Alternativer Twitter-Zugang

https://www.inputmag.com/tech/nitter-is-a-new-front-end-for-twitter-that-helps-hide-you-from-advertisers

Fortunately, there are alternative ways to view Twitter if you’d like to avoid your every cursor movement being monitored. One of them, called Nitter, redirects Twitter web links to an alternative, re-skinned version of the social network that yanks out all the code necessary to track your behavior.

Sie kennen das vermutlich, wenn Sie auf Twitter nicht eingeloggt sind, können Sie es nur sehr eingeschränkt nutzen. Und ohne Javascript geht sowieso nichts. Via Nitter lässt sich Twitter aber „barrierefrei“ nutzen, und bisher ist es Twitter nicht gelungen, diesen Zugang zu blockieren, obwohl Twitter alternative Clients verbietet. Übrigens ist Nitter auch viel schneller als der Zugriff via Twitter, weil die ganze Überwachungsmaschinerie ausgeschaltet ist.

Die Verwendung ist sehr einfach, ersetzen Sie in der URL „twitter.com“ durch „nitter.net“. Für z.B. den Twitter-Account der Cephei also https://nitter.net/CepheiAG. Kleiner Wermutstropfen: Während die Desktop-Version sehr gut funktioniert, sieht es für Mobiles eher mau aus, weil es bisher keine nativen Apps gibt.

24e9 Passwörter

https://netzpalaver.de/2022/06/15/24-000-000-000-benutzernamen-und-passwoerter-im-darkweb/

Ein neuer Report des Cyber-Threat-Intelligence-Anbieters Digital Shadows legt das Ausmaß von weltweit geleakten Logindaten im Zusammenhang mit Kontoübernahmen (Account Take Over, kurz: ATO) offen. So sind im Darknet mehr als 24 Milliarden Benutzer-Passwort-Kombinationen im Umlauf. Bezogen auf die Weltbevölkerung entspricht das vier exponierten Accounts pro Internet-User. Die Zahl der gestohlenen und offengelegten Zugangsdaten ist damit seit 2020 um rund 65% gestiegen.

Zieht man diejenigen Menschen ab, die keinen Zugang zum Internet haben, sind das sogar noch mehr exponierte Accounts pro User. Sind das eigentlich für einen User mehrere Accounts mit jeweils dem gleichen Passwort? Das ist ja ein beliebter Fehler, wird dann ein Account gehackt, sind gleich alle platt.

Neue Seitenkanal-Attacke erlaubt den Diebstahl von Kryptoschlüsseln

https://www.tomshardware.com/news/intel-amd-hertzbleed-cpu-vulnerability-boost-clock-speed-steal-crypto-keys

Intel and researchers from UT Austin, UIUC, and UW published papers today outlining the ‚Hertzbleed‘ chip vulnerability that allows side-channel attacks that can steal secret AES cryptographic keys by observing the CPU’s boost frequency/power mechanisms. According to external researchers, both Intel and AMD CPUs are impacted, but AMD hasn’t issued an advisory yet.

Via der Auswertung der Boost Clock Frequency ist es möglich, kryptographische Schlüssel zu stehlen. Es handelt sich um einen Seitenkanalangriff ähnlich den Spectre-Verwundbarkeiten, aber er ist auch aus der Ferne ausnutzbar, weil durch geeignete Rechenaufgaben Rückschlüsse auf die verwendete Prozessorfrequenz gezogen werden können. Intel hält den Angriff jedoch für wenig praktikabel, da es Tage dauern würde, die notwendigen Daten zusammenzubekommen, und wer wird schon im Browser ein und dieselbe Seite so lange offen und herumrechnen lassen. Aber wer weiß, vielleicht findet sich noch eine Abkürzung … der Angriff geht gegen AES, wenn das fällt, dann wars das mit dem Onlinebanking …

Pacman jetzt auf Apfel-Jagd

https://www.phoronix.com/scan.php?page=news_item&px=Apple-M1-PACMAN

Researchers from MIT found that the Arm Pointer Authentication functionality within the M1 can be defeated and without traces. The researchers allege, “PACMAN utilizes a hardware mechanism, so no software patch can ever fix it.” With Arm Pointer Authentication still being new and only added to the Armv8.3-A specification, it will be interesting to see if similar Arm SoCs also prove vulnerable to this particular attack.

Auch ARM Prozessoren haben offenbar Hardware-Verwundbarkeiten, so wie Intel mit den Spectre-Bugs. Via dem Erraten des „Pointer Authentication Codes“ können aber dennoch nur bereits bestehende Fehler in Anwendungssoftware angegriffen werden.

Unter falscher Flagge

https://www.golem.de/news/nordvpn-expressvpn-mullvad-co-die-qual-der-vpn-wahl-2205-165409.html

Mit wenigen Klicks das Internet sicher und privat nutzen, vor Hackern geschützt und anonym, das versprechen etliche VPN-Anbieter auf ihren Webseiten. Denn alle Daten würden durch eine moderne Verschlüsselung geschützt, wirbt etwa der Anbieter NordVPN. Dabei sind die Versprechen aber meist die Pixel nicht wert, mit denen sie auf unseren Bildschirmen ausgegeben werden.

Golem.de mit einer sehr interessante Übersicht für die VPN-Technologie und deren Anbieter. Als Fazit wird gesagt, zum Schutz der Privatsphäre eignen sich VPNs kaum bis gar nicht, zum Umgehen von Zensur oder Geo-Blocking aber sehr wohl.

Die Empfehlungen der Golem-Reaktion sind ansonsten insofern überraschend, als die „Platzhirsche“ sämtlich durchfallen, eher unbekannte Alternativen aber den strengen Kriterien der Redaktion genügen. Die Aussage jedoch, dass Tor die beste Alternative wäre, mag aus datenschutztechnischer Sicht richtig sein, nur ist die Performance von Tor so mau, dass es für die meisten modernen Anwendungen sowie Videos trotzdem ausscheidet.

Der Souverän als Bettler

https://www.heise.de/tp/features/Gaskrieg-mit-Moskau-Armdruecken-ohne-Muskeln-7069112.html?seite=all

Verlierer sind am Ende die Menschen in der Ukraine, die der militärischen Aggression, wenn das Scheitern der westeuropäischen Staaten offensichtlich wird, noch machtloser gegenüberstehen. Und die Menschen in der Europäischen Union, die die wirtschaftlichen Folgen schultern müssen. Das Konfliktpotenzial ist in beiden Fällen enorm.

„Wir“ sollen frieren für den Frieden, hungern für den Frieden, stinken für den Frieden und, ganz neu, auch schwitzen für den Frieden (in Italien dürfen Klimaanlagen nur noch auf nicht weniger als 27°C gestellt werden).

Sie dürfen aber sicher sein, dieses „wir“ schließt immer diejenigen aus, die derlei Forderungen stellen. Oder glauben Sie ernsthaft, der Herr Stasi-Pfarrer, mit monatlich 20.000 € Pension aus Steuergeldern, wäscht sich ab sofort nur noch 2x wöchentlich an gerade mal 4 Stellen des Körpers?

Es kommt einem zunehmend so vor, als würden die Politiker, national wie auch auf EU-Ebene, uns im US-amerikanischen Interesse dem Bären als Knochen vorwerfen – weil damit zum Einen die USA nicht in den Fokus der Auseinandersetzung in der Ukraine gerät, wiewohl sie diese bereits seit Jahrzehnten mit aller Kraft befeuert; und zum Anderen die völlig bankrotte USA sich an der ökonomischen Vernichtung Europas gesundstoßen will.

Aber ob es nationale, oder auch EU-Politiker sind, sie alle haben doch geschworen, für das Wohl der europäischen Völker einzustehen. Wofür genau brauchen wir also diese Leute, und bezahlen sie fürstlich mit unseren Steuern, wenn sie im Fall des Falles das Diktum der USA über die Interessen der ihnen anvertrauten Menschen stellen?

Heucheln gehört zum Handwerk

https://www.epochtimes.de/politik/deutschland/gruenes-licht-fuer-bewaffnung-der-neuen-bundeswehrdrohnen-a3785315.html

Um den Kauf von Raketen für die künftige Bundeswehrdrohne Heron TP wurde lange gerungen. In der großen Koalition stellte sich die SPD quer. Nun geht das Projekt geräuschlos über die politische Bühne.

Menschen haben Herz und Seele, könnten also dem Gewissen folgen, deshalb muss man nun auch Polizisten und Soldaten abschaffen, mit autonomen Killermaschinen. Wer soll die unmenschlichen und grausamen Befehle der Superreichen denn sonst ausführen?

Skynet voraus.

Doch die deutschen Drohnen sind ja immerhin – noch – nicht autonom. Interessantes Detail aber am Rande: Der Erwerb der Munition für diese Drohnen unterliegt der Genehmigung der israelischen Regierung. “Sollte sich eines Tages […] das deutsch-israelische Verhältnis einmal verschlechtern, könnte das Geld [für das Waffensystem] umsonst ausgegeben worden sein”.

Wo sind eigentlich die Grünen? Vor der Wahl machen sie einen auf Superpazifist, wollen sogar sämtliche Waffenexporte verbieten, und jetzt? Schreien sie am lautesten danach, noch die schwersten Waffen auch in Konfliktgebiete zu liefern und hecheln gierig nach der rabiaten Militarisierung Deutschlands.

Die Farbe der Partei dieser Heuchler steht offenbar nicht für den Farn im Wald, sondern für den Tarn einer Uniform? Aber das ist ja nichts Neues bei diesem Kasperlverein. Was auch immer die Grünen wollen für den „Schutz“ der Umwelt, ist ja ganz genauso wieder und wieder das schlimmste, was man der Natur nur antun kann. Wälder zerstören für Windräder. Brutaler Raubbau für E-Auto-Batterien. Und so weiter.

VMM ohne Root-Rechte

https://www.codingblatt.de/virt-manager-qemu-kvm-ohne-root/

Standardmäßig verbindet sich Virtual Machine Manager (VMM) über die URI qemu:///system mit dem lokalen libvirt-Dienst, der wiederum zur Kommunikation mit QEMU/ KVM dient. Der libvirt-Dienst wird bereits beim Systemstart gestartet und läuft mit Root-Rechten. Alle virtuellen Maschinen (VMs) die unter dieser VMM-Verbindung ausgeführt werden, laufen somit mit Root-Rechten. Aus Sicherheitsgründen ist es empfehlenswert, VMs bevorzugt ohne Root-Rechte und nur mit Benutzerechten auszuführen.

Sehr detaillierte Erläuterung, wie und mit welchen Einschränkungen sich der libvirt-Dienst im Benutzer-Kontext verwenden lässt. Häufig dient eine VM ja zur Abschottung des Host-Systems von potenziell gefährlichen oder sensiblen Daten, es kann also geboten sein, einen etwaigen Ausbruch aus einer solchen VM zu erschweren.

(Das Beitragsbild zeigt ein Emu – falls Sie sich wundern, was es hier zu suchen hat :))

Kaspersky wehrt sich – BSI legt nach

https://www.pcwelt.de/news/Eugene-Kaspersky-kritisiert-BSI-Angriff-auf-deutsche-Verbraucher-11200333.html

Eugene Kaspersky kritisiert heftig die Warnung des BSI vor Kaspersky-Virenschutz. Das sei ein Angriff des BSI auf deutsche Nutzer, auf die Arbeitsplätze tausender deutscher IT-Sicherheitsexperten, auf Strafverfolgungsbeamte und auf deutsche Informatikstudenten.

Kaspersky versucht, sich gegen die Vorwürfe des BSI zu wehren. Mit durchaus nachvollziehbaren Arguemnten – aus der Homepage von Kaspersky: Wir sind ein privates, international operierendes Unternehmen, dessen Beteiligungsgesellschaft ihren Sitz in Großbritannien hat. Und abgesehen davon stehen die Server, für die das BSI den Zugriff russischer Dienste befürchtet, in der Schweiz.

Die Antwort des BSI besteht jedoch nur aus gebetsmühlenhafter Wiederholung seiner bereits bekannten Positionen.

Tango in der Schlangengrube

https://www.golem.de/news/anti-viren-software-bsi-warnt-vor-kaspersky-2203-163861.html

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Einsatz von Produkten der russischen Sicherheitsfirma Kaspersky … Bei Anti-Virensoftware sowie den damit verbundenen Clouddiensten sei Vertrauen in den Hersteller unabdingbar, da dieser über weitreichende Systemberechtigungen verfüge und eine dauerhafte, verschlüsselte Verbindung zu den Servern des Herstellers unterhalte, die zumindest für Updates genutzt werde, schreibt das BSI.

Es muss Kaspersky ja noch nicht einmal ein Nationalist sein, der bei Putin anklopft – es reicht doch schon, wenn der FSB (russischer Geheimdienst) bei ihm anklopft „Schöne Firma haben Sie da, wäre es nicht schade, wenn der was passiert…“

Abgesehen davon war es aber schon immer so, das Schlangenöl egal welchen Herstellers auf seinen Rechner zu lassen, ist ein äußerst riskantes Unterfangen. Es lässt sich kaum zählen, wieviele Skandale diversester Art diese Antivirenprodukte auf dem Buckel haben… gut, auf einem Experimental- oder Gaming-PC, wo häufig Software dubioser Herkunft getestet wird, ist ein Virenscanner mglw. sinnvoll.

Aber auf einem Rechner mit persönlichen und hochsensiblen Daten, wie Bankzugängen, Kreditkartendetails, privaten Fotos, usw., freiwillig eine Backdoor mit Systemrechten aufmachen – vielleicht bei einem völlig unbedarften Nutzer, Oma Kabuffke und so, aber sonst?

Unter Windows oder macOS empfehlen wir unseren Kunden die Nutzung des bordeigenen Scanners. Dessen Qualität ist u.E. völlig ausreichend, und Microsoft bzw. Apple muss man ja ohnehin vertrauen, falls man deren Betriebssystem verwendet. Oder man wechselt zu Linux, das tun so wenige, dass es sich für die Malware-Gangster nicht lohnt und wo es deshalb viel weniger Angriffe gibt.

„Brain.exe“ und „anti-greed.bash“ bleiben ansonsten, wie schon seit der Frühzeit der PCs,  unserer Meinung der beste Schutz gegen Viren und Trojaner aller Art.

Dringende Warnung des BfV

https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/wirtschafts-wissenschaftsschutz/2022-03-04-Sicherheitshinweis.html

Im Zuge der militärischen Auseinandersetzungen in der Ukraine und insbesondere aus der Eskalation im Cyberraum ergeben sich auch für die Wirtschaft in Deutschland potentielle Gefährdungen.

Der Sicherheitshinweis für die Wirtschaft des Bundesamtes für Verfassungsschutz bietet einen Überblick über aktuelle Erkenntnisse, die für die Sicherheit deutscher Unternehmen relevant sein können.

In einem PDF warnt das Bundesamt für Verfassungsschutz (BfV) vor einer verschärften Bedrohungslage im Netz und gibt Handlungsempfehlungen für Unternehmen. Wegen der rapide zunehmenden Cyber-Angriffe sollten IT-Administratoren die entsprechenden Entwicklungen aufmerksam verfolgen und die IT-Sicherheitsmaßnahmen entsprechend anpassen.

Das BfV bietet auch vertrauliche Hilfestellung für Unternehmen, die von einem Angriff betroffen sind (weitere Info dazu im PDF).

Neuer ist nicht immer besser

https://www.golem.de/news/dirty-pipe-linux-kernel-luecke-erlaubt-schreibzugriff-mit-root-rechten-2203-163680.html

Eine Sicherheitslücke, die den Namen Dirty Pipe erhalten hat, ermöglicht unter Linux das unberechtigte Schreiben in Dateien des Root-Nutzers. Damit kann sich ein einfacher Nutzer Root-Rechte verschaffen. Ein Exploit-Code steht zur Verfügung.

Der verwundbare Code wurde mit der Kernel-Version 5.8 eingebaut, Versionen davor sind nicht betroffen. Fixes sind bereits verfügbar, gefixt wurde allerdings nur der LTS-Kernel 5.10 und die aktuelle Kernel-Version 5.16 sowie deren Vorläufer 5.15. Für die Zwischenversionen 5.8, 5.9, 5.11, 5.12, 5.13 und 5.14 ist offenbar kein Patch vorgesehen, allerdings ist deren Support immer nur sehr kurz (bis zum Release der übernächsten Zwischenversion).

Gefährliche Smartwatches

https://www.giga.de/news/vorsicht-brandgefahr-hersteller-ruft-1-7-millionen-smartwatches-zurueck/

Die Google-Tochter Fitbit ruft insgesamt 1,7 Millionen Exemplare ihrer Ionic-Smartwatches zurück. Der Akku läuft Gefahr zu überhitzen und in Brand zu geraten. Verbrennungen dritten Grades sind möglich.

Das größte Problem an den Lithium-Ionen-Akkus ist m.Mng. die Brandgefahr. Man unterschätzt völlig, wieviel Energie in diesen kleinen Teilen gespeichert ist, und welche Verheerungen die anrichtet, wenn sie sich unkontrolliert und schlagartig entlädt.

Aber es gibt eine neue Entwicklung in der Batterie-Technologie, Natrium-Ionen Batterien. Die sind erheblich brandsicherer als Lithium-Ionen Batterien und sie sind viel günstiger, weil Natrium das sechsthäufige Element auf der Erde ist –  Lithium hingegen ist kaum noch verfügbar.

Gewissensfragen

Vor über 30 Jahren, mein Unternehmen war noch sehr klein, nur eine Ein-Mann-GbR, und es hieß noch gar nicht Cephei, arbeitete ich dies und das. Fahrschulsoftware, Datenbank-Auswertungen, Telefonanlagen programmieren und dergleichen. Mir ging es ganz ordentlich damit, aber natürlich hätte es besser sein können.

Dann erhielt ich eine Anfrage. Die ersten Jagdflieger mit Joystick-Steuerung wurden gebaut, und man suchte Auftragnehmer für die Kodierung der nachträglichen Auswertung der beim Flug anfallenden Steuerungsdaten. Mir wurde ein, für meine damaligen Verhältnisse, geradezu märchenhafter Verdienst angeboten.

Ich habe mich schwer getan. Das schien ein Sprungbrett in eine großartige Zukunft zu sein. Und, wenn ich ablehnen würde, würde vielleicht mein gerade erst gegründetes Unternehmen gleich wieder versterben? So nach dem Motto, den braucht man gar nicht erst zu fragen, der ist so eingebildet und meint, er kann es sich aussuchen, für wen er arbeitet.

Ich lehnte ab. Ich dachte mir, wenn nur ein Kind an einer Bombe stirbt, die ein Flieger mit einer von mir mitentwickelten Steuerung abgeworfen hat, dann könnte ich mir das niemals mehr verzeihen.

Und heute also ist wieder Krieg in Europa, Russland hat die Ukraine überfallen, und keiner kann sagen, wohin das gehen wird. Ich aber habe zumindest mit den Waffen dafür nichts zu tun. Und ich weiß, meine Entscheidung von damals war richtig, und ist es immer noch.

Bei den vielen großartigen technischen Fortschritten ist unweigerlich alles in immer größerem Ausmaß von Software abhängig geworden. Ich denke, wir Programmierer sollten uns immer fragen, ob wir noch ruhig schlafen können, wenn dieses oder jenes Projekt mit unserer Denkleistung verwirklicht und auf die Menschen losgelassen wird. Ob es Waffen sind, Überwachung oder auch Big Data. All diese Dinge kommen – noch – nirgends hin ohne Programmierer, die die Software dafür schreiben.

Es läuft alles auf die eine Frage hinaus: Haben wir unseren Beruf ergriffen, um die Welt ein kleines bisschen besser zu machen? Oder interessiert uns nur der eigene Vorteil, und alle anderen sind uns egal?

„Was nützt es die ganze Welt zu gewinnen und dabei seine Seele zu verlieren?“ Matthäus 16,26