Security-Schlangenöl-Brüller des Tages: Bei sechs »Virenscannern« für Ändräut scheint es überhaupt keine Erkennungsfunktion zu geben.
Schlagwort Security RSS
-
Nachtwächter
-
Nachtwächter
Cloud des Tages: 150.000 Euro virtuelles Geld abgeregnet, als wären ein paar Cracker im Sterntaler-Märchen. Möge die Generation Reklameblahenthirnt auch weiterhin viel Spaß mit den Beglückungsideen der Netzunternehmer haben!
-
Nachtwächter
Dass man in der Verwaltung der BRD, jetzt zum Beispiel beim BSI, aber auch immer denkt, dass Verkehrszeichen eine angemessene Sache für Rechner, Software und Netzwerke wären…
Software von Adobe ist natürlich grün auf dieser Ampel, auch wenn da nur die Exploits so richtig Gas geben. Typisches Security-Schlangenöl eben, nur diesmal vom BSI.
-
Nachtwächter
Kann mir mal einer erzählen, woher einige Unternehmungen ihre Spezialexperten für den Aufbau eines Netzwerkes beziehen? Wieso zum hämisch hackenden Henker richtet denn auch jemand eine Portweiterleitung so ein, dass die ziemlich ungesicherten Webfrontends von Scannern, Druckern, Kopierern und so weiter übers Internet zugänglich sind? Das muss doch jemand mit Absicht gemacht haben.
-
Nachtwächter
Sündenbock 2.0: Immer wieder, wenn so ein Unternehmen die Sicherheit in der eigenen IT in so richtig großem Maßstab verkackt hat, ist von den bösen chinesischen ›Hackern‹ die Rede. Und nie davon, dass jahrelang im Großmaßstab verkackt wurde. Mann oh mann oh mann!
-
Nachtwächter
Datenschleuder des Tages ist die eiFohn-Äpp für das so genannte »soziale« Netzwerk »Path«, die mal eben das gesamte Adressbuch einschließlich Telefonnummern, Mailadressen und Anschriften nach Hause funkt. Ich sags ja immer wieder: Mit den Wischofonen kehrt die sicherheitstechnische Naivität der Anfangszeit des populären Internet in den Neuziger Jahren in die Zehner Jahre zurück, nur dass inzwischen eine gut entwickelte Kriminalität und ein paar gnadenlos datensammelwütige Geschäftsmodelle existieren. Muss es denn erst einen richtigen Skandal, nach Möglichkeit mit schmerzhaften Schaden für die Betroffenen geben, damit die ganzen gedankenlosen Idioten mit ihren Wischofonen mal aufwachen und mit dem Nachdenken anfangen?!
Kleines Äppel-Bashing am Rande: Bei Ändräut sieht man wenigstens vor der Installation, welche dreisten Rechte sich so eine Äpp rausnimmt. Hilft aber auch nichts, wenn so ein Web-2.0-Idiot diese Meldungen ungelesen wegfingert und keinen Gedanken daran verschwendet.
Nachtrag: Die gesammelten Daten werden gelöscht.
-
Nachtwächter
Heute ist ja dieser »Safer Internet Day«, so einer dieser idiotischen Tage, an denen jede Menge Bullshit geschwafelt wird, der morgen wieder vergessen ist. Da mag ich mich mit meinen Beitrag zur Erhöhung der Sicherheit in der Internetnutzung auch nicht zurückhalten. Allerdings rede ich über den sicherheitstechnischen Rückschritt in die Neunziger Jahre, der in den Zehner Jahren mit ihrer gut entwickelten Internetkriminalität zusammen mit den ganzen Wischofonen und Wischopädds kommt.
Solange Nutzer von Wischofonen und Wischopädds jeder Anwendung jedes noch so absurde Recht einräumen, ist nämlich noch viel aufzuklären.
Nehmen wir etwa mal die tolle Ändräut-Äpp fürs Fratzenbuch. [Achtung, Link geht auf Guhgells Ändräut-Market!] Die wurde, wenn ich Guhgells Angaben im Market glauben darf, mindestens 100 Millionen Male auf so einer ausgelagerten Hirnmasse installiert. Das heißt, dass mindestens 100 Millionen Mal Leute diesen kurzen Dialog vor der Installation mit einem schnellen »Ok« weggefingert haben, in dem angezeigt wird, welche Rechte sie dieser einen Äpp einräumen. Das beschränkt sich keineswegs auf das Recht, eine Internetverbindung zu nutzen, um mal eben über die API das Fratzenbuch zu bedienen – das wäre ja auch für die Funktion erforderlich.
Ich kann wegen der »genialen« Leistungen der »Webprogrammierer« bei Guhgell leider nicht direkt die Seite mit den eingeforderten Berechtigungen verlinken, wer es selbst sehen möchte, muss schon in der oben verlinkten Seite auf »Berechtigungen« klicken. Was man da zu lesen bekommt, au weia! Das Ding kann Konten (im Ändräut-Sinne, also Guhgell-Konten) hinzufügen, löschen und ihre Passwörter verändern. Es kann selbstständig SMS versenden und damit unter Umständen Kosten über so genannte »Premiumdienste« verursachen, ohne dass das für die Funktion erforderlich scheint. Es kann selbstverständlich jederzeit den Standort bestimmen und somit ein Bewegungstracking durchführen. Es kann SMS und MMS lesen, bearbeiten und löschen – ideal, wenn die SMS-Funktion irgendwann einmal missbraucht werden sollte, um die Spuren zu verwischen. Es kann das gesamte Adressbuch lesen und verändern, so dass wieder einmal klar wird, wie das Fratzenbuch an sein »Adressmaterial« für seine widerwärtigen Spamaktionen und für seine mit falschem Absender versendeten »Einladungen« kommt. [Solche Daten wurden also schon aktiv vom Fratzenbuch für Spammarketing missbraucht, das ist keine theoretische Gefahr.] Es kann auslesen, wer da gerade anruft, und natürlich kann das Scheißding auch das Telefon über seine Seriennummer eindeutig identifizieren. Und als ob das nicht genug wäre, ernennt sich diese Äpp so weitgehend zum heimlichen Systemgott, dass sie Speicherinhalte beliebig verändern und löschen kann (das ist zum Speichern von Anwendungsdaten auf Andräut nicht erforderlich, hierfür gibts eine davon unabhängige Schnittstelle). Und sollte jemand meinen, dass er dieser Äpp Einhalt gebieten kann, indem er einfach auf das Knöpfchen drückt, mit dem er sein Wischofon ins Standby schickt… natürlich kann die Fratzenbuch-Äpp auch den Standby-Modus deaktivieren, um weitermachen zu können.
So lange erwachsene Menschen hundertmillionenfach so eine Dreistigkeit einfach mit einem Hauch leichter Orwellness abnicken und sich gefallen lassen, dass unkontrollierbarer Code fremder Menschen ziemlich uneingeschränkt in ihrer Privatsphäre rummachen darf, so lange ist noch viel aufzuklären. Die Fratzenbuch-Äpp habe ich mir eben nur als ein einziges Beispiel rausgepickt, ich bin mir sicher, dass es da noch einige mehr gibt.
-
Nachtwächter
PayPal Deutschland!
Wenn du es nicht schaffst, in deinen (übrigens generell mies gemachten) HTML-formatierten Reklamemails für deine tollen PayPal-Einkaufswelten deine Kunden mit Umlauten im Namen so anzusprechen, dass die Umlaute im Namen auch erscheinen, denn darfst du dich nicht wundern, wenn deine Kunden deine Reklamemails für einen Phishingversuch halten und deswegen besorgt bei mir nachfragen, weil ich mich ja »so intensiv mit Spam beschäftige«. Wenn du wissen willst, PayPal Deutschland, wie man diese lustigen Umlaute in eine HTML-formatierte Mail reinbekommt, frag doch mal einen achtjährigen Nachwuchswebdesigner, was es mit diesen entities auf sich hat. Das ist wirklich kein schwieriges Thema. Das ist keine Raketentechnologie. Das ist eine Kleinigkeit.
Und wo ich schon bei deinen Mails und dem Thema Phishing bin: Warum zum Henker, PayPal, du reines Internetunternehmen, bist du eigentlich nicht dazu imstande, deine gewerblichen Mails, bei denen es immerhin um so eine unwichtige Sache wie Geld geht, digital zu signieren? Auch das ist keine Raketentechnologie. Wenn du, PayPal Deutschland, deine Mails nicht digital signierst, bist du die andere Seite des Phishings, denn du gewöhnst deine Nutzer daran, dass sie die Authentizität und inhaltliche Integrität von Mails, die so ein unwichtiges Thema wie Geld betreffen, nicht überprüfen können. Kein Wunder, dass da so viele aufs Phishing reinfallen, wenn sie von dir, PayPal, du reines Internetunternehmen, mit jeder deiner Mails in blindem Vertrauen geschult werden. Vielleicht müsstest du dann auch keine Bullshit-Allianzen gegen das Phishing mehr pressevermelden, die schließlich eh nichts nützen. PayPal, du reines Internetunternehmen, du mit deinen unsignierten und für »normale« Nutzer – für die Mailheader einfach nur böhmische Dörfer sind – völlig unüberprüfbaren Mails, du bist das Phishing, weil du mit deiner Security-Passivität die Grundlagen schaffst, auf denen ein solcher Betrug überhaupt erst möglich ist.
Ach, was rege ich mich schon wieder auf! Warum solltest du es auch besser machen als diese ganzen anderen Banken, die nicht so sehr auf Internet machen?!
-
Nachtwächter
Aua, was ich altmodischer Mensch immer nicht so richtig mitbekomme, unfassbar! Leute, gebt mal schön eure ganzen Passwörter in die »Cloud«, also auf Server, die von anderen Leuten kontrolliert werden! Das ist eine tolle Idee! Und so benutzerfreundlich! Und so bequem! So viele Vorzüge! Man sieht ja gar nichts, was dagegen sprechen könnte…
-
Nachtwächter
Symantec des Tages: Die haben zwar erst letzte Woche in einer tatütata alarmierenden Presseerklärung vor ganz vielen pösen »Trojanern« für Ändräut gewarnt, und die Journaille hat solch Alarmton auch zu gern und bequem in den redaktionellen Teil ihrer Elaborate übernommen, aber das heißt ja noch lange nicht, dass Symantecs Ändräut-Antivirus-Schlangenöl namens »Norton Mobile Security« diese »Trojaner« ein paar Tage später auch als Schadsoftware erkennen und behandeln würde. Und das wäre nicht schwierig gewesen, das sind sichtbare Äpps mit bekannten Namen.
Die nur als ein kleiner Rückblick, damit auch in Zukunft wirklich jeder weiß, was von Symantecs alarmierenden Schreckensmeldungen zu halten ist: Nichts. Das ist reine Drecksreklame, in der die Angst und das Unwissen der Menschen in Profit für Symantec verwandelt werden sollen. Wer etwas aufgeklärter ist, versteht, dass man sehr skeptisch werden sollte, wenn eine Äpp auf Ändräut ungewöhnlich weitgehende und für ihre Funktion unnötige Rechte haben will und verzichtet deshalb auf die meist ansonsten sinnlosen Spitzeläpps. Diese Art Wissen und vernünftiges selbstverantworliches Handeln sind aber schlecht für das Geschäft der Schlangenöl-Verkäufer und Security-Quacksalber vom Schlage Symantecs, und deshalb wird von Symantec in der Pressearbeit kräftig Angst, Unwissen und Desinformation gestreut. Auf dass sich das Geschäft mit dem bequemen und ängstlichen Unverständnis auch fortan lohne…
-
Nachtwächter
Der Bug des Tages ist zur Abwechslung mal ein Problem auf unixoiden Systemen: sudo gibt wegen eines Formatstring-Fehlers jedem User eines Systems Adminrechte. Wer solche Bugs baut, braucht sich über den Spott nicht zu wundern:
-
Nachtwächter
Wer so bescheuert ist, als Username für sein Website-CMS seinen Nachnamen zu nehmen, um dann als Passwort seinen Vornamen zu wählen, der gehört eigentlich nicht so recht in die Internet-Enquetekommission des Bundestages. Nicht wahr, Herr Ansgar Heveling?!
Das Passwort hat er inzwischen geändert…