Mail-Adressen, getätigte Bestellungen, Namen, Telefonnummern und unter Umständen Adressen gehabt haben. Passwörter sollen verschlüsselt auf den Servern liegen

Schön, mit name und telefonnummer. Ist doch nett, wenn jemand anruft! Und wie das Passwort gehäscht wurde… ach, hoffen wir doch einfach mal, dass es gut gesalzen und gehäscht wurde.

Mit leuten, die auf einer webseit ihre telefonnummer angeben, habe ich übrigens kein mitleid.

Auch weiterhin viel spaß beim festen glauben an den überall vollmundig und konsekwenzenlos versprochenen schutz eurer persönlichen daten. Die liste wäxt und wäxt und wäxt. Unterdessen gibt es in der BRD unter dem gestaltungswillen von p’litlöchern aus CDU, SPD und CSU einen stärker durchgesetzten datenschutz für autokennzeichen als für menschen. 🤮️

Ich glaube das ja noch nicht…

Dieses Spaß-Projekt von Microsoft könnte ein erstes Umdenken einleiten. Statt immer mehr Code für Performance-Verbesserungen hinzuzufügen und dann viele kritische Bugs zu fixen, versucht man eher Funktionen zu entfernen, die für viele Sicherheitsprobleme verantwortlich sind

Übrigens lässt sich die sicherheit von softwäjhr generell verbessern, indem man komplexität reduziert — denn komplexität ist bei softwäjhr immer das gegenteil von fehlerfreiheit, robustheit, sicherheit. Ich sage das seit zwei verdammten jahrzehnten und werde dafür überwiegend wie ein außerirdischer angeguckt. Vor allem, wenn ich sage, dass man den kohd vielleicht erstmal gründlich entfehlern sollte, bevor man ihn erweitert…

So ein ganzer kompeiler in einem webbrauser ist jedenfalls ein maß von komplexität, das man auf jeden fall vermeiden sollte.

Aber was rede ich. Inzwischen glauben die leute da draußen sogar, dass ein webbrauser eine gute laufzeitumgebung für eine anwendung (modernsprech: äpp) sei. Ob sich mal jemand gedanken über die CO2-bilanz überkomplexer moppelsoftwäjhr gemacht hat?

Kennt ihr den schon?

Ihr solltet zur sicherung eures amazon-kontos jetzt amazon eure telefonnummer geben, weil amazon nicht dazu imstande ist, euch verrammelte hardwäjhr mit einem fehlerfreien und nicht angreifbaren programm zur anzeige und zum bekwemen lesen eines textes zu verkaufen:

Das beliebte Lesegerät für E-Books konnte durch einen sehr einfachen Hack übernommen werden. Dadurch konnten die Angreifer sogar in den Besitz des vollständigen Amazon-Kontos gelangen, sollte der Nutzer keine Zwei-Faktor-Authentifizierung eingerichtet haben.

Kommt leute, nach anderthalb jahrzehnten enthirnung durch die ganzen smartdinger, internet-der-dinge-schrottdinger und sonstigen enteignungskompjuter findet ihr das bestimmt auch eine tolle und zielführende idee! Und immer schön den ganzen tinnef kaufen!

Da-da-digital des tages

Der digitale Impfnachweis muss, zumindest in seiner jetzigen Form, als völlig gescheitert gelten […] Das liegt nicht nur daran, dass die Daten des digitalen Impfnachweises sowieso von kaum jemanden wirklich überprüft werden, wie wir bereits geschrieben haben. Sondern auch daran, dass inzwischen davon ausgegangen werden muss, dass diese Daten manipuliert, gefälscht oder eben schlicht gekauft sein können, selbst wenn sie mit der dazu notwendigen App überprüft werden. Inhaber eines digitalen Impfpasses sind also nicht unbedingt geimpft

Ein kleiner sachfremder lacher neben der ganzen BRDigitalen alltagskost aus den tiefstgelegenen kompetenzregjonen ist auch im verlinkten artikel:

Nachdem sich die Sicherheitsforscher André Zilch und Martin Tschirsich Zugang zu dem Portal der Apotheken verschaffen konnten, wurde dieses zwar kurz offline genommen. Mittlerweile ist das Portal, über das die Apotheken die Zertifikate für die Impfnachweise ausstellen, jedoch offenbar völlig unverändert wieder am Start

Ich mag es sehr, wenn ein sicherheitsforscher ausgerechnet zilch heißt. 😂️

Trojanische äpp des tages: der UC-brauser

Der UC-brauser für ändräut funkt so unfassbar viel nach hause und zu dritten, dass man ihn nur noch als schadsoftwäjhr betrachten kann.

Das soll natürlich niemanden von der nutzung abhalten, der keine probleme damit hat, einem unternehmen, dass offen von kriminellen abgeschaute metoden anwendet, eine (durch vergabe einer eindeutigen ID zusammen mit der MAC-adresse der WLAN-schnittstelle und der guhgell-reklame-ID) stark deanonymisierte auflistung seiner gesamten web-nutzung zu übermitteln. Zumal es dann sicherlich auch nicht mehr so stört, dass der so genannte „inkognito-modus“ die überwachung einfach aufrechterhält und nur so tut, als sei man unbeobachtet. Aber jedem vernünftigen menschen kann ich nur empfehlen, einen webbrauser ohne derartige trojanerfunkzjonen zu benutzen.

Laut den Angaben im Google Play Store wurde der Browser über 500 Millionen Mal installiert…

Aber hej, an trojaner haben sich die händiopfer ja schon gewöhnt. Alles so schön bunt hier.

Troll des tages

Vidme:
Webseiten blenden ungewollt Pornos ein

Eine Pornowebseite hat die verwaiste Domain eines Videohosters gekauft. Auf bekannten Nachrichtenseiten wurden daraufhin Hardcore-Pornos angezeigt

Bwahahahaha! 🤣️

Endlich lohnt es sich mal, die huffington pest oder die brainwashington pest zu besuchen. Da gibts so anregende filmchen.

Immer schön die inhalte irgendwelcher „plattformen“ in die eigene webseit einbinden! Das ist billig, content und einfach! Was kann dabei schon schiefgehen…

Noch besser: javascript-kohd nicht selbst hosten, sondern von dritten einbinden. Macht ja jeder so. Da kann auch nichts bei schiefgehen.

Windohs des tages

Meikrosoft so: wir kriegen unsere strokelscheiße nicht mehr in den griff, am besten, ihr deaktiviert einfach die netzwerk-druckmöglichkeiten an euren kompjutern. Wenn nicht, wirds schröcklich gar und fürchterbar:

Angreifer könnten dann Programme installieren, Daten einsehen, ändern oder löschen und neue Accounts mit vollen Nutzungsrechten erstellen

Vielen dank, dass sie sich für meikrosoft entschieden haben.