Frevel wider die Natur

Deutschland darf seine 10 Milliarden Euro teure Erdgas-Infrastruktur nicht in Betrieb nehmen und muss am Ende sogar wehrlos dabei zusehen, wie sie zerstört wird. Es ist so eine Sache mit den vielgerühmten westlichen Werten, sie wären ja prima, nur werden sie nicht gelebt. Und unter „Freunden“ offenbar gleich dreimal nicht.

Tucker Carlson macht außerdem im oben eingebundenen Video (deutsch untertitelt) darauf aufmerksam, dass es sich bei dem Terroranschlag gegen alle vier Röhren der beiden Pipelines auch um eine unbeschreiblich grausame Umweltkatastrophe handelt. Über Wasser für die Atmosphäre, und unter Wasser lebt dort auf Quadratkilometern gar nichts mehr.

Außerdem, auch darauf weist Tucker hin, wenn der Krieg jetzt so geführt wird, auf dieser Ebene angekommen ist, dann gibt es natürlich aberhunderte von Möglichkeiten der Vergeltung. Internet-Untersee-Kabel zum Beispiel, und damit könnte man dann ratzfatz die gesamte westliche Wirtschaft zum völligen Einsturz bringen.

Wir sind uns selbst der schlimmste Feind

https://www.voltairenet.org/article217918.html

Ein Sohn von Präsident Biden hat sich mehr Macht angemaßt als ein Senator. Er reist mit offiziellen Flugzeugen, als wäre er von seinem Vater beauftragt, um persönliche Verträge zu unterschreiben, ohne dass jemand weiß, was der Präsident davon denkt. Aber dieser Mann hat keine besondere Fähigkeit, er ist nur ein Junkie, der ein ausschweifendes Leben führt. Niemand weiß, wer die Verträge aushandelt, die er unterzeichnet und von denen er profitiert. Die Größe der amerikanischen Demokratie ist zugunsten von Leuten verschwunden, die weder gewählt noch ernannt wurden.

Die Hegemonie des Westens ist am meisten bedroht vom Verrat gegen sich selbst. Putin nützt das nur aus.

Opa hat vergessen die Tür zuzumachen

https://cognitivecarbon.substack.com/p/mongodb-what-is-it-and-how-did-it

While Gregg and his team were investigating, they ran some routine cybersecurity checks to see what services were being used by that Chinese IP address to determine what was behind it. One of these routine “scans” showed a port (27017) on that IP address that is typically used by a database application called “MongoDB” … they next tried a pretty basic thing: they tested to see if they could log into it with the default, “out of the box” username and password … the cyber team found a boneheaded error on the MongoDB installation that only a novice would be expected to make … So Gregg’s team was able to “walk in the front door”, as it were, because there was no lock on the door, and “look around the place” … What they found was shocking: they found data that included personal details of nearly 1.8 million US poll workers. Details like their names, phone numbers, addresses, etc. Even the names of family members …

Man muss sich fragen, wer hinter dem unbestreitbar dementen Opa eigentlich die Fäden zieht. Und vermutlich wäre es für die Antwort dienlich, herauszufinden wie der überhaupt ins weiße Haus gekommen ist – nach einem Wahlkampf, den er fast nur aus seinem Keller geführt hat, mit ein paar lächerlichen Veranstaltungen, bei denen einige Dutzend Leute aufkreuzten. Während sein Konkurrent monatelang und täglich, sogar bis zu dreimal täglich, quer durch das Land mit jeder seiner Veranstaltungen 20, 30 oder auch 50 Tausend Zuhörer anzog. Und nun, dabei ist es schon sehr aufschlussreich, dass Opas umfangreich dokumentierte Geschäftsinteressen in China, und die seines Sohnes, mit chinesischen Zugriffen auf Wahlcomputer und Wahlunterlagen einhergehen.

Aber naja, wer „2000 Mules“ und „[s]election code“ gesehen hat, wundert sich sowieso über gar nichts mehr. Chinesische Spuren zu weit offen stehenden sensiblen Datenbanken sind da nur eine Petitesse, im Vergleich zum Gebirge der weiteren Unzulänglichkeiten der letzten US-amerikanischen Präsidentschaftswahlen.

PS: Um es klarzustellen, Trump gehört m.Mng. bloß zu einer anderen Verbrecherbande. Nicht dass Sie denken, ich wollte hier für den Werbung machen.

Wenn das Produkt nichts kostet, sind Sie das Produkt

https://krausefx.com/blog/announcing-inappbrowsercom-see-what-javascript-commands-get-executed-in-an-in-app-browser

When you open any link on the TikTok iOS app, it’s opened inside their in-app browser. While you are interacting with the website, TikTok subscribes to all keyboard inputs (including passwords, credit card information, etc.) and every tap on the screen, like which buttons and links you click.

Sehr lesenswerter Bericht des Sicherheitsexperten Felix Krause. Er hat eine Reihe von Social Media Apps untersucht und seine Erkenntnisse sind erschreckend. Wer solche Apps hat, braucht keine Trojaner mehr.

Potemkinsches Dorf

https://blog.fefe.de/?ts=9dfbc7b4

Wenn ihr schon immer mal wissen wolltet, wie schlimm es bei Twitter intern zugeht, dann habt ihr jetzt eine gute Gelegenheit.

Für Musk ist das natürlich ein gefundenes Fressen, um seinen Ausstieg aus dem Twitter-Kauf wegen zu vieler Fake-Accounts zu beweisen. Er hat Peiter „Mudge“ Zatko bereits vorladen lassen. Zatko sagt aber, das wäre nicht beabsichtigt gewesen, es sei eine „unglückliche Koinzidenz“, dass er gerade jetzt an die Öffentlichkeit geht, während Musk sich mit Twitter um Milliarden Dollar streitet.

Security-Albtraum

https://netzpalaver.de/2022/08/02/verizon-mobile-security-index-zunahme-der-cyberkriminalitaet-durch-homeoffice/

Der traditionelle Nine-To-Five-Arbeitstag im Büro hat sich in eine hybride Arbeitswelt verwandelt, in der man immer und überall arbeitet. Mit der Zunahme der Arbeitszeiten, -orte und -geräte steigt auch die Anfälligkeit der Unternehmen, sich vor Cyberangriffen zu schützen.

Ich kann mich noch an Zeiten und Kunden erinnern, da musste man am Eingang an einem strengen Pförtner vorbei und noch nicht mal einen USB-Stick durfte man mit hinein nehmen. Jetzt aber soll es eine „hybride Arbeitswelt“ werden, doch wie soll das mit der Sicherheit funktionieren? Man kann schließlich nicht jeden Mitarbeiter zum hochqualifizierten Sicherheitsexperten ausbilden.

Ein fauler Apfel im Korb reicht

https://www.hardwareluxx.de/index.php/news/software/browser-und-internet/59157-tracking-falsch-konfiguriertes-geraet-kann-die-ipv6-privacy-extensions-unbrauchbar-machen.html

Im Idealfall sollten alle Geräte die IPv6-Privacy-Extensions unterstützen und aktiviert haben, damit der Datenschutz gewahrt bleibt. Vom Max-Planck-Institut für Informatik haben einige Forscher anhand einer passiven Analyse eines großen Internet-Service-Providers herausgefunden, dass die IPv6-Privatsphäre bei 19 % der Endanwender dennoch in Gefahr ist. Hierbei reicht bereits ein Gerät aus, das sich nicht an die Privacy-Extensions-Richtlinien hält und stattdessen das reine SLAAC-Verfahren (Stateless Address Autoconfiguration) verwendet und den Network-Identifier-Anteil aus der physischen Netzwerkadresse (MAC) erstellt. Hierdurch könnten Dritte die Interneterkennung dauerhaft und gleichzeitig langfristig verfolgen. Des Weiteren hat dies zur Folge, dass diese IPv6-Adresse ohne Privacy-Extensions das gesamte Endbenutzer-Präfix als Tracking-Identificator verrät, wodurch die Geräte in Gefahr sein können, die eine IPv6-Adresse inklusive Privacy-Extensions hinterlegt (bekommen) haben.

Es betrifft hauptsächlich IoT-Devices, sagen die Forscher des Max-Planck-Instituts. Ob man da dann etwas konfigurieren kann, wenn bei der Herstellung geschlampt wurde? Aber mindestens wäre es ein Produktmangel, der zur Rückgabe berechtigt.

Go woke, go broke

https://www.youtube.com/watch?v=3IFxNCll-k0 (Pt. 1 ) Kopie
https://www.youtube.com/watch?v=ytwnE-vGu5A (Pt. 2) Kopie

Starbucks ist gezwungen, wegen „vielen Vorfällen“ eine Reihe von profitablen Filialen aus Gründen der Sicherheit seiner Mitarbeiter (oder vielleicht doch für das Mobiliar?) zu schließen.

Ach, sieh an. Starbucks war eines der ersten Unternehmen, das auf die „Black Lives Matter“ Welle aufgesprungen ist, das ging so weit, dass seine Mitarbeiter weiße Kunden in Gespräche darüber verwickeln mussten, wie rassistisch sie sind; dass in den Filialen Filme über Polizeigewalt gegen Schwarze in Dauerschleife liefen; und so weiter. Und jetzt, da immer mehr Bürgermeister der Demokraten Kommunisten die ihnen anvertrauten Städte in Kriegsgebiete verwandelt haben aus falsch verstandener Toleranz und „Progressivität“ um jeden Preis, erklärt ausgerechnet Howard Schultz, CEO von Starbucks, weinerlich, dass diese Bürgermeister ihre Aufgaben nicht wahrnehmen und er deshalb seine Geschäfte schließen muss. „Amerika ist unsicher geworden“, sagt er.

Nun ja. Man erntet, was man sät.

Maulkorb für Windows

https://www.golem.de/news/telemetrie-windows-hindern-nach-hause-zu-telefonieren-2207-166965.html

Das Problem mit der Telemetrie ist letztlich, dass das Übertragen von Daten – einschließlich Nutzerdaten – eine Verletzung des Schutzziels Vertraulichkeit darstellt. Das muss natürlich immer derjenige, der das Betriebssystem einsetzt, selbst bewerten. Für uns in der Bundesverwaltung ist klar: Das darf nicht stattfinden. Das gilt nicht nur für Microsoft, sondern das wollen wir generell nicht. Deshalb müssen wir die Übertragung von Telemetriedaten unterbinden. Für Firmen oder Privatnutzer bleibt die Kernfrage: Vertraue ich Microsoft oder einem anderen Hersteller und deren implementierter Telemetrie? Wenn ich das mit Ja beantworten kann, ist alles soweit okay, wenn nicht, muss ich aktiv werden. Neben der Vertraulichkeit geht es dabei aber natürlich auch um den Datenschutz.

Sehr interessantes Interview des Golem mit dem Leiter des Sisyphus-Projektes beim Bundesamt für Sicherheit in der Informationstechnik (BSI), Maximilian Winkler. Er sagt, um die Datenübermittlung von Telemetrie-Daten an Microsoft vollständig zu unterbinden, müsse man nur den Dienst „DiagTrack“ bzw. deutsch „Benutzererfahrungen und Telemetrie im verbundenen Modus“ abschalten (in services.msc den Dienst auf Starttyp = Deaktiviert setzen), dann würde Windows 10 nicht mehr „nach Hause telefonieren“.

Wer noch umfassenderen Schutz möchte, für den gibt es außerdem das Tool „O&O Shutup 10“. Damit kann man sehr fein einstellen, was das Betriebssystem, aber auch einzelne Anwendungen, dürfen. Für den Beginn empfiehlt sich die Einstellung „Nur empfohlene Aktionen anwenden“ im Menüpunkt „Aktionen“, damit nicht Sachen kaputtgehen, die man vielleicht doch braucht.

Sicherheitsrelevanter Kernel-Parameter wird geändert

https://www.phoronix.com/scan.php?page=news_item&px=Linux-Drop-No-RdRand

The Linux kernel has long honored the “nordrand” kernel parameter to disable kernel use of the Intel RDRAND and RDSEED instructions if not trusting them — either out of security concerns that they could be compromised by the vendor or running into hardware/firmware issues around RdRand usage. But the Linux kernel is preparing to drop that kernel parameter with users encouraged to use the more generic “random.trust_cpu” parameter.

Vielleicht gehören Sie zu denen, die Schwarzen Boxen kein Vertrauen entgegenbringen und haben deshalb Ihrem Linux-Kernel verboten, den Zufallszahlen der CPU zu vertrauen. Nur die Hersteller wissen schließlich, wie sie zustandekommen, und vorhersehbare Zufallszahlen waren ja schon sehr oft das Mittel, einen Verschlüsselungsalgorithmus brechen zu können. Und dafür gibt es seit 2018 den Kernel-Parameter „nordrand“, denn die Zufallszahlenerzeugung des Kernels ist immerhin Open Source, man hat also zumindest eine Chance, sie zu prüfen.

Voraussichtlich ab Kernel 5.20 wird die Option „nordrand“ jedoch nicht mehr zulässig sein, man muss stattdessen „random.trust_cpu=0“ angeben. Diese Option wird übrigens schon seit Einführung dieser Kernel-Fähigkeit erkannt, falls Sie also noch „nordrand“ verwenden, können Sie bereits jetzt umstellen.

Ob der Parameter aber noch viel bringt, sei dahingestellt. Linux hat längst auf das Problem reagiert, indem nämlich schon seit geraumer Zeit alle Zufallszahlen des Prozessors nicht mehr direkt genutzt werden, sondern erst durch die RNG Hash Funktion von Linux gehen müssen – womit es für den Prozessor kaum noch möglich sein sollte, brauchbar gezinkte Zufallszahlen durchzubekommen.

Alternativer Twitter-Zugang

https://www.inputmag.com/tech/nitter-is-a-new-front-end-for-twitter-that-helps-hide-you-from-advertisers

Fortunately, there are alternative ways to view Twitter if you’d like to avoid your every cursor movement being monitored. One of them, called Nitter, redirects Twitter web links to an alternative, re-skinned version of the social network that yanks out all the code necessary to track your behavior.

Sie kennen das vermutlich, wenn Sie auf Twitter nicht eingeloggt sind, können Sie es nur sehr eingeschränkt nutzen. Und ohne Javascript geht sowieso nichts. Via Nitter lässt sich Twitter aber „barrierefrei“ nutzen, und bisher ist es Twitter nicht gelungen, diesen Zugang zu blockieren, obwohl Twitter alternative Clients verbietet. Übrigens ist Nitter auch viel schneller als der Zugriff via Twitter, weil die ganze Überwachungsmaschinerie ausgeschaltet ist.

Die Verwendung ist sehr einfach, ersetzen Sie in der URL „twitter.com“ durch „nitter.net“. Für z.B. den Twitter-Account der Cephei also https://nitter.net/CepheiAG. Kleiner Wermutstropfen: Während die Desktop-Version sehr gut funktioniert, sieht es für Mobiles eher mau aus, weil es bisher keine nativen Apps gibt.

24e9 Passwörter

https://netzpalaver.de/2022/06/15/24-000-000-000-benutzernamen-und-passwoerter-im-darkweb/

Ein neuer Report des Cyber-Threat-Intelligence-Anbieters Digital Shadows legt das Ausmaß von weltweit geleakten Logindaten im Zusammenhang mit Kontoübernahmen (Account Take Over, kurz: ATO) offen. So sind im Darknet mehr als 24 Milliarden Benutzer-Passwort-Kombinationen im Umlauf. Bezogen auf die Weltbevölkerung entspricht das vier exponierten Accounts pro Internet-User. Die Zahl der gestohlenen und offengelegten Zugangsdaten ist damit seit 2020 um rund 65% gestiegen.

Zieht man diejenigen Menschen ab, die keinen Zugang zum Internet haben, sind das sogar noch mehr exponierte Accounts pro User. Sind das eigentlich für einen User mehrere Accounts mit jeweils dem gleichen Passwort? Das ist ja ein beliebter Fehler, wird dann ein Account gehackt, sind gleich alle platt.

Neue Seitenkanal-Attacke erlaubt den Diebstahl von Kryptoschlüsseln

https://www.tomshardware.com/news/intel-amd-hertzbleed-cpu-vulnerability-boost-clock-speed-steal-crypto-keys

Intel and researchers from UT Austin, UIUC, and UW published papers today outlining the ‚Hertzbleed‘ chip vulnerability that allows side-channel attacks that can steal secret AES cryptographic keys by observing the CPU’s boost frequency/power mechanisms. According to external researchers, both Intel and AMD CPUs are impacted, but AMD hasn’t issued an advisory yet.

Via der Auswertung der Boost Clock Frequency ist es möglich, kryptographische Schlüssel zu stehlen. Es handelt sich um einen Seitenkanalangriff ähnlich den Spectre-Verwundbarkeiten, aber er ist auch aus der Ferne ausnutzbar, weil durch geeignete Rechenaufgaben Rückschlüsse auf die verwendete Prozessorfrequenz gezogen werden können. Intel hält den Angriff jedoch für wenig praktikabel, da es Tage dauern würde, die notwendigen Daten zusammenzubekommen, und wer wird schon im Browser ein und dieselbe Seite so lange offen und herumrechnen lassen. Aber wer weiß, vielleicht findet sich noch eine Abkürzung … der Angriff geht gegen AES, wenn das fällt, dann wars das mit dem Onlinebanking …

Pacman jetzt auf Apfel-Jagd

https://www.phoronix.com/scan.php?page=news_item&px=Apple-M1-PACMAN

Researchers from MIT found that the Arm Pointer Authentication functionality within the M1 can be defeated and without traces. The researchers allege, “PACMAN utilizes a hardware mechanism, so no software patch can ever fix it.” With Arm Pointer Authentication still being new and only added to the Armv8.3-A specification, it will be interesting to see if similar Arm SoCs also prove vulnerable to this particular attack.

Auch ARM Prozessoren haben offenbar Hardware-Verwundbarkeiten, so wie Intel mit den Spectre-Bugs. Via dem Erraten des „Pointer Authentication Codes“ können aber dennoch nur bereits bestehende Fehler in Anwendungssoftware angegriffen werden.

Unter falscher Flagge

https://www.golem.de/news/nordvpn-expressvpn-mullvad-co-die-qual-der-vpn-wahl-2205-165409.html

Mit wenigen Klicks das Internet sicher und privat nutzen, vor Hackern geschützt und anonym, das versprechen etliche VPN-Anbieter auf ihren Webseiten. Denn alle Daten würden durch eine moderne Verschlüsselung geschützt, wirbt etwa der Anbieter NordVPN. Dabei sind die Versprechen aber meist die Pixel nicht wert, mit denen sie auf unseren Bildschirmen ausgegeben werden.

Golem.de mit einer sehr interessante Übersicht für die VPN-Technologie und deren Anbieter. Als Fazit wird gesagt, zum Schutz der Privatsphäre eignen sich VPNs kaum bis gar nicht, zum Umgehen von Zensur oder Geo-Blocking aber sehr wohl.

Die Empfehlungen der Golem-Reaktion sind ansonsten insofern überraschend, als die „Platzhirsche“ sämtlich durchfallen, eher unbekannte Alternativen aber den strengen Kriterien der Redaktion genügen. Die Aussage jedoch, dass Tor die beste Alternative wäre, mag aus datenschutztechnischer Sicht richtig sein, nur ist die Performance von Tor so mau, dass es für die meisten modernen Anwendungen sowie Videos trotzdem ausscheidet.