Tödliche Lakritzvergiftung

Es gibt echt nicht, was es nicht gibt: In Massachusetts ist eine 54 jähriger Bauarbeiter nach dem Verzehr von Unmengen an Lakritze gestorben. In Lakritze ist ein Gift enthalten:

„Glycyrrhizin oder Glycyrrhizinsäure ist ein Saponin und Triterpenoid, das natürlicherweise in der Wurzel der Süßholzpflanze (Glycyrrhiza glabra) vorkommt. Das Glycosid, das zur Herstellung von Lakritz verwendet wird, ist aber auch in anderen Pflanzen wie der Frucht des Grapefruitbaums enthalten.“ (Quelle: wikipedia.org )

Wenn man davon zu viel isst, kommt es zu einem Potassiummangel im Blut ( für diesen Stoff sind Bananen als Quelle bekannt ) und in Folge zu einem Herzversagen. Also Verstand einschalten, wenn man einen Lakritzberg sieht!

Quelle: https://arstechnica.com/?p=1709881

CoronaChroniken: Die Abwesenheit der Corona Warn App

Liebe Maskierte,

heute erreichte mich ein Handy Screenshot, den ich unbedingt mit Euch teilen möchte.

CoronaChroniken: Die Abwesenheit der Corona Warn App

Laut Tagesschau.de bemängeln deutsche Amtsärzte, daß die Corona Warn App keine Rolle bei der Prävention gegen den Virus darstellt, daß die Meldung eines möglichen Falls durch den AppBesitzer durchgeführt werden muß, statt das von der App automatisch machen zu lassen.

Das man das App Ergebnis vorsichtig beurteilen muß, und dies so eine automatische Benachrichtigungsfunktion nicht kann, die im übrigen eine Überwachung darstellt, sollte bekannt sein.

Beispiel: Zwei Autos parken an einem beschrankten Bahnübergang dicht nebeneinander. Beide Fenster sind zu, aber ein Handy signalisiert dem anderen, es wäre jetzt in der Nähe eines Infizierten. Ergebnis: Handy 2 meldet das an das Gesundheitsamt, der Fahrer muß da antreten, wird getestet und hat … bestenfalls Zeit verloren, schlimmstenfalls darf er direkt und völlig unnötig in Quarantäne gehen, bis das Ergebnis da ist.

Fehlermeldung von Google Playstore, wenn manc nahc Corona App sucht.
War das Szenario vorhersehbar? Klar. Gibts da noch mehr von? Natürlich. Gäbe es auch einen validen Einsatz davon? Sicherlich, aber wie wahrscheinlich ist das schon? 🙂

Um aber überhaupt in dieser Handyfalle zum unschuldigen Opfer zu werden, muß man erst einmal den ersten Schritt tun: Die App überhaupt installieren.

Wie man links neben dem Text lesen kann, ist das gar nicht so einfach 🙂

Die Warn-App funktioniert nämlich nur auf dem neuesten Android 10 und wer für sein Handy keine Updates mehr bekommt, der ist auf ganz elegante Art der Handyfalle entkommen.

In weiteren Nachrichten…

sind 7.300 Intensivbetten aus deutschen Krankenhäusern geflohen. Vermutlich Angst vor einer Infektion 😉 Offiziell heißt es natürlich, daß das Gesundheitsministerium sich verzählt hat. Klingt naheliegend, wird von einem Banker geführt, diese Berufsgruppe vertut sich da schon mal um ein paar Zehnerstellen.

Haben wir von den ganzen Pleitebanken als Geldgeber eigentlich jemals die Investition zurückbekommen? Mir fällt da nur die Commerzbank ein, die Ihre Schulden wohl zurückgezahlt hat. Was hat aber der Rest gemacht?

CoronaChroniken: Keine Panik

Liebe Maskierte,

stellt Euch darauf ein, Eure Maske bis 2021 mit Euch rumzuschleppen, Herr Drosten hat sich dahingehend geäußert. Das immer noch irgendwer an den Erfolg von Stofffetzen glaubt..

CoronaChroniken: Keine Panik

ich habe heute mal dem Kultusausschuss Baden-Württemberg gelauscht, wie er über Corona in der Schule beraten hat und im Anschluss darüber, ob Office 365 für die neue Lernplattform BW eingebunden wird.

Beim Thema „Corona in Schulen“ wird klar, Probleme wo eigentlich keine sind. Wert wird auf Lösungen gelegt, die unnötig und möglichst kompliziert sind z.b. Filteranlagen für Raumluft.. man könnte auch einfach das Fenster aufmachen. Damit Euch der Unsinn mal klar wird:

  • in der Klasse: keine Maske
  • auf dem Hof: Maske
  • im Schulbus: keine Maske, oder doch, kommt auf den Bus an.
  • auf dem (gemeinsamen) Schulweg: keine Maske

Also entweder man zieht das durch, oder man kann es sein lassen. So ist das Unsinn, ganz nach dem Motto „Wir machen wenigstens was, egal obs klappt oder nicht.“ Ich sage nur Regentanz!

Über den ganzen anderen hausgemachten Unsinn sage ich lieber nichts 🙁

Wenigstens eine Nebelkerze hat gezündet: Die offizielle Entscheidung zum Einsatz von M$ Produkten im Schulumfeld in BW ist noch nicht getroffen. Die Ministerin weicht wortreich aus und reitet auf nur diesem einen Punkt rum, statt es als das zu sehen was es ist, keine berechtigte Kritik überhaupt den Gedanken zu haben, es würde mit M$ eine Lösung geben können, die dem Datenschutz entspricht.

Zurück zu Zahlen

Lasst Euch keine Panik einreden: Infizierte sind nicht gleich Erkrankte!

Den Spruch sollte ich mir aufs T-Shirt drucken lassen und auf einer „Querdenker“ Demo verticken :DDD

Linux: Multitouchsupport im Surface Pro 4

Heute geht es mal wieder um Linux auf dem Surface Pro 4 Tablet. Da hatten wir lange keinen Beitrag mehr dazu 🙂

Linux: Multitouchsupport im Surface Pro 4

Mit Kernel 5.8 kam „leider“ eine Änderung ins System: Touch ging nicht mehr. Auf einem Tablet ist das natürlich der Super-GAU und natürlich kamen sofort Erinnerungen auf zur Erstinbetriebnahme vor 18 Monaten.

Der letzte Kernel der noch ohne weiteres funktionierte war 5.7.17-2, ergo war erstmal ein Bugreport an die Entwickler nötig. Zum Glück konnten die das Problem erfolgreich beheben, wobei man sagen muß, ein bisschen mehr PR täte denen ganz gut 😉

Ihr braucht eine neue Zusatzsoftware für den Kernel 5.8: iptsd

Die Installation ist ganz einfach, sofern Ihr, und ich bin sicher, daß Ihr das habt, das Kernel Repo eingerichtet habt: surfacelinux.com .

dnf install iptsd -y

systemctl start iptsd
systemctl enable iptsd
reboot

Eigentlich ist der iptsd ein User-Space-Daemon, er braucht keinen Neustart, aber das hatte bei mir leider nicht funktioniert. Erst nach dem das System 2h geladen und dann neu gestartet wurde, funktionierte der Daemon wie er sollte.

Jetzt war wieder alles möglich, was der JakeDay-Kernel, keine Ahnung wieso der abgetaucht ist, auch konnte: nämlich Multi-Touch-Gesten ( und die Maschine wirklich abschalten, aber das ist ne andere Geschichte )

Multi-Touch-Gesten meint z.b., daß man unter der Gnome-Shell in die Aktivitätenübersicht mit Hilfe von 3-Fingern die sich aufeinander zubewegen wechseln kann. Auch funktioniert das Zoomen im Firefox und anderen dafür vorbereitete Apps wieder, was die Bedienung deutlich einfacher macht im Tabletmodus \o/

Jetzt braucht es nur zwei Fixe an der Kamera und dem Mouseeventmanagment und das Tablet ist, bis auf den hohen Stromverbrauch durch den Kernel selbst, endlich vollständig benutzbar.

„Jungs, gut gemacht!“ 🙂

CoronaChroniken: einstündiges South Park Spezial angekündigt

Am Sonntag, den 4.10.2020 geht South Park mit einem einstündigen Corona Spezial in die neue Staffel. Einen Tag später gibt den deutschen HD Stream im Netz.

CoronaChroniken: einstündiges South Park Spezial angekündigt

In der passenden Ankündigung heißt es:

„Randy stellt sich seiner neuen Rolle beim beim Ausbruch der COVID-19 Pandemie, da die anhaltende Pandemie die Bürger von South Park weiterhin vor Herausforderungen stellt. Die Kinder gehen weiterhin glücklich zurück zur Schule, aber nichts ist, wie es einmal war. Nicht ihre Lehrer, nicht ihr Klassenraum, nicht einmal Eric Cartman.“ (mehr auf Southpark.de)

Wenn man sich schon nicht mal mehr auf Eric Cartman verlassen kann, auf was dann? Vielleicht darauf, daß es ein ganz großer abgedrehter Spaß sein wird? Na schauen wir doch mal:

Ich denke, ich weiß was das „Pandemic Special“ sein wird 😀 Und wer die letzte Staffel South Park gesehen hat, der wird dies sicher auch so sehen 😉

Ansehen könnt Ihr Euch South Park direkt in Kodi oder mit einem Tag Verspätung auf https://southpark.de ansehen.

In anderen News

Natürlich gibt es heute noch mehr Corona-Nicht-News: Die Webseite bmgbund.de, die derzeit durch Spams u.a. über Kontaktformulare wie folgt beworben wird:

„Dringende Nachricht des Bundesministeriums für Gesundheit zum Coronavirus! htpp://bmgbund.de“

ist beileibe keine Webseite des Bundesministeriums, sondern einfach mal eine Porno Frontpage, die dem Besucher dann vermutlich auch gleich noch einen Trojaner verpassen will. Die Kripo Hannover kommentierte den Versuch die Seite aufzurufen wie folgt: „Nach 10 Redirects von hinz zu kunz habe ich aufgehört.“ 🙂 Jetzt fragt sich der eine oder andere natürlich, wieso jemand deswegen die Kripo einschalten würde, aber schaut Euch mal den Domainnamen an: „bmgbund.de“, denn normal wäre „bund.de“ tatsächlich die Hauptdomain für Bundesbehörden. Da kann man schnell mal drauf reinfallen. Daher habe ich die Behörden zwecks Beschlagnahme der Domain eingeschaltet.  (Das hier keine Links sind, ist Absicht 😉 )

Ich mag ja mit dem Kurs des Gesundheitsministers nicht ganz einverstanden sein, aber so etwas geht gar nicht.

In weiteren echten Corona News

Ein Statistiker aus München hat eine Erklärung(Link wäre hinter PayWall, daher kein Link) für die Coronainfektionszahlen: Das Dunkelfeld wird bei 1.2 Millionen Tests die Woche weit ausgeleuchtet. Das Dunkelfeld sind die Infizierten, die nichts merken und nicht zum Arzt gehen, auch als Dunkelziffer bekannt. Das erklärt natürlich schön den Umstand, daß es kaum schwer Erkrankte gibt und entsprechend wenige Tote. Das das RKI eine besondere Beziehung zu den Todeszahlen hat, hatten wir ja öfters als Thema im Blog ( CoronaChroniken: Sterbezahlen nicht mehr veröffentlicht , CoronaChroniken: also so langsam.. )

Arbeiten an Fedora 34 starten

Die Arbeiten an Fedora 34 haben begonnen. Das neue Repo wird derzeit erstellt und die ersten Pakete sind bereits gebaut worden.

Arbeiten an Fedora 34 starten

Soweit ich erkennen kann, gibt es leider noch Probleme beim Rawhide Repo. Der Build ist leider gefailed. Macht nichts, denn dies war trotzdem der Startschuss für Fedora 34 🙂

Für Fedora 31 User bedeutet es, sich langsam auf die Umstellung Richtung F32 einzustellen. Die Updates können entweder über den Softwarecenter gemacht werden, der nervt ja sowieso schon seit Monaten damit, daß es Fedora 33 gäbe, oder über dnf. dnf  hat den Vorteil, daß man im Verlauf wenigsten zusehen kann und weiß, wann das durch ungefähr durch sein wird.

Ich mag das Update mit dnf als Admin ja ohnehin lieber, weil man dann auch Fehler vorbeiscrollen sieht, die man behandeln und melden könnte. Natürlich hoffen wir alle, daß es keine geben wird 😉

 

RCE: 68.8< Firefox Mobile <80.x Schwachstelle

Es ist vielleicht nicht das schlechteste, daß Mozilla seine Leute rausgekantet hat, denn je weniger da arbeiten, desto weniger können so richtig tief in die Scheiße greifen 🙁

RCE: 68.8< Firefox Mobile <80.x Schwachstelle

Wie gestern Abend von den Hacker News  berichtet wurde, gibt es im FireFox Mobile eine so gravierende Sicherheitslücke, daß sich einem die Fußnägel aufrollen. Wenn man mit einem FF M < Version 80 gemeinsam in einem WLAN oder anderen Netz ist, kann man dem Firefox eine Nachricht senden, und er führt das direkt aus: Eine Remote Code Execution Schwachstelle.Die Schwachstelle wurde im FireFox Mobile 80 für Android gefixt.

Hinweis: In einem FF Mobile 68.8 konnte das Verhalten, trotz absichtlicher Aktivierung des Features nicht reproduziert werden.

FireFox sendet SSDP Pakete ins Netz um Geräte zu finden, die man als Screencast verwenden kann. Das wäre a) der Job vom OS und b) nicht so schlimm, wenn man das Ergebnis, das einem unaufgefordert jeder im Netz senden kann, mal auf SINNVOLLE Werte prüfen würde, statt es BLIND auszuführen.

Über so einen Intent kann man auch Addons oder andere Apps Installieren’und natürlich auch Webseiten mit Exploits besuchen, das macht es so gefährlich.

Kleines Demo gefällig?

Dies Video stammt von Gitlab-Account des Red Teams:

Wer sich mit Android Programmierung nicht auskennt, ein „Intent“ ist eine Anfrage von App A an (meistens) alle anderen Apps, ob die mit dem Inhalt was anfangen können. So brauche ich bspw. als Browser keinen Videoplayer integrieren, weil das eine andere App vermutlich viel besser kann als ich.

Aber selbstverständlich nehme ich als Anwendung dazu keine Infos, die selbst von einer dubiosen anderen Stelle im Netz bekommen habe, sondern leite da nur Sachen hin, die „ich selbst“ erstellt oder runtergeladen habe vom Ziel.

So ein Verhalten ist grob fahrlässig und eines Anfängers ohne Security Schulung würdig, aber doch nicht den Entwicklern eines Marken-Browsers.

Fußnote

NetFlix Mobile scheint auch per SSDP nach Sachen zu suchen, aber ob die Entwickler den gleichen dicken Bug eingebaut haben, ist nicht bekannt. Wer selbst nachsehen will, soltle in seinem WLAN mal das hier starten: „sudo tcpdump -A -n not tcp and not icmp and port ssdp“

SSDP ist das Simple Service Discovery Protocol und gehört als UDP basiertem Dienst zum UPnP, den Universal Plug & Play. Diese ganzen Autodetect Sachen sind als Funktion ganz nett, aber führen immer mal wieder zu Schwachstellen. Per UPnP kann man z.b. als Programm der Firewall sagen, daß man gern ein Loch haben würde für seinen Dienst, ohne das der Firewall-Admin was davon mitbekommt. Wird oft von Instant-Messengern benutzt um durch die DSL-Router zu kommen.

Shitrix is back : Citrix ADC – Mehrere Schwachstellen

Gerade erst ist jemand in Düsseldorf an den Folgen einer schlecht gewarteten Installation von Citrix ADC gestorben, da hat Citirix die nächste Sicherheitslücke für uns parat.

Shitrix is back : Citrix ADC – Mehrere Schwachstellen

Wie das BSI Cert mit Stand 18.9. 2020 mitteilt, sind von einer Privilegien Eskalation folgende Produkte betroffen:

Citrix Systems ADC < 11.1-65.12,
Citrix Systems ADC < 12.1-58.15,
Citrix Systems ADC < 12.1-FIPS 12.1-55.187,
Citrix Systems ADC < 13.0-64.35,
Citrix Systems Citrix Gateway < 13.0-64.35,
Citrix Systems SD-WAN < WANOP 10.2.7b, 
Citrix Systems SD-WAN < WANOP 11.1.2a,
Citrix Systems SD-WAN < WANOP 11.2.1a

Die dazu gehörigen CVE Nummern: CVE-2020-8245, CVE-2020-8246, CVE-2020-8247

Besonders prekär an der Sache:

Ein entfernter, –> anonymer <– oder authentisierter Angreifer kann mehrere Schwachstellen in Citrix Systems ADC, Citrix Systems Citrix Gateway und Citrix Systems SD-WAN ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen, einen Denial of Service zu verursachen oder seine Rechte zu erweitern. Sprich: Jeder kanns. Man sehen ob die Uni Düsseldorf jetzt wieder 9 Monate braucht um gehackt zu werden: https://www.forschung-und-lehre.de/politik/hacker-haben-uniklinik-duesseldorf-erpresst-3110/

Ich frage mich immer, wieso Citrix Ihren Kram nicht einfach per Repo verteilt, das ist doch alles CentOS was die da nutzen.
Update: Es steht zu befürchten, daß die Uni Düsseldorf gar nicht durch die Januar Lücke gehackt wurde, sondern durch DIESE neue Lücke. Zeitlich paßt das, wenn die Hacker den Zero-Day hatten, bevor Citrix das überhaupt patchen konnte. Wenn man nämlich den offiziellen Bericht (s.o.) dazu durchliest, soll das bereits im Januar gepachted und auch geprüft worden sein. Wenn das stimmt, kann es eigentlich nur diese neue Lücke oben sein. Bin mal echt gespannt 😀
Update 20.9.2020:
Der Mailserver der Universitätsklinik Düsseldorf ist noch nicht wieder erreichbar. Gemerkt habe ich das nur, weil ich denen die CVEs zu den neuen ADC Lücken geschickt habe, wir dürfen gespannt sein.

 

TLS: Timing Attacke RACCOON

Intel kennt das Problem: Laufend kommt einer an und kann an der Laufzeit von Berechnungen Daten ableiten, die er nicht sieht. Jetzt ist mal wieder TLS dran mit so einem Angriff auf den DH Schlüssel.

TLS: Timing Attacke RACCOON

Wie die Hacker News berichten, gibt es eine neue, aber sehr spezielle, Methode an einen Serverschlüssel zu kommen. Voraussetzung ist allerdings, daß der Server seine verwendeten Schlüssel erneut benutzt. Das sollte er wegen PFS sowieso nicht tun, aber nicht alle Dialekte von TLS 1.2 sind PFS fähig.

Um die Lücke ausnutzen zu können, muß der Angreifer zu dem sehr präzise Messungen zur Laufzeit machen können, daher muß er technisch sehr dicht am Server dran sein, um die Messungen akkurat vornehmen zu können. In den meisten Fällen wird der Versuch da bereits scheitern. Auch Scheitern wird der Angriff, wenn PFS zum Einsatz kommt, weil der Server den privaten DH Schlüssel dann nicht wieder verwendet.

F5, Mozilla, Microsoft und OpenSSL haben schon Updates parat, wobei M$ sich darauf beschränkt, die DHE einfach abzuschalten, statt das Problem zu lösen 😀 Auch ne Methode 😉 Wie man hier nachlesen kann: OPENSSL: https://www.openssl.org/news/secadv/20200909.txt hat OpenSSL das Problem in älteren OpenSSL Versionen bereits durch eine andere Defaulteinstellung behoben. Damit ist die Gefährlichkeit des Angriffs eher gering einzuschätzen.

Ich habe mir mal die Mühe gemacht und konnte selbst in einer 2 Jahre alten OpenSSL Version den nötigen Cipher nicht und damit ist der Webserver auch nicht anfällig. Ein Test durch SSLLabs hat das bestätigt:

Uses common DH primesNo, DHE suites not supported
DH public server param (Ys) reuseNo, DHE suites not supported
ECDH public server param reuseNo

Also, keine Panik, wenn Ihr nicht 10 Jahre alte Software einsetzt, ist alles gut.