Another one bites the dust

https://www.zerohedge.com/crypto/ftx-isnt-canary-coal-mine-ftx-coal-mine-it-just-collapsed

FTX isn’t the canary in the coal mine (that was Celsius, or one of the other firms that crashed this year). FTX is the coal mine, and it just collapsed.

Der drölftausendste Raubzug via einer Crypto-Börse. Regel Nr. 1 des Crypto-Investments war und ist, nur mit eigener Wallet. Aber da das doch einigermaßen aufwändig und technisch anspruchsvoll ist, hätte bei Befolgung dieser Regel eben der Crypto-Markt niemals diesen Höhenflug nehmen können.

Zum Thema auch sehr interessant Hadmut Danisch: Offenbar wurde FTX als Geldwaschmaschine für illegale Parteienfinanzierung benutzt.

Kim looking at Prime Numbers

https://www.computerwoche.de/a/ibm-bringt-mit-osprey-einen-433-qubit-prozessor,3613201

Mit Osprey hat IBM seinen bislang größten Quantenprozessor vorgestellt. Mit 433 Qubits konnte die Anzahl der Qubits gegenüber der 2021 vorgestellten Eagle-QPU (Quantum Processing Unit) mehr als verdreifacht werden … Osprey [ist] aber nur ein weiterer Zwischenschritt. Schon 2023 soll mit Condor die erste QPU mit mehr als 1.000 Qubits folgen … Dass die kommerzielle Nutzung von Quantencomputern keine Zukunftsmusik mehr ist, zeigt ein Blick in IBMs Access Plans zum Quantum Computing: Für 1,60 Dollar pro Rechensekunde kann dort im Rahmen eines Pay-As-You-Go-Konzepts QPU-Rechenzeit gebucht werden – allerdings auf einem älteren Falcon-Prozessor mit 27 Qubit.

So so, man kann also bereits Quantenrechenzeit mieten. Wir müssen somit davon ausgehen, dass asymmetrische Verschlüsselung gebrochen ist, lange bevor ein Ersatz sichtbar ist. Denn wie wir wissen, ist es eine allgemeine Herangehensweise der Geheimdienste, kritische Aktivitäten in scheinbar kommerzielle Unternehmen auszulagern und diese darüber nicht rückverfolgbar abzuwickeln. Das betrifft natürlich nicht Dienste wie die NSA, die haben längst bereits selbst Quantenrechner, und weitaus leistungsfähigere außerdem. Aber ich weiß ja nicht, wie es Ihnen geht, die Vorstellung, dass Nordkorea nun die Kommunikation mit einem Bankserver brechen kann, finde ich durchaus gruselig.

Never ending story

https://www.deutschlandfunknova.de/beitrag/neues-privacy-shield-kritik-am-us-datenschutzabkommen-mit-der-eu

Im Frühjahr hatten sich US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen grundsätzlich auf ein neues Datenschutzabkommen geeinigt. Anfang Oktober hat Biden jetzt eine Executive Order unterzeichnet, die die Details enthält. Datenschützer warnen: Das könnte für europäische Standards zu wenig sein.

Max Schrems gibt nicht auf und kämpft unermüdlich weiter für die Privatsphäre. Und ebenso unermüdlich betreibt die „Gegenseite“ eine Verzögerungskampagne und wirft immer neue Nebelkerzen.

Den Geheimdiensten ist all das aber ohnehin egal, die überwachen und tracken sowieso jeden weltweit, wie sie lustig sind. Stempel „Terrorist“ drauf, und dann gelten sowieso keine Gesetze mehr – der „PATRIOT“-Act lässt grüßen. Teppichmesser sind offenbar sehr vielseitig.

Opa hat vergessen die Tür zuzumachen

https://cognitivecarbon.substack.com/p/mongodb-what-is-it-and-how-did-it

While Gregg and his team were investigating, they ran some routine cybersecurity checks to see what services were being used by that Chinese IP address to determine what was behind it. One of these routine “scans” showed a port (27017) on that IP address that is typically used by a database application called “MongoDB” … they next tried a pretty basic thing: they tested to see if they could log into it with the default, “out of the box” username and password … the cyber team found a boneheaded error on the MongoDB installation that only a novice would be expected to make … So Gregg’s team was able to “walk in the front door”, as it were, because there was no lock on the door, and “look around the place” … What they found was shocking: they found data that included personal details of nearly 1.8 million US poll workers. Details like their names, phone numbers, addresses, etc. Even the names of family members …

Man muss sich fragen, wer hinter dem unbestreitbar dementen Opa eigentlich die Fäden zieht. Und vermutlich wäre es für die Antwort dienlich, herauszufinden wie der überhaupt ins weiße Haus gekommen ist – nach einem Wahlkampf, den er fast nur aus seinem Keller geführt hat, mit ein paar lächerlichen Veranstaltungen, bei denen einige Dutzend Leute aufkreuzten. Während sein Konkurrent monatelang und täglich, sogar bis zu dreimal täglich, quer durch das Land mit jeder seiner Veranstaltungen 20, 30 oder auch 50 Tausend Zuhörer anzog. Und nun, dabei ist es schon sehr aufschlussreich, dass Opas umfangreich dokumentierte Geschäftsinteressen in China, und die seines Sohnes, mit chinesischen Zugriffen auf Wahlcomputer und Wahlunterlagen einhergehen.

Aber naja, wer „2000 Mules“ und „[s]election code“ gesehen hat, wundert sich sowieso über gar nichts mehr. Chinesische Spuren zu weit offen stehenden sensiblen Datenbanken sind da nur eine Petitesse, im Vergleich zum Gebirge der weiteren Unzulänglichkeiten der letzten US-amerikanischen Präsidentschaftswahlen.

PS: Um es klarzustellen, Trump gehört m.Mng. bloß zu einer anderen Verbrecherbande. Nicht dass Sie denken, ich wollte hier für den Werbung machen.

Wenn das Produkt nichts kostet, sind Sie das Produkt

https://krausefx.com/blog/announcing-inappbrowsercom-see-what-javascript-commands-get-executed-in-an-in-app-browser

When you open any link on the TikTok iOS app, it’s opened inside their in-app browser. While you are interacting with the website, TikTok subscribes to all keyboard inputs (including passwords, credit card information, etc.) and every tap on the screen, like which buttons and links you click.

Sehr lesenswerter Bericht des Sicherheitsexperten Felix Krause. Er hat eine Reihe von Social Media Apps untersucht und seine Erkenntnisse sind erschreckend. Wer solche Apps hat, braucht keine Trojaner mehr.

Potemkinsches Dorf

https://blog.fefe.de/?ts=9dfbc7b4

Wenn ihr schon immer mal wissen wolltet, wie schlimm es bei Twitter intern zugeht, dann habt ihr jetzt eine gute Gelegenheit.

Für Musk ist das natürlich ein gefundenes Fressen, um seinen Ausstieg aus dem Twitter-Kauf wegen zu vieler Fake-Accounts zu beweisen. Er hat Peiter „Mudge“ Zatko bereits vorladen lassen. Zatko sagt aber, das wäre nicht beabsichtigt gewesen, es sei eine „unglückliche Koinzidenz“, dass er gerade jetzt an die Öffentlichkeit geht, während Musk sich mit Twitter um Milliarden Dollar streitet.

Die Geier kreisen

https://www.golem.de/news/google-fonts-abmahnungen-an-webseitenbetreiber-mit-google-schriftarten-2208-167472.html

Seit einer Entscheidung des Landgerichts München werden vermehrt Abmahnungen an Webseitenbetreiber verschickt, die Schriftarten von Google-Servern einbinden. Denn das Einbinden von dynamischen Webinhalten wie Google Fonts von US-Webdiensten ist ohne Einwilligung der Besucher rechtswidrig. Webseitenbetreiber können auf Unterlassung und Schadensersatz verklagt werden.

Wir hatten hier im Blog zu diesem Urteil des Landgerichts München bereits berichtet. Und wie es zu erwarten war, gehen auf leistungslose Abzockerei spezialisierte Gestalten nun auf Webseitenbetreiber direkt los, anstatt sich an die Datenschutzbehörden zu wenden und zunächst dort um Abhilfe zu bitten. Klar, denen ist es an sich völlig egal, was mit ihrer IP geschieht, die wollen nur Kohle. Man kennt das alles ja schon seit den Kindertagen des Internets bis zum Erbrechen (Gravenreuth und andere), ich finde es empörend, dass das Landgericht München solcherart „Geschäftsgebaren“ auch noch fördert. Beschwerde an die Datenschutzbehörde, und wenn dann nicht Abhilfe geschaffen wird, Abmahnung, das wäre ja akzeptabel m.E. – aber so, wie es jetzt ist, ist es nur eine Einladung für die übliche zwielichtige Szene.

Deshalb noch einmal der Hinweis auf das Plugin OMGF von Daan van den Bergh für WordPress-Sites. Funktioniert perfekt, und für die meisten Anwendungsfälle reicht die kostenlose Version. Falls es mit der nicht klappt, oder Sie Support benötigen, können Sie eine Lizenz erwerben, erhältlich ab 19€ / Jahr. Daan ist übrigens sehr freundlich und hilfsbereit, wenn man für komplexere Anwendungsfälle mit den vielfältigen Einstellungen des Plugins Probleme hat.

(Falls Sie kein WordPress nutzen, nochmals der Hinweis auf unseren ersten Artikel zur Problematik, dort sind auch Lösungsansätze für andere Szenarien beschrieben.)

Security-Albtraum

https://netzpalaver.de/2022/08/02/verizon-mobile-security-index-zunahme-der-cyberkriminalitaet-durch-homeoffice/

Der traditionelle Nine-To-Five-Arbeitstag im Büro hat sich in eine hybride Arbeitswelt verwandelt, in der man immer und überall arbeitet. Mit der Zunahme der Arbeitszeiten, -orte und -geräte steigt auch die Anfälligkeit der Unternehmen, sich vor Cyberangriffen zu schützen.

Ich kann mich noch an Zeiten und Kunden erinnern, da musste man am Eingang an einem strengen Pförtner vorbei und noch nicht mal einen USB-Stick durfte man mit hinein nehmen. Jetzt aber soll es eine „hybride Arbeitswelt“ werden, doch wie soll das mit der Sicherheit funktionieren? Man kann schließlich nicht jeden Mitarbeiter zum hochqualifizierten Sicherheitsexperten ausbilden.

Ein fauler Apfel im Korb reicht

https://www.hardwareluxx.de/index.php/news/software/browser-und-internet/59157-tracking-falsch-konfiguriertes-geraet-kann-die-ipv6-privacy-extensions-unbrauchbar-machen.html

Im Idealfall sollten alle Geräte die IPv6-Privacy-Extensions unterstützen und aktiviert haben, damit der Datenschutz gewahrt bleibt. Vom Max-Planck-Institut für Informatik haben einige Forscher anhand einer passiven Analyse eines großen Internet-Service-Providers herausgefunden, dass die IPv6-Privatsphäre bei 19 % der Endanwender dennoch in Gefahr ist. Hierbei reicht bereits ein Gerät aus, das sich nicht an die Privacy-Extensions-Richtlinien hält und stattdessen das reine SLAAC-Verfahren (Stateless Address Autoconfiguration) verwendet und den Network-Identifier-Anteil aus der physischen Netzwerkadresse (MAC) erstellt. Hierdurch könnten Dritte die Interneterkennung dauerhaft und gleichzeitig langfristig verfolgen. Des Weiteren hat dies zur Folge, dass diese IPv6-Adresse ohne Privacy-Extensions das gesamte Endbenutzer-Präfix als Tracking-Identificator verrät, wodurch die Geräte in Gefahr sein können, die eine IPv6-Adresse inklusive Privacy-Extensions hinterlegt (bekommen) haben.

Es betrifft hauptsächlich IoT-Devices, sagen die Forscher des Max-Planck-Instituts. Ob man da dann etwas konfigurieren kann, wenn bei der Herstellung geschlampt wurde? Aber mindestens wäre es ein Produktmangel, der zur Rückgabe berechtigt.

Maulkorb für Windows

https://www.golem.de/news/telemetrie-windows-hindern-nach-hause-zu-telefonieren-2207-166965.html

Das Problem mit der Telemetrie ist letztlich, dass das Übertragen von Daten – einschließlich Nutzerdaten – eine Verletzung des Schutzziels Vertraulichkeit darstellt. Das muss natürlich immer derjenige, der das Betriebssystem einsetzt, selbst bewerten. Für uns in der Bundesverwaltung ist klar: Das darf nicht stattfinden. Das gilt nicht nur für Microsoft, sondern das wollen wir generell nicht. Deshalb müssen wir die Übertragung von Telemetriedaten unterbinden. Für Firmen oder Privatnutzer bleibt die Kernfrage: Vertraue ich Microsoft oder einem anderen Hersteller und deren implementierter Telemetrie? Wenn ich das mit Ja beantworten kann, ist alles soweit okay, wenn nicht, muss ich aktiv werden. Neben der Vertraulichkeit geht es dabei aber natürlich auch um den Datenschutz.

Sehr interessantes Interview des Golem mit dem Leiter des Sisyphus-Projektes beim Bundesamt für Sicherheit in der Informationstechnik (BSI), Maximilian Winkler. Er sagt, um die Datenübermittlung von Telemetrie-Daten an Microsoft vollständig zu unterbinden, müsse man nur den Dienst „DiagTrack“ bzw. deutsch „Benutzererfahrungen und Telemetrie im verbundenen Modus“ abschalten (in services.msc den Dienst auf Starttyp = Deaktiviert setzen), dann würde Windows 10 nicht mehr „nach Hause telefonieren“.

Wer noch umfassenderen Schutz möchte, für den gibt es außerdem das Tool „O&O Shutup 10“. Damit kann man sehr fein einstellen, was das Betriebssystem, aber auch einzelne Anwendungen, dürfen. Für den Beginn empfiehlt sich die Einstellung „Nur empfohlene Aktionen anwenden“ im Menüpunkt „Aktionen“, damit nicht Sachen kaputtgehen, die man vielleicht doch braucht.

Sicherheitsrelevanter Kernel-Parameter wird geändert

https://www.phoronix.com/scan.php?page=news_item&px=Linux-Drop-No-RdRand

The Linux kernel has long honored the “nordrand” kernel parameter to disable kernel use of the Intel RDRAND and RDSEED instructions if not trusting them — either out of security concerns that they could be compromised by the vendor or running into hardware/firmware issues around RdRand usage. But the Linux kernel is preparing to drop that kernel parameter with users encouraged to use the more generic “random.trust_cpu” parameter.

Vielleicht gehören Sie zu denen, die Schwarzen Boxen kein Vertrauen entgegenbringen und haben deshalb Ihrem Linux-Kernel verboten, den Zufallszahlen der CPU zu vertrauen. Nur die Hersteller wissen schließlich, wie sie zustandekommen, und vorhersehbare Zufallszahlen waren ja schon sehr oft das Mittel, einen Verschlüsselungsalgorithmus brechen zu können. Und dafür gibt es seit 2018 den Kernel-Parameter „nordrand“, denn die Zufallszahlenerzeugung des Kernels ist immerhin Open Source, man hat also zumindest eine Chance, sie zu prüfen.

Voraussichtlich ab Kernel 5.20 wird die Option „nordrand“ jedoch nicht mehr zulässig sein, man muss stattdessen „random.trust_cpu=0“ angeben. Diese Option wird übrigens schon seit Einführung dieser Kernel-Fähigkeit erkannt, falls Sie also noch „nordrand“ verwenden, können Sie bereits jetzt umstellen.

Ob der Parameter aber noch viel bringt, sei dahingestellt. Linux hat längst auf das Problem reagiert, indem nämlich schon seit geraumer Zeit alle Zufallszahlen des Prozessors nicht mehr direkt genutzt werden, sondern erst durch die RNG Hash Funktion von Linux gehen müssen – womit es für den Prozessor kaum noch möglich sein sollte, brauchbar gezinkte Zufallszahlen durchzubekommen.

24e9 Passwörter

https://netzpalaver.de/2022/06/15/24-000-000-000-benutzernamen-und-passwoerter-im-darkweb/

Ein neuer Report des Cyber-Threat-Intelligence-Anbieters Digital Shadows legt das Ausmaß von weltweit geleakten Logindaten im Zusammenhang mit Kontoübernahmen (Account Take Over, kurz: ATO) offen. So sind im Darknet mehr als 24 Milliarden Benutzer-Passwort-Kombinationen im Umlauf. Bezogen auf die Weltbevölkerung entspricht das vier exponierten Accounts pro Internet-User. Die Zahl der gestohlenen und offengelegten Zugangsdaten ist damit seit 2020 um rund 65% gestiegen.

Zieht man diejenigen Menschen ab, die keinen Zugang zum Internet haben, sind das sogar noch mehr exponierte Accounts pro User. Sind das eigentlich für einen User mehrere Accounts mit jeweils dem gleichen Passwort? Das ist ja ein beliebter Fehler, wird dann ein Account gehackt, sind gleich alle platt.

Neue Seitenkanal-Attacke erlaubt den Diebstahl von Kryptoschlüsseln

https://www.tomshardware.com/news/intel-amd-hertzbleed-cpu-vulnerability-boost-clock-speed-steal-crypto-keys

Intel and researchers from UT Austin, UIUC, and UW published papers today outlining the ‚Hertzbleed‘ chip vulnerability that allows side-channel attacks that can steal secret AES cryptographic keys by observing the CPU’s boost frequency/power mechanisms. According to external researchers, both Intel and AMD CPUs are impacted, but AMD hasn’t issued an advisory yet.

Via der Auswertung der Boost Clock Frequency ist es möglich, kryptographische Schlüssel zu stehlen. Es handelt sich um einen Seitenkanalangriff ähnlich den Spectre-Verwundbarkeiten, aber er ist auch aus der Ferne ausnutzbar, weil durch geeignete Rechenaufgaben Rückschlüsse auf die verwendete Prozessorfrequenz gezogen werden können. Intel hält den Angriff jedoch für wenig praktikabel, da es Tage dauern würde, die notwendigen Daten zusammenzubekommen, und wer wird schon im Browser ein und dieselbe Seite so lange offen und herumrechnen lassen. Aber wer weiß, vielleicht findet sich noch eine Abkürzung … der Angriff geht gegen AES, wenn das fällt, dann wars das mit dem Onlinebanking …

Unter falscher Flagge

https://www.golem.de/news/nordvpn-expressvpn-mullvad-co-die-qual-der-vpn-wahl-2205-165409.html

Mit wenigen Klicks das Internet sicher und privat nutzen, vor Hackern geschützt und anonym, das versprechen etliche VPN-Anbieter auf ihren Webseiten. Denn alle Daten würden durch eine moderne Verschlüsselung geschützt, wirbt etwa der Anbieter NordVPN. Dabei sind die Versprechen aber meist die Pixel nicht wert, mit denen sie auf unseren Bildschirmen ausgegeben werden.

Golem.de mit einer sehr interessante Übersicht für die VPN-Technologie und deren Anbieter. Als Fazit wird gesagt, zum Schutz der Privatsphäre eignen sich VPNs kaum bis gar nicht, zum Umgehen von Zensur oder Geo-Blocking aber sehr wohl.

Die Empfehlungen der Golem-Reaktion sind ansonsten insofern überraschend, als die „Platzhirsche“ sämtlich durchfallen, eher unbekannte Alternativen aber den strengen Kriterien der Redaktion genügen. Die Aussage jedoch, dass Tor die beste Alternative wäre, mag aus datenschutztechnischer Sicht richtig sein, nur ist die Performance von Tor so mau, dass es für die meisten modernen Anwendungen sowie Videos trotzdem ausscheidet.

Es kommt eben immer darauf an, was man daraus macht

https://www.heise.de/news/Deutsche-Unternehmen-wollen-sich-mit-Daten-nicht-die-Finger-verbrennen-7074486.html

Beim Stichwort datengetriebene Geschäftsmodelle denken viele Menschen in Deutschland zuerst an die vielfach umstrittenen Datensammlungen der großen Internetkonzerne Google und Facebook im Netz. Diese kritische Grundstimmung in Politik und Gesellschaft hält offenbar auch zwei von drei Unternehmen ab, sich an der Datenökonomie (Data-Sharing-Economy) zu beteiligen, fand der IT-Branchenverband Bitkom in einer Umfrage heraus.

Ob in der Produktion, in der Finanzplanung oder in der Verwaltung, sinnvolle Erfassung und Auswertung der anfallenden Daten kann enorme Produktivitätsfortschritte ermöglichen und das Leben der Menschen verbessern. Schade, dass durch die invasiven und rücksichtslosen Geschäftspraktiken der Werbeindustrie eine großartige Möglichkeit, IT zum Wohl der Menschen anzuwenden, in Verruf geraten ist.