Häcker häcken

Heute: machen wir mal eine scheibe toast aus „uber“. 🍞️

Der US-Fahrdienstvermittler Uber ist angeblich gehackt worden, ein Sicherheitsforscher sagte der New York Times, das Unternehmen sei „komplett kompromittiert“. Der Unbekannte habe mit Screenshots belegt, Zugang zu vielen internen Systemen des US-Unternehmens, beispielsweise zu den E-Mails, zum Cloudspeicher und zu den Quellcode-Repositories zu haben. Angestellte seien angewiesen worden, interne Kommunikationskanäle zu meiden, teilweise sei Software auch gar nicht mehr zugänglich

Das war doch bestimmt ein elitärer elitehäcker, wenn nicht gar ein russe, oder? Aber nein doch:

Inzwischen hat sich laut New York Times ein 18-Jähriger gemeldet und zu der Tat bekannt. Uber habe mangelhafte Sicherheitsvorkehrungen getroffen, an Zugangsdaten sei er über Social Engineering gekommen

„Jugend forscht“ forscht immer forscher. 😁️

Schon schade, dass so eine klitsche wie „uber“, deren einziges geschäftsmodell eine digitale infrastruktur und ein haufen daten ist, mit der aufgabe überfordert war, für die unternehmensinterne kommunikazjon durchgehend digitale signaturen zu benutzen (das kostet kein geld und die dafür benötigte softwäjhr ist seit dreißig jahren fertig und frei), so dass jedes dahergelaufene häckkind sich mal eben als jemand anders ausgeben kann und dann auch noch einen vollzugriff bekommt, so dass die klitsche schließlich vor den rauchenden trümmern ihrer geschäftlichen infrastruktur steht. Ist schon scheiße, wenn man immer auf ditschitäll macht, aber niemanden hat, der sich damit auskennt. Ich hoffe, dass diese klitsche eine so innige beziehung mit dem insolvenzverwalter eingeht, dass sie sich davon nie wieder erholt! Nicht mal teilweise! Der menschheit zuliebe. Ich finde es schade, dass der forsche sicherheitsforscher nicht einfach stillschweigend eine vollständige löschung aller daten vorbereitet hat, die einfach unerwartet zuschlägt. Hach, ich hätte so gern gesungen:

🎶️ Yesterday
all those backups seems a waste of pay.
Now the database is gone away.
Oh, yesterday came suddenly. 🎶️🙂️

Und nicht nur ein gelungener häck ist gelungen, diese forsch forschende jugend in form eines achtzehnjährigen, der nicht die größte lebenserfahrung haben dürfte, weiß auch…

In einer intern bei Uber verschickten Nachricht habe er sich nicht nur zu dem Hack bekannt, sondern auch eine höhere Bezahlung für die Uber-Fahrer und -Fahrerinnen gefordert

…wo die wirklichen probleme im digitalfeudalismus des 21. jahrhunderts liegen. Was es bei „uber“ nicht gibt, sind mindestlohn, sozjalabgaben, krankenversicherung, urlaub oder krankengeld. Da gibt es leider nur die mänschesterkapitalistische kwasisklaverei des 19. jahrhunderts kombiniert mit der digitaltechnik des 21. jahrhunderts. Aber wenns internetz im händi ist, ists gehirn nun mal im arsch, und alle finden solche zustände geil. So schade, dass der monströse digitalfeudalismus mit all seiner ausbeutung, überwachung, gängelung, entrechtung und gutsherrenhaltung legal und beinahe überall auf der welt p’litisch gewünscht ist, und der kleine, harmlose häck wohl für ein paar jahre oder jahrzehnte im knast enden wird.

Ich wünsche auch weiterhin viel spaß und orwellness beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos zugesagten schutz eurer persönlichen daten! Ditschitäll first, bedauern second, hochdruck third. Die liste wäxt und wäxt und wäxt.

S/M des tages

Angreifer hätten die Schwachstelle ausnutzen können, um ein Konto zu kapern, ohne dass die Nutzer davon wussten, wenn sie einfach auf einen speziell gestalteten Link geklickt hätten. Angreifer hätten dann auf die TikTok-Profile und sensible Informationen der Nutzer zugreifen und diese verändern können, indem sie beispielsweise private Videos veröffentlichen, Nachrichten versenden und Videos im Namen der Nutzer hochladen

Na, wenn hinterher ein paar leute mehr wissen, dass es eine sehr dumme idee ist, in einer mäjhl auf „klick mal hier, um unsere fotos zu sehen“ oder etwas ähnliches zu klicken, hat es wenigstens ein gutes…

Javascript des tages

Antworten Opfer auf eine mit bestimmten HTML-Attributen und -Elementen versehene Mail, könnten Angreifer JavaScript-Code im Kontext des Dokuments zum Verfassen der Nachricht auszuführen

Schon HTML-mäjhl ist schon eine idjotische idee aus der lodernden security-hölle, die exakt null vorteile hat, und man sollte den menschen, der diese idjotische idee erbrütet hat, einfach zu tode ohrfeigen. Aber niemand — ich wiederhole: niemand — hat jemals darum gebeten, dass mäjhls kohd enthalten können, der beim anschauen der mäjhl oder beim klicken auf einen link ausgeführt wird. Trotzdem macht das jedes verdammte mäjhlprogramm. Obwohl es ein albtraum für die kompjutersicherheit ist.

Datenschleuder des tages

Entrust [Archivversion, link führt auf ein englischsprachiges forum, ein paar hintergründe und einen magnet-link gibts bei tarnkappe]. Ohne weitere worte.

Auch weiterhin ganz viel spaß und orwellness beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos versprochenen datenschutz, den nicht einmal irgendwelche klitschen hinkriegen, die gewerblichen kunden digitale sicherheit verkaufen. Die liste wäxt und wäxt und wäxt. Aber ihr habt ja alle nix zu verbergen.

Schlangenöl des tages

Das webbrauser-äddon avira browser safety ist eine überwachungswanze, die eure gesamte brausernutzung persönlich identifizierbar nach hause funkt. Oder, um es mit den werbelügnern von avira zu sagen:

Unsere Erweiterung sammelt keine Daten über Sie. #wedontsellyourdata

Auch weiterhin viel spaß mit security-schlangenöl aller art! Und vor allem: fühlt euch sicher! Denn etwas anderes als „gefühlte sicherheit“ kriegt ihr dabei nicht, nur vielleicht noch ein bisschen zusätzliche datensammelei und überwachung, später vielleicht sogar richtige schadsoftwäjhr.

Die wichtigsten security-äddons für einen webbrauser sind und bleiben ein javascript-blocker und ein wirksamer werbe-blocker.

Security des tages

„Bei den banken geht es um geld, die sind wohl etwas sorgfältiger und erschweren das abgreifen von daten“, denkt mitmensch gläubig. Nein, die sparda-bank baden-württemberg für ihre „SpardaSecureApp“ einfach eine neue domäjhn aufgemacht und mitten in der benutzung ablaufen lassen:

Bis Mitte Mai 2022 war im QR-Code eine URL mit den zur Freischaltung benötigten Daten als URL-Parameter hinterlegt. Die Domain (secure-app.de) befand sich Ende April (25.04.2022) allerdings am letzten Tag der Redemption Grace Period (RGP) und damit nicht (mehr) im Besitz einer Sparda-Bank oder deren IT-Dienstleister.

Ich konnte die Domain secure-app.de am Folgetag selbst registrieren und erhielt so von durchschnittlich über 140 Personen am Tag den zweiten Faktor einer Online-Überweisung auf dem Silbertablett serviert. Über eine gezielte Phishing-Seite hätten theoretisch auch noch die Zugangsdaten zum Online-Banking abgegriffen werden können.

Selbstverständlich kontaktierte ich die Sparda-Bank BW vor der Registrierung mehrfach. Allerdings verwies der telefonische Kundensupport nur darauf, dass der QR-Code mit der SpardaSecureApp gescannt werden muss […] Leider hat der Pressesprecher der Sparda-Bank BW auf meine mehrmaligen Anfragen bisher nicht reagiert

Ditschitäll first, bedauern second… und wenns dann mal so richtig schiefläuft, hochdruck third.

Kurz verlinkt

Die PResseerklärung des CCC ist einfach nur lecker:

Chaos Computer Club hackt Video-Ident

Während sich alle Welt vor ausgefeilten Deep Fakes fürchtet, gelang hier der Angriff mit Uralt-Technik und einfachen Mitteln […] Dieser Totalausfall bestätigt nun, wovor Datenschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit langem warnen, jedoch bei der Bundesregierung und der Bundesnetzagentur auf taube Ohren stießen. Deren Ausrede lautete: „Der Bundesregierung sind bislang keine konkreten Sicherheitsvorfälle zur Kenntnis gelangt.“ Einen konkreten Sicherheitsvorfall liefert der CCC hiermit gern und meldet somit Handlungsbedarf an

Alarm des tages

Jetzt wird das BRD-stromnetz nicht nur von „den russen“ entgast, sondern auch noch von den russen gecybert [archivversjon]. Habt angst, habt angst und hasst die russen — obwohl es ausnahmsweise mal ein bisschen sorgfalt bei der absicherung gegeben zu haben scheint:

Die EnBW-Strom- und Gasnetzsteuerung war zu keinem Zeitpunkt betroffen, da diese in einem getrennten, extra gesicherten Netz geführt wird

Und, wie haben die cyber-cyber-häcker es geschafft, etwas zu cybern? Waren das hochgeniale häcker, die aktuelle sicherheitslücken ausgenutzt haben? Mitnichten…

So hatten die Hacker es zum Beispiel auch auf den Stromkonzern e.on abgesehen. Dazu hatten sie ein 35-seitiges Dokument vorbereitet, das dem Anschein nach wie ein internes Dokument eines Beratungsunternehmens aussieht […] Sobald ein Nutzer das Dokument öffnet, wird unbemerkt versucht, dessen Anmeldedaten an einen Server zu schicken, den die Hacker kontrollieren. Damit könnten sich die Hacker bei anderen Diensten anmelden, die dieser Nutzer verwendet, zum Beispiel im E-Mail-Postfach. IT-Sicherheitsexperten sprechen von Spearphishing

…sie wollten einfach nur mäjhls versenden. Mit offißß-dokumenten, die makros enthielten. Und mit gefälschtem absender, natürlich. Denn man kann in eine mäjhl jeden absender eintragen, genau so, wie man auf einen briefumschlag auch jeden absender draufschreiben kann, ohne dass das ein problem für den transport des briefes wäre. Und natürlich können sich die häcker darauf verlassen, dass niemand in der BRD versteht, was eine digitale signatur ist und wie und warum man sie verwendet, nicht einmal die voll investigativen jornalismusbeamten der tagesschau des BRD-parteienstaatsfunks ARD — cyber cyber! Und was intrusion detection ist…

Neben Phishing-Angriffen hackten die Hacker von „Berserk Bear“ auch strategisch relevante Webseiten und bauten diese kaum merklich um, um vertrauliche Informationen abzugreifen, vor allem Anmeldedaten […] Das Kalkül der Hacker: Viele Webseiten-Besucher dieser spezialisierten Firmen dürften im Bereich Kritische Infrastrukturen aktiv und somit interessante Spionageziele sein. Beiden Firmen war offenbar nicht bewusst, dass ihre Seiten gehackt worden war

…weiß natürlich auch keiner. Cyber cyber!

Bei so viel dummheit, unfähigkeit und blauäugigkeit bin ich ja echt gespannt, was los ist, wenn die es mal ernst meinen mit dem cyber-cyber-krieg…

Security des tages

Ähm, benutzt hier jemand linux mit samba, um seinen windohs-domäjhncontrohller mit dem „sichereren“ linux laufen zu lassen?

Sicherheitsupdates Samba:
Angreifer könnten Admin-Passwörter ändern

[…] Angreifer könnten an dieser Stelle Anfragen mit einem eigenen Schlüssel verschlüsseln, die akzeptiert werden. Darüber soll es möglich sein, die Passwörter von anderen Nutzern zu ändern. Geschieht dies bei einem Admin-Account, könnte dies zu einer vollständigen Domänenübernahme führen

Dann aber ganz schnell die aktualisierungen installieren! Oh, debian hat sie noch gar nicht im stable-zweig, da gibt es zurzeit nur 4.13.13? Na, dann viel glück! Muss man ja auch manchmal haben… ☹️

Security des tages

„Ghost Touch“: Die Ladekabel von Smartphones und Tablets können zum Einfallstor für Hacker werden, wie Wissenschaftler berichten. Ihnen gelang es, über die Ladefunktion Berührungen auf dem jeweiligen Touchscreen zu imitieren und das Gerät so zu steuern. Auch reale Berührungen konnten sie dadurch manipulieren und den Bildschirm sogar komplett für die Nutzung durch den Besitzer sperren. Hacker könnten mit dieser Technik schädliche Bluetooth-Verbindungen aufbauen oder virenhaltige Dateien installieren

Überwachung des tages

TeamViewer installiert bei Windows-Nutzern eine ominöse Schriftart, welche Web-Fingerprinting, Phishing und Scam ermöglicht

Auch weiterhin viel spaß in einer welt, in der es normal geworden ist, dass softwäjhr mit trojanern und versteckten zusatzfunkzjonen ausgeliefert wird, weil sich alle von der scheiß-wischofonkultur her daran gewöhnt haben.

Auto des tages

Was kann dabei schon schiefgehen, wenn man — für die sicherheit natürlich, für die sicherheit — das auto in eine permanente träckingwanze verwandelt. Nein, das ist nicht nur eine datenschutzscheiße:

Sicherheitsforscher von Bitsight sind auf sechs gefährliche Sicherheitslücken im GPS-Tracker MV720 von MiCODUS gestoßen. Ihnen zufolge kommt der Tracker weltweit vor allem in Autos zum Einsatz […] Dort diene er vor allem als Anti-Diebstahlsicherung. Den Forschern zufolge kann man darüber aber auch Autos stoppen oder sogar die Benzinzufuhr kappen […] Dafür könnten sich Angreifer als Man-in-the-Middle in Verbindungen einklinken […] Aufgrund von beispielsweise hartcodierten Zugangsdaten könnten sich entfernte Angreifer Zugang verschaffen. So sollen sie etwa in SMS-Nachrichten verpackte Befehle direkt an den GPS-Tracker schicken können

Na, nicht dass da ein paar verspielte kinder neue anwendungen für die fast immer mitgekaufte SMS-fläträjht finden… 😁️

Wenn jornalisten euch über kompjutersicherheit und privatsfäre „aufklären“

Dem Bericht fehlt technische Tiefe und sinnvolle Informationen. Hier wurden großteils Ausgaben automatischer Tools unhinterfragt wiedergekäut. Das macht noch keine Analyse. Diese Tools liefern nur Hinweise, welche Stellen man genauer anschauen sollte

Aber keine sorge, das wird den contentindustriellen apparat nicht daran hindern, die gleichermaßen große, substanzlose und clickbäjhtträchtige alarmmeldung des ehemaligen nachrichtenmagazines wiederzukäuen und mit reklame zu umpflastern.

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich, der forsche forscher an allen fronten der erkenntnis, hat mal wieder einen dschobb als investigativer jornalist für die tagesschau-redakzjon gemacht und dabei rausgekriegt, dass kompjuterprogramme auf die hardwäjhr des kompjuters zugreifen können, auf dem sie laufen [archivversjon]:

Das zeigen Recherchen und technische Versuche des Bayerischen Rundfunks. Die datenjournalistischen Teams BR Data und BR AI und Automation Lab konnten zusammen mit PULS Reportage belegen, dass Notebook-Programme die Kamera und das Mikrofon jederzeit aktivieren können, um Videos und Gespräche aufzuzeichnen

Außerdem können Computer-Apps jederzeit sämtliche Bildschirminhalte abfotografieren oder aufzeichnen. Das birgt das Risiko umfangreicher Spionage-Angriffe, bei denen Apps verdeckt auf interne Dokumente, Bilder und Videos zugreifen könnten – im Prinzip auf alles, was sich auf dem Computer-Bildschirm abspielt

Ob so überwältigend großer jornalistischer erkenntnisse aus der tagesschau-redakzjon muss der ganze kosmos erstmal kurz luft holen. Wo kommen wir denn da hin, wenn ein kompjuterprogramm auf die hardwäjhr des kompjuters zugreifen kann. Am ende kann das programm sogar noch tastatureingaben lesen und ausgaben auf dem bildschirm machen!!1! Oder gar den getippten brief ausdrucken!!1!

Die assistentin von prof. dr. Offensichtlich, die prof. und cyber-spezjalexpertin Miriam Föller-Nord, hat angesichts dieser schrillen alarmmeldung auch noch einen wichtigen hinweis für die geneigte leserschaft:

Miriam Föller-Nord, Professorin für Cybersecurity der Hochschule Mannheim, fordert angesichts dieser Testergebnisse, dass die Hersteller der Betriebssysteme „möglichst alles für Cybersicherheit tun sollten“. Allerdings: „Die totale Sicherheit gibt es nicht, solange man mit dem Internet verbunden ist.“

Für menschen, die wirklich besorgt sind, habe ich auch einen tipp, der funkzjoniert, ohne dass jemand anders etwas tut: einfach die kamera vom kompjuter abziehen. Es hat schon einen grund, dass ich keine kamera am kompjuter habe und ein mikrofon nur in den wenigen situazjonen einstecke, in denen ich es auch brauche. Aber ich bin ja auch kein cyberprofessor. Da ist mein leben sicherlich viel unsicherer. 🤦‍♂️️

Und nein, ich benutze kein windohs und kein mäckOS. Aber ich weiß, dass kompjuterprogramme (über eine betrübssystemschicht) auf die hardwäjhr des kompjuters zugreifen können. Das macht kompjuterprogramme überhaupt erst nützlich. Man kann das absichern, etwa so, wie es ändräut mit einem zugegebenermaßen recht ausgefeilten rechtesystem tut. Das hilft aber nicht, wenn die leute jeden dialog schnell und ungelesen wegfingern. Wenn das internetz im händi ist, ists gehirn nun mal im arsch. Aber in historisch gewaxenen betrübssystemen ist es sehr schwierig, so etwas nachträglich einzubauen, ohne dass einige der vielen progrämmchen probleme machten, für die sich leute überhaupt erst einen kompjuter hinstellen.

Eigentlich wäre das ja informazjonstechnisches grundwissen, das hier jeder normal intelligente und gebildete mensch haben sollte… aber doch nicht für jornalisten, die kennen sich eigentlich nie mit den temen aus, über die sie schreiben. (Ich bemerke das jedes mal, wenn ich mich mal zufällig mit einem tema auskenne, und ich habe keinen grund zur annahme, dass der scheißjornalismus gründlicher sein sollte, wenn es um temen geht, mit denen ich mich zufällig nicht so gut auskenne. Umwelt zum beispiel. Oder gesundheit. Oder klima.) Und so werden alle dumm gemacht. Dumm durch jornalismus. Und jeden tag noch ein bisschen dümmer durch jornalismus.

Und was darf nach der verdummung durch scheißjornalismus nicht fehlen?

Doch nicht nur Ausschalten hilft: Bei MacOS und Windows sollte man Apps immer so wenig wie möglich erlauben und Software aus bekannten Quellen installieren, wie beispielsweise aus dem Windows- oder dem Apple-Store

Richtig, der hinweis auf schlangenöl! Der muss! In diesem fall der hinweis darauf, dass äppel und meikrosoft angeblich die softwäjhr gründlich überprüfen, die sie in ihrem entrechtungs-, spitzel- und datensammel-äppstohr anbieten. Hier mal ein zwei einfache websuchen, zu denen die aufdringlich mit schlangenöl für gefühlte sicherheit winkende spezjalexpertin cyber-prof. Miriam Föller-Nord aus dem rundfunkabgabenfinanzierten BRD-parteienstaatsfunk leider nicht imstande war: eine für äppel und eine für meikrosoft.

So viel zu den kompjutersicherheitstipps von experten, die euch von jornalisten hingestellt werden. Und so viel zu allen anderen hinweisen der jornalisten, die sie auf grundlage irgendwelcher expertenworte geben, sei es zur ernährung, sei es zum klima, sei es zur umwelt, sei es zur politik, sei es zur wirtschaft, sei es zur infekzjologie, sei es zur wissenschaft.

(Experte ist für mich bis jetzt das unwort des jahrhunderts. Und mit solchen leuchtturmgestalten für lichtallergiker wie dem ZDF-adelsexperten habe ich da noch gar nicht angefangen…)

Security des tages

Steckt keine schlüssel mehr in autoschlösser, haben sie uns gesagt. Nehmt lustige funkdinger, mit denen ihr einfach und bekwem aus der hosentasche euer auto aufschließen könnt, das ist bekwem und einfach und sicher, haben sie uns gesagt.

Die IT-Sicherheitsforscher Kevin2600 und Wesley Li vom Star-V Lab haben sich das Funkschlüssel-System von Honda genauer angesehen und sind dabei über eine Schwachstelle gestolpert, die es Unbefugten erlaubt, vermutlich alle Honda-Modelle von 2012 bis 2022 aus der Ferne zu öffnen oder gar zu starten. Abhilfe ist bislang nicht in Sicht […] Die IT-Forscher haben dem eigenen Bekunden nach Hinweise gefunden, dass derartige Schwachstellen auch andere Hersteller betreffen und planen, zu einem späteren Zeitpunkt weitere Details zu veröffentlichen

Ist doch schön, wenn jemand das auto wegfährt!

Mit einem ganz normalen schlüssel wäre das nicht passiert. Obwohl die schlösser von autos auch nicht gerade schwierig für einen geübten picker sind. Aber demnächst einfach mit einem im darknet gekauften funkekästchen durch die straßen gehen und autos nach herzenslust wegzufahren ist nun einmal einfacher als langwierige übung, bis der diebstahl zuletzt für passanten wie ein ganz normales aufschließen und nicht mehr wie eine straftat aussieht.

Ich wünsche euch allen auch weiterhin viel spaß mit den ganzen lösungen ohne problem, die euch ständig von reklamelügnern (und ihren hässlichen, stinkenden brüdern, den scheißjornalisten) als beste erfindung aller zeiten angepriesen werden!

Kryptogeld des tages

Warum man sich nicht bei juhtjuhbb tolle tipps geben lässt, mit welcher softwäjhr man jetzt kryptogeld erzeugt, kann man gerade auf tarnkappe nachlesen:

Der gepostete Download-Link führt infolge zu einem passwortgeschützten, gezippten Archiv. Um legitim zu erscheinen, enthält das heruntergeladene Archiv dabei einen Link zu VirusTotal, der die Datei als „sauber“ anzeigt. Cyble Research Labs versichert hierbei, dass die als sauber eingestufte Datei nichts mit der zum Download verfügbaren Datei zu tun hat. Die Betrüger wollen lediglich die Benutzer dazu bringen, ihr Antivirenprogramm für eine erfolgreiche Malware-Ausführung zu deaktivieren

Au mann! Kaum gehts um geld, schon verwandelt sich das gehirnchen in eine dumme giermaschine, der man alles andrehen kann. So schade, dass es noch kein schlangenöl gegen dummheit gibt.