Security des tages

108108

Der fiepser, auf den Fefe da referenziert, ist übrigens inzwischen vom zwitscherchen entschnabelt worden. Müsst ihr verstehen, zensur ist gut und macht unser aller leben besser und sicherer. Aber ich wiederhole ihn hier gern noch einmal:

An Alle, die bei LBB/Amazon/ADAC Kreditkarten keine SMS TAN zugestellt bekommen. Einfach die Universal-TAN „108108“ eingeben! Wirklich. Das geht. =:-O
— Subsembly GmbH (@subsembly) March 23, 2020

„Security by tweetdeleting!“, das wirds bringen. 🤦

„Cyber cyber“ des tages

Bundeswehr:
Pläne für Flugabwehrsystem auf Gebrauchtrechner von eBay

Wer braucht eigentlich noch geheimdienste und eine spionahscheabwehr, wenn die bundeswehrmacht die staatsgeheimnisse einfach auf ihh-bäh verhökert? :mrgreen:

Versuche, Daten zu löschen seien nicht erkennbar gewesen

Das war ja auch nicht das händi von solchen staatsverbrechern wie Ursula von der Leyen oder Andreas Scheuer. Die werden übrigens niemals für ihre vernichtung von beweismaterial vor einem gericht stehen. Ist ja BRD hier. 🍌

„Home Office“

Jetzt, während der corona-pandemie, wird so viel davon gefaselt, dass die menschen doch im prinzip oft zuhause am kompjuter arbeiten könnten, sie hätten doch alle internetz.

Nicht, dass da ein fieser trojaner seine große zeit haben wird! :mrgreen:

Und nicht, dass euch gar die klaut wegbricht, auf die ihr euch verlasst, weil der onkel werber und sein stinkender bruder, der jornalist, euch erzählt haben, dass die zuverlässig ist! ☁️

„Smartes“ schloss des tages

Wegfahrsperren abschaltbar:
Millionen Hyundais, Kias und Toyotas betroffen

Durch einen Anfängerfehler bei der Umsetzung der Verschlüsselung können Angreifer Schlüssel klonen.

Was heise (vermutlich wegen empfang warmer geldspenden) in seiner überschrift nicht erwähnt: tesla war auch betroffen, hat aber die sicherheitslücke schnell nach bekanntwerden gefixt — im gegensatz zum rest der unerfreulichen liste. Aber wer ein gehirn hat und es benutzt, liest ja mehr als nur die überschrift. Und wer kein gehirn hat oder es nicht benutzt, der wird eben die marionette von scheißwerbern und glaubt dabei auch, eine eigene meinung zu haben. Auf heise werfen solche „techniken“ ein ganz trübes licht. 🤮

Ach ja, wie schwierig ist der häck denn?

[…] durch die Implementierung der betroffenen Autohersteller lassen sich die verwendeten kryptografischen Schlüssel ganz oder teilweise per RFID auslesen, was dazu führt, dass Angreifer die Wegfahrsperre ausschalten können. Dann kann das Fahrzeug auf herkömmlichem Wege kurzgeschlossen werden. Dreisterweise basiert der Krypto-Schlüssel bei Toyota auf der Seriennummer des Schlüssels und die wird im Klartext in die Welt gefunkt

Aha, eher so etwas für gelangweilte kinder als für richtige häcker. Na, dann werden halt eure autos geklaut. Pech gehabt. Kann doch keiner wissen, dass man den schlüssel nicht auf etwas basieren lässt, was man in klartext in die welt funkt… 🤦

Oder, um es mit den PR-lügnern von idjota… ähm… toyota zu sagen:

Toyota spielte das Risiko der Sicherheitslücke herunter, da nur ältere Modelle betroffen seien und der Angreifer Zugang zum Schlüssel und „hochspezielle Hardware“ benötige

„Hochspezjelle hardwäjhr“ wie ein überall frei käufliches RFID-lesegerät. 😂

Javascript des tages

Ich sage jetzt mal gar nichts und gebe weiter zu Fefe. Aber keine tischkanten in gebissnähe!

Skripten die security-honks bei dieser unter spämmgenießern wohlbekannten drexklitsche Avast ernsthaft ihr schlangenöl in javascript?

Oder noch schlimmer: führt Avast vielleicht irgendwelche javascripts aus drexmäjhls und drexseits innerhalb seines schlangenöles aus, um mal zu gucken, was die skripten so machen. Also jetzt nicht so überlegt, wie ich das manchmal mache, wenn ich es mit javascript-kohd von spämmern zu tun habe, sondern… ähm… nach maßgaben einer softwäjhr, die der analyse von verbrechern offensteht? Und eines ganz sicher nicht ist: intelligent oder gar nachdenklich. 😦

Wie es auch ist: es ist schrecklich!

Bislang habe ich ja einfach nur vom schlangenöl abgeraten, weil es in seinem vorgesehenen einsatzfeld nicht funkzjoniert, aber wenn das so weiter geht mit der aufblähung und anwaxenen überkomplexität von schlangenöl, dann werde ich demnächst noch viel deutlicher davor warnen müssen, weil schlangenöl dann nicht nur strom verbraucht, den rechner ausbremst, die pole abschmilzt, die erdatmosfäre konvertiert, niedliche knuffige tiere frisst und — das allerschlimmste — sogar immer wieder mal einen rechner unbenutzbar macht, sondern weil es im gegensatz zum versprechen von onkel reklameheini (und seinem stinkenden bruder von jornalisten) auch den kompjuter objektiv unsicherer macht.

(Was ich hinter vorgehaltener hand übrigens schon lange sage. Die meisten menschen halten mich für einen ahnungslosen spinner. Sie glauben lieber werbern und jornalisten. Ich kann das nicht ändern. Die einzigen menschen, die nicht unter der dummheit leiden, sind die dummen. Alle anderen leiden unter der dummheit der dummen. Auch ich. Und dafür darf ich mich von dummen auch noch als dumm und unwissend bezeichnen lassen.)

Datenschleuder des tages

Clearview AI hat seine kundendatenbank „veröffentlicht“.

In der „veröffentlichten“ kundendatenbank sind auch die suchen dieser kunden enthalten. Diese kunden dürften zu einem erheblichen polizeien und geheimdienste sein.

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den überall völlig konsekwenzenlos versprochenen schutz eurer daten. Müsst ihr ganz feste dran glauben! Die liste wäxt und wäxt und wäxt.

Zur sicherheit im internetzbezahlverkehr

Guhgell und paypal hatten da ja so ein kleines problemchen mit ihrem neuen bezahldingens. Inzwischen scheint sich aufgeklärt zu haben, wie es dazu kommen konnte, dass paypal-konten mit angeflanschtem guhgell-päjh-konto von irgendwelchen honks geplündert werden konnten. Paypal hat in seinem streben nach sichererererer eine virtuelle kreditkarte mit sehr kleinem nummernkreis erzeugt, und damit wurde bezahlt, ohne dass es zu weiteren prüfungen kam. Das ging nach ungefähr folgendem algoritmus:

  1. Erzeuge sieben willkürliche ziffern.
  2. Deine neue kreditkarte ist 5356 8001 XXXX XXXY, wobei X in punkt eins erzeugt wurde und Y einfach nur eine leicht berechenbare prüfziffer ist.
  3. Das ablaufdatum, die kartenprüfnummer oder der inhaber der kreditkarte werden beim bezahlen nicht überprüft. Rund eine von 100 kreditkartennummern aus dem nummernkreis ist mit einem zufälligen paypal-konto verbunden.

Weia! 🤦

Wie gesagt: da ist im vorfelde offenbar niemanden aufgefallen, dass es ein problem ist, wenn jemand einfach nummern durchprobieren kann und jedes hunderste mal gibt es einen jackpot. 🎰

Da kann man ja auch gar nicht dran denken! Es geht ja nur um geld…

Nur, um das nochmal klarzustellen: es war nicht die bummsregierung oder ein vergleichbarer inkompetenzcluster, dem da ein massives, ausbeutbares problem nicht auffiel, sondern es waren guhgell und paypal.

So konzipiert man seine lösungen bei irgendwelchen klitschen, von denen ihr euch freiwillig totalüberwachen lasst und die euch voll hippe, moderne und smarte bezahlverfahren verkaufen wollen. Und alle machen mit, wie die schmeißfliegen, die sich auf den frisch geplatschten kuhfladen stürzen… 😦

Herr, lass hirn vom himmel regnen! Oh, die spannen ja alle ihre regenschirme auf.

Nachtrag-link auf caschys blog: Google Pay streicht PayPal als Zahlungsmittel bei einigen Nutzern

Bei guhgell wird gerade ganz schön scheiße geschaufelt, und zwar so hektisch, dass nicht einmal die PR-sprechpüppchen schon die zettel mit den texten bekommen haben. Deshalb gibt es keine anständige kommunikazjon.

Guhgell päjh des tages

Na, bezahlt hier jemand ausgerechnet mit guhgell päjh über paypal? Da gibts gerade ein paar ganz bedauerliche einzelfall-pannen mit betrügerischen abbuchungen:

Einige Anwender, die Google Pay über PayPal nutzen, machten am Wochenende eine komische Entdeckung. Da gab es wohl Abbuchungen aus den USA, die nicht von den Nutzern in Deutschland getätigt wurden […] Die Nutzer sagten aus, dass sie die 2FA aktiviert hatten, zudem auch nichts in den Login-Aktivitäten finden konnten

Wer es dort lieber liest: heise hat die meldung auch. Und dort klingt es so, als sei das ausgebeutete sicherheitsproblem bei paypal schon seit einem verdammten scheißjahr bekannt, aber kompjutersicherheit kostet ja nur geld, ohne zusätzlichen umsatz zu generieren, und deshalb wurde nix unternommen. Für mich klingt das nicht plausibel, denn eine allgemeine paypal-lücke würde nicht nur bei nutzern von guhgell päjh ausgenutzt, sondern allgemein bei paypal-nutzern. Aus meiner sicht deutet alles darauf hin, dass guhgell hier etwas gründlich verkackt hat.

Müsst ihr alle schön zwei-faktor-autentifizierung mit euren scheißwischofonen machen und jedem honkmeister aus dem internetz eure telefonnummer geben, dann wird das alles viel viel viel sicherer und nix kann mehr passieren! Müsst ihr feste dran glauben, aber ganz feste! Der schleichwerbende fachjornalist hats schließlich gesagt, der flachjornalist hats wiederholt und der werber lobt diese „sicherheit“ auch in den allerhöchsten tönen! Da kann nix, ich wiederhole: nix bei passieren!!!elf!!1!1!! Schon gar nicht, wenns um so etwas unwichtiges wie geld geht!!!!!hundertelf!1! 💸

Zusätzlich gilt: je unverständlicher und undurchschauer das ganze verfahren ist, und je mehr unternehmen daran beteiligt sind, desto besser! Und jeder, der euch warnt und so sprüche wie „komplexität ist das gegenteil von zuverlässigkeit und sicherheit“ in den mund nimmt, ist ein rückständiger, ahnungsloser spinner, der die ganze welt ins mittelalter zurückschubsen möchte! Müsst ihr alles ganz feste glauben! Und ihr müsst natürlich noch glauben, dass es wahr wird, weil ihr es glaubt! Brave schäfchen! So, und jetzt zur schur und zur metzgerei… 🐑

Nicht daten sind der rohstoff der zukunft. Dummheit ists.

Übrigens: mit bargeld wäre das nicht passiert. Bargeld lacht, wenn die smarttrottel über ihre laufereien und verluste flennen. Und außerdem kann guhgell da nicht seine STASI-akten erweitern. 💶

Meikrosoft des tages

Emotet kommt fast immer über MS-Office-Dateien ins Netz. Dabei werden dann kleine Progrämmchen ausgeführt, um den Rechner zu infizieren – sogenannte Makros, die in den .doc-Dateien enthalten sind. Zum Glück kann man das abschalten, um sich beziehungsweise seine Firma zu schützen. Doch genau diesen Schutz vor bösartigen Makros hat Microsoft in den bei Firmen beliebten Business-Versionen von Office 365 offenbar mutwillig verkrüppelt

Ach, deshalb hatte ich in den letzten wochen so viele bewerbungen. Meikrosoft — die klitsche, die den typen einer datei vorm benutzer versteckt, die klitsche, die über active X beliebigen binärkohd im webbrauser ausführen lassen wollte, die klitsche, die einen voll aufgeplusterten webbrauser für die lokale dateiverwaltung angemessen fand, egal, was es da für weitere „nutzungsmöglichkeiten“ gibt — hat also mal wieder ganz eigene vorstellungen von kompjutersicherheit. Zum beispiel, dass man für kompjutersicherheit noch pinkepinke etwas geld draufzahlen soll.

Damit verdichtet sich der Eindruck, dass es Microsoft vor allem um eines geht: Den Kunden die teuren Enterprise-Lizenzen aufzuzwingen

Die können sie ja auch haben, diese ideen bei meikrosoft, die sind ja nicht für den schaden haftbar, den sie damit anrichten. Vielen dank, liebe meikrosoft-nutzer, dass sie sich für den neuesten heißen scheiß mit klautanbindung™ von meikrosoft entschieden haben, und viel spaß noch mit ihren viren und trojanern, die ihr betriebsnetzwerk zum tummelplatz für verbrecher machen! Und jetzt kaufen sie schon die teuren lizenzen! Können sie ja auch von der steuer absetzen.

Übrigens gibt es alternativen zur softwäjhr von meikrosoft. Ach, ihr seid so abhängig davon geworden, dass ihr erpressbar geworden seid? So ein jammer aber auch! Wenn euch doch nur vorher jemand gewarnt hätte! Ist schon scheiße, wenn man dumm ist…

Trojaner des tages

Über 500 Erweiterungen des Browsers Chrome schöpften seit mindestens einem Jahr heimlich die Daten von Millionen Nutzern ab, wie der Technologie-Blog Ars Technica meldet. Herausgefunden haben das die Sicherheitsforscher von Duo Security […] Mehr als 500 Browsererweiterungen haben heimlich private Informationen auf von Angreifern kontrollierte Server hochgeladen. Benutzer luden sie millionenfach aus dem Chrome Web Store von Google herunter. Die Firma Duo Security rund um die Sicherheitsforscherin Jamila Kayak entdeckte die Malware-Kampagne. In einem gerade veröffentlichten Bericht heißt es, dass die unbekannten Kriminellen, Nutzer auf Malware– oder Phishing-Websites führten. Sie leiteten User über einen Affiliate-Link zu seriösen Websites von Unternehmen wie Amazon, Macys, Dell oder BestBuy weiter. In einigen Fällen waren die Ziele der Links aber Websites, die Malware enthielten oder für Phishing-Kampagnen eingerichtet wurden […] Duo Security stellte zudem fest, dass die Kampagne mindestens seit Januar 2019 läuft […] möglicherweise über einen weitaus längeren Zeitraum aktiv – schätzungsweise sogar schon seit dem Jahr 2017

Ich wünsche euch allen auch weiterhin viel spaß beim festen, festen glauben daran, dass softwäjhr aus irgendwelchen „äppstohrs“ großer unternehmen viel sicherer und vertrauenswürdiger als bei einem normalen, nicht zu zentralen datensammlungen beitragenden daunlohd aus dem internet ist! Müsst ihr fest dran glauben! Guhgell sagt es, äppel sagt es, meikrosoft sagt es und der ahnungslose idjot von jornalist stimmt zu, also muss es stimmen. Und jetzt bitte weitergehen, hier gibt es nichts zu sehen, bitte zügig weitergehen… 🏃

Mit wie viel „sorgfalt“ die so angebotene softwäjhr überprüft wird, sieht man immer wieder. Ein „äppstohr“ macht nix sicherer. Er eröffnet nur eine geschäfts- und überwachungsmöglichkeit für einen mittler, den wir im internetzzeitalter gar nicht mehr benötigen würden, weil wir auch direkt die kwelle nehmen könnten.

Aber hej, wer sich einen webbrauser oder ein händibetrübssystem ausgerechnet von der größten privatwirtschaftlichen überwachungsfirma der welt, von scheißguhgell, andrehen lässt, ist eh völlig schmerzbefreit. Der stört sich auch an ein paar trojanern von verbrechern nicht. Ist doch alles kwatschegal. So ein gehirn wird erst dann richtig gut, wenn man es auch benutzt.

Schlangenöl des tages

Heise erklärt euch heute mal versehentlich, dass schon lange bekannt ist, dass dieses ganze antivirus-schlangenöl nicht funkzjoniert.

Ach! 🤫

Auch weiterhin viel spaß mit der gefühlten „sicherheit“.

Wer mehr kompjutersicherheit haben möchte (oder haben muss) als die sicherheit, die man auch durch das aufkleben eines heiligenbildes auf dem kompjutergehäuse hinbekäme, benutzt einen werbeblocker und einen skriptblocker für seinen webbrauser und ist außerordentlich vorsichtig mit jeder nicht digital signierten mäjhl, die nicht vorher über einen anderen kanal abgesprochen wurde — denn die haupteinfallstore sind immer noch mäjhl (sowohl anhänge als auch links), werbebanner mit schadsoftwäjhr und auf irgendwelchen webseits eingeschleuste javascript-installazjonsprogramme für schadsoftwäjhr.

Warum ich von digitaler signatur von mäjhl spreche? Weil der absender einer mäjhl beliebig gefälscht sein kann. Dafür braucht man kein häcker zu sein. Das kann jedes aufgeweckte kind. Man kann da einfach eintragen, was immer man will. Genau so, wie man auf einen briefumschlag jeden beliebigen absender draufschreiben kann. Der absender ändert nichts am transport des briefes, und er ändert nichts am transport der mäjhl. Die mäjhl „vom scheff“, „von der freundin“ oder „vom kunden“ kann genau so gut von einem kriminellen irgendwo auf der welt sein, der vor einem gezielten angriff mal ein bisschen in den ganzen offenen stasiakten zum selberschreiben (linkedin, fratzenbuch, etc.) rescherschiert hat, um seinen angriff zu personalisieren. So viel aufwand lohnt sich nicht? Das durchschnittseinkommen in indien — also noch nicht einmal so richtig „dritte welt“ — liegt bei rd. 120 US-dollar im monat, und ein erheblicher anteil der bevölkerung verdient wesentlich weniger. Ein einziger erfolgreich platzierter erpressungstrojaner, der zur übergabe von 500 dollar führt, ist in indien ein äkwivalent für vier monate durchschnittlich bezahlte scheißarbeit. Von richtig armen ländern will ich gar nicht erst anfangen. Dafür lohnen sich auch ein paar stunden aufwand. Digitale signatur stellt, wenn man die signatur auch überprüft, sicher, dass der absender im besitz des privaten schlüssels ist. Das ist im alltag ausreichend sicher. Ansonsten gilt: dettelbach ist überall.

Und natürlich immer alle softwäjhr so aktuell wie möglich halten, denn ein beseitigter fehler kann nicht mehr von kriminellen ausgenutzt werden! Das gilt natürlich besonders für den webbrauser und die mäjhlsoftwäjhr.

Mit diesem bisschen vorsicht braucht ihr kein schlangenöl, wenn ihr euch nicht gerade irgendwelche daungelohdete softwäjhr installiert. Ihr werdet euch übrigens wundern, wie viel schneller ein kompjuter ohne dieses schlangenöl ist. 😉

Internetz der dinge des tages

Die smarten Hue-Lampen von Philips sind verwundbar und könnten Angreifern den Zugang zu Netzwerken ebnen

Auch weiterhin viel spaß mit den ganzen „smarten“ lösungen ohne problem! Wenn mir im jahr 2000 einer erzählt hätte, dass lampen in zwanzig jahren regelmäßig eingespielte sicherheitsaktualisierungen brauchen, hätte ich mich vermutlich entweder aufgehängt oder völlig von der technischen zivilisazjon abgewendet. Aber jetzt habe ich den salat und bin von idjoten umgeben, die sich ihre wahnzimmer mit jedem nur erdenklichen techniktinnef zurümpeln, einschließlich abhörmikrofonen. Meine fresse! Wir können alle so froh darüber sein, dass dieser gefährliche cyber-cyber-terrorismus gar nicht zu existieren scheint und dass kriminelle immer noch bessere einfallstore als irgendwelchen techniktinnef haben.

Neues vom datenschutz

Ein zentraler Befund ist, dass im Durchschnitt 79 Prozent der Unternehmen ihren Mitarbeitern auch vom privaten Endgerät den Zugriff auf die eingesetzten Cloud-Dienste erlauben. Gleichzeitig setzen 52 Prozent der Befragten Cloud-Dienste ein, die in der Vergangenheit bereits kompromittiert wurden. Und eine von vier Firmen gibt an, dass sensible Daten bereits auf Endgeräte außerhalb ihrer Kontrolle heruntergeladen wurden

Wenn doch nur vorher jemand vor der klaut gewarnt hätte!!!!! 🤮🤦

Ist übrigens toll, wie die schleichwerbe-schmierfinken von heise onlein jetzt das recht unübliche wort „public cloud“ benutzen, als ob es irgendwo eine „private cloud“ gäbe, die nur übern eigenen kopf abregnen kann. Wenn man etwas irgendwo auf den kompjutern irgendwelcher anderer leute oder zugänglich im internetz ablegt, ist da nix geheimes und nix privates dran, sondern ganz im gegenteil; und wenn man einen LDAP-sörver und einen dateisörver im firmennetz hinter der (hoffentlich dichten) firewall rumstehen hat, ist das nix mehr mit „klaut“, sondern gutes altes netzwerken. Das faseln von der „public cloud“ ist nix weiter als eine reklame-nebelgranate, die vermutlich demnächst eine „private“ oder gar „secure cloud“ verkaufen will. Und scheißheise transportiert für eine faustvoll banknoten gern so eine nebelsprache und verachtet damit die intelligenz der leser.

Wo sind eigentlich die empfindlichen bußgelder nach DSGVO für die klitschen, die irgendwelche daten einfach ins internetz abladen? Das ist doch mindestens fahrlässig.

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den überall lufteleicht und konsekwenzenlos versprochenen schutz eurer persönlichen daten, die ihr überall an- und abgebt! Die liste wäxt und wäxt und wäxt.

„Cyber cyber“ des tages

Fefe hat mal ein paar recht deutliche worte gefunden, und nein, die gelten nicht nur beim dunkelkammergericht berlin, sondern in der gesamten verwaltung in der BRD. (Außer vielleicht in münchen, wenn da LIMUX noch irgendwo im einsatz ist, aber das ändert sich ja demnächst.)