WördPress des tages

Wisst ja, dieses wördpress ist so unsicher, das wird ja so oft gehäckt…

Ich durfte in den letzten Wochen knapp ein dutzend Installationen aktualisieren, auf denen WordPress und die Plugins seit mehr als vier Jahren (!) nicht mehr aktualisiert wurden und das ist nur deswegen zu Stande gekommen, weil die Hoster jetzt nach und nach auf aktuellere PHP-Versionen umsteigen

*grusel!*

Lösung des tages

Arne Schönbohm, obermotz des bummsamtes für sicherheit in der informazjonstechnik, hat anlässlich der aufmerksamkeit von dummen, ahnungslosen scheißjornalisten für die CEBIT endlich die lösung für die ganzen sicherheitsprobleme mit diesem internetz der dinge gefunden:

Auch die Politik muss für Sicherheit sorgen […] Wir wollen ein Gütesiegel einführen, das garantiert, dass das Gerät Mindeststandards für die IT-Sicherheit erfüllt

Bwahahahaha!

Die IT-sicherheit wird bestimmt genau so toll gemessen wie die abgaswerte und der kraftstoffverbrauch von autos! Mit einem tollen secure-o-meter beim TÜV. Wenn sich der zeiger nur ein bisschen bewegt, statt gleich an den anschlag zu klappern, gibts auch einen teuren aufkleber mit BRD-reichsamsel¹ und draufgestempelten siegel, mit etwas frischem schlangenöl bestrichen.

Bwahahahaha!

Oder wollen die etwa wirklich kwelltexte von richtigen, teuren experten analysieren lassen. Selbst das garantiert keine fehlerfreiheit. Man kann getrost davon ausgehen, dass sich sehr viele leute mit einem gewissen maß an ahnung die kwelltexte vom linuxkernel anschauen, und doch werden da immer wieder einmal wirklich schwere fehler gefunden, die jahrelang unentdeckt blieben. Aber ein ordentliches sicherheits-auditing wäre deutlich mehr als irgendwelche bullschitt-verfahren. Es kostete allerdings auch deutlich mehr.

Aber hej, eine gute idee steckt in den ganzen konjunktiven:

Wer ein Produkt herstellt, das nicht sicher ist, sollte für Schäden verantwortlich gemacht werden können

Ich wünsche eine übertragung dieses tollen ansatzes vom „internetz der dinge“ auf gewöhnliche kompjuter, wischofone und allerlei smartdinger, die ja gar nichts anderes sind!!!1!elf!!1!!!!1!

Schluss mit dem haftungsausschluss!!!!111!1!!!1! Und scheiß auf die sonst immer geforderte globalisierung!

Die herstellung von softwäjhr (programmieren) muss endlich wieder ein riesengroßes juristisches risiko werden, das existenzbedrohende kosten nach sich ziehen kann!!!ölf!!!hundertelf!1! So geht es voran!!!!!!1! Und vor allem: so kann man auch endlich diese industrie 4.0 machen und jedes plumpsklo mit dem internetz verbinden, es ist ja ein bullschitt-siegel drauf, das sicherheit verspricht! Denn diese lösung ohne problem (außer vielleicht des problemes der totalen überwachung des lebens aller menschen und sämtlicher wirtschaftsvorgänge) wird ja ganz unbedingt und alternativlos gebraucht, also muss man sie den leuten, deren intelligenz man offen verachtet, immer und immer wieder verkaufen…

Cyber, cyber!

¹Amtliche bezeichnung: bundesadler.

S/M des tages

Na, benutzt hier jemand das zwitscherchen. Und findet, dass das zwitscherchen viel schöner ist, wenn man auch ein paar zahlen sieht und verwendet deswegen deswegen den gepwnten dienst „twittercounter“ oder — die kwalitätsjornalisten sind sich da noch nicht einig geworden — „the counter“? Tja, ist schon scheiße, wenn man dann auf einmal zur propagandaschleuder wird und auf türkisch mitteilt, wie scheiße doch nazideutschland und naziholland sind. Schon doof, wenn man irgendwelchen zahlenjonglören, die durch anzeige von zahlen bedeutsamkeit simulieren, volle schreibrechte in den eigenen zwitscherchen-kanal gewährt und auf einmal hakenkreuze zwitschert. Gar nicht auszudenken, was passiert wäre, wenn es darauf auf einmal richtig teure bußgelder gäbe, so wie Heiko Maas sich das wünscht.

Einfallstor für die Hacker sei vermutlich die App „Twitter-Counter“ gewesen

Möge den nutzern des zwitscherchens ein gehirnchen waxen, damit sie merken, dass es nicht auf zahlen ankommt!

Auch auf verifizierten Accounts zahlreicher deutscher und internationaler Prominenter fanden sich am Mittwochmorgen Nachrichten identischer Tweets in türkischer Sprache mit den Hashtags #Nazialmanya und #Nazihollanda

Ach so, das waren „prominente“. Und jornalistische scheißprodukte wie „prosieben“ und die springersche „welt“. Und milljardenschwere brüllball-psychofutterfabriken wie „borussja dortmund“. Oh, die PR-abteilung von „amnesty international“ war auch dabei. Gut, die legen natürlich allesamt andere maßstäbe an die kommunikazjon ihrer dummen selbstreklamefiepser an, die haben lieber was zum zählen… :mrgreen:

Zum guten schluss das weise wort des tages:

Wenn ich in Mainstream-Medien lesen, dass wieder etwas „gehackt“ wurde, weiß ich, dass sich in 95 Prozent der Fälle jetzt der Bullshit-Faktor um ein Vielfaches erhöht

Tja, wer einem dritten für eine handvoll glasperlen… ähm… für ein paar völlig unüberprüfbare und intransparent gewonnene statistiken absurd weitgehende rechte einräumt, dass dieser dritte in seinem namen öffentlich sprechen kann, braucht gar nicht mehr umständlich gehäckt zu werden. Er hat selbst aufgeschlossen. Freiwillig.

Webbrauser des tages

Gehört hier jemand zu den 500 milljonen menschen, die als webbrauser den UC browser für wischofone benutzen? Der hat einen interessanten fehler. Man kann einfach in der adresszeile die URI einer beliebigen anderen seite anzeigen lassen. Und das HTML, das man dafür tippen muss, ist auch nicht so schwer zu tippen — nein, für den exploit braucht man ausnahmsweise einmal kein javascript.

Ein paradies für phisher!

Also, wenn jemand das ding benutzt: holt euch eine gefixte versjon… und wenn es die noch nicht gibt, benutzt so lange einen anderen webbrauser!

Ändräut des tages

Beim aktuellen Fall handelt es sich allerdings um besonders perfide Malware, die auf einigen Smartphones von namhaften Herstellern gefunden wurde. Diese sei bereits vorinstalliert auf den Geräten gewesen

Auch weiterhin viel spaß mit euren wischofonen! Wenn euch doch nur einer vor einer kultur gewarnt hätte, in der sich große, börsennotierte unternehmen rausnehmen, uninstallierbare trojaner auf euren persönlichen kompjutern installieren zu lassen und in der die hersteller eurer persönlichen kompjuter so eine kundenverachtende drexscheiße gern für eine handvoll dollar mitnehmen, weil es ja überhaupt keine konsekwenzen hat! Und jetzt glaubt bitte auch noch dem asozjalen bänker, der euch sagt, dass ihr mit diesen dingern fernkontoführung¹ machen und bezahlen sollt! Was kann dabei schon schiefgehen?

¹Mein wort für das, was werbelügner „onleinbänking“ nennen.

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich hat mal eine studie zur security von javascript-biblioteken gemacht und dabei zum erschrecken des gesamten kosmos rausgekriegt, dass es darum nicht so gut bestellt ist:

Mehr als ein Drittel der Alexa-Webseiten (38 Prozent) brachten mindestens eine verwundbare Bibliothek mit, 10 Prozent sogar zwei oder mehr. Bei den „.com“-Seiten waren es 37 Prozent und 4 Prozent. Auf die Bibliotheken selbst bezogen betrafen die Sicherheitslücken Jquery (37 Prozent), Angular (40 Prozent), Handlebars (87 Prozent) und YUI-Inclusions (87 Prozent). Die Autoren der Studie fanden es nicht nur alarmierend, dass viele Sites an veralteten Bibliotheken wie YUI und SWF-Object festhalten, sondern die durchschnittliche Webseite Bibliotheksversionen verwendet, die 1177 Tage älter ist als die neueste Release

Die webseit läuft, warum also sollten die javascript-biblioteken gepflegt werden? Immerhin, es gibt eine art von webseitbetreibern, die zumindest besser darauf zu achten scheinen als der rest:

[…] erwies sich, dass 52 respektive 50 Prozent der Finanz- und Regierungsseiten angreifbar sind. Spam- und Malware-Seiten rangieren bei etwa 24 Prozent, während Pornoseiten am wenigsten verwundbar sind, mit rund 19 Prozent

Wenn ihr etwas für eure kompjutersicherheit tun wollt, dann schaltet javascript im webbrauser so weit wie möglich ab und gebt nicht mehr jedem anonymen gegenüber im web das recht, kohd in eurem webbrauser auszuführen. Ein addon wie noscript macht das relativ einfach. Und lasst euch auf gar keinen fall von scheißjornalisten belügen, die euch dazu nötigen wollen, dass ihr javascript wieder einschaltet.

Benutzt hier jemand den thunderbird?

[…] wurden neun Sicherheitslücken geschlossen, von denen fünf die höchste Gefahreneinstufung erhalten haben

Hui, speicherbereiche wurden nach der freigabe einfach weiterbenutzt… holt euch bloß schnell die aktuelle versjon, am besten genau jetzt! Die leute, die solche sicherheitslücken ausnutzen, um euch verschlüsselungstrojaner und dergleichen zu installieren, schlafen nämlich nicht.

Übrigens: alle wirklich üblen fehler scheinen in irgendeinem zusammenhang mit HTML-mäjhl und CSS zu stehen. Das ist der grund, weshalb man keine HTML-mäjhl verwendet. (Wenn man ein stark formatiertes dokument versenden will, kann man es auch anhängen.)

Internet der dinge des tages

Security
Hoppla! Mehr als 185.000 WiFi-kameras mit unsicherer administrazjons-schnittstelle im web

Zieht einfach die stecker raus, bevor jemand ein botnetz daraus macht…

Natürlich wird keiner die stecker rausziehen. Woher sollen die leute denn wissen, das da jeder ohne passwort kohd hochladen und ausführen kann? Woher sollen die fabrikmäßig von schule, glotze und presse verdummten idjoten überhaupt wissen, was das bedeutet?

Wördpress des tages

Achtung, hier kommt ein ganzer korb voller frischer schlampigkeiten in wördpress-plugins.

Benutzt hier jemand wördpress und hat da ein paar plugins drinnen? Zum beispiel analytics stats counter, admin custom login (gleich mit zwei sicherheitslöchern), trust form, WP-filebase download manager, WP-spamfree, file manager, global content blocks, gwolle guestbook, newstatpress, wordpress download manager, magic fields 1, google analytics dashboard, alpine photo tile for instagram, wordpress adminer, user login log, contact form manager oder contact form?

Alle mit ausbeutbaren, teilweise fürchterlichen XSS-lücken. Also los, aktualisiert mal! Am besten, ihr aktualisiert schnell. Und wenn das nicht geht, schaltet wenigstens die verdammten plugins ab, die hier erwähnt wurden! Oder wollt ihr ein gekräcktes blog haben, das irgendwelchen idjoten zur verteilung von schadsoftwäjhr dient, für die ihr dann juristisch verantwortlich gemacht werdet?

Security des tages

Benutzt hier jemand einen passwort-mänätscher für sein ändräut-wischofon, weil er mal gelesen hat, dass das sicherer ist? [Link geht auf einen englischen text]

[…] we performed a security analysis on the most popular Android password manager applications from the Google Play Store based on download count. The overall results were extremely worrying and revealed that password manager applications, despite their claims, do not provide enough protection mechanisms for the stored passwords and credentials. Instead, they abuse the users‘ confidence and expose them to high risks.

[…] Some applications stored the entered master password in plaintext […]

Weia, diese brandneue sicherheitstechnik aus den frühen siebziger jahren, ein passwort in form eines gesalteten häsches zu speichern, scheint immer noch viele programmierer von „sicherheitssoftwäjhr“ zu überfordern.

Auch weiterhin viel spaß mit der gefühlten sicherheit auf eurem windohs 95 für die zehner jahre (ändräut) durch sicherheitssoftwäjhr aller art!

Datenschleuder des tages

Benutzt hier jemand „cloudflare“? Die wölkchen dort konnten ganz ordentlich daten abregnen. Oder, um es einmal mit jemanden zu sagen, der vor ein paar tagen auf das kleine Fehlerchen gestoßen ist:

It became clear after a while we were looking at chunks of uninitialized memory interspersed with valid data […] some of the nearby memory had strings and objects that really seemed like they could be from a reverse proxy operated by cloudflare – a major cdn service […] It looked like that if an html page hosted behind cloudflare had a specific combination of unbalanced tags, the proxy would intersperse pages of uninitialized memory into the output […] We fetched a few live samples, and we observed encryption keys, cookies, passwords, chunks of POST data and even HTTPS requests for other major cloudflare-hosted sites from other users

Weia! Wie der kohd aussieht, der so einen fehler verursacht, möchte man sich gar nicht weiter vorstellen.

Ah, heise onlein hat auch schon einen artikel. Nun ja, wenn da vorher schon jemand mit böseren absichten die daten aller art abgegriffen hat, ist „cloudflare“ auch jetzt im februar schon ein kandidat für die größte datenschleuder dieses jahres.

Auch weiterhin viel spaß beim festen glauben an den datenschutz! Die liste wäxt und wäxt und wäxt, und beinahe niemals führt die fahrlässigkeit zu einer haftungspflicht oder wenigstens zum konkurs der verantwortungslosen klitschen.

via @pbielefeldt@quitter.se

„Mit linux wär das nicht passiert“ des tages

[…] double-free vulnerability I found in the Linux kernel. It can be exploited to gain kernel code execution from an unprivileged processes

Sehr praktisch, wenn man mal gerade keine root-rechte hat, aber einen rechner administrieren möchte. Nicht, dass hier noch jemand glaubt, in linux gäbe es keine verheerenden sicherheitsprobleme. Dieses ist zum glück gefixt.

Meikrosoft des tages

Meikrosoft kriegt es nicht hin, binnen neunzig tagen einen schweren fehler in windohs zu fixen, und alle anwender von meikrosoft windohs haben jetzt eine schwere sicherheitslücke auf ihren rechnern, die von fiesen häckern ausgenutzt werden kann. Drei monate sind für einen monströsen laden wie meikrosoft schon eine ziemlich lange zeit, da fehlt es nicht an möglichkeit, da fehlt es am willen. Die anwender von meikrosoft-produkten sind meikrosoft egal. Meikrosoft ist eben nur auffällig schnell und wartet auch gar nicht extra einen „pätschdäjh“ ab, wenn mal ein paar ausbeutbare fehlerchen in der meikrosoften DRM-technikverhinderung und anwendergängelung gefixt werden müssen

Weia, GDI wird dauernd benutzt. Ich finde es fast ein bisschen schade, dass das schon jetzt kommt. Der anwendungsfall, einen mäjhlanhang mit meikrosoft offißß zu öffnen, wird genau da ein bisschen häufiger vorkommen, wo jetzt ein paar entscheidungsträger auf die idee gekommen sind, dass dieses limux scheiße ist und in kürze wieder durch kwalitätssoftwäjhr wie meikrosoft windohs ersetzt werden soll. Da hätte das wort von der „offenen verwaltung“ eine ganz neue bedeutung bekommen, wenn einen guten monat lang jedes häckkind dieser welt die schangse gehabt hätte, eine offene und dokumentierte sicherheitslücke auszunutzen. :mrgreen:

Und morgen im gleichen kanal, vorgetragen von ahnungslosen p’litikern: die fiesen cyber-cyber-angriffe, die hier alles, alles, alles bedrohen!!1!elf!!

Nachtrag: Trash-Log