Security des tages

Benutzt hier jemand WLAN?

Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys, and others, are all affected by some variant of the attacks […] The weaknesses are in the Wi-Fi standard itself, and not in individual products or implementations. Therefore, any correct implementation of WPA2 is likely affected

Mit einem ethernetkabel wäre das nicht passiert… ach, ihr macht das jetzt alles mit euren wischofonen, und da gibts keine buxe? Na, dann habt ihr halt ein manipulierbares internetz, in dem ihr beliebig von jedem menschen abgehört werden könnt. Hauptsache, ihr glaubt dem scheißwerber, dass die fernkontoführung mit eurer bänkingäpp voll sicher ist!

Den nutzern „preiswerter“ wischofone wünsche ich viel spaß beim verzicht auf sicherheitsaktualisierungen! Könnt ja ein neues kaufen! Lasset die berge vor den städten waxen, denn das ist wirtschaftswaxtum!

Advertisements

Krüpplografie des tages

Wieder mal so ein facepalm, für den man hundert hände brauchte: meikrosoft „outlook“ kann zwar S/MIME-kryptografie und kriegt die auch durchaus korrekt hin, hängt dann aber noch einmal den unverschlüsselten klartext mit an, so dass man sich das verschlüsseln gleich hätte sparen können.

Weia! [via Fefe]

Windohs-zehn-marketing des tages

Forscher von Google haben nachgewiesen, dass Microsoft Sicherheitslücken in Windows 10 behoben hat, die gleichen Lücken in Windows 7 und 8 jedoch offen ließ. Patches kamen erst, als die Veröffentlichung durch Project Zero drohte

Ehrlich gesagt: von einer klitsche, die ihre von vielen anwendern völlig unerwünschte neue betrübssystem-versjon windohs zehn mit der neuen spämmmethode der desktop-spämm vermarktet (und auch keine probleme damit hat, andere meikrosoft-produkte mit spämm zu vermarkten und dabei auch vor spämm im dateimänätscher nicht zurückzuschrecken), habe ich niemals etwas anderes als solche druckmetoden erwartet. Ich gehe sogar von sabotahschen aus… aber das habe ich ja in meinem text unter „Achtung! Spekulazjon!“ schon gesagt.

Tja, wenn doch nur jemand vor dieser gern auch mal kriminell vorgehenden klitsche namens meikrosoft gewarnt hätte! Auch weiterhin viel spaß mit euren windohs-versjonen, die meikrosoft um jeden preis mit dem überwachungs-betrübssystem windohs zehn ablösen will.

Security des tages

Benutzt hier jemand eine tabellenkalkulazjon und glaubt, der import von CSV-dateien sei in jedem fall sicher, weil das ja nur text ist und kein kohd aus der datei ausgeführt wird? Nun, das ist ein kleiner irrtum.

Ich wusste bis eben gerade wirklich nicht, dass man in CSV-dateien formeln hinterlegen kann, die excel oder guhgell schiets auch noch ausführt. Vermutlich weiß das fast niemand.

[via Fefe]

Schlangenöl des tages

Angreifer könnten eine Besonderheit des SMB-Protokolls im Umgang mit Dateiaufrufen durch entfernte Rechner missbrauchen, um den Windows Defender auszutricksen und Schadcode auszuführen

Das klappt natürlich mal wieder nur mit der entschlossenen mithilfe dieser leute, die nach genuss eines kleinen bisschens blendwerkes auf alles klicken, was sich irgendwie anklicken lässt… und die sitzen leider erschreckend oft an kompjutern.

Ändräut des tages

Warum es echt scheiße ist, wenn man wischofone hat, bei denen man mit gezielter technikverhinderung daran gehindert wird, selbst ein betrübssystem zu installieren und bei denen die hersteller einfach keine sicherheitsaktualisierungen mehr herausgeben, weil sie doch viel besser daran verdienen, wenn man ein neues wischofon kauft? Weil man dann halt mit im prinzip schon jahrelang behobenen fehlern in seinem betrübssystem in einem internetz voller verbrecher unterwegs ist:

TrendMicro hat die wohl erste Android-Malware entdeckt, die die bereits seit mehreren Jahren bekannte Linux-Schwachstelle Dirty Cow (CVE-2016-5195) ausnutzt

Tja, ist schon dumm, wenn man dumm ist und sich so eine dumme scheiße unter dem werbeblendwort „smart phone“ andrehen lässt.

Und jetzt macht schön eure fernkontoführung mit den dingern. Und bezahlen sollt ihr auch damit. Geile idee!

Welche Android-Geräte anderer Hersteller gegen Dirty Cow geschützt sind, ist derzeit unklar. Das liegt unter anderem daran, dass Hersteller unzählige Geräte mit gebrandeter Software anbieten und Patches dafür extra entwickelt und freigeben werden müssen, was in der Regel aber nicht passiert

Könnt ja die müllwirtschaft ankurbeln! Funkzjonierendes gerät wegwerfen, auf dass die giftigen berge vor den städten waxen, ordentlich pinke pinke hinblättern und ein neues gerät kaufen (da vergesst ihr auch die letzte „post buying frustration“ viel schneller) und in einem halben jahr vor der gleichen technikverhinderungs-kackscheiße stehen. Menschen mit einem funkzjonierenden gehirn lassen sich jedenfalls nur kompjuter andrehen, auf denen sie die softwäjhr laufen lassen können, die sie darauf laufen lassen wollen. Und zwar ohne irgendwelche windigen häcks, mit denen man die dinger brickt, wenn man etwas falsch gemacht hat. Und ohne verlust der gewährleistung. Kompjuter können programme ausführen. Dafür sind die gebaut. Alles andere ist technikverhinderung.

Immer schön konsumdoof bleiben und sich dabei total hipp fühlen! Ihr kriegt das auch noch mit den isotonischen getränken zum pflanzengießen hin!

Münchener linux-ausstieg des tages

Die neue Groupware-Lösung soll geheim bleiben, um angeblich Hackern weniger Angriffsfläche zu bieten

Na, da sitzen aber spezjalexperten! Das wirds bringen! Vor allem, wenn es sich um meikrosoft ixtschäjnsch handelt, das nicht nur das einzige geeignete meikrosoft-produkt ist, sondern zudem nirgends anders im einsatz ist und deshalb nicht schon standardmäßig attackiert wird, wenns irgendwo einen angriffspunkt gibt. Wie denn auch, wenn niemand darauf kommen kann, was es ist?! :mrgreen:

Die vorstellung, dass sich die münchener stadtverwaltung einen 08/15-erpressungstrojaner mit wurmfunkzjon einfängt, finde ich aber sehr erheiternd.

Beim offenbar korrupten oberbürgerkleister Dieter Reiter von der offenbar durch und durch korrupten scheiß-SPD bedanke ich mich für den beitrag zur analyse, wo die beschissenen wahlergebnisse der scheiß-SPD herkommen. Den menschen, die unter der korrupzjon leiden, wünsche ich viel spaß im inzwischen sehr absehbaren jahr 2020, wenn windohs sieben nicht mehr von meikrosoft unterstützt werden wird — und entweder teure spezjalverträge oder ein wexel auf auf das cloud- und wanzenbetrübssystem windohs zehn fällig werden. Mit letzterem eine verwaltung zu betreiben, halte ich für verantwortungslos und kriminell.

Spezjalexperten des jahres

Das Logo von Adobe Creative Cloud mit dem Text 'Allseitig Abregnende Wolke'.

Für den facepalm brauchste hundert hände! Das „product security incident response team“ von „adobe“ auf einem seiner blogs so: BEGIN PRIVATE KEY BLOCK. m(

Bild eins, bild zwei, bild drei, archivversjon aus dem guhgell-zwischenspeicher, kwelle beim zwitscherchen, via Fefe… und natürlich ist der key schon zurückgezogen.

Nachtrag 23. september, 12:20 uhr: Golem erklärt uns mal allen, wie es dazu kommen konnte, dass für security-tätigkeiten bezahlte security-spezjalexperten bei „adobe“ ihren private key irgendwo markiert, kopiert und in ihr CMS eingefügt haben. Das lag nicht etwa daran, dass die einen ziemlich peinlichen fehler gemacht haben, der auf dummheit oder drogengebrauch schließen lässt, das lag vor allem daran, dass PGP oder GnuPG nicht benutzerfreundlich genug sind:

PGP gilt nicht als übertrieben benutzerfreundlich. Warum, musste jetzt auch Adobe feststellen, als ein Mitarbeiter im Sicherheitsblog des Unternehmens den privaten PGP-Schlüssel des Teams veröffentlichte

Dabei benutzt man bei „adobe“ — übrigens das englische wort für einen luftgetrockneten lehmziegel — schon eine äußerst klickige und benutzerfreundliche softwäjhr:

Die Kombination aus öffentlichem und privatem Schlüssel wurde mit dem Browser-Plugin Mailvelope exportiert

Es geht doch nix über die anwendung im webbrauser! :mrgreen:

An der kommandozeile wäre das nämlich nicht passiert, da muss man schon etwas umständlich --export-secret-keys oder in härtefällen auch mal --export-secret-subkeys tippen. Und das ist auch gut so, dass das nicht aus versehen passieren kann.

Wieviel reklamegeld golem wohl von „adobe“ bekommt? ❓

Wie bekommt man sicherheitslücken auf jedes ändräut-wischofon?

Einfach immer wieder kohd mit ein paar hintertüren bei „stack overflow“ posten, die ändräut-programmierer bedienen sich da ja oft:mrgreen:

Die Forscher Yasemin Acar, Michael Backes und Sascha Fahl haben das mit wissenschaftlichen Methoden untersucht und festgestellt, dass Entwickler tatsächlich am liebsten bei Stack Overflow nachsehen, wenn sie auf ein Problem stoßen – und dass auf diesem Weg auch sehr viele Sicherheitslücken Einzug in Android-Apps halten […] Mit dem Ergebnis, dass die Entwickler, die Stack Overflow nutzten, tatsächlich auch die meisten Sicherheitslücken produzierten

Ich bin mir sicher, dass das weit über ändräut hinaus verallgemeinerbar ist. Ein forum ist niemals ein ersatz für gute dokumentazjon — aber so lange es als geldverschwendung angesehen wird, gute dokumentazjon zu beschaffen und auch zu benutzen, muss das forum als ersatz dafür dienen.

Wahlauswertungssoftwäjhr des tages

Dem CCC ist es nach eigenen Angaben gelungen auch das am 13. September bereitgestellte Sicherheits-Update der Wahl-Auswertungssoftware „PC-Wahl“ erfolgreich anzugreifen und zu trojanisieren

Ich gehe davon aus, dass das bei den sicherheitsfunkzjonen derartiger spezjalexperten keine besonders schwierige kopfnuss war. Nett, dass gleich ein direkt verwendbarer fix für die probleme mitgeliefert wurde: einfach kryptografische standardmetoden aus Freien biblioteken verwenden, und schon ist die softwäjhr zur verarbeitung von wahlergebnissen in der BRD sicher vor der trojanifizierung über ihren aktualsierungsmechanismus (wenn man nicht trotzdem noch etwas verpatzt, was bei diesen in bananistan staatlich subvenzjonierten und gewiss sorgfältig hohlraumversiegelten spezjalexperten von „vote IT“ wohl eine sichere wette ist).

Übrigens: diese ganzen sinn- und wirkungslosen nachbesserungen durch offenbar völlig security-unerfahrene programmierer werden mit steuergeldern bezahlt, und zwar vermutlich alles andere als preiswert. Auch das bummsamt für sicherheit in der informazjonstechnik, dass den schnell zusammengefrickelten bullschitt immer wieder abnimmt, wird mit steuergeldern bezahlt. Im gegensatz zum CCC, der eine kostenlose lösung liefert. Auch weiterhin viel spaß mit der security-kompetenz in der bummsverwaltung!

Und morgen im p’litischen teater: cyber, cyber, die pösen russen greifen unsere wahlen an! Da die geldverbrennung für pseudosichere wahlsoftwäjhr kein jornalistisches tema ist, werden die menschen die lüge fressen.

Security des tages

Benutzt hier jemand einen „apache“ als websörver?

Nach einigen Mails an das Apache-Security-Team konnte das Rätsel gelöst werden: Es handelte sich um einen Use-After-Free-Bug beim Zusammenstellen der Liste von unterstützten Methoden

Anders, als golem es suggeriert, ist es keineswegs eine ungewöhnliche konstellazjon, dass jemand in einer .htaccess <Limit> oder <LimitExcept> setzt. Es ist heutzutage nur ein wenig seltener geworden, weil ein zeitgemäßes CMS seine eigene rechteverwaltung und zugriffsbeschränkung mitbringt und deshalb nicht auf metodenbeschränkung durch den websörver zurückgegriffen wird — etwa für einen POST mit einem neuen artikel im administrationsbereich. Aber das heißt noch lange nicht, dass keine altlasten auf sörvern herumliegen, und es heißt auch nicht, dass auf geteilten sörvern nicht mal jemand eine etwas esoterische oder alte softwäjhr benutzt, um sich nicht mit den nebenwirkungen der heutigen moppelseuche herumschlagen zu müssen. Oder noch häufiger: dass jemand einfach fragmente aus einer .htaccess aus dem web kopiert, ohne diese zeilen überhaupt zu verstehen und für seinen bedarf zu bereinigen. Von daher: druff mit dem pflaster, so bald es verfügbar ist! Nur ein behobener fehler ist ein guter fehler. Und wenn ich von einem „use after free“ im kern vom „apache“ lese, befürchte ich, dass es demnächst noch ein paar pätsches mehr gibt.

Was einem dank adblocker so alles entgeht…

Im Rahmen einer aktuellen Malware-Kampagne nutzen Cyberkriminelle JavaScript, um Kryptowährungen in fremden Browsern zu minen. Zur Platzierung des Schadcodes missbrauchen sie laut dem Sicherheitshersteller ESET sowohl legitim eingekaufte Werbeflächen als auch kompromittierte Websites. ESET entdeckte den Code nach eigenen Angaben erstmals vor einigen Monaten; betroffen seien vor allem russisch- und ukrainischsprachige Websites

Juchu, endlich gibt es verbreitete javascript-trojaner, die im webbrauser laufen! Wenn doch nur jemand davor gewarnt hätte! 😦

Wer nicht der organisierten kriminalität zuarbeiten will, wer keine lust hat, sich dazu überrumpeln zu lassen, mit seinem kompjuter und seinem strom die puffbesuche und den kokainkonsum irgendwelcher verbrecher zu bezahlen, benutzt einen wirksamen javascript-blocker und einen wirksamen adblocker. Die installazjon dauert deutlich unter einer minute.

Und ja, der javascriptblocker ist unbedingt empfehlenswert. Javascript hat eine genau so beschissene security-bilanz wie das verruchte fläsch, und spielte bei nahezu allen infekzjonen von kompjutern über den webbrauser eine zentrale rolle. (Einzige ausnahme der letzten fünf jahre war ein fehler im feierfox bei der anzeige von PDF-dokumenten im brauser, und dieser kohd war in… na, wer kommt drauf… javascript geschrieben.) Irgendwelche scheißjornalisten und scheißpresseverleger, die euch mit trix und lügen zum zum anschalten von javascript nötigen wollen, sind eure feinde, aber dafür die freunde von asozjalen verbrechern.

Überwachung des tages

Benutzt hier jemand TOR, um sich anonym im internetz zu bewegen, um bei der kommunikazjon über empfindliche temen nicht persönlich identifizierbar zu sein oder um geschäfte im so genannten „darknet“ zu machen? Der staat, in dem du lebst, will aber nicht, dass du anonym bleibst…

Security des tages

Ich wünsche den ganzen käufern und nutzern preiswerter wischofone und sonstiger smartdinger mit bluetooth viel spaß dabei, sicherheitsaktualisierungen für ihre beliebig fernsteuerbaren und missbrauchbaren geräte zu installieren, falls es überhaupt welche gibt… und nein, es hilft nicht, wenn ihr einfach kein internetz benutzt. Und das schlangenöl, das euch verkauft wird und auf der verlinkten webseit empfohlen wird, hilft auch nicht.

Bei “BlueBorne” wird die Infektion über das Bluetooth Protokoll übertragen. Dazu reicht bereits ein infiziertes Gerät in näherer Umgebung aus, um automatisch über das aktivierte Bluetooth in sekundenschnelle von der Malware infiziert zu werden

Da müsst ihr wohl euer bluetooth abschalten. Ach, das wäre schade um den kopfhörer, den ihr dazu gekauft habt, oder wegen anderer teurer hardwäjhr? Tja, mit einem richtigen kompjuter, auf dem man selbst und eigenverantwortlich die softwäjhr installieren kann, die man darauf laufen lassen will, wäre das nicht passiert. Da gibt es im gegensatz zu euren ganzen dummen technikverhinderungs- und enteignungsmaschinen nämlich fehlerkorrigierte sicherheitsaktualisierungen, die man einfach aufspielen kann. Ohne irgendwelche obskuren häcks, ohne die gefahr des brickens und ohne verlust der gewährleistung für das gerät. Aber das war euch ja scheißegal, ihr habt lieber den enteignungsschrott gekauft, der so schön startrek aussah, ohne dabei zu bemerken, dass die kapitalistische gesellschaft keineswegs startrek ist, sondern eher ferengi. Und jetzt macht schön weiter eure fernkontoführung mit dem wischofon! Was kann dabei schon passieren?! :mrgreen:

Können eure autos eigentlich schon bluetooth? Ich warte doch schon so lange auf die ersten erpressungstrojaner für autos… und so ein wurm, der sich unter fahrenden und parkenden autos automatisch verbreitet, wäre doch mal was… — „Wenn sie wieder die gewohnte bremswirkung haben wollen, senden sie doch bitte 1,5 bitcoin an die folgende wallet-ID“.