Security des tages

Was hat uns denn allen noch ganz dringend gefehlt? Richtig: ein verschlüsselnder erpressungstrojaner, der in einer virtuellen maschine läuft, um sich vorm zugriff durch antivirus-schlangenöl zu schützen. Das ist eine menge aufwand, und vor allem viel mehr, als zurzeit nötig ist, um privatleuten und kleinen mittelständlern geld abzupressen. Aber schön, mal zu hören, womit die verbrecher so rumspielen.

(Und hej, dank virtualisierung lässt sich dieser etwas schwergewichtige trojaner kinderleicht auf linux portieren… nur mal so als hinweis für alle angemerkt, die sich zu sicher fühlen. Gefühlte sicherheit ist gefährlich. Seid lieber vorsichtig und benutzt eure gehirne. Zum glück ist es unter linux viel schwieriger, einen anwender dazu zu bringen, ein programm auszuführen, weil es dafür mehr als nur einen dateinamen braucht.)

BRD-leuchtturmprojekt des tages

Die BRD will die personaljenausweise für ihre volxschäfchen jetzt aufs wischofon bringen. Was kann dabei schon schiefgehen, wenn man die unsicherste scheiße seit windohs 95 auf einmal zur rechtsverbindlichen identifikazjon benutzt? Und wer jetzt denkt, dass das irgendwie zur überwachung missbraucht werden könnte oder gar sollte, ist ein aluhutträger, verschwörungsteoretiker und pfui-bäh nazi!!!!1!!elf!!

Ist das nicht toll: endlich gibts ausweise für die kommende ausweispflicht im internetz! Bekwem, benutzerfreundlich, datenschutz, smart und sicher! Mit bundeszertifizierung! Der übergang vom ausweiszwang zum händizwang ist dann nur noch ein kleiner hüpfer. Und wer sich ein betrübssystem ohne überwachungsfunkzjon und ohne werksseitig installierte scheißtrojaner auf sein händi spielt, muss ein ordnungsgeld zahlen, wenn er erwischt wird, weil die scheißbundesäpp darauf nicht läuft. Kennt ihr ja schon von eurer fernkontoführungssoftwäjhr, die sich weigert, auf kompjutern zu laufen, auf denen ihr darüber bestimmen wollt, welche softwäjhr darauf ausgeführt wird. Das läuft nur auf kompjutern anderer leute¹. Wer braucht da noch einen Bill Gates, um die leute zu vertschippen? Wir haben doch eine bummsregierung.

Meine fresse!

¹Ein kompjuter, auf dem nicht ihr root seid, sondern jemand anders, ist nicht euer kompjuter. Euer dschobb ist es nur, den zu kaufen, mit strom zu versorgen, zu benutzen und zu entsorgen, aber nicht, ihn zu besitzen.

Nutzt hier jemand meikrosoft windohs

Ganz kurze zusammenfassung: das risiko ist hoch, es ist jede gängige windohs-versjon betroffen, ein angreifer kann kohd ausführen, man kann die sicherheitschwäche übers netzwerk ausnutzen und spielt verdammte scheiße nochmal die sicherheitsaktualisierung ein!

Oh, ihr kriegt gar keine sicherheitsaktualisierungen mehr für euer ansonsten gut laufendes windohs sieben? Tja, dann ist euer rechner eben beliebig übers netzwerk aufhäckbar. Kommt, nehmt schon windohs zehn mit der integrierten totalüberwachung und einer tonne meikrosofter beglückungsideen, die ihr nie vermisst habt. So ist das halt, wenn man sklave ist, da hat man keine wahl mehr. Freiheit fängt übrigens im denken an…

Viel spaß beim pressesterben, zeit onlein!

Das sagt einem die webseit von zeit onlein aus, wenn man sie mit einem leidlich sicher konfigurierten webbrauser aufruft:

Seitenüberdeckende vorschaltseite, wenn man zeit onlein mit einem sicher konfigurierten webbrauser aufruft: -- zeit.de mit Werbung -- Um der Nutzung von zeit.de mit Werbung zuzustimmen, muss JavaScript in Ihrem Browser aktiviert sein. -- zeit.de Pur -- Nutzen Sie zeit.de mit weniger Werbung und ohne Werbetracking für 1,20 €/Woche (für Digital-Abonnenten nur 0,40 €/Woche). zeit.de Pur: [Jetzt abonnieren]

Aha, ich soll also entweder die sicherheitseinstellungen meines webbrausers lockern, weil mich ein gegenüber über ein technisches und anonymisierendes medium darum bittet, oder ich soll geld dafür bezahlen, dass ich die contentindustrielle webseit „mit weniger werbung“ betrachten darf. (Über werbefrei hätte man ja wenigstens nachdenken können, aber angesichts der breit verabreichten und ungekennzeichneten schleichwerbung in contentindustriellen scheißwebseits würde ich mir das auch nicht reindrücken lassen…)

Und dann soll ich euch auch noch glauben, was ihr schreibt, obwohl ihr zu doof seid, eure kwellen zu verlinken?!

Ich wills mal so sagen: vor meinem arsch ist auch kein gitter.

Benutzt hier jemand „joomla“?

An independent vulnerability laboratory researcher discovered a remote sql injection vulnerability in the official Joomla com_content v1.5 CMS web-application

Weia! Und es gibt noch mehr davon!

Für die, die es nicht wissen: „SQL injection“ bedeutet, dass jemand beliebige queries auf eure datenbank loslassen kann, also inhalte auslesen, erzeugen und verändern kann. Zum beispiel, um eure webseit zur spämmschleuder zu machen. Oder auch, um einfach nur ganz destruktiv DROP DATABASE; zu versuchen. Dafür braucht man bei dieser fürchterlichen sicherheitslücke auch keine häckertuhls, sondern es reicht ein webbrauser, mit dem man eine URL aufruft.

Wohl dem, der eine aktuelle, vollständige und geprüfte datensicherung hat!

Und spielt die verdammte aktualisierung ein, sobald sie da ist!

Benutzt hier jemand samsung-wischofone?

Medienbericht
Sicherheitslücke in Samsung Galaxy S8 ermöglicht gezielte Überwachung

[Archivversjon]

Allerdings muss ein angreifer für eine lücke über bluhtuhßß schon ziemlich nahe rankommen, so dass ich das problem für nicht ganz so groß halte. Es kann allerdings schnell ein riesenproblem werden, wenn es mit anderen schwächen kombiniert wird…

Überwachung des tages

Na, habt ihr schön die billigen wischofone aus dem supergünstigen sonderangebot gekauft? Ohne euch zu fragen, warum die dinger wohl so billig sind?

Dem chinesischen Smartphone-Hersteller Xiaomi wird vorgeworfen, das Verhalten seiner Benutzer aufzuzeichnen und die Daten an eigene Server zu übertragen. Insbesondere gilt das für das Surfen im Web: Der Xiaomi-Browser zeichnet offenbar jede besuchte Website samt Eingaben in eine Suchmaschine auf, und das sogar im Inkognito-Modus […] Übertragen wurden auch Eingaben in Suchmaschinen, etwa bei Google und Duck Duck Go […] zusätzlich Angaben zum Smartphone, zur Android-Version und eine stets gleichbleibende Nutzerkennung übertragen. Mit solchen Metadaten, fürchtet Cîrlig, könnten Benutzer eindeutig identifiziert werden […] die Musik-App von Xiaomi soll die gespielten Titel samt Zeitstempel übertragen haben

Und wenn man ganz genau nachschaut, wird man noch mehr trojanerfunkzjonen in der schadfirmwäjhr dieser scheißdinger finden — denn wer sich sogar die gehörte musik nach hause funken lässt, wird wohl kaum irgendeine grenze für seinen kundenüberwachungswillen kennen.

Mit solchen ab werk trojanifizierten scheißwanzen aus Erich Mielkes feuchten träumen müsst ihr eure fernkontoführung machen, überall alles kontaktfrei und hygjenisch bezahlen — wisst schon, die seuchen verbreiten sich neuerdings über banknoten und münzen, der onkel jornalist hats ja gesagt! — eure gesamte privat- und intimsfäre verwalten und eure krankenkassen-äpp benutzen. Könnt ja in den einstellungen wischen und euch ein häkchen hinfingern, damit da auch steht, dass ihr „inkognito“ seid. So ein schönes häkchen! So ein schönes schlösschen! Da fühlt man sich gleich viel unbeobachteter! 🔐🤦

Merkt es euch, ein für allemal und für alle zeiten: wo „smart“ draufsteht, ist Orwell drin. Und wos internetz im händi ist, ists gehirn im arsch.

Sehr schön! Spiegel! Sehr, sehr schön! 👏

Es ist ja sehr selten, dass ich die scheißpresse mal lobe, aber heute ist der tag gekommen. 👍

Ich finde es sehr schön, dass ich zurzeit das ehemalige nachrichtenmagazin „der spiegel“ nur noch mit abgeschaltetem javascript lesen kann, wenn mir jemand einen link dorthin schickt, weil ich ansonsten mit einem erzwungenen „einverständnis“ in einer nervtafel belästigt werde. Entweder soll ich mich träckender, überwachender und potenzjell schadsoftwäjhr transportierender scheißreklame ohne jede berücksichtigung des datenschutzes einverstanden erklären, oder ich soll geld dafür bezahlen, dass ich jenseits des kuckucksnest… ähm… der spiegel-bezahlmauer wandeln darf, nein, nicht etwa werbefrei, sondern „nahezu ohne werbung“:

Bildschirmfoto der nervtafel

Ich begrüße diese entscheidung des „spiegels“, seinen lesern die benutzung von wirksamen javascript-blockern nahezulegen. Damit tut der „spiegel“ viel für die steigerung der kompjutersicherheit in der BRD. Denn praktisch alle kriminellen angriffe auf webbrauser der letzten zehn jahre funkzjonierten nur, wenn javascript freigeschaltet war. In einer heldenhaften geste — wie unterscheidet man eigentlich noch mal einen helden von einem suizidalen vollidjoten — nimmt der „spiegel“ es für dieses hohe ziel sogar billigend in kauf, dass man keinen link mehr auf die webseit des „spiegel“ setzen kann, weil dieser link ja auf eine überrumpelnde nervtafel statt auf den verlinkten artikel führt. Das ist ein vorbildlicher einsatz für ein großes ziel! Wir sollten donnernd applaudieren! 👏

Ansonsten wünsche ich dem ehemaligen nachrichtenmagazin „der spiegel“ noch viel spaß beim pressesterben. Hoffentlich gehts jetzt schnell, der kwält sich ja schon lange genug… und dass die scheißjornalisten, die vor noch gar nicht so langer zeit aktiv mit propaganda und lügen den hartz-IV-staat herbeigeschrieben haben, demnächst hartz IV beantragen dürfen, ist nur ein bisschen karma. Dann unterschreiben sie endlich auch mal eine „eingliederungsvereinbarung“, die allein deshalb keine „vereinbarung“ ist, weil die unterschrift mit existenzjellem druck (du willst doch essen, wohnen und leben) erzwungen wird, also noch erpresserischer als bei dieser nervtafel, und dann gehts halt zum mindestlohn in die zeitarbeit! Komm, scheißjornalist, es kann ja auch nicht jeder ein jornalist sein, irgendwer muss ja auch mal arbeiten. Dachdeckergehilfe ist doch auch ein schöner beruf¹… arschloch!

¹Nein!

Nutzt hier jemand paypal?

Da wird offenbar mal wieder einfach so geld abgebucht. Also guckt besser mal nach… und ärgert euch nicht, dass ihr nach dem login-versuch erstmal mit einem dieser fürchterlichen guhgell-CAPTCHAs verachtet werdet, mit dem ihr „nachweisen“ sollt, dass ihr kein roboter seid, die scheinen gerade auch ein bisschen sörverlast bei paypal zu haben.

Ach!

Oh, prof. dr. Offensichtlich hat einen dschobb beim BSI gefunden:

Digitale Gesundheitsanwendungen haben es laut BSI in sich. Ein kompromittiertes Smartphone könne das gesamte digitale Leben des Nutzers enthüllen

Die kriegen aber auch alles raus bei unseren bummsinstituten! Alles kriegen die raus! Ich wünsche euch allen viel spaß bei der fernkontoführung (neu- und reklamedeutsch: onlein-bänking) und mit den von euren kwalitätskrankheitsministern demnächst von euch erzwungenen krankheitsäpps! Natürlich auf kompjutern aus einer beschissenen scheißkultur, die niemals eine sicherheitsaktualisierung sehen, damit ihr euch ja jedes jahr ein neues scheißwischofon kauft, und auf denen euch jede grenzkriminelle scheißklitsche irgendwelche schadsoftwäjhr installiert und fiese schadsoftwäjhr nicht-deinstallierbar vorinstalliert ist. Genau das richtige umfeld für geldbehandlung und gesundheitsdaten!

Warum man keine kompjuter mit ständig aktivierbarer kamera und ständig aktivierbarem mikrofon verwendet…

Apple-Sicherheitslücke:
Fehler in Safari erlaubte Hackern Zugriff auf Mikro und Webcam
Schwere Bugs im Browser

Aber hej, ihr habt ja alle nix zu verbergen, oder? Gar nicht auszudenken, wenn solche erpressungen auf einmal echt sind und/oder irgendwelche wix- und bummsvideos mit euch durchs internetz fließen…

Ach, das ist es euch wert? Weil ihr immer so schön mit „eurem kompjuter“ (in wirklichkeit natürlich mit einem klaut-kompjuter irgendwelcher dritter über ein abstraktes technisches medium) sprechen könnt? Tja, dann noch viel spaß in der neuen zeit! Gegen dummheit gibts leider noch keine pille.

Videokonferenzen?

Wer gerade einen bedarf nach videokonferenzen hat, ohne sich gleich gegenüber einer fragwürdigen internetz-klitsche datennackt machen zu wollen, sollte sich das mal anschauen. 😉

Allerdings ist auch jitsi nicht völlig datenschonend, denn es geht nach angabe der mäjhladresse noch ein häsch der mäjhladresse (also eine eindeutige, wenn auch pseudonyme ID) an den gravatar-kram von „automattic“. Wer das nicht möchte, ist bis auf weiteres gut beraten, sich bei der nutzung von jitsi eine wegwerfmäjhladresse zu besorgen.

Security des tages

Ich hoffe mal, es handelt sich nicht um einen aprilscherz, sondern um das erwartungsgemäße totalverkacken der deutschen telekomiker:

Die COVID-19-App der Telekom soll Patienten einen schnellen Zugang zum Ergebnis ihrer Coronatests verschaffen. Sie funktioniert folgendermaßen: Nachdem der Hausarzt einen Patienten an ein Testzentrum überwiesen hat und dort ein Abstrich genommen wurde, erhält der Patient einen QR-Code. Sobald das Testergebnis vorliegt, kann er diesen Code mit der COVID-19-App scannen und erfährt im Anschluss des Ergebnis direkt aus der „Telekom Healthcare Cloud“ […] Die Übertragung ist zwar verschlüsselt, die App patzt jedoch bei der Überprüfung des SSL-Zertifkats. Ein Angreifer in der Position eines Man-in-the-Middle kann das Testergebnis abrufen und den Patienten sogar ein falsches Ergebnis unterjubeln

Wenn ich schon klaut höre, sage ich ja aufgrund meines bewährten und nur mit mühe korrigierbaren vorurteilssystemes: lasst die finger davon weg! Ihr werdet von reklameheinis geblendet und sollt das alles für großen technikzauber halten, den ihr oder andere normalsterbliche eh nicht verstehen können. Und in der tat:

Die Kontaktaufnahme erfolgt zwar verschlüsselt über eine HTTPS-URL […]

Die klaut scheint ein websörver zu sein. Versteht ihr: ein wersörver! So etwas wie das, wovon ihr gerade dieses blog abruft, bei dem ihr sicherlich noch nie an das wort „klaut“ gedacht habt, wenn sie von eurem brauser abgeholt wird. Aber klaut klingt halt viel mystischer. Genau wie äpp viel mystischer als anwendung klingt. Und wenn in erster linje auf so eine psychomanipulative hirnfickwirkung geachtet wird, bin ich mir immer völlig sicher, dass auf andere dinge — wie sagen wir mal: datensicherheit — eher weniger geachtet wird. Das wort „klaut“ bedeutet auf hochdeutsch: lasst die finger davon! Ihr werdet von reklameheinis, also von professjonellen lügnern und hirnfressern, verarscht.

Einmal ganz davon abgesehen, dass ich den deutschen telekomikern niemals irgendwelche gesundheitsdaten anvertrauen würde. Und in der tat, die deutschen telekomiker erfüllen alle meine erwartungen:

So liefert der Server, mit dem die App kommuniziert, ein katastrophales Zertifikat, das nicht von einer einer vertrauenswürdigen CA stammt und bereits seit 4. April 2015 – also seit fast fünf Jahren – abgelaufen ist

Hl. hölle, dabei sind die deutschen telekomiker selbst eine CA und könnten sich das zertifikat für ihren schrottdienst sogar selbst machen. 🤦

Na, freut ihr euch schon alle darauf, dass eure gesundheitsdaten ins internetz sollen, so wie es euch von kompetenzgranaten wie Jens „deutschland ist bestens vorbereitet“ in komplizenschaft mit euren scheißkrankenkassen aufgetischt wird?

Security des tages

108108

Der fiepser, auf den Fefe da referenziert, ist übrigens inzwischen vom zwitscherchen entschnabelt worden. Müsst ihr verstehen, zensur ist gut und macht unser aller leben besser und sicherer. Aber ich wiederhole ihn hier gern noch einmal:

An Alle, die bei LBB/Amazon/ADAC Kreditkarten keine SMS TAN zugestellt bekommen. Einfach die Universal-TAN „108108“ eingeben! Wirklich. Das geht. =:-O
— Subsembly GmbH (@subsembly) March 23, 2020

„Security by tweetdeleting!“, das wirds bringen. 🤦

„Cyber cyber“ des tages

Bundeswehr:
Pläne für Flugabwehrsystem auf Gebrauchtrechner von eBay

Wer braucht eigentlich noch geheimdienste und eine spionahscheabwehr, wenn die bundeswehrmacht die staatsgeheimnisse einfach auf ihh-bäh verhökert? :mrgreen:

Versuche, Daten zu löschen seien nicht erkennbar gewesen

Das war ja auch nicht das händi von solchen staatsverbrechern wie Ursula von der Leyen oder Andreas Scheuer. Die werden übrigens niemals für ihre vernichtung von beweismaterial vor einem gericht stehen. Ist ja BRD hier. 🍌