Security des tages

Sicherheitslücke:
Funktastatur nimmt Befehle von Angreifern entgegen

[…] Die Tastatureingaben überträgt Fujitsu über ein proprietäres Funkprotokoll mit einer 128-Bit-AES-Verschlüsselung (Advanced Encryption Standard). Der USB-Dongle-Empfänger nimmt allerdings auch unverschlüsselte Eingaben entgegen, solange sie in dem richtigen Format geschickt werden […]

Weia!

TLS des tages

Na, fühlt ihr euch immer noch sicher und unbelauscht, weil im webbrauser ein schlösschen angezeigt wird? Dann lest mal auf heise weiter!

Danach ist ein guter moment, sich mal die ganzen CAs im webbrowser anzeigen zu lassen. Ich zum beispiel traue weder guhgell oder irgendwelchen anderen unternehmen aus dem totalüberwachungs-, kriegs- und folterstaat USA, noch traue ich der deutschen telekom AG mit ihrer nähe zum bundestrojaner-staat BRD. (Der im link erwähnte verfassungsschutz ist übrigens die gleiche BRD-behörde, die gewaltbereite neonazis schützt und finanziert, bis hin zu verflechtungen in die NSU-mordserie.) Aber hej, euer brauser vertraut ja für euch. Und zeigt ein schlösschen an, damit ihr auch seht, dass der brauser für euch vertraut und beruhigt seid. Immer schön feste daran glauben, dass da niemand mitlesen kann und sich niemand als jemand anders ausgeben kann! Was kann da schon passieren?

Smartdingens des tages

Wisst ihr noch, früher? Da hat man alarmanlagen verbaut, damit man nicht beklaut wird und um diebe abzuschrecken. Heute ist alles smart, ditschitäll und mit wischofon-äpp. Da verbaut man alarmanlagen, um die diebe anzulocken, damit sie einen auch beklauen.

Ohne dass der Besitzer des Fahrzeugs es mitbekommen hätte, konnte der Angreifer dann dessen Auto orten, den Schlüssel klonen und das Auto mit seiner Handy-App aufschließen und wegfahren können [sic! …] Was es noch viel unglaublicher macht, dass Pandora behauptet hatte, die eigene Alarm-Technik sei unhackbar

Ich wünsche auch weiterhin viel spaß dabei, auf die lügen des werbers und seines stinkenden bruders, des jornalisten reinzufallen. „Unhackbar“. Na, wie es in diesem fall wirklich aussieht, wisst ihr jetzt ja.

Warum man datensicherungen macht

Warum man datensicherungen macht und überprüft, ob man damit bei bedarf auch möglichst schnell wieder arbeitsfähige kompjuter aufsetzen kann? Na, wenn man bemerkt, dass man datensicherungen hätte machen müssen, ist es zu spät dafür, und dann kann man sein eingespartes geld irgendwelchen internetz-erpressern mit schadsoftwäjhr geben.

Die Verwaltung entschloss sich, auf die Forderungen der Erpresser einzugehen und zahlte 400.000 US-Dollar. County Manager Kevin Poe sagte in einem Interview mit der Lokalzeitung Athens Banner-Herald: „Wir mussten uns entscheiden, ob wir zahlen oder nicht. Die Technik wäre womöglich für Monate offline gewesen und wir hätten möglicherweise ebenso viel oder sogar mehr Geld gezahlt, um das System wieder aufzubauen.“

Nur, falls jemand glaubte, nur in der BRD habe p’litik und verwaltung keine ahnung von technischen temen: auch in der US-verwaltung werden im zweifelsfall kriminelle mit steuergeldern unterstützt. Und natürlich gibt es auch dort mitarbeiter, die auf alles klicken, was sich nur anklicken lässt, so dass man ihnen einfach nur einen mäjhlanhang zuschicken muss. Viel einfacher als richtiges cräcken!

Ich gehe davon aus, dass die kompjuter dort nach der entschlüsselung der verschlüsselten festplatten mit den gleichen sicherheitslücken wie vorher betrieben werden — und dass niemand auf die idee kommen wird, die mitarbeiter angemessen zu schulen, damit sie die erforderliche grundvorsicht an den tag legen. Kostet ja alles geld. Da macht man sich lieber dauerhaft erpressbar und hofft, dass es einen schon nicht trifft… 😦

Security des tages

Alarmsysteme:
Sicherheitslücke ermöglicht Übernahme von Autos

Müsst ihr verstehen, das waren echt „smarte“ systeme, auch wenn golem auf die verwendung des wortes „smart“ verzichtet:

Die Alarmanlagen lassen sich über eine App steuern. Mit dieser kann der Autofahrer sein Gefährt lokalisieren oder die Türen öffnen. Allerdings musste das Team nicht die Alarmanlage selbst hacken: Es war die App, über die die Sicherheitsforscher sich Zugang zu den Fahrzeugen verschaffen konnten […] unbegrenzten Zugriff auf das Auto: Sie konnten es lokalisieren, die Alarmanlage aktivieren oder deaktivieren, die Türen öffnen und den Motor starten […] von außen den Motor während der Fahrt abschalten

Auch weiterhin viel spaß dabei, alles mit euren wischofonen zu machen! Ist voll sicher. Der reklameonkel und sein stinkender freund, der jornalist, haben es euch doch gesagt. Und alle anderen sind doch nur weltfremde spinner, die völlig unrealistische angriffsmöglichkeiten sehen. Wer klaut schon hochpreisige autos? Oder: wer kommt schon auf die idee, einen autofahrer während der fahrt auf der autobahn um eine handvoll bitcoin erpressen zu wollen? Seht ihr, alles nur paranoiawixe. So, und jetzt glaubt wieder dem reklameonkel und dem jornalisten und stellt euch die ganze smartscheiße ins leben! 😈

Security des tages

Ist hier jemand bei der spaßkasse und macht dort diese moderne internetz-fernkontoführung?

The vulnerability is located in the `firstname`, `lastname` and `companyname` values of the `newsletter` module. The vulnerable parameters are f[1][v], f[2][v] & f[2][v] (sic!). Remote attackers are able to inject own malicious script code via POST method request to the application-side of the sparkasse dns domain mailing service. The attack vector of the vulnerability is persistent on the application-side and the request method to inject is POST […] The exploitation of the persistent input validation web vulnerability requires low user inter action and no privileged application user account. Successful exploitation of the vulnerability results in session hijacking, persistent phishing, persistent external redirects to malicious sources and persistent manipulation of affected or connected web module context

Auch weiterhin viel spaß bei der fernkontoführung! Ist ja sicher. Diese ini-mini–wini-winzig-klitze-kleine sicherheitlücke, mit der jeder hansel sich gegenüber kunden als spaßkasse ausgeben konnte, wurde auch nur als „mittelgroß“ eingestuft. Woher sollten die bei der spaßkasse auch wissen, dass man eingabedaten irgendwie validieren muss? Und es geht ja auch nur um geld. Was kann da schon passieren?

Security des tages

Hej, die website hat TLS, die ist sicher. Kannst sogar aufs schlösschen klicken, das ist wirklich ih-bäh, nicht irgendein phisher. Gut, dass inzwischen alles so klicki-klicki sicher ist, sonst gäbe es ja richtig viel kriminalität:

Denn die gefälschten Login-Seiten sehen dem Original nicht nur zum verwechseln ähnlich – die Betrüger haben diese auch auf einem eBay-Server abgelegt. Dazu nutzen sie die Artikelbeschreibung

😯

Diese Masche ist bereits seit 2015 bekannt und gegenüber heise Security sprach auch eBay von einer gängigen Methode. Neu ist die Nutzung von SSL, welche Sicherheit suggeriert

Ah, ich verstehe, kennt man schon ein paar jährchen bei ih-bäh, den trick. Na, dann ist es ja völlig verständlich, dass ih-bäh da gar nix machen kann. Nicht.

Auch weiterhin viel spaß mit dieser obersten priorität, welche die sicherheit und der schutz von… ähm… vor trickbetrügern bei den großen, milljardenschweren internetzklitischen hat! Gefühlte sicherheit fühlt sich doch gut an, und das schlösschen im brauser stimmt auch. Was will man da noch mehr? :mrgreen:

Träcking des tages

Nutzt hier jemand einen voll aufgeplusterten webbrauser statt eines kleineren progrämmchens (foxit ist auch sehr gut), um PDFs zu lesen? Das ist keine gute idee. Die als webbrauser getarnte überwachungssoftwäjhr krohm von guhgell funkt zum beispiel bei gewissen PDFs nach hause, dass sie gelesen werden, und wer weiß, was da noch für exploits möglich sind!

Welche vollidjoten sind eigentlich auf die idee gekommen, jede tätigkeit am rechner in einem immer komplexeren und monolitischeren webbrauser zu machen?! Was war denn daran falsch, dass der brauser einfach die zum MIME-type passende anwendung aufmacht?! Ach! Ihr lasst euch ja sogar schon ein offißß im webbrauser andrehen. Und hinterher weint ihr, weil euch niemand vorher gewarnt hat…

Smartding des tages

„Mit Ring wissen Sie immer als Erster Bescheid, ob Sie Besuch haben“, wirbt die Amazon-Tochter Ring für ihre smarten Türklingeln. Über die Ring-App können Besitzer auf die integrierte Videokamera zugreifen und sehen, wer gerade klingelt oder was vor der Haustüre passiert – auch wenn sie gar nicht zu Hause sind. Doch die Videos konnten von Angreifern ausgelesen und sogar ausgetauscht werden. Diese mussten sich hierfür jedoch im selben WLAN befinden […] Für die Übertragung der Audio- und Videodaten zwischen der smarten Türklingel und der Ring-App […] setzt sie dabei jedoch nicht auf standardisierte Verschlüsselungsprotokolle […] sondern verwendet eine selbst gebaute Verschlüsselung […] Verwenden Ring-Nutzer neben der smarten Türklingel auch ein smartes Türschloss, konnten Angreifer sie über die Sicherheitslücke dazu verleiten, die Tür für sie zu öffnen, beispielsweise, indem sie ein bereits mitgeschnittenes Video des klingelnden Babysitters oder Schornsteinfegers an die App senden – dass in Wirklichkeit ein Einbrecher vor der Tür steht, sieht der Ring-Nutzer nicht

Übrigens, golem: es ehrt euch ja ein bisschen, dass ihr genau so wenig kriminelle erfahrung wie gute, altmodische intelligenz habt. Aber trotzdem kommen einbrecher vor allem dann, wenn niemand in der wohnung ist. Das ist nämlich einfacher und stressfreier. Und wenn ihr nur zwei verdammte sekunden darüber nachgedacht hättet, statt euch der seit jahrzehnten werbe-, presse- und medieninduzierten angst hinzugeben, bis ihr so richtig angstdumm geworden seid, dann hättet ihr das sogar selbst gemerkt.

Fühlt euch weiter schön sicher mit euren ganzen smartdingern für die sicherheit, allgegenwärtige überwachung und neurotische angstabwehr! Mit einer altmodischen kamera ohne jedes „smart“ wäre das nicht passiert — und früher sind die menschen sogar mit einer sprechanlage ausgekommen. Davon, dass ich es noch in meinen lebzeiten erlebt habe, dass ein großteil der türen unverschlossen war, wenn man zuhause war, und dass da jeder im prinzip einfach reingehen konnte, will ich ja gar nicht erst anfangen. Das müssen bestimmt ganz fürchterliche, unsichere zeiten voller fieser kriminalität gewesen sein, nicht wahr?! Lasst euch schön angst machen, lasst euch schön ins gehirnchen ficken, lasst euch schön den ganzen smarttinnef verkaufen! Es ist ein gutes geschäft. Nur nicht für euch.

Datenschleuder des tages

Dow jones hat eine 4,4 GB große datenbank mit risikobewertungsdaten zu firmen und privatpersonen völlig ungeschützt in der klaut abgelegt, und die klaut hat natürlich die daten abgeregnet.

Die Datenbank habe Profile und Einschätzungen über politisch tätige oder ehemals tätige Personen, ihre Angehörigen, enge Mitarbeiter und Unternehmen, mit denen sie in Verbindung standen, enthalten […] Einträge zu Hochkriminellen wie Terroristen […] habe die Datenbank auch Namen, Adressen, Geburtsdaten, vereinzelt auch Fotos enthalten

Diese wunderschöne datensammlung — wisst schon: „rohstoff der zukunft“ — zirkuliert jetzt unter jenen, die sie gern haben wollen. Der kriminelle missbrauch der daten ist eine sichere wette.

Auch weiterhin viel spaß beim festen glauben an den euch überall ziemlich konsekwenzenlos versprochenen schutz eurer daten! Die liste wäxt und wäxt und wäxt.

Security und krüpplografie des tages

Das ist ein digital signiertes PDF-dokument, das kann niemand manipuliert haben [archivversjon].

21 von 22 PDF-Readern merkten nicht, dass das Dokument verändert worden war […] Selbst der PDF-Pionier Adobe fiel den Forschern zufolge mit seinem Acrobat Reader durch. Das Programm erkannte die Veränderungen nicht

Kurz gesagt: wenn es um die implementazjon von kryptografischen sicherheitsfunkzjonen geht, schlampen alle. Wer braucht im zeitalter der internetzkriminalität schon eine gewissheit darüber, dass ein dokument unverändert ist?

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich hat einen nebendschobb bei guhgell angenommen und da völlig unerwartet rausgekriegt, dass ein „softwäjhr-schutz“ vor fehlern in der hardwäjhr nix bringt.

Bei ihrer Analyse der Auswirkungen der verschiedenen Spectre-Versionen und der Software-Schutzmaßnahmen gegen Seitenkanal-Angriffe haben die Google-Forscher festgestellt, dass sich die Abwehrmaßnahmen immer irgendwie umgehen lassen

Niemand hätte damit rechnen können!!!1!!1!

Aber keine sorge, es sind ja nur programme betroffen, die kohd aus nicht vertrauenswürdigen kwellen ausführen. Also zum beispiel irgendwelche klaut-mietsysteme. Oder wischofone, auf die irgendwelche äpps runtergeladen werden. Oder blockchain-softwäjhr, die für ihre „smart contracts“ kohd aus irgendwelchen kwellen ausführen. Oder PDF-anzeigeprogramme, die javascript in PDF ausführen. Oder webbrauser, die javascript in irgendwelchen webseits (oder gar in irgendwelchen werbebannern) ausführen. Schön weiterschlafen und beruhigt sein… :mrgreen:

Security des tages

Kauft tretroller mit elektromotorunterstützung, haben sie gesagt. Das ist hipp, mobil, smart, umwelt und sicher, haben sie gesagt:

Der E-Scooter Xiaomi M365 weist eine gefährliche Sicherheitslücke auf: Jedermann kann via Bluetooth den Tretroller zum plötzlichen Bremsen oder Beschleunigen bringen. Das ist gefährlich, weil so Stürze oder Zusammenstöße provoziert werden könnten. Möglich ist auch die dauerhafte Sperre des Geräts, was eigentlich als Diebstahlschutz gedacht ist, und sogar das Installieren anderer Firmware […] Zimperium hat entdeckt, dass die zum E-Scooter passende App vom Besitzer zwar ein Passwort verlangt, dieses Passwort aber ausschließlich in der App überprüft wird. Der E-Scooter selbst überprüft nicht, ob ein Passwort eingegeben wurde. Er nimmt Bluetooth-Befehle von jederman entgegen und führt sie ungeniert aus

Auch weiterhin viel spaß mit dem ganzen hippen, digitalen schrott mit zugehöriger wischofon-äpp von irgendwelchen klitschen! Da braucht das fahrzeug dann eben auch bluetooth, und irgendwie absichern ist so gestern. Was kann dabei schon passieren?

(Freut ihr euch auch alle schon so auf die „selbstfahrenden“ autos?)