Category Archives: Security

Verrückte verkauft Emailadressen für 500 € die Million :)

Posted on by

Aus der Lach- und Sackecke ..

Hallo,

Ich verkaufe Emails!

@gmx.de (12,4 Millionen)
@web.de (8,2 Millionen)
@gmx.net (2,4 Millionen)
@t-online.de (8,9 Millionen)
@freenet.de (3,4 Millionen)
@bluewin.ch (2,4 Millionen)

Alle Emails sind geckeckt und aktiv (Stand Dezember 2017)

Kosten pro 1 Million Emails 500 Euro

Falls Sie alle kaufen m�chten k�nnen wir �ber den Preis verhandeln!

Ich akzeptiere als Zahlungsmittel nur Bitcoin

Falls Sie interessiert sind kontaktieren Sie mich �ber Jabber!

Meine Jabber ID: XXXXXXXXXXX@XXXXXXXX.XX

Meiner Meinung nach ein klarer Fall von Betrug:

  1. Bitcoins als Zahlungsart => Geld weg => keine Lieferung
  2. Emailadressen so zu kaufen ist in Deutschland ohnehin illegal.
  3. Natürlich kam das über eine dubiose Spam ein 🙂

Von so was sollte man die Finger lassen.

Linux – Ubuntu 17.10 kann Laptopbios beschädigen

Posted on by

Die Verteilung von Ubuntu Linux 17.10 wurde eingestellt, da ein INTEL Treiber die Firmware von Laptops beschädigen kann. Besonders betroffen sind Modelle von LENOVO.

aus dem Ubuntu Launchpad

Mehr dazu im Ubuntu Bugtracker unter https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1734147 :

SRU Justification

Impact: Many users are reporting issues with bios corruption with 17.10. This seems to stem from enabling the intel-spi-* drivers in the kernel, which don't appear to be ready for use on end-user machines.

Fix: Disable this driver.

Test Case: Fix has been verified by our HWE team on affected hardware.

Regression Potential: Minimal, it's unlikely anyone is actually doing anything which requires this driver.

Modelliste

#### UPDATE (20/12/2017) ####

LENOVO machines affected so far (please add your affected model to this list):

Lenovo B40-70
Lenovo B50-70
Lenovo B50-80
Lenovo Flex-3
Lenovo Flex-10
Lenovo G40-30
Lenovo G50-70
Lenovo G50-80
Lenovo S20-30
Lenovo U31-70
Lenovo Y50-70
Lenovo Y70-70
Lenovo Yoga Thinkpad (20C0)
Lenovo Yoga 2 11" - 20332
Lenovo Z50-70
Lenovo Z51-70
Lenovo ideapad 100-15IBY

The bug also affects:
Acer Aspire E5-771G
Acer TravelMate B113
Toshiba Satellite S55T-B5233

Bug may effect machines from any manufacturer that uses BIOS based on Insyde Software

Firefox – Windows 10 – Keeper und der Bruch

Posted on by

The Hacker News berichtet über einen Fall, der an den FireFox & Mr.Robot Skandal von gestern erinnert, aber mit wesentlich schlimmeren Folgen für die Benutzer.

Microsoft installiert heimlich unsichere Software auf Windows 10

Wie Tavis Ormandy von Google Security in seinem Blog berichtet, installiert Microsoft heimlich einen Passwordmanager namens „Keeper“ auf Windows 10 Installationen. Soweit wäre das noch kein großer Skandal, aber dummerweise .. naja.. was sollen wir sagen… der Passwortmanager hatte da wohl ein bekanntes Sicherheitsloch, mit dem Webseiten alle Passwörter aus Keeper absaugen könnten, falls Keeper aktiv ist.

Nevertheless, this is a complete compromise of Keeper security, allowing any website to steal any password. Here is a working demo that steals your twitter password…

Prekär an der Sache, genau diese Software ist in 2016 schon mal Ziel von Tavis Ormandy’s Analysen geworden und ist damals genau mit einem ähnlichen Fehler aufgefallen. Den ganzen Beitrag könnt Ihr unten in den Quellen finden.

Jetzt könnten die Linuxtrolle unter uns natürlich sagen, mit Opensource wäre das nicht passiert, aber leider stimmt das ja nicht, wie der FireFox Vorfall ( s.o. ) ja bedauerlicherweise bewiesen hat. Mal davon abgesehen, daß der Windowsfall mit einem Sicherheitsloch einhergeht und Mozilla einfach nur die Integrität von sich und FireFox zunichte gemacht hat.

Mozilla juckt es nicht, wieso sollte es Mircosoft jucken?

Es ist Mozilla nicht mal einen Eintrag in deren Blog oder Twitterchannel wert, daß Sie heimlich Software in die  US-Firefoxe gepumpt haben (und erwischt wurden), wieso sollte es dann Microsoft kümmern, daß sie einen Passwortmanager mit Sicherheitslücke heimlich auf den PC geschoben haben ( und erwischt wurden ) ? Beide „Hersteller“ haben was gemeinsam: Sie sind dick, fett und reagieren träge auf Userfeedback.

Microsoft hat traditionell wenig übrig für Ihre Privatkundenwünsche, weil deren Kunden primär Geschäftskunden sind und deren Sorgen Vorrang haben. Kann man noch verstehen. Mozilla dagegen, ist nicht mal eine Firma, sondern nur eine Stiftung. Die sind auf Spenden und Deals mit anderen angewiesen um weiter zu machen.

Warum sie das Geld dann mit sowas verbrennen : „Mozilla is Funding Art About Online Privacy and Security“ oder „Mozilla awards research grants to fund top research projects“ entzieht sich mir völlig. Die sollen sich auf Ihren Browser und Mailclienten konzentrieren, aber da wir nichts dafür bezahlen, haben wir Enduser keine Mittel, das zu unterbinden. Genau wie bei Microsoft Windows auch, bleibt uns nur der Wechsel zu einem anderen Produkt.

Die Freiheit zu entscheiden bleibt

In beiden Fällen haben wir nur noch die Freiheit zu sagen, daß wir etwas anderes einsetzen wollen. Die Linuxuser haben Microsoft die rote Karte schon gezeigt, wird Zeit, daß wir Mozilla auch zeigen, was wir davon halten. Das dies ganz schnell gehen kann, zeigt dieser Befehl 😉

sudo dnf install seamonkey icecat  surf arora midori

SeaMonkey fällt schon mal raus, wir wollen ja von Mozilla unabhängig werden. Allerdings, ist das Teil schnell! Schneller als FireFox, allerdings gibt es kein NoScript, was spätestens zum Ausschluss geführt hätte.

gnuIceCat möchte als FireFoxclone lustigerweise die Bookmarks und Einstellungen von Chrome importieren … HÄ ?!?!?! Aber, es kommt gleich mit was lustigem als Option an:

The GNU IceCat web browser protects your freedom and your privacy!
Block execution of non-free JavaScript (experimental)
Block privacy trackers
Disable JavaScript

Ich wage einen vorsichtigen Test … NoScript … vorhanden \o/ Schon mal gut. Leider failed LibreJS bereits auf Seite 1 meines Testlaufs, es mag meine Seite nicht und möchte mir aber auch keine Möglichkeit geben, es vom Gegenteil zu überzeugen. Also *Failed*.. Davon ab, kommt ein halbes Dutzend Addons mit, die LibreJS kompatibel mit Webseiten machen. Das kann nicht gut sein 😀 Also LibreJS weg, NoScript rein.  Ok, nach einigem Hin und Her, lief das dann endlich. Der Add-On Manager  hat zwar ein derbes Layoutproblem, aber ansonsten gehts eigentlich.

Zum Witz des Tages : Surf ! Ein simpler Webbrowser… nur leider ohne jegliche Funktion, wenn man ihn so startet. Wenn in der Konsole „surf https://webseite…“ eingibt, dann startet die Webseite sogar. Die Layoutengine ist sagen wir mal „simple“ und nicht in der Lage eine Youtube Videoseite auch nur ansatzweise zu zeigen. *failed*

Der nächste Kandidat Midori macht das schon besser, aber da es Javascript nur ganz oder gar nicht gibt, auch *failed*. Nur um den Test abzurunden, erlaube ich doch mal Javascript. Es ist schnell. Schneller als FireFox. Youtube funktioniert auch (halbwegs jedenfalls), allerdings fehlen alle DevTools die man zum Entwickeln von Webseiten brauchen könnte. Die Statusleisten Funktion ist bestenfalls ein „ausreichend“, benutzbar geht anders. Vielleicht wird ja nochmal was draus.

Arora ist unser letzter Kandidat. Dieser Browser basiert wohl auf QT und Chrome, was man am Webinspector erkennen kann. Da er in die Jahre gekommen ist, ist er natürlich kein echter Kandidat. Modernes CSS ist eher nicht vorhanden, die Lade- und Renderzeiten sind mit lahm noch gut bewertet und die JS-Engine geht gelegentlich Kaffee trinken, statt zu arbeiten. Den kann man also auch vergessen.

Fazit

Es ist gar nicht so leicht vom FireFox weg zu kommen, ohne gleich wieder in eine neue Abhängigkeit, z.b. Google Chrome oder SeaMonkey zu gelangen. Dazu kommen halt inhaltliche Schwächen der anderen Alternativen.

Den IceCat muß man hier wohl als Testsieger nennen. Basiert zwar auf Mozillacode, aber ist eben nicht (ganz) Mozilla.

Quelle: https://thehackernews.com/2017/12/windows-10-password-manager.html
Quelle: https://bugs.chromium.org/p/project-zero/issues/
Quelle: https://drewdevault.com/2017/12/16/Firefox-is-on-a-slippery-slope.html

Update: 22.12. Tavis seinen Namen zurückgegeben.