Monthly Archives: November 2020

LUKS2: CVE-2020-14382 – out of bounds write

Posted on by

Zeit für ein Update von CryptSetup: CVE-2020-14382

LUKS2: CVE-2020-14382 – out of bounds write

CryptSetup ist das Tool, daß Luks Container, egal ob als Datei oder Festplatte, einhängt und/oder bearbeitet. Eine Lücke im Speicherhandling von CryptSetup kann von einem Angreifer ausgenutzt werden, indem er einen manipulierten Container einer anfälligen Version von CryptSetup präsentiert, was z.B. durch das Einstecken eines USB Sticks ausgelöst wird.

Die Lücke in CryptSetup sorgt dafür, daß weniger Speicher allokiert wird, als tatsächlich angegeben ist, aber von dem manipulierten Inhalt des Containers aufgrund mangelnder Grenzprüfungen, überschrieben werden kann. Damit gelangt ggf. Code an eine Stelle, die von einem anderen Prozess genutzt wird. Die Lücke CVE-2020-14382 kann also ggf. zu Arbitrary-Code-Execution führen, wenn es im System dumm läuft.

Daher empfehle ich Euch kurz mal nach dem Zustand Eures CryptSetup Befehls zu schauen und ggf. zu Updaten, denn auch wenn Ihr selbst keine Festplattenverschlüsslung benutzt, es reicht, daß das Paket auf dem System installiert ist und jemand einen USB Stick einsteckt.

Kleine Anmerkung zur Lage

Falls Ihr die Red Hat Securityliste lest, ist Euch auch aufgefallen, daß da heute ein ganzes Rudel (70+) Sicherheitsadvisories gekommen sind und die Bugs größtenteils Nummern aus 2018 und 2019 tragen? Ich glaube, da ist etwas arg schief gelaufen bei Red Hat.

Neues von Kim, ich bin reicher als Ihr, Dotcom

Posted on by

Düstere Zeiten kommen auf Kim Schmitz alias Kim Dotcom zu, denn Neuseeland ist der Meinung Ihn in die USA ausliefern zu dürfen.

Neues von Kim, ich bin reicher als Ihr, Dotcom

Kim Schmitz, der laut Aussagen von CCC Mitgliedern als Möchtegernhacker allen auf den Sack gegangen ist, sich auf einer spektakulären Flucht dilettantisch fangen lies und dann erst im Security Beraterbusiness durchfiel, um doch noch (illegal) Geld zu verdienen, in dem er und seine Gang MegaUpload ins Leben riefen, wo hauptsächlich Raubkopien zum beschleunigten Download angeboten wurden, darf jetzt nach 8 Jahren Auslieferungsprozess in die USA überstellt werden, wo er bestenfalls als gertenschlankes Skelett wieder aus dem Knast kommen dürfte.

Das Manager-Magazin beschrieb in nach seiner Flucht mal so: „Kim Schmitz, der schwergewichtige Exot unter den Dotcom-Blendern, hat sich aus dem Staub gemacht.“ 🙂

Wie man so lesen kann, hatten da wohl dunkle Münchner Geldverleiher einen nicht unerheblichen Anteil dran, als sie Ihr Geld von Kim alias Kimble haben wollten. Das ist aber auch eine echt blöde Idee der Lokalmafia einen sechstelligen Betrag mit einer 6 vorn zu schulden und sich dann abzusetzen 😉

FBI vor der Villa von Kim Schmitz 2012

Das Portal TorrentFreak berichtete vor 12h, daß sich die Richter in seinem Prozess wegen Copyright-Verstößen an die USA ausgeliefert werden darf. Ihm bleibt jetzt nur noch eine Anrufung auf Neubegutachtung einer Entscheidung der unteren Instanzen zu, weil die die Einwände der Verteidiger als Prozessbehinderung abgelehnt hatten, was der Oberste Gerichtshof anscheinend anders sieht. Zu dem Prozess war es ursprünglich gekommen, weil die USA einen Haftbefehl in Neuseeland u.a. durch eigene FBI Kräfte hat vollstrecken lassen, um Kim und Gang den Prozess wegen Geldwäsche und Copyright-Verstößen auf Ihrer Mega-Upload Plattform zu machen.

Damals dachte die USA noch, sie könnte Kim und seine 3 Mitangeklagten direkt mitnehmen, was die Neuseeländer etwas anders sahen und das zu einem Megaprozess führte, der von 2012 bis heute lief. Mit immer neuen Tricks versuchten die Anwälte zu beweisen, daß das was die Angeklagten getan hatten, in Neuseeland gar kein Verbrechen wäre, denn das Auslieferungsabkommen mit den USA sieht vor, daß es nur für Straftaten anwendbar ist, die auch in Neuseeland eine Straftat sind. Hat aber alles nichts genutzt, außer, daß man ihn schon einmal nicht wegen Geldwäsche ausliefern kann, den Straftatbestand gibt es in Neuseeland scheinbar gar nicht.

Das fragliche Geschäftsmodell lief so:

Kim & Gang stellten eine Uploadplattform zur Verfügung, wo sich jeder kostenlos anmelden konnte, um Sachen hochzuladen, damit andere sie downloaden konnten. Eine halb-öffentliche Cloud würde man das wohl heute nennen, im Prinzip Youtube ohne Livestreaming und Kontrolle. Kim & Gang argumentierten damit, daß sie als Provider von der Haftung für Kundeninhalte befreit wären. Das Geld wurde mit Abos verdient, welche die klägliche Downloadrate nicht angemeldeter Nutzer in High-Speed-Zugänge umgewandelt hat. d.b. die Downloader haben die Plattform finanziert, weil sie nicht solange auf Inhalte warten wollten. Das klappt natürlich nur, wenn man dort etwas downloaden kann, daß einen wirklich interessiert z.B. Musik, Spielfilme und Serien in HQ, Bücher, Cracksoftware usw. Dafür muß dieser Inhalt natürlich vorhanden sein, sonst kommt ja keiner zum Downloaden 😉 Daher war der Upload kostenlos möglich und nur der Download limitiert.

Das FBI ist der Meinung schlüssig beweisen zu können, daß Kim & Gang Kriminelle dafür bezahlt haben, Ihre Inhalte auf Mega-Upload hochzuladen, damit die Kunden einen Grund haben, weiter die Abos zu zahlen oder damit sie überhaupt erst zur Plattform kommen. Deswegen kam es zum Prozess, denn dies ist von keinem Provider-Privilege gedeckt, das ich kenne 😉 Da es bei Mega-Upload also um ein kriminelles Unternehmen ging, ist aus Sicht der USA  alles was da an Geld geflossen ist, Geldwäsche bzw. Wire-Fraud (alle Straftaten die über Metalldrähte abgewickelt werden: Telefon & Internet ). Das wird dort empfindlich bestraft und da darf sich Kim jetzt schon mal drauf freuen, denn einmal an die USA ausgeliefert kann ihn Neuseeland nicht mehr beschützen. Damit dürfte die Dauerparty wohl bald zu ende sein.

Quellen:

https://www.manager-magazin.de/unternehmen/karriere/a-176329.html

https://torrentfreak.com/kim-dotcom-can-be-extradited-to-the-united-states-subject-to-judicial-review-201104/

CoronaChroniken: Lockdown Tag 2

Posted on by

Liebe Maskierte,

viele Dinge passieren ja immer gleichzeitig, ist echt schwer da zu folgen.

CoronaChroniken: Lockdown Tag 2

Unsere Graphen sehen heute recht gut aus, aber es ist Wochenanfang, da ist das eigentlich immer so wegen der Sonntagsdelle:

Da es bei uns erst einmal nichts zu berichten gibt, darf der Drosten mal ran:

„In Argentinien zum Beispiel ist die Verbreitung trotz Maßnahmen sehr schwer zu kontrollieren – dort ist Winter. Wir sollten in Deutschland viel differenzierter und genauer ins Ausland schauen. Wir müssen aufhören, uns über so Dinge wie Fußballstadien zu unterhalten. Das ist wirklich komplett irreführend.“ www.focus.de

Irreführen? Ein bisschen, weil wenn bei uns Herbst ist, ist da „unten“ Frühling 🙂  Hier kann man sich die Zahlen aus Argentinien ansehen, deren Kurve geht seit Tagen abwärts, weil der Frühling naht. Das konnte Herr Drosten im Interview vom September, aus dem das Zitat stammt, noch nicht wissen, aber ahnen, denn bei uns war es ja genau so. <Hinweis>Gerüchten zur folge</hinweis>, sollen die Argentinier einen besonders harten Lockdown durchgezogen haben, und, wie man in den Graphen sieht, keinen Erfolg damit gehabt haben.

Natürlich leuchtet es einem ein, daß wenn man sich nicht mit anderen Menschen treffen kann, ein Virus sich nicht ausbreiten kann. In der Praxis ist aber auch ein Kontaktverbot nicht immer ein Garant, weil völlig ohne Kontakte geht es nur in geschlossenen Anstalten. Man denke an einen Super-Spreader als Paketboten. Der würde in einer Woche ganze Stadtteile lahmlegen. Wenn man jetzt wenigsten den Risikopatienten funktionierende Schutzausrüstung wie FFP2/3 Masken geben würde, würde ich da gut investierte Steuergelder sehen. Es ist immer noch günstiger die paar Euro pro Nase und Tag in echten Schutz zu investieren, als auch nur einen Tag Krankenhaus bezahlen zu müssen.

Was uns zum nächsten Thema bring: Vitamin D

„Oh Nein, jetzt fängt der auch schon an“ einfach weiterlesen, denn das Zwitschern die Spatzen schon seit Wochen und Monaten von den Bäumen und zwar so laut, daß langsam die ersten, nennen wir sie mal Mainstream-Medien, es auch endlich drucken:

https://www.berliner-kurier.de/gesundheit/corona-vitamin-d-senkt-das-infektionsrisiko-li.116015

Wer den ganzen Sommer draußen rumgeturnt ist, der hat sich genug davon in die Depots gepackt. Die Bürohengste unter uns, und da muß ich mich einschließen, werden da nicht genug abbekommen haben, und könnten davon in Maßen profitieren, sich mal eine oder zwei Packungen über den Winter zuzulegen. Alternativ kann man das Vitamin auch über die normale Nahrung aufnehmen, da muß man allerdings skruppeloser Fischliebhaber sein, in so einem Hering ist nicht viel drin, wenn der aus der Dose rutscht.

Die Nicht-Überwachungs-Tracking-Pflicht-App-Sau

Die EierlegendeWohlmilchsau kennt Ihr ja vermutlich. Der Kommentator von N-TV dagegen, scheint die Unmöglichkeit dieser Sau nicht ganz verstanden zu haben, da er selbige als neue Corona-Warn-App fordert:

https://www.n-tv.de/wirtschaft/kommentare/Lockdown-Plan-D-muss-her-article22140182.html

Schlauen Menschen fällt der Widerspruch in seinen Sätzen sicherlich sofort auf, allen anderen muß man wohl leider erklären, daß A ohne B nicht geht. Also: Wenn ich eine zentrale Instanz habe, die von mir meine Kontaktdaten bekommt, dann weiß sie sofort mit welchen anderen Kontakten ich zusammen war. Das zu tun, aber den Schutz der Privatsphäre zu gewährleisten, in dem man gar nicht in den Trog schaut, kann nicht klappen, denn überall wo es Datentröge gibt, kommen die Datensäue. Da wir das Thema schon hatten, könnt Ihr da nochmals reinsehen:

Coronachroniken: Wie man seine Überwachungsapps unters Volk bringt

Daher kann man solchen Pflichten leider nur eine Absage geben, denn auch wenn das seine Vorteile hätte, aber die Realitäten zeigen halt, daß es nur da keine Datensäue gibt, wo es keine Tröge gibt. Daß die App auch gar nicht auf allen Handies läuft und ohne Bluetooth nichts bringt, muß ich glaube ich nicht nochmal erklären. Die technischen Schwächen der App an sich, die 4m:59s blind ist, will ich auch nicht wieder anführen müssen. Wer diese App geplant hat, wußte vorher, daß es eine Todgeburt ist, aber unsinnige Apps bauen und damit die großen Fische füttern, ist ja seit längerem schon Hauptaufgabe der Politik 🙂

Wir sehen uns Ende der Woche zur Analyse, ob diese Woche schon der Absturz der Infektionszahlen kam, oder ob es doch noch schlimmer wurde. Ich wünsche uns allen, daß ersteres eintritt, auch wenn es eher unwahrscheinlich ist. Wie heißt es so schön, die Hoffnung stirbt zuletzt 😉

Ok, einen habe ich noch 🙂

https://www.n-tv.de/wissen/Syphilis-trotz-Pandemie-auf-dem-Vormarsch-article22142877.html

Sehr interessant, wie naiv Ärzte sind, als wenn die Leute aufhören würden mit Geschlechtsverkehr nur weil Pandemie ist :DDDD