Category Archives: Allgemein

„Security“ by Deutsche Bahn

Posted on by

Die Deutsche Bahn hat ja derzeit schon einen Gesprächstermin mit der Berliner Datenschutzbeauftragten, weil sie Greta’s Reisedaten preisgegeben haben, aber vor 16 Minuten brach auch die Sicherheitsfassade der DB IT zusammen. Auf Full-Disclosure wurde vom Vulnerability Laboratory eine DB Bahn Sicherheitslücke veröffentlicht.

„Security“ by Deutsche Bahn

Man kennt das als Bahnfahrer, man trifft an an einem Bahnhof ein und möchte woanders hin. Dazu braucht man einen Fahrschein, neudeutsch auch Ticket genannt. Um ein Ticket zu bekommen, stehen überall so kleine armlose Roboter rum, die Geld in Tickets wechseln. Dazu gibt man ein, wo man hin will und dann …. crasht gelegentlich die Anwendung intern, und da wird es spannend 🙂

Ein Prozess auf dem… und jetzt gut festhalten… Windows XP System, namens PasswordAgent.exe hat diverse Fehler, mal kann er was nicht abfragen, mal gibt es Laufzeitfehler, wie man das so noch von WinXP kennt ;). Jedesmal wenn das passiert, kommt eine Fehlermeldungsbox. Auf normalen PC wäre die im Vordergrund zusehen, hier allerdings versteckt sie sich hinter dem Anwendungsfenster des Verkaufsautomaten, damit der Kunde genau das nicht sehen kann.

Leider gibt es da noch einen Bug: Wenn man im Zahlenfeld auf Abbrechen klickt, während diese Meldung im Hintergrund angezeigt wird, kommt die nach vorne, vor die Verkaufsanwendung.

Jetzt haben wir ein Standardwindowsfehlerfenster und da ist ein Link drin zu den Details der Fehlermeldung. Darin wiederum ist ein Link zur M$-Hilfe. Drückt man drauf kommt, Ihr ahnt es, ein Browser ins Spiel, weil das ein Weblink ist. Ist der Browser erstmal gestartet, hat man über das Einstellungsmenü die Option ins Filesystem zu wechseln und der Rest dürfte auf der Hand liegen: Trojaner drauf, Ransomware oder einfach die DB Kunden verarschen, in dem der Automat keinen Fahrschein druckt oder oder oder…

Hier nochmal die Kurzfassung des Exploitweges:

PasswordAgent.exe := Unexpected Error (Background) – Runtime/Session/Timeout
=> Transaction Application => Cancel := Unexpected Error (Background) – Runtime/Session/Timeout (Front)
=> Click Error Report => Click Search Collection => Web Browser => Local File System => PWND!

Den Wert des Exploits schätzen die Finder auf 5.000€ – 10.000€ ein.

Angeblich kam die Bahn bereits selbst auf diese Lücke und hätte auch schon mit dem Patchen begonnen, insofern müßten potentielle Spaßvögel sehr schnell reagieren 😉

Quelle: https://www.vulnerability-lab.com/get_content.php?id=2191

Autorenlesung: „JA! Leben DARF leicht sein!“

Posted on by
Am 4. Dezember 2019 findet im „Vienna House Easy“ um 18 Uhr die Autorenlesung von Miriam Fuchs zu Ihrem neuen Buch „JA! Leben DARF leicht sein!“ statt.

Die Goslarsche Zeitung attestiert dem Werk, daß es eine grammatikalisch schmerzhafte Erfahrung darstellt, auch wenn man das anvisierte Geschlecht hat. Wobei das beim derzeitigen GenderInnen*wahn nicht viel zu sagen hat, denn es geht gar nicht um Genderismus, sondern um die Leichtigkeit des Seins an sich 🙂

Da ich Miriam kenne, dürfte der Abend unterhaltsam werden 🙂  Um 18 Uhr geht es los, der Eintritt ist frei.

Die Lokalität könnt Ihr hier finden:

Vienna House Easy Braunschweig

Salzdahlumer Str. 137
38126 Braunschweig
38126 Brunswiek
Lesungs-Termine
 26.11.19, 19 Uhr, HKK Hotel Wernigerode ****, Wernigerode
 04.12.19, 18 Uhr, Vienna House Easy, Braunschweig
 11.12.19, 15.30 Uhr, Regionalladen Quedlinburg
 12.12.19, 18.30 Uhr, black & white Optik Goslar

 2020:
 03.01.20, 19 Uhr, Neues Schützenhaus Osterode
 11.01.20, 18.30 Uhr, Antik Café Marie-Luise, Wildemann
 31.01.20, 19 Uhr, Schäfers Hof Osterwieck
 19.03.20, 19 Uhr, Stadtbibliothek "Heinrich Heine" (Eintritt 3 Euro)
 11.09.20, 19.30 Uhr, Leewer Däle, Liebenburg

Schluss mit Windows 7 .. LPD in Braunschweig

Posted on by

Es ist mal wieder soweit, der Linux Presentation Day (LPD) 2019.2 ist da! In Braunschweig geht unter anderem um Datenschutz und … „Schluss mit Windows(7)“ 🙂

„Schluss mit Windows 7“

Das Schwerpunktthema des zweiten LPD in diesem Jahr lautet „Schluss mit Windows 7“

Am 14. Januar 2020 läuft der Support von Windows 7 SP1 endgültig aus, das Betriebssystem bekommt dann regulär letztmalig Sicherheitsupdates. Als Fortsetzung bliebe dann nur noch WIN10: Aber, will man das? Und, braucht man das?

Wir sagen: NEIN!

Neben Win7 haben wir diesmal auch wieder Linux auf dem Tablet im Angebot, Hardcore Tabellenkalkulationing mit Libreoffice, Besucher können verschiedene Linuxsysteme in der Selbsterfahrungsecke ausprobieren, Wir geben wieder Anfängervorträge zu Linux und natürlich ist auch für das leibliche Wohl gesorgt.

Wie waren noch mal die Eckdaten?

Veranstalter: Die Braunschweiger Linux Usergroup
Ort: Haus der Talente, Elbestraße 45, Ecke Saalestraße, Braunschweig-Weststadt
Zeit: Samstag, 16.11.2019 an 13 Uhr bis ca. 18 Uhr.
Eintritt: frei \o/

Mehr Infos aus https://bs-lug.de .