Security des tages

Zero click remote code execution! Diesmal im Bluetooth-Stack von Linux

Hej, jetzt gebt euren kompjutern mal schön die sicherheitsaktualisierungen. Oh, es gibt gar keine für eure wischofone? Tja, dann kauft halt neue! Ist schon scheiße, wenn man enteignet und gegängelt wird und nicht mehr das recht eingeräumt bekommt, auf seinem gekauften und mit strom versorgten kompjuter diejenige softwäjhr auszuführen, die man für richtig hält. So schade, dass euch keiner vorher gewarnt hat…

Was hatten wir denn lange nicht mehr?

Richtig, dass man einem aktuellen windohs ein netzwerkpaket schickt — im grunde ein ping — und windohs macht einen blauen bildschirm. Funkzjoniert natürlich auch mit einem windohs-sörver. Bonus: das ist ein buffer-überlauf. Man muss windohs gar nicht abstürzen lassen, sondern könnte auch beliebigen kohd übers netzwerk ausführen. 💀

Gut, das ist im moment eine teoretische möglichkeit. Alles ist eine teoretische möglichkeit, bevor es auf einmal ein praktischer und zerstörerischer angriff ist. häcker häcken. Auch kriminelle häcker häcken.

Spielt die verdammten aktualisierungen ein! Der näxste wurm kommt bestimmt!

Fefe des tages

Auch Fefe hat ein paar wörtchen zu diesem „schadsoftwäjhrangriff“ auf die „software AG“ gefunden:

Ja aber echt mal! Dieser ganze Security-Scheiß hält doch nur auf bei den ganzen Innovationen, für die die Software AG berühmt ist! All die hochinnovativen Produkte, die die so haben! Ihr wisst schon! Sowas wie… äh… hey was machen die eigentlich? Früher haben die mal eine Datenbank namens Adabas, die dann eines Tages SAP kaufte, um das Überleben der Software zu sichern. Mit der Kohle hat sich die Software AG dann umorientiert und macht jetzt „Enterprise Integration“ und „Internet of Things“. Genau die Felder, auf denen man Security offensichtlich nicht braucht. Das bremst nur.

Wie man seinen kompjuter vor den aktuellsten angriffsformen der kriminellen wirksam schützt?

Nein, nicht mit einem schlangenöl, sondern indem man niemals mäjhlanhänge öffnet, die man nicht vorher über einen anderen kanal als mäjhl miteinander abgesprochen hat¹ und niemals auf irgendwelche links in einer mäjhl klicken, denn sonst ist dettelbach mal wieder überall. Ach ja, den webbrauser nur mit einem wirksamen adblocker und javascriptblocker nutzen. So einfach geht kompjutersicherheit! Ich weiß gar nicht, warum sich die menschen damit so schwer tun…

¹Wenn man digitale signaturen benutzt und sicherstellen kann, dass die mäjhl und der anhang von einem vertrauenswürdigen menschen kommen, kann man natürlich auch aufmachen. Aber das ist den meisten menschen zu kompliziert. Dafür muss man ja klicken können.

Aber linux ist doch sicher…

Amnesty entdeckt bislang unbekannte FinSpy-Spionagesoftware für Linux und macOS

Ein dank an die unrechtsstaaten, die staatstrojaner von solchen windigen cyberverbrecherklitschen wie finfisher kaufen, statt mit aller kraft und möglichkeit darauf hinzuwirken, dass kompjuter so sicher und vertrauenswürdig wie möglich sind, und die damit letztlich nur die internetzkriminalität fördern. Ein dank für nichts. Arschlöcher! 🖕

Ja, auch du bist gemeint, du keines stinkendes mieses arschloch von schreibtischtäter, der du bei diesem unrecht einfach mitmachst. Geh sterben, du feind!

Gruß auch an die onleindurchsuchungsfantasien in BRD-innenministerjen.

Erpressungstrojaner des tages

Gut, ein gecräcktes auto ist es noch nicht, aber so eine gecräckte kaffeemaschine kann vielen menschen auch den tag verderben:

Ein aktuelles Beispiel dafür ist der Proof of Concept den Martin Hron vom Sicherheitssoftwarehersteller Avast in einem Post beschreibt. Ihm ist es gelungen eine Kaffeemaschine des Herstellers Smarter durch Manipulation des Firmware Updates über WLAN umzuprogrammieren. Ursprünglich wollte er den ’smarten‘ Kaffeeautomaten zum Crypto Currency Mining bewegen, was jedoch an der zu leistungsschwachen CPU scheiterte. Schliesslich begnügte er sich damit sämtliche Funktionen der Maschine ausser Kraft zu setzen und stattdessen eine Erpressermeldung auf dem Display zu zeigen, die (über eine Webseite) zur Zahlung eines Lösegelds auffordert, bevor der Apparat wieder Kaffee brauen würde

Hach, freut ihr euch auch alle schon so auf die „selbstfahrenden“ autos?

Kryptogeld des tages

Unbekannte haben die Kryptogeldbörse Kucoin aus Singapur bestehlen können und dabei digitale Münzen und Token im Millionenwert erbeutet […] Genaue Angaben zum Schaden machte Kucoin nicht direkt. Allerdings lassen die von der Börse veröffentlichten Adressen, auf die die Angreifer Gelder transferiert haben sollen, den Schluss auf reiche Beute zu – umgerechnet im Wert von deutlich mehr als 150 Millionen Euro

Der sauberste bankraub der welt: kryptogeldbörsen ausräumen. Nein, hier wurde nicht das kryptogeld „gehäckt“, sondern die mutmaßlich unsichere webseit eines dienstleisters gecräckt, und das vermutlich in einer monatelang vorbereiteten akzjon. Wo das geld liegt, wird eben immer kriminelle energie freigesetzt. Wie man an jedem bankraub sehen kann…

Datenschleuder des tages

Benutzt hier jemand die äpp für die meikrosoft-suchmaschine „bing“ auf seinem wischofon? Keine gute idee, denn da ist nicht nur überwachung drin wie in den anderen scheißäpps auch, da ist auch eine ordentliche datenschleuderei mit veröffentlichung von logdateien drin, und zwar so heftig, dass sich die „bing“-nutzung oft mit gewissem aufwand einer person zuordnen lässt:

  • Suchanfragen inkl. Zeitstempel
  • Standortinformationen (genauer Standort im Umkreis auf 500m, falls der Zugriff auf den Standort via Berechtigungen erlaubt ist)
  • Gerätemodell
  • Betriebssystem
  • Drei eindeutige Identifier
    • ADID: Eindeutige ID für das Microsoft-Konto
    • Geräte-ID
    • Ein Geräte-Hash (Device Hash)
  • Liste der URLs, die die Benutzer aus den Suchergebnissen angeklickt haben
  • […]

Ehrlich gesagt ist mein mitleid mit leuten, die eine äpp für eine web-suchmaschine benutzen, statt einfach ein lesezeichen im webbrauser zu verwenden, so unwesentlich über den nullpunkt, dass man schon ein mikroskop braucht, um es überhaupt zu erkennen.

Seit es diese scheißwischofone gibt, bedeutet das wort „äpp“ nur noch eines: anwendung mit heimlich verbauter, trojanischer überwachungsfunkzjon. Und die leute finden es einfach nur noch geil und können gar nicht mehr damit aufhören, diese ganze spitzelscheiße durch ihr ganzes leben zu tragen. Auf eigene kosten, versteht sich. An diesen leuten sind die freiheitsrechte einfach nur noch verschwendet, und sie werden im kommenden scheißfaschismus gar nichts vermissen… 😦

Regt euch doch nicht so auf!

Das verrecken wegen eines softwäjhrfehlers ist doch marktüblich

Zu schade, dass dafür keiner wegen fahrlässiger tötung in den knast wandern kann, denn der knast ist schon voll mit cannabisrauchern, hartz-IV-contäjhnerdieben und schwarzfahrern.

Oh, ich sehe gerade, dass wegen fahrlässiger tötung ermittelt wird. Na, da bin ich mal gespannt, ob ein weißkittelmörder aus dieser scheißklinik in einem so klaren fall verurteilt wird. Oder wird wieder nur gegen die pösen russischen und/oder chinesischen häcker ermittelt, und die täter aus der BRD bleiben ungeschoren? Denn genau dort hat jemand die entscheidung getroffen, mit einer längst bekannten und längst mit öffentlich verfügbarem fix gefixten sicherheitslücke einfach weiterzumachen, und nirgends anders. Ohne jedes notfallkonzept. Bei bekanntem problem. Eigentlich gibt es dafür nur ein passendes wort, aber eben nicht im sinne des strafrechts: MÖRDER!

Was kommt als näxstes? Wird auf einem öffentlichen krankenhausklo etwas versteckt ein roter knopf angebracht, mit dem man das ganze krankenhaus abschalten kann — und dann nicht gegen die blutsaufenden vollidjoten ermittelt, die diesen knopf angebracht haben, sondern gegen die pösen häcker… ähm… irgendwelche unbekannte, die ihn gedrückt haben? Tolles recht! Da müsst ihr euch jetzt ganz toll von geschützt fühlen! Vor allem, wenn ihr mal in ein krankenhaus müsst.

Cyber cyber des tages

Die universitätsklinik düsseldorf ist kaputtgecybert worden.

Es ist durchaus möglich, dass in den näxsten tagen mehr menschen an gecyberten krankenhäusern als an corona vorzeitig verrecken werden. Und die „konsekwenz“ daraus wird sein, dass wir weiterhin alle mit mund-nasen-wärmtüchern rumlaufen und im ausnahmezustand leben, aber weiterhin die gesamte verwaltung und alle krankenhäuser mit windoof, autluck und räjdioäktief deirecktohry laufen und von jedem dahergelaufenen spielkind oder kriminellen übernommen werden können — bestenfalls kommt ein bisschen antivirus-schlangenöl drauf, das noch wirkungsloser als ein mund-nasen-wärmtuch gegen corona ist.

Wenn nicht gar mit windohs 95 gearbeitet wird. 😦

Benutzt hier jemand betrübssysteme von äppel?

Angreifer können iPhone-, iPad- und Mac-Nutzer dazu bringen, ungewollt Daten preiszugeben: Apples Implementierung der Web Share API erlaube es nämlich nicht nur, Web-Inhalte über Apps zu teilen, sondern unterstütze auch das URL-Schema file://, das es ermöglicht, eine lokal auf dem Computer liegenden Datei anzuhängen, warnt der Sicherheitsforscher Pawel Wylecial. Das ermöglicht es einer manipulierten Webseite, bestimmte lokale Daten zu extrahieren, wenn der Nutzer beispielsweise ein harmloses Katzenbild teilen will, wie zwei von Wylecial als Proof of Concept bereitgestellte Webseiten demonstrieren. In einem Fall wird beim Teilen des Fotos die Datei /etc/passwd angehängt, im zweiten Fall die gesamte Browser-Historie von Safari auf iPhone und iPad

Wie, ihr fühlt euch sicher, weil ihr ja gar nicht diesen „safari“ von äppel nehmt?

Der Fehler liegt offenbar in Apples Browser-Engine WebKit, die zwangsweise alle Browser unter iOS und iPadOS als Basis nutzen müssen: Auf iPhone und iPad ist also nicht nur Apples Safari anfällig, sondern beispielsweise auch Google Chrome

Tja, so ist das eben mit softwäjhr, die unter einem gängelbetrübssystem eines gängelunternehmens läuft — da kann nicht einfach von programmierern der gleiche kohd verwendet werden, den sie in anderen betrübssystemen zum rendern einer webseite benutzen, da muss zwingend der internetexplor… ähm… die entsprechende äpple-komponente benutzt werden. Es ist schon doof, wenn man doof ist, sich so etwas gefallen lässt und für diese nach scheiße stinkende äppelscheiße auch noch die mondpreise ausgibt, die äppel seinen kirchenmitgliedern dafür (und in letzter zeit für immer minderwertigere mitgelieferte hardwäjhr) abknöpft. Und diese idjoten finden das auch noch geil, weil so ein geiler apfel drauf ist, mit dem man prahlen kann… 😦

Macht aber nix, äppel will das problem ja ganx fixefix beseitigen: im frühjahr 2021. 🤦

Smartding des tages

Mitmensch doof in seiner orwellness so: „Alexa, gib jedem häckkind auf dieser welt zugriff auf alle meine tonaufzeichnungen, meine persönlichen daten und meine bankverbindung„.

Die Schwachstelle besteht in über 200 Millionen weltweit ausgelieferten Geräten

Wenn doch nur vorher jemand gewarnt hätte!!!elf!1!

Übrigens: scheißamazon (und damit mittelbar die scheißgeheimdienste und die polizeien der USA) hat diesen zugriff schon immer gehabt, und ihr hattet kein problem damit. Nur jetzt, wo eure von euch höchstbekwem und voll „smart“ selbst verfasste STASI-akte mal ganz öffentlich werden könnte, bekommt vielleicht der eine oder andere ein problem. Die konzerne lieben euch doch alle, sie lieben doch!

Fratzenbuch des tages

Wie ihr seht, bin ich gerade mal in den Einstellungen meines Facebook-Profils gelandet. Und mehr so nebenbei und aus reinem Interesse habe ich mal unter “Sicherheit und Logins” geguckt, was da los ist. Was ich da eingekreist habe, zeigt das komplette Desaster: Ich besitze keinen Mac und war noch nie Kasachstan. Warum zum Geier bin ich dann darüber angemeldet? Sieht so die Facebook-Sicherheit aus? Ich habe da Fragen

Na, ist hier jemand beim fratzenbuch? Oder nutzt eine der vielen anderen angebote vom fratzenbuch, etwa dieses wanzäpp? Das ist doch eine gute gelegenheit, noch einmal nachzuschauen.

Cyberschlagzeile des tages

Bundesministeriums-Website ermöglichte Spamming und Phishing

[…] Spammer und Phisher konnten seit 2017 über den bei einem externen Dienstleister gehosteten Webserver des Ministeriums eigene Inhalte in E-Mails einschleusen und an beliebige Opfer verschicken lassen. Die Ursache dafür war, dass Benutzereingaben ungeprüft in die Mails zur Verifizierung der E-Mail-Adresse übernommen wurden […] Ihre Botschaft und einen Link zu einer dubiosen Potenzmittel-Werbeseite hatten die Spammer dort untergebracht, wo normalerweise die persönliche Anrede steht […] Die Web-Entwickler hatten offenkundig vergessen, die Namenseingabe in irgendeiner Weise zu überprüfen: Wir konnten keine Längenbegrenzung feststellen, selbst mehrere Kilobyte Text wurden klaglos verarbeitet. Es ließen sich sogar HTML-Tags einschleusen, da es keine Konvertierung irgendwelcher Zeichen abgesehen von Zeilenumbrüchen gab

Bwahahahahahaha! 🤣

„Die webentwickler hatten offenkundig vergessen“…

Bwahahahahahaha! 🤣

Hej, bummsregierung. Kennt ihr eigentlich die englische redensart „if you pay a peanut, you’ll get a monkey„? Da solltet ihr euch mal dran erinnern, wenn ihr solche aufträge ausschreibt! Und hej, HTML-mäjhl? Und das habt ihr abgenommen? Warum zum henker? Ach ja, weil da noch so ein schönes logo des bummsministerjums mit bummsadler und bummsflaggenfarben mit reinpasst, damit sich auch jeder dran gewöhnt, mäjhls mit grafik drin für echt zu halten. Na, dann macht die reichsamsel der BRD jetzt halt mal reklame für pimmelpillen. Ich finde, das passt!

Diese art von spämm ist zurzeit ganz generell eine ziemliche plage, wenn ich auch nicht jeden tag ein beispiel im spämmblog verblogge, weil es bei meinem zeug eigentlich immer um däjhting-fleischmärkte mit ganz vielen „madchen“ geht.

Werter herr bummsdatenschutzbeauftragter, übernehmen sie mal! Zu schade, dass verantwortliche in regierungen nicht einmal bußgelder nach DSGVO aufgebrummt kriegen können. 😦

Euch allen viel spaß beim festen glauben daran, dass alle eure daten beim staat in sicheren händen sind.

Security des tages

Jedes Jahr präsentieren auf der Hackerkonferenz Defcon Experten zahllose neue Sicherheitslücken. Der von Rik van Duijn und Wesley Neelen jetzt gehaltene Vortrag ist in vielen Rathäusern Europas mit großem Interesse per Videokonferenz verfolgt worden. Was dort zu sehen war, macht amtlichen Verkehrsplanern Sorge: Wie können wir unsere Verkehrsleitsysteme vor Ampel-Hacking absichern?

Das kann man weltweit von jedem Ort aus machen, man braucht nur einen Internet-Anschluss

[Archivversjon]

Diese eine und sehr einfache frage beantworte ich dem scheiß-ZDF und den verkehrtplanern in den „vielen rathäusern europas“ mit dem allergrößten vergnügen: INDEM IHR DIE VERKEHRSSTEUERUNG NICHT AN DAS SCHEIẞ-INTERNET HÄNGT, IHR VOLLIDJOTEN! UND SCHON GAR NICHT MIT IRGENDWELCHEN VERKEHRSLEITSYSTEMSTEUERNDEN DRECKSDATEN IN EINER SCHEIẞ-KLAUT!

🎃💩💣🤡🎳🤦‍♂️🤦‍♀️🤦🏿‍♂️🤦🏿‍♀️🚗🚛💥🤬

Das hauptproblem ist nicht die miese autentifizierung, wie es der ahnungslose onkel scheißjornalist beim ZDF erzählt, das hauptproblem ist, dass man solche infrastruktur einfach ans internetz hängt. Das ist dumm, unnötig, gefährlich und grob fahrlässig.

Meine fresse! Cyberwehr, bitte sofort übernehmen und die gefährlichen irren gleich mal standrechtlich erschießen, die mit ihrer selbstverschuldeten scheißdummheit eine einladung für alle destruktiven karatere und spielkinder dieser welt ausgesprochen haben! Wer solche knallköppe in seiner verwaltung hat, der braucht gar keine russen und chinesen mehr, die ein bisschen rumcybern. Aber zielt aufs herz, kameraden, zielt aufs herz. Wenn ihr auf den kopf zielt, könntet ihr das ziel verfehlen.

Aber hej, ich kriege gerade eine vorstellung, warum einige ampeln in hannover schalten, als hätte sie ein hirnloser programmiert.

Überwachung des tages

Anomaly Six:
Geheime Tracking-Software für US-Behörden in vielen Apps

Das im US-Bundesstaat Virginia sitzende Unternehmen Anomaly Six kann heimlich Standortdaten von hunderten Millionen Mobilfunknutzern weltweit erheben und verkauft darauf basierende Bewegungsprofile an Kunden wie US-Behörden und Firmen. Die sensiblen persönlichen Informationen stammten von über 500 Apps, schreibt das Wall Street Journal (WSJ). Der im militärisch-industriellen Komplex verortete Betrieb habe dazu ein eigenes Software Development Kit (SDK) in einige der Mobilanwendungen integrieren können

Und immer wieder zeigt es sich: geräte, die als abhör- und träckingwanzen für die kompjuteranalfabeten des 21. jahrhunderts konzipiert wurden, werden eben auch als abhör- und träckingwanzen benutzt. Erich Mielke hätte euch alle so sehr geliebt! Die freiheits- und menschenrechte sind an euch einfach nur verschwendet.

Und bitte schön weiter daran glauben, dass die ganzen cyber-cyber-bedrohungen von china und russland ausgehen, während die scheißgeheimdienste der scheiß-USA euch am liebsten noch analsonden einpflanzen würden, um ihre datensammlung zu vervollständigen! Der stinkende onkel jornalist in presse und glotze hat euch ja jeden verdammten scheißtag erzählt, dass die chinesen und die russen ganz schlimme finger sind. Müsst ihr ganz fest dran glauben! Der hat ja so einen schönen anzug an, und so eine seriöse krawatte…