Smartwahn des tages

Mitglieder der gesetzlichen Krankenversicherungen sollen nach dem Willen von Bundesgesundheitsminister Jens Spahn spätestens ab 2021 auch per Handy und Tablet ihre Patientendaten einsehen können. Entsprechende Vorgaben wolle der CDU-Politiker den gesetzlichen Krankenversicherungen noch diesen Monat machen, berichtet die Frankfurter Allgemeine Zeitung

Wisst ihr noch, wie ihr bei der einführung so genannten „elektronsischen gesundheitskarte“ von den verlogenen scheißp’litikern damit beruhigt wurdet, dass die daten nur mit zertifizierter hardwäjhr ausgelesen werden sollten.

Was kann dabei schon schiefgehen, wenn man sich gesundheitsdaten auf einem im regelfall trojanifizierten und zudem nicht auf aktuellem softwäjhrstand laufenden technikverhindungs- und enteignungskompjuter anschaut? Seht ihr, alles ganz harmlos. Der Spahn hats gesagt. Er hat zwar nicht ganz klar gemacht, welches problem er mit diesem zugang lösen möchte, aber hej, es ist digital, smart, kuhl und modern, das ist doch die hauptsache. Vermutlich wird genau wie bei so mancher fernkontoführungssoftwäjhr dafür gesorgt werden, dass die krüppelscheiße auf einem gerooteten wischofon gar nicht erst gestartet werden kann. Das ist nur zu eurem besten! Also nehmt schön die nicht mehr gepflegte firmwäjhr oder besorgt euch einfach regelmäßig ein neues wischofon.

Übrigens, achtet drauf: da ist nur von wischofonen die rede, nicht von richtigen kompjutern, die ihren nutzern das recht einräumen, diejenige softwäjhr drauf laufen zu lassen, die sie für richtig halten. Auf einem richtigen kompjuter könnte man wenigstens dem betrübssystem und den anwendungen regelmäßig sicherheitsaktualisierungen zukommen lassen und hätte es nicht wie bei den wischofonen mit einer scheißkultur zu tun, in der anwendungen regelmäßig mit trojanerkohd verseucht werden.

Ich sehe übrigens jetzt schon vermieter und ausbeuter, wie sie mit gar nicht so sanften druck der marke „aber sie wollen doch die wohnung / den dschobb haben“ einsicht in die komplette digitale krankenakte erzwingen. Was schufa-auskünfte betrifft, die jeder über sich selbst einholen kann, ist so etwas schon seit zwei jahrzehnten gang und gäbe, obwohl es eigentlich illegal ist. Und hej, ihr habt doch alle nix zu verbergen, da könnt ihr euch für eine wohnung doch mal vom vermieter gesundheitsmäßig erpressungscybern lassen!!!1!

Digital first, bedauern second! Wählt CDUCSPDUAFDPGRÜNETC!

Advertisements

Tolle idee: kryptogeldbeutel gleich in den webbrauser einbauen

Da kriegste angst, dass du am facepalm sterben könntest…

Ob der private schlüssel der wallet wohl im speicher des gleichen prozesses wie der rest des webbrausers rumlungert? Was kann da schon schiefgehen?! :mrgreen:

Oder liegt der private schlüssel (also der zugang zum geld und damit der besitz des geldes) etwa zentral bei opera herum, zusammen mit dem zugang zu einigen zehntausend weiteren kryptogeldbeuteln?

Mir reicht jedenfalls schon „kryptogeld auf dem wischofon im webbrauser haben“ für das sichere gefühl, dass da einige pöse jungs in ein paar wochen ganz schön viel kryptogeld mitnehmen werden. Sage bitte niemand, dass er nicht vorher gewarnt wurde! Es ist eine unfassbar schlechte idee, die opera da hat. Wer mir das nicht glauben mag, weil ich ein dahergelaufener blogger bin, der nicht einmal richtig deutsch schreibt, der frage bitte einfach einen richtigen fachmann! Zum beispiel einen professor für informatik mit schwerpunkt kryptografie oder so etwas. Der wird nix anderes sagen, als dass es eine unfassbar schlechte idee von opera ist — nachdem er sich vergewissert hat, dass auch nicht der erste april ist. Einfach ausprobieren! Nur jornalisten dürft ihr nicht fragen, die haben wirklich keine ahnung und halten die inhalte von PResseerklärungen für ganz was hochkwalitativ tolles und wahres.

Kennt ihr noch den ollen opera, mit der guten benutzerschnittstelle? (Das war jahrelang der aus anwendersicht beste brauser überhaupt.) Könnt ihr euch noch erinnern, dass der irgendwann einmal eine eingebaute mäjhlsoftware verpasst bekam, und dass die erste versjon einen kleinen, peinlichen fehler hatte: manchmal waren sämtliche mäjhls einfach weg? Also jetzt: richtig weg, auch auf dem sörver. Ich will mal hoffen, dass so ein kryptogeldbeutel bei opera ein bisschen solider geproggt wird. :mrgreen:

Security des tages

Sendet ein Angreifer eine cURL-Anfrage mit „AAAAAAAAAAAAAAAAAAAAAAAAAAAAA“ an verwundbare HP-Proliant-Server, könnte er diese übernehmen

Diese momente, in denen ich mich frage, wie es wohl zu so einem fehler kommt… ich bin mir sicher, dass das eine mehr oder minder gewollte hintertür (vielleicht aus einer entwicklungsfase, vielleicht aber auch vorsätzlich mit böser absicht eingebaut) ist.

Und jetzt alle so! :mrgreen:

Wisst ihr noch?

DIRTY COWWisst ihr noch? Dirty cow? Überall im oktober 2016 gefixt. Wirklich überall? Mitnichten, bei „domainfactory“ wurde „dirty cow“ angeblich im juli 2018 für einen kräck ausgebeutet. Da möchte ich nicht wissen, wie der rest der security bei „domainfactory“ aussieht… 😦

Betroffene des datenlecks fordere ich dazu auf, von ihren rechten nach DSGVO gebrauch zu machen und mindestens einen schadenersatz für ihren zeitlichen aufwand mit dieser von „domainfactory“ verbockten riesenscheiße rauszuholen. Also:

  1. Auskunft von „domainfactory“ einfordern!
  2. Den mutmaßlich grob fahrlässigen verstoß gegen die DSGVO bei der nächsten polizeidienststelle zur anzeige bringen!
  3. Schadenersatz einfordern.

Ich bin wirklich daran interessiert, zu sehen, ob diese DSGVO nur ein gesetz zur einschüchterung privater und mittelständischer webseit-betreiber ist, das niemals gegen wirtschaftsunternehmen und großdatenschleuderei angewendet wird, oder ob sich die situazjon der betroffenen solcher datenschleudereien wirklich verbessert hat.

Ach ja, auch weiterhin viel spaß beim festen glauben an den euch überall versprochenen schutz euer persönlichen daten! Die liste wäxt und wäxt und wäxt. 😦

Nachtrag: „ein pfund gehacktes bitte“ beim webrocker

Security des tages

Benutzt hier jemand ein ändräut-wischofon?

Ich wünsche auch weiterhin viel spaß mit den „sauberen“ dieselmot… ähm… bei der „sicheren“ fernkontoführung mit dem händi! Grüßt die banken und sparkassen von mir! Und vergesst nicht, dass bargeld echt unbekwem ist, so dass ihr immer mit dem händi bezahlt!

Github des tages — und natürlich: linux ist sicher!!1!

Unbekannte Hacker hatten die Kontrolle über einen Github-Dienst von Gentoo Linux. Dabei sollen sie unter anderem Repositories modifiziert haben. Wer dort jüngst etwas heruntergeladen hat, muss davon ausgehen, dass er sich unter Umständen Schadcode auf den Computer geholt hat

Immerhin dürfte es eine kleinigkeit sein, den stand vor der manipulazjon wiederherzustellen. Dafür hat man ja versjonsverwaltungssysteme wie git.

Datenschleuder des tages

FastBooking, ein Hersteller von Booking-Software für Hotelketten weltweit, ist Opfer eines Hackerangriffs geworden […] Im ersten Durchgang erbeuteten die Kriminellen vollständige Namen von Hotelgästen, ihre E-Mail-Adressen und Angaben zur Nationalität sowie möglicherweise auch die Postanschrift. Hinzu kamen das Ankunfts- und Abreisedatum und der für den Aufenthalt fällige Betrag nebst Reservierungsnummer. Der zweite Beutezug zielte dann auf Kombinationen aus Namen und Kreditkartendaten ab

Auch weiterhin viel spaß beim festen glauben an den überall leichtherzig (weil völlig konsekwenzenlos) versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Benutzt hier jemand äpps für ändräut oder eiOS?

Offensichtlich sichern viele App-Entwickler ihre Firebase-Datenbank nur unzureichend ab, sodass sich Unbefugte Zugang zu Nutzerdaten verschaffen können […] 2,6 Millionen unverschlüsselte Passwörter, API Keys und Finanzdaten von Unternehmen […] Den Sicherheitsforschern zufolge genügt es, eine Server-URL mit "/.json" zu erweitern

Auch weiterhin viel spaß beim festen glauben an den überall leichtherzig versprochenen schutz eurer daten! Die liste wäxt und wäxt und wäxt… 😦

Dank auch an guhgell, deren firebase-datenbanken standardmäßig ungeschützt sind!

Hinweis via @benediktg5@twitter.com

Nutzt hier jemand wördpress?

Eine Schwachstelle im WordPress-Code ermöglicht autorisierten Angreifern unter bestimmten Umständen das Löschen beliebiger Dateien aus der Ferne […] Handelt es sich dabei beispielsweise um die WordPress-Datei wp-config.php, verliert WordPress den Zugang zur eigenen Datenbank und der Installationsprozess wird beim nächsten Aufruf der Seite geladen. Der Angreifer könnte anschließend eigene Admin-Zugangsdaten setzen und letztlich beliebigen Code auf dem Server starten

Seht ihr, das ist der grund dafür, warum die PHP-dateien von wördpress niemals mit den rechten des websörvers schreibbar sein sollten. Das gilt natürlich auch für die konfigurazjon. Dafür hat man ein berechtigungssystem. Es muss einfach nur benutzt werden. Der einzige ordner, in dem wördpress schreibrechte benötigt, ist der ordner wp-content, denn dort landen hochgeladene dateien, plugins, themes und ein eventueller cache. Wer richtig paranoid ist, legt im wp-content/uploads-verzeichnis noch eine .htaccess mit folgendem inhalt an…

php_flag engine off
AddType text/plain .html .htm .shtml .php .php3 .phtml .phtm .pl .py .cgi

…so dass niemand dort (zum beispiel über eine der immer wieder entdeckten sicherheitslücken) kohd hochladen und ausführen kann.

Wer davon überfordert ist, mit chmod die rechte zu vergeben (oder sie beim hochladen über FTP oder SFTP klicke-di-klick mit einer klickesoftwäjhr zu setzen), sollte besser gar nicht erst über ein selbstgehostetes wördpress nachdenken. Und natürlich muss die wp-config.php, wenn sie von wördpress generiert wurde, hinterher auch neu gesetzte rechte bekommen und sollte nicht dem websörver gehören. Es ist übrigens wirklich nicht schwierig, diese datei selbst in einem texteditor zu erstellen, und ich habe das immer so gemacht. Dann hat man nach dem hochladen nur einen schritt für die absicherung im dateisystem… und ein bisschen faul war ich auch schon immer. 😉

„Cloud“ des tages

Hej, was nimmt man mal als standardpasswort für eine kamera, die sich eltern in die wohnung stellen, um ihre kinder zu überwachen, wenn sie es mal nicht direkt können? Ach, da nimmt man einfach 123, und dann baut man da extra noch eine spezjalschnittstelle ein, dass ein angreifer auch gleich das ganze LAN übernehmen kann.

Auch weiterhin ganz viel spaß mit dem ganzen techniktinnef mit internet!

Security des tages

Wenn der meikrosoft-webbrauser mediendateien (zum beispiel musik) nachlädt, kann dies als seitenkanal für den zugriff auf beliebige für den edge-brauser zugängliche informazjonen benutzt werden:

It’s kinda pathetic how excited I got about this, but this is a huge bug. It means you could visit my site in Edge, and I could read your emails, I could read your Facebook feed, all without you knowing

Aber einen brauser von meikrosoft benutzt man sowieso nur einmal, um sich einen richtigen webbrauser runterzuladen. Wer etwas englisch lesen kann, kann in der verlinkten seite ein weiteres beispiel dafür sehen, wie man bei meikrosoft damit umgeht, wenn jemand ein schweres sicherheitsproblem in der softwäjhr meldet. Für alle, die nicht gut englisch lesen können, hier meine zusammenfassung: kalt und abschreckend.

Übrigens: ein nachwaxender security-forscher, der die kommentarfunkzjon seiner webseit mit disqus macht, ist nicht nur hochnotlächerlich, sondern hat auch schon einmal die daten von 17,5 milljonen nutzern „veröffentlicht“.

Juchu! Der cyberkrieg ist gewonnen!!!elf!

Die EU-Agentur für Netz- und Informationssicherheit soll künftig die Sicherheit vernetzter Geräte zertifizieren

Demnächst klebt ein (selbstverständlich nicht allzu preiswerter) EU-zertifizierungssticker auf dem ganzen techniktinnef, mit dem sich menschen die wohnung und ihr leben vollstellen, und dann ist alles sicher! Wers glaubt, kann sich gut fühlen!

Wer nicht sofort sieht, warum das reinster bullschitt ist, mache sich einfach mal drüber kundig, wie viel aufwand eine halbwegs ordentliche security-revjuh von hardwäjhr und softwäjhr bedeutet. Der aufwand steigt — natürlich ist das kein wissenschaftlich ermittelter wert, sondern eine faustregel — mindestens exponenzjell mit der komplexität. Und wenn es dann für jede sicherheitsaktualisierung noch einmal eine eigene zertifizierung geben muss — sonst ist es ja sinnlos, entweder, weil entweder bekannte fehler ausgebeutet werden können oder weil die sicherere versjon nicht den EU-stempel hat — dann möchte ich mal sehen, welche leute diese arbeit machen sollen. Und nein, wer so etwas kann, gibt sich nicht mit der üblichen besoldung eines beamten zufrieden. Eine solche bescheidenheit von vielgesuchten fachleuten wäre auch ganz schön dumm.

Herzallerliebst auch die fest auf beiden beinen in den wolken stehenden organisazjonen, die von der DPA unter dem wort „verbraucherschützer“ zusammengefasst wurden:

Verbraucherschützer kritisierten, dass die Zertifizierung auf freiwilliger Basis erfolgen solle

Nun, werte „verbraucherschützer“, es bleibt ihnen unbenommen, statt nach mehr staat zu rufen, einfach geräte zu kaufen, die hard- und softwäjhr zu analyisieren und fundierte informazjonen für die „verbraucher“ herauszugeben. (Einen menschen als „verbraucher“ zu bezeichnen, als wäre er nur ein widerstand in einem absurden stromkreis, ist eine schwere beleidigung seiner intelligenz und fähigkeiten.)

Ach, das ist nicht durchführbar? Es ist übrigens auch für die EU nicht durchführbar. Zu so einer scheißidee lacht man bestenfalls wegen des gebieterischen lachzwanges, aber man versucht nicht, sie noch beschissener zu machen. Stellt euch mal vor, innerhalb der EU würden demnächst einige hunderttausend router gepwnt, weil die EU-zertifizierungsstelle ein paar tage für die analyse des pätsches braucht und diese zertifizierung verpflichtend ist. Darüber freuen sich nicht „verbraucher“, darüber freuen sich nur verbrecher. In vielen fällen würde die lage tatsächlich noch beschissener, als sie es eh schon ist.

Weia, überall geisterfahrer auf den datenautobahnen durchs neuland… die generazjon teletubbie regelt mit wischofonen in der hand unser miteinader.

„Cyber cyber“ des tages

Alarm! Alarm! Der russe kommt!!1!

Hackerattacken
BSI warnt vor Angriffen auf Stromnetze

Und hej, wie perfide die „russenhäcker“ schon wieder vorgegangen sind. Die haben doch glatt mäjhl mit schadsoftwäjhranhang versendet!!!elf! Und irgendwelche idjoten, die zum hohn auch noch in ihrem lebenslauf reinschreiben, dass sie sich mit kompjuterzeugs, offißß und internetz auskennen, weils so im bewerbungsratgeber steht, die machen diese anhänge auch noch auf.

Und daraus wird dann ein „häckerangriff“. 😆

Wenn das der maßstab ist, dann wehre ich jeden tag mindestens zwanzig häckerangriffe auf meine persönliche „kritische infrastruktur“ ab, weil ich in mäjhls nicht reinklicke und keine anhänge von mäjhls aufmache. So kann keiner bei mir rumcybern. Dettelbach ist überall.

Datenschleuder des tages

Die datenschleuder des tages ist eine DNA-analysierende klitsche namens myheritage, die mal eben rd. 92 milljonen mäjhladressen und passwörter ihrer kunden „veröffentlicht“ hat.

Ich wünsche auch weiterhin viel spaß beim festen glauben an den überall mit warmen worten und völlig konsekwenzenlos versprochenen schutz eurer daten! Die liste wäxt und wäxt und wäxt.

Tolle idee des tages

Diese „elektronische gesundheitskarte“, ein typisches BRD-leuchtturmprojekt, das das ganze neuland mit licht überflutet hat, war ja nicht so der bringer. Da muss schnell eine neue idee her: lasst euch von euren krankenversicherungen andrehen, dass eure gesundheitsdaten in einer total gesicherten „deutschland-cloud“ (bestimmt mit TÜV-plakette) gespeichert werden und verwaltet eure gesundheitsdaten mit dem security-albtraum eurer völlig durchtrojanifizierten wischofone!

Hej, ist verschlüsselt, und der schlüssel wird auf dem wischofon generiert. Und so ein wischofon ist doch voll sicher, das ist sogar so sicher, dass die meisten nutzer gar keine sicherheitsaktualisierungen mehr kriegen. Was kann da also schon schiefgehen? Hej, und die fachärsche werden mit guhgell gesucht, so dass guhgell gleich noch seine träckingdaten um den arztbedarf erweitern kann. Dass euer tarif nach eurem lebensstil und auf grundlage vom datenbergbau festgesetzt wird und dass damit das solidarprinzip der gesetzlichen krankenversicherung aufgegeben wird, kommt allerdings erst, wenn ihr die kröte mit dem scheißwischofon geschluckt habt.

Hej, und der gründer von vivy hat sich auch schon einmal als spezjalexperte für security hervorgetan. Der hat also erfahrung!!11!

*grusel!*

Wer trotz der völligen tschip-tschip-hurra-enthirnung mit flutschebuntem gädjet-wahn unserer zeit noch bemerkt, dass bei dieser tollhaustollen idee ganz viel schiefgehen kann und bei einer der teilnehmenden betrieblichen versicherungen, der DAK, der allianz, der gothaer oder der süddeutschen krankenversicherung versichert ist, sollte besser ganz schnell die versicherung gegen eine wexeln, die ihre versicherten nicht wie idjoten behandelt und sie nicht diesen von scheißwerbern schöngelogenen vermeidbaren risiken aussetzt! Angesichts derartiger hochgefährlicher schwachsinnsideen gehe ich von einem sonderkündigungsrecht aus, weil jedes vertrauensverhältnis zerstört ist.

Elektronische krankenkarte des tages

Erbarmen!

eGK soll als ELGA smartphonetauglich werden

Ich wünsche euch viel spaß dabei, eure gesundheitsdaten über solche datensicherheitsalbträume wie eure schon mit werksseitig vorinstallierten trojanern ausgestatteten wischofone laufen zu lassen! Was kann dabei schon schiefgehen?

Hej, aber hauptsache, jeder betreiber einer webseit fühlt sich in der BRD zurzeit wie jemand, der mit einem bein im knast steht und mit der hand auf der anderen seite die existenzbedrohende abmahnung aus dem briefkasten zieht, nur, weil er ein paar informazjonen zu seinem hobby veröffentlicht oder ein paar persönlich gefärbte anmerkungen zum tagesgeschehen von sich gibt. Da muss man ja nicht auch noch die gesundheitsdaten von menschen vor irgendwas schützen. Das wäre ja wirklich zu viel verlangt!!!1!elf!

Aber vollidjoten kann man eben alles andrehen.

via @gehrke_test@libranet.de.