Security des tages

Nutzt hier jemand das äddon woocommerce für wördpress? Dann spielt die verdammte sicherheitsaktualisierung ein, aber ganz schnell!

Selbst wenn sie nur eine basisinstallazjon betreiben, es keine kundenkonten gibt und keine personenbezogenen daten wie namen und mäjhladressen gesammelt oder verarbeitet werden, ist es schon beunruhigend genug, zu wissen, dass jemand anders möglicherweise mit ihren inhalten herumspielt, betrügerische links setzt oder fäjhknjuhs unter ihrem namen veröffentlicht. Aber sicherheitslücken in den äddons, die sie benutzen, um onlein-zahlungen auf ihrer webseit zu ermöglichen, sind ein ganz anderer grund zur sorge

Deutlich genug? Also spielt den scheißpätsch ein! Ist mit wördpress doch nur ein klick! Kostet nicht einmal nennenswert zeit und erfordert keine großen technischen kenntnisse. Meine fresse!

(Und wenn ihr schon dabei seid: inzwischen ist die security-geschichte von woocommerce so lang und hoffnungslos, dass ihr ernsthaft darüber nachdenken solltet, ob ihr euch weiterhin diese ziemlich riskante krüppelscheiße in eurer leben holen wollt. Ich weiß nicht, ob es gute alternativen gibt, aber ich wills mal so sagen: wenn ihr wollt, dass jemand anders die verantwortung für euer dummes tun und leben übernimmt, dann lasst euch einen vormund bestellen!)

Schlangenöl des tages

Ich gebe mal weiter an Fefe, der kurz nacherzählt, wie sich sophos selbst zum honk macht.

Kleines sicherheitsproblem des tages

Na, benutzt hier jemand so eine „intelligente“ alarmanlage mit internetz, die man über einen klautdienst fernsteuern kann? Die ist voll zuverlässig!!1!

Pwned!
Das haussicherheitssystem, dass mit deiner mäjhladresse gecräckt werden kann

Der erste Fehler, der schon im mai 2021 gemeldet wurde und CVE-2021-39276 genannt wurde, bedeutet, dass ein angreifer, der die mäjhladresse kennt, mit der du das produkt registrierst hast, diese mäjhladresse als passwort verwenden kann, um das system mit befehlen zu steuern — damit kann auch der gesamte alarm ausgeschaltet werden.

Weia! 🤦‍♂️️

Lasst euch niemals so eine kaputte scheiße andrehen! Sobald in einem produkt händi oder klaut drin sind, ist es tendenzjell als scheiße zu betrachten. Wenn es dann sogar noch ein „sicherheitsprodukt“ ist, dürft ihr euch übers versagen nicht wundern… wenn kameras dabei sind, wissen einbrecher sogar häufig, ob jemand in der wohnung ist und ob sich der einbruch überhaupt lohnt.

Was hatten wir denn lange nicht mehr?

Richtig, dass man einem aktuellen windohs ein netzwerkpaket schickt — im grunde ein ping — und windohs macht einen blauen bildschirm. Funkzjoniert natürlich auch mit einem windohs-sörver. Bonus: das ist ein buffer-überlauf. Man muss windohs gar nicht abstürzen lassen, sondern könnte auch beliebigen kohd übers netzwerk ausführen. 💀

Gut, das ist im moment eine teoretische möglichkeit. Alles ist eine teoretische möglichkeit, bevor es auf einmal ein praktischer und zerstörerischer angriff ist. häcker häcken. Auch kriminelle häcker häcken.

Spielt die verdammten aktualisierungen ein! Der näxste wurm kommt bestimmt!

Security des tages

Was hat uns denn allen noch ganz dringend gefehlt? Richtig: ein verschlüsselnder erpressungstrojaner, der in einer virtuellen maschine läuft, um sich vorm zugriff durch antivirus-schlangenöl zu schützen. Das ist eine menge aufwand, und vor allem viel mehr, als zurzeit nötig ist, um privatleuten und kleinen mittelständlern geld abzupressen. Aber schön, mal zu hören, womit die verbrecher so rumspielen.

(Und hej, dank virtualisierung lässt sich dieser etwas schwergewichtige trojaner kinderleicht auf linux portieren… nur mal so als hinweis für alle angemerkt, die sich zu sicher fühlen. Gefühlte sicherheit ist gefährlich. Seid lieber vorsichtig und benutzt eure gehirne. Zum glück ist es unter linux viel schwieriger, einen anwender dazu zu bringen, ein programm auszuführen, weil es dafür mehr als nur einen dateinamen braucht.)

Endlich!

Endlich kann ich in ruhe sterben! Ich habe die zukunft gesehen!

Die welt hat so lange darauf warten müssen! Endlich gibt es smarte klos, die so genannte „künstliche intelligenz“ benutzen, dich am aussehen deines arschloches identifizieren und deine kacke und pisse medizinisch analysieren (und natürlich irgendwo hinfunken, ist ja „smart“, also überwachung, wisst schon, für die rechenleistung in der klaut und so)! [Link geht auf einen englischsprachigen text.]

…und die daten werden mit privatsfärenschutz gespeichert, in etwas, das die wissenschaftler als ein „sicheres, klaut-basiertes system“ bezeichnen, was wir aber lieber einen „kompjuter anderer leute“ nennen

Genau richtig für die leute, denen die wischofone und die überwachungsarmbanduhren noch nicht weit genug in die intimsfäre reinragen. Und wir anderen, wir müssen jetzt sogar beim kacken auf den klos anderer leute erstmal nachgucken, ob wir dabei gefilmt, beskännt und bestuhlprobt werden. Ich würde in so einem fall nämlich das gebüsch vorziehen.

Schlagzeile des tages

Brand new Android smartphones shipped with 146 security flaws

[…] Remember, these devices, which included Android smartphones made by Samsung and Xiaomi, had never even been turned on, let alone downloaded a dodgy app – these are the security problems shipped with your new phone, not ones that compromise the device during its use […]

Auch weiterhin viel spaß mit euren wischofonen! Müsst ihr mit bezahlen, eure gesundheitsdaten mit verwalten (demnächst sicherlich von einigen krankenkassen erzwungen, wenn ihr nix dagegen tut) und eure fernkontoführung mit machen. Ist voll sicher. Der onkel werber hats gesagt, und sein hässlicher, stinkender bruder, der jornalist, hat zugestimmt. Und schon nach kurzer zeit kriegt ihr gar keine sicherheitsaktualisierungen mehr. Könnt euch ja einfach ein neues kaufen, wenn ihr euch besser fühlen wollt! Ist ja voll wichtig, dass man sich wenigstens gut fühlt, wenns schon im oberstübchen nicht so gut aussieht.

Isotonische getränke auf die äcker!

Krüpplografie des tages

Das fratzenbuch hat einen private key… ähm… irgendwo im internetz verloren, mit dem es seine ändräut-äpps digital signiert, und jetzt taucht immer wieder mal vom fratzenbuch digital signierte softwäjhr von irgendwelchen leuten auf. [Link geht auf einen englischsprachigen text]

Aber hej, diesen spezjalexperten, die nicht einmal ihren private key sicher ablegen können, denen könnt ihr schön weiter euer ganzes leben und eure STASI-akte zum selbstschreiben anvertrauen!

Benutzt hier jemand wördpress?

Über werbebanner verteilte schadsoftwäjhr kann, wenn ihr an eurem wördpress-blog mit administrativen rechten angemeldet seid, einen neuen benutzer „wpservices“ einrichten, dem weitgehende rechte gegeben werden und der irgendwelchen kriminellen jeden beliebigen missbrauch eures blogs oder eurer webseit ermöglicht [link geht auf einen englischsprachigen text].

Und wisst ihr, was dagegen schützt? Nicht schlangenöl, sondern wirksame adblocker, die jede werbung wegblocken und damit die ausführung des schadkohds an der wurzel verhindern. Das beste daran: die machen auch das web viel angenehmer und schneller. Also installiert euch einen wirksamen adblocker und schaltet den niemals, niemals, niemals wieder ab, egal, was euch irgendwelche scheißjornalisten erzählen! 😉

S/M des tages

Report:
53% of social media logins are fraudulent

Auch weiterhin viel spaß mit dem ganzen S/M-scheiß. Und hej, werber, da müsst ihr werbung schalten, denn das ist toll, da ist man direkt bei den menschen!!!1!elf!

Smart-lemminge des tages

Tja, wenn man sich im auto auf sein „smartes“ navigazjonsgerät verlässt, dann landet man wegen des zeitraubenden staus schon einmal auf einer von guhgell vorgeschlagenen, zeitsparenden „straße“, wo man zwei stunden lang auf feldwegen durch den schlamm fährt oder sich auch mal im schlamm festfährt [der link geht auf einen englischsprachigen text]. 😀

Früher, bevor alles „smart“ wurde, hatten die menschen ja mal augen und ein gehirn, das einen feldweg von einer straße unterscheiden kann und das aus der lebenserfahrung heraus wusste, dass feldwege nach regenfällen oft aufgeweicht sind (jedes kind weiß das). Aber wenns internetz im händi ist, ists gehirn im arsch. Die verdummung ist längst erbärmlich geworden, und die folgen der verdummung zeigen sich überall in der gesellschaft. Guhgell befiehl, wir folgen dir!

Security des tages

Eine vielverwendete medizinische infusjonspumpe kann aus der ferne übernommen werden [link auf einen englischsprachigen text]. Wie groß ist das problem? Nun, wenn man im gleichen netzwerk ist, kann man beliebigen kohd auf die pumpe aufspielen, und die führt den dann aus. Wenn man jemanden damit umbringen will, könnte man sogar nach dem mord wieder die originalsoftwäjhr draufspielen, um ein spurloses verbrechen zu begehen. Oder man lässt es einfach so aussehen, als hätte das krankenhaus eine falsche dosierung eingestellt.

Auch weiterhin viel spaß im krankenhaus! So viel moderne und sichere technik, was kann da schon schiefgehen…

Überwachung des tages

Was „browser-fingerprinting“ ist, weiß hoffentlich inzwischen jeder. Man identifiziert menschen nicht mehr mithilfe eines cookies, sondern anhand aller möglicher daten, die eine webseit über javascript abfragen und zu irgendjemanden übertragen kann: etwa die installierten fonts, der verwendeter brauser, addons im brauser, zeitzone, betrübssystem, bildschirmauflösung, fenstergröße — und wenns derb wird, wird sogar noch überwacht, wie die maus geschoben und die tastatur benutzt wird. Wer einmal einen einblick bekommen möchte, wie viele bit identifizierender informazjon man daraus generieren kann und wie eindeutig das ist: die EFF hat schon seit ein paar jahren eine interessante demonstrazjon im web. Natürlich läuft so etwas normalerweise völlig unauffällig im huntergrund ab, während man auf irgendwelchen webseits ist. Cookies zu löschen hilft gar nicht, weil keine verwendet werden. Der beste schutz gegen solche mafiagestapometoden der scheißwerber ist übrigens ein sehr restriktiver umgang mit dem eingeräumten privileg für webseits, javascript im brauser auszuführen. Das ist übrigens auch generell ein guter schutz vor der übernahme des webbrausers durch ausgenutzte fehler im webbrauser, denn praktisch alle ausbeutbaren fehler der letzten jahre standen im zusammenhang mit javascript.

Warum ich diese olle, wohlbekannte tatsache noch einmal in erinnerung bringe? Nun, hat hier vielleicht jemand ein wischofon? Da sind sensoren drin, die man über javascript abfragen kann, und mit denen bekommt man sehr viele identifizierende bit informazjon raus (link geht auf eine englischsprachige webseit).

Der zugriff auf diese sensoren erfordert keine besonderen berechtigungen, und der zugriff auf die daten ist sowohl über eine native äpp, die auf einem gerät installiert ist, als auch über javascript beim besuch einer website auf einem eiOS- und ändräut-gerät möglich

Auch weiterhin viel spaß mit euren wischofonen! Ist ja alles so toll und zukunft, inzwischen kann man mit den dingern sogar reden. Erich Mielke wäre so stolz auf euch gewesen!

Datenschleuder des tages

Ein bislang unbekannter datensammler hat die daten von über 275 milljonen menschen aus indien veröffentlicht, jeweils name, geschlecht, mäjhladresse, telefonnummer, monatseinkommen und die komplette bisherige arbeitsplatzgeschichte. Und veröffentlicht ist hier wortwörtlich zu verstehen. Die daten lagen ohne jeden zugriffsschutz im internetz, und sie wurden sogar von einer suchmaschine indiziert, so dass auch menschen ohne vertiefte technische kenntnisse darauf zugriff haben können.

Ich wünsche euch allen auch weiterhin ganz viel spaß und orwellness beim festen glauben an den datenschutz, der euch überall konsekwenzenlos versprochen wird. Dummheit ist der rohstoff des 21. jahrhunderts. Die liste wäxt und wäxt und wäxt.

Träcking des tages

Nutzt hier jemand einen voll aufgeplusterten webbrauser statt eines kleineren progrämmchens (foxit ist auch sehr gut), um PDFs zu lesen? Das ist keine gute idee. Die als webbrauser getarnte überwachungssoftwäjhr krohm von guhgell funkt zum beispiel bei gewissen PDFs nach hause, dass sie gelesen werden, und wer weiß, was da noch für exploits möglich sind!

Welche vollidjoten sind eigentlich auf die idee gekommen, jede tätigkeit am rechner in einem immer komplexeren und monolitischeren webbrauser zu machen?! Was war denn daran falsch, dass der brauser einfach die zum MIME-type passende anwendung aufmacht?! Ach! Ihr lasst euch ja sogar schon ein offißß im webbrauser andrehen. Und hinterher weint ihr, weil euch niemand vorher gewarnt hat…

Privatsfäre des tages

Ich mag das ja, wenn leute auf irgendwelchen STASI-media-webseits von börsennotierten klitschen ohne seriöses geschäftsmodell „privat“ mit anderen leuten kommunizieren wollen und die sonst nur von diesen scheißklitschen angesammelten daten dann mal durch ein bedauerliches, kleines missgeschick hervorkwellen. Tja, was habt ihr denn geglaubt? Dass die daten gelöscht werden? Dieser wertvolle rohstoff des 21. jahrhunderts?

Wusstet ihr schon?

Wusstet ihr schon, dass scheißjuhtjuhbb von scheißguhgell eventuelle texte in von euch hochgeladenen videos erkennt und verarbeitet — wenns URLs sind, schaut evil guhgell gleich mal vorbei [link auf einen englischsprachigen text]

Das video zeigte eine URL, die er unter kontrolle hatte und dazu benutzte, seinen XSS-exploit zu testen. Nach hochladen des videos schaute er kurz nach, um sicherzustellen, dass niemand diese URL besucht hat. Dabei fand er einige zugriffe von einem user-agent namens Google-YouTube-Links […]

„Das war der moment, in dem ich bemerkte, dass die URLs im video in der adressleiste sichtbar waren. Es sieht so aus, als hätte juhtjuhbb eine OCR über mein gesamtes video laufen lassen und die entscheidung getroffen, die enthaltenen links zu verfolgen“.

Das ist genau der moment, in dem man sich mal fragen sollte, welche weiteren kleinen und heimlichen „datenverarbeitungen“ dieses juhtjuhbb von der größten träcking- und überwachungsfirma der welt so durchführt. Gesichtserkennungen? Erkennung des ortes durch vergleich mit striehtwjuh und sonstwie aggregierten bildmateriales mit JPEG-geokoordinaten (die macht euch jede wischofon-wanze in eure bilder rein)?

Und nein, um die erkennung von spämm und kriminalität geht es dabei nicht. Spämmige und in spämms verlinkte scheißvideos voller lügen irgendwelcher reichwerdexperten bleiben regelmäßig, trotz begründeter spämmmeldung von mir, monate- bis jahrelang auf juhtjuhbb stehen. (Ich habe es inzwischen aufgegeben, solche spämm an juhtjuhbb zu melden, weil dort kein interesse an spämmbekämpfung zu bestehen scheint.) Eine OCR in diesen videos wäre viel einfacher als das auslesen von text aus der adresszeile eines abgebildeten brausers durchzuführen, denn es handelt sich um großformatige schrift in klarem schriftbild. Es geht evil guhgell bei seinen heimlich durchgeführten videoanalysen nur um noch mehr überwachung der nutzer.

Auch weiterhin viel spaß und orwellness bei der täglichen totalüberwachung durch evil guhgell, einer klitsche aus dem weltüberwachungsstaat USA! Und immer schön alles mit dem wischofon machen! Und immer schön alles zu guhgell hochladen! Erich Mielke wäre so stolz auf euch gewesen! Und die konzerne lieben euch doch alle! Sie lieben euch doch!

Biometrie des tages

Ist schon dumm, wenn man selbst das passwort ist… und deshalb viel leichter erratbar als auch ein mies gewähltes passwort:

Windows Hello face recognition spoofed with photographs