TLS des tages

Übrigens: wenn man ein TLS-zertifikat verwendet, damit man HTTPS machen kann, damit der brauser ein schlösschen anzeigt, von dem die meisten menschen denken, dass es „sicherheit“ bedeute (es bedeutet in wirklichkeit „nur“, dass die kommunikazjon mit dem websörver verschlüsselt ist und so lange man sich nicht die einzelheiten explizit anzeigen lässt, bedeutet es nix anderes), dann legt man mit leichtigkeit ein unsichtbares verzeichnis an, das vom administrator schnell vergessen werden kann und das sich als idealer ort für cräcker erweist, um ihre schadsoftwäjhr auf einem websörver abzulegen.

Oder wie ich es immer wieder so gern sage: es gibt keine automatische sicherheit, es gibt nur ständige aufmerksamkeit und vorsicht, und dann kann man immer noch eine menge verkacken. Ich empfehle, wenn sich nicht mehrere leute einen root teilen (was eine ganz schlechte idee ist, guckt lieber mal man 8 sudo), sowieso eine zeile in der .bashrc…

alias ls='ls -Fah'

…damit man unsichtbare dateien immer sieht, wenn man ls absetzt. (Das -a listet unsichtbare dateien, das -F hängt ein zeichen an den dateinamen, das den dateityp kennzeichnet, und das -h sorgt für eine ausgabe von dateigrößen in leichter lesbaren byte-, kibibyte- und mebibyte-einheiten.) Schon kann man unsichtbare dateien und verzeichnisse nicht mehr so leicht übersehen und vergessen. 😉

Und wenns darauf ankommt und praktizierbar ist (sich also nicht viele dateien dauernd ändern): ein IDS erschwert es angreifern, dateien unerkannt abzulegen. Schon so ein kleines mönsterchen wie tripwire reicht dafür aus. Natürlich ist dann der angriff schon geschehen, wenn der alarm losgeht. Aber das ist immer noch besser als ein unerkannter angriff. Allein schon aus datenschutzgründen und um betroffene nutzer ganz schnell informieren zu können.

TLS des tages

Die mozilla foundation, wohlbekannt für ihre meilenweit neben jedem benutzerwunsch liegenden entscheidungen und die umwandlung des leider immer noch viel zu beliebten webbrausers feierfox¹ in eine distribuzjonsplattform für schadsoftwäjhr, spielt gerade mit dem gedanken, TLS-zertifikate aus unsicherer kwelle zu importieren, damit es für feierfox-nutzer nicht mehr so viele sicherheitswarnungen gibt, wenn so ein dahergelaufenes antivirus-schlangenöl für meikrosoft windohs die TLS-sicherheit einfach untergräbt, um besser schlangen ölen zu können.

Ja! Ernsthaft!

Nein, echt jetzt, es ja auch noch nicht der erste april. Das ist leider kein witz. Das ist leider keine fäjhknjuhs. Und ja, es geht um den gleichen feierfox, der euch jedes mal vor riesen sicherheitsproblemen warnt, wenn ihr einmal eine unverschlüsselte webseit darstellt. Der meint jetzt, dass das mit dem TLS schließlich doch nicht so wichtig ist. Dann gibts halt mal manipulierte fernkontoführung, ist ja ein problem anderer leute…

Ich wünsche euch auch weiterhin ganz festen glauben an die gefühlte sicherheit, wenn ihr ein schlösschen in eurem webbrauser seht! Und natürlich, wenn ihr so ein antivirus-schlangenöl

¹Nehmt etwas anderes, aber bloß nicht ausgerechnet die krohm-wanze von guhgell! Probiert es zum beispiel mal mit brave!

TLS des tages

Na, fühlt ihr euch immer noch sicher und unbelauscht, weil im webbrauser ein schlösschen angezeigt wird? Dann lest mal auf heise weiter!

Danach ist ein guter moment, sich mal die ganzen CAs im webbrowser anzeigen zu lassen. Ich zum beispiel traue weder guhgell oder irgendwelchen anderen unternehmen aus dem totalüberwachungs-, kriegs- und folterstaat USA, noch traue ich der deutschen telekom AG mit ihrer nähe zum bundestrojaner-staat BRD. (Der im link erwähnte verfassungsschutz ist übrigens die gleiche BRD-behörde, die gewaltbereite neonazis schützt und finanziert, bis hin zu verflechtungen in die NSU-mordserie.) Aber hej, euer brauser vertraut ja für euch. Und zeigt ein schlösschen an, damit ihr auch seht, dass der brauser für euch vertraut und beruhigt seid. Immer schön feste daran glauben, dass da niemand mitlesen kann und sich niemand als jemand anders ausgeben kann! Was kann da schon passieren?

Security des tages

Hej, die website hat TLS, die ist sicher. Kannst sogar aufs schlösschen klicken, das ist wirklich ih-bäh, nicht irgendein phisher. Gut, dass inzwischen alles so klicki-klicki sicher ist, sonst gäbe es ja richtig viel kriminalität:

Denn die gefälschten Login-Seiten sehen dem Original nicht nur zum verwechseln ähnlich – die Betrüger haben diese auch auf einem eBay-Server abgelegt. Dazu nutzen sie die Artikelbeschreibung

😯

Diese Masche ist bereits seit 2015 bekannt und gegenüber heise Security sprach auch eBay von einer gängigen Methode. Neu ist die Nutzung von SSL, welche Sicherheit suggeriert

Ah, ich verstehe, kennt man schon ein paar jährchen bei ih-bäh, den trick. Na, dann ist es ja völlig verständlich, dass ih-bäh da gar nix machen kann. Nicht.

Auch weiterhin viel spaß mit dieser obersten priorität, welche die sicherheit und der schutz von… ähm… vor trickbetrügern bei den großen, milljardenschweren internetzklitischen hat! Gefühlte sicherheit fühlt sich doch gut an, und das schlösschen im brauser stimmt auch. Was will man da noch mehr? :mrgreen:

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich hat einen neuen dschobb in der karl-wiechert-allee und für heise onlein eine erschütternde neuigkeit entdeckt:

Wer sich auf das grüne Schloss in der Browser-Leiste verlässt, um herauszufinden ob eine Webseite sicher ist, der lebt sehr gefährlich

Komisch, vor rd. zwei jahren klang das ehemalige fachmagazin aus hannover doch noch völlig anders.

Heise: Ehemaliger Fachverlag

TLS des tages

Abt.: einfach, schnell, gefährlich und ahnungslos bei sennheiser.

Bei der Installation legt die Software zwei Root-Zertifikate im Zertifikatsspeicher von Windows ab. Das ist Sennheiser zufolge nötig, um zum Beispiel ein Softphone im Webbrowser über eine gesicherte HTTPS-Verbindung zu nutzen. Zusätzlich gelangt jedoch auch ein privater Schlüssel auf Computer, der sich ebenfalls in einigen .exe-Dateien von HeadSetup befinden soll […] Der Schlüssel ist bei allen Installationen identisch und das Passwort könne man extrahieren

Autsch!

Ich wünsche auch weiterhin viel spaß beim festen glauben an die leichte kryptografie und die sicherheit, wenn man im webbrauser ein schlösschen an der adresszeile sieht. Haben euch ja jahrelang die idjoten mit jornalismushintergrund erzählt, dass das „sicherheit“ ist. Dank eines root-zertifikates könnt ihr sogar klicki-klicki auf das schlösschen klicken und „überprüfen“, dass die webseit von kriminellen wirklich die webseit der… sagen wir mal… deutschen bank ist. Und als kleiner bonus kann da dann gleich eine „bänking-schutz-softwäjhr“ zum daunlohd angeboten werden, die signiert ist und von windohs völlig anstandslos installiert wird.

Es gibt übrigens diesmal einen schutz: einfach einen webbrauser verwenden, der…

Firefox-Nutzer sind nicht gefährdet, da der Browser seinen eigenen Zertifikatsspeicher mitbringt

…weder von scheißguhgell noch von scheiß-meikrosoft gemacht wurde. Aber von einem feierfox oder generell von einem webbrauser der mozilla-foundation würde ich auch eher abraten. Ich nutze immer noch den palemoon. Inzwischen seit über einem jahr. Völlig ohne probleme, wenn man einmal davon absieht, dass scheiß-guhgell-dienste mir immer sagen, dass ich gefälligst einen anderen brauser (am besten scheißguhgells scheiß-krohm) nehmen soll, um sie überhaupt nutzen zu können. Ja, guhgell, ihr könnt mich auch mal am arsche lecken! Macht einfach webseits, die mit brausern funkzjonieren, und das von euch behauptete problem existiert nicht mehr! Euer scheißträcking und eure scheißreklame und eure scheißdatensammelei funkzjoniert doch auch mit jedem brauser.

Wie eine klitsche wie sennheiser aber auch die völlig bescheuerte idee kommt, dass sie ein root-zertifikat installieren müsse, um kopfhörerfunkzjonen zu realisieren, bleibt das geheimnis von sennheiser. Bislang kannte ich solche wahnsinnsideen nur von antivirus-schlangenöl, damit sich irgendwelche webseit-überwachungsdinger in den weg stellen konnten und hokus pokus security machen konnten — um den preis, dass andere die so geschaffene infrastruktur für angriffe missbrauchen könnten.

TLS ist unrettbar im arsch. Seit jahren schon. Wir haben nur noch nix besseres.

TLS des tages

Ausgerechnet die immer weiter um sich greifende Verschlüsselung der Daten mit TLS ermögliche es, die Anwender beim Surfen im Internet zu verfolgen

Aber gegen seit-übergreifendes träcking gibt es ein einfach anzuwendendes mittel, das der ehemalige fachverlag heise onlein mit keinem wort in seinem artikel erwähnt: ein wirksamer werbeblocker, der niemals, niemals, niemals ausgeschaltet wird ist nach wie vor die wirksamste schutzsoftwäjhr gegen kriminalität und gegen das privatsfären-stalking durch halbseidene bis grenzkriminelle scheißträcker und scheißwerber — denn auch das TLS-träcking würde über inhalte von dritten, also über werbebanner laufen. Der werbeblocker ist schnell installiert und kostet nichts. 😉

Wer mag, kann zur ergänzung noch noscript verwenden.

Es ist übrigens erstaunlich, wie viel schneller das web ohne die ganze reklame und träckingscheiße wird.

TLS des tages

Auch, wenn heise das in seiner übelschrift ganz anders formuliert: TLS ist nach wie vor kaputt, es gibt zurzeit zum beispiel einen „hübschen“ angriff über eine lücke in den DNS-sörvern und „jeder“ kann sich zurzeit von CAs TLS-zertifikate für beliebige domäjhns ausstellen lassen. „Beliebige domäjhns“ meint hier: beliebige domäjhns. Zum beispiel eure bank, eure suchmaschine, euer mäjhlanbieter…

Ich wünsche den naiven und vom jornalismus verblödeten menschen dieser welt auch weiterhin viel spaß mit der gefühlten sicherheit durch den blick auf das kleine schlösschen an der adresszeile! Das von zentralen CAs abhängige TLS ist dermaßen im arsch, dass man nicht einmal vertrauen herstellen kann, indem man auf das schlösschen klickt und das zertifikat überprüft. Und wenn sich irgendein dritter in die mitte stellt — zum beispiel eine schadsoftwäjhr, die durchaus auch als addon für den webbrauser implementiert sein kann — ist zum beispiel eine unbemerkbare manipulazjon des an sich verschlüsselten onleinbänkings möglich, während der anwender wie ein gebanntes karnickel auf das sicherheitsverheißende schlösschen gafft und sich sicher fühlt.

Wer immer noch nicht beunruhigt ist, sollte sich mal in seinem webbrauser anschauen, welchen CAs automatisch vertraut wird. Ich persönlich vertraue, wenns drauf ankommt, weder den deutschen telekomikern noch der TÜRKTRUST elektronik sertifika hizmet sağlayıcısı H5 und schon gar nicht der CA 沃通根证书. Von den diversen unternehmen in den USA einmal ganz abgesehen.

Kwasistaatlicher häck des tages

Der türkische Provider Türk Telekom hat den Traffic Hunderter Internetnutzer heimlich umgeleitet und mit Spyware infiziert, wenn sie Software wie VLC, WinRar, Skype, 7-Zip, Opera oder CCleaner installieren wollten

Auch weiterhin viel spaß mit dem NATO-partner und EU-beitrittskandidaten, der gerade einen völkerrechtswidrigen angriffskrieg führt. Für solche staaten, die man aus p’ltischen gründen in der scheißjornallje nicht „schurkenstaaten“ nennen will, gibts jetzt auch ein schönes neues stückchen neusprech, an das wir uns langsam gewöhnen können: „staaten mit demokratiedefiziten“.

Übrigens: die HTTPS-empfehlung ist schlangenöl. TLS ist kaputt. Wer mir nicht glaubt, schaue sich einfach die liste der CAs im webbrauser an und frage sich, ob er denen trauen würde. Der webbrauser traut ihnen jedenfalls. Leider gibt es zurzeit keine alternative.

Heise onlein verblödet seine leser

Oh, symantec — eine klitsche, die damals in jedem webbrauser als CA für die ausgabe von TLS-zertifikaten eingetragen war — stellte einfach unter nicht näher geklärten umständen 30.000 TLS-zertifikate an irgendwelche gestalten aus. (Die könnten sich dann zum beispiel völlig unbmerkt und mit schlösschen in der adresszeile des webbrausers als guhgell ausgeben, wenns ein TLS-zertifikat für google punkt com ist. Oder als deutsche bank, wenns ein TLS-zertifikat für deren domäjhn ist.) Gesichert ist zum beispiel das ausstellen von zertifikaten an geheimdienste im nahen osten, die dann mit einer (bei verwendung von TLS an sich unmöglichen) MITM-attacke dissidenten ausspioniert haben. Wie viele menschen auf grundlage dieser bewusst herbeigeführten schwächung von kryptografie ermordet wurden, ist natürlich unklar¹.

Und, wie erklärt das ehemalige fachmagazin heise onlein das seinen lesern? Ganz einfach: guhgell ist voll pöse und macht einen „rachefeldzug“, wenn sein webbrauser keine zertifikate dieser unseriösen klitsche namens „symantec“ mehr akzeptiert. m(

Hej, das war kein „einzelner kleiner fehler“. Das waren eher so 30.000 einzelfälle. In einem system, dass vollständig auf das vertrauen der zertifizierungsstellen aufgebaut ist. Das ist, wenn man mich fragt, ja schon kaputt genug, vor allem, wenn man mal vom brauser die liste der CAs anzeigen lässt. Aber wenn eine CA das vertrauen missbraucht, dann gibt es darauf nur eine antwort: den vollständigen entzug des vertrauens. Ansonsten kann man sich den ganzen TLS-scheiß auch gleich schenken (und viel rechenzeit sparen, die auf dem sörver und im webbrauser für aufwändige kryptografie draufgeht).

Hat sich denn in der karl-wiechert-allee heute niemand anders gefunden, der wenigstens eine spur von sach- und fachkenntnis hat? Oder hat heise inzwischen bei der erstellung von clickbait jeden maßstab verloren?

¹Ja, ich weiß: das waren unter-CAs. Aber diese wurden von symantec ermächtigt und nicht kontrolliert. Verantwortlich ist allein symantec. Was meint ihr wohl, was einem hausmeister passierte, der seinen generalschlüssel an dritte verleiht, wenn hinterher das haus leergeklaut wurde…

TLS des tages

ROBOT-Angriff:
19 Jahre alter Angriff auf TLS funktioniert immer noch

[…] Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal […] Als Beleg für einen erfolgreichen Angriff gelang es, eine Signatur mit dem privaten Schlüssel von Facebooks Zertifikat zu erstellen

Weia!

Auch weiterhin viel spaß beim festen glauben an die sicherheit, die euch vom angezeigten schlösschen im brauserfenster versprochen wird! Kommt leute, der onkel jornalist hat euch doch immer wieder gesagt, dass webseits mit diesem schlösschen sicher sind. Der ist ganz großer experte und sogar jornalist, also glaubt ihm einfach!

Und vor allem: immer schön weiter irgendwelche kompjuter kaufen…

Besonders hart trifft das Problem Nutzer von ACE-Loadbalancern der Firma Cisco. Diese Geräte erhalten schon seit einigen Jahren keinen Support mehr. Im Einsatz sind sie trotzdem noch […] Vermutlich verwendet Cisco auch selbst die verwundbaren Devices für seine eigene Domain cisco.com – die Sicherheitslücke ist dort vorhanden

…bei denen andere darüber entscheiden, was für softwäjhr darauf läuft. Das prinzip kennt ihr ja schon von euren wischofonen und smartglotzen. Das ist ganz grundsätzlich eine güldene 1A extragute idee. Dann ist das mit den sicherheitsaktualisierungen auch gleich viel einfacher: einfach ein neues gerät kaufen. Kommt schon, das bisschen geld tut doch bei weitem nicht so weh wie daunlohd und installazjon fehlerbereinigter softwäjhr!

TLS und „cloud“ des tages

Bitte vor dem klick alle tischkanten aus gebissnähe entfernen!

In einem Cloud-ERP-Produkt hat Microsoft für verschlüsselte HTTPS-Verbindungen auf allen Instanzen dasselbe Zertifikat genutzt

Erstes durchatmen und irgendwas gegen die hand tun, die im gesicht klebt, damit man weiterlesen kann:

Bei der Cloud-Version von Dynamics 365 for Operations erhält jeder Kunde eine Instanz der Software auf einem eigenen Server. Davon gibt es eine Sandbox-Version, die als Testumgebung gedacht ist. Das Webinterface dieser Systeme wurde mit einem HTTPS-Zertifikat ausgeliefert, das für *.sandbox.operations.dynamics.com ausgestellt war – von Microsofts eigener Zertifizierungsstelle […] Kunden können sich selbst über das Microsoft-eigene Remote Desktop Protocol (RDP) auf dem Sandbox-Server einloggen. Da sie damit direkten Zugriff auf den Server haben, ist es nicht schwer, den zum Zertifikat zugehörigen privaten Schlüssel zu extrahieren und herunterzuladen

Weia! Und wenn man bei golem noch ein bisschen weiter liest, wird es eher noch schlimmer, denn meikrosoft hat zunächst eine extra meikrosofte form der problembehandlung probiert. Aber ich will mal nix vorwegnehmen…

TLS des tages

Der deutsche Sicherheitsforscher Hanno Boeck erwischte Comodo dabei, dass sie ein Zertifikat ausgestellt haben, für das sie keine Berechtigung hatten

Ich wünsche euch auch weiterhin viel spaß dabei, euch sicher zu fühlen, weil ihr ein schlösschen in der adresszeile des brausers seht. Und falls jemand denkt, dass das jetzt, nach dieser aufdeckung, kein problem mehr ist:

Das missbräuchlich ausgestellte Zertifikat wird […] auch weiterhin ohne Probleme funktionieren

Wer immer noch nicht alarmiert ist, kann sich ja mal in seinem feierfox nach sex einfachen, benutzerfreundlichen klicks auf „menü ▷ einstellungen ▷ erweitert ▷ zertifikate ▷ zertifikate anzeigen ▷ zertifizierungstellen“ anschauen, wer alles TLS-zertifikate ausstellen darf, und zwar für jede verdammte webseit. Da kommt freude auf! Das ist die bekweme verschlüsselung mit dem schlösschen in der adresszeile!