CVE-2020-15999: Der Kelch, der an Euch vorbei ging

Nein, heute geht es nicht um Dichtung, eher um Undichtigkeiten in Betriebssystemen 😉

CVE-2020-15999: Der Kelch, der an Euch vorbei ging

Google’s Projekt Zero hat im Oktober eine Serie von kritischen Bugs offengelegt, mit deren Hilfe iOS, Android, Windows, Macs und Linuxsysteme ĂŒbernommen werden konnten. Die LĂŒcken sind so groß, daß Apple sogar noch Iphone 5s aktualisiert und die sind seit Jahren im End-of-Live.

Ein Blick auf eine dieser LĂŒcken zeigte, daß diese auch fĂŒr Linux vorhanden war, aber unter dem Radar bliebt: FreeType < 2.10.4

„Bug #1890210 – CVE-2020-15999 freetype: heap-based buffer overflow via malformed ttf files“

Red Hat hat dazu im Bugreport geschrieben:

„A flaw was found in freetype in the way it processes PNG images embedded into fonts. A crafted TTF file can lead to heap-based buffer overflow due to integer truncation in Load_SBit_Png function.“

Wer in den letzten Tagen die Updates verfolgt hat, weiß, daß es fĂŒr Chrome, FireFox, Thunderbird eine schere SicherheitslĂŒcke beim Webseitenaufruf gab. Über den Bug im FreeType, einer Font-Rendering-Engine, die auch und gerade in Webbrowsern genutzt wird, konnte mit Hilfe eines manipulierten Fontfiles, und da zĂ€hlen auch WebFonts zu, das komplette System ĂŒbernommen werden.

Diese LĂŒcke betraf uns alle, und mit alle meine ich wirklich ALLE auf dem Planeten.

Wie kann eine so simple Sache wie einen Fontrendern, zu einer SystemĂŒbernahme fĂŒhren? Das liegt daran, daß es sich hierbei wohl um den ersten Schritt in einer ganzen Exploitchain handelt. Hat man erstmal den Fuß im Chrome oder Firefox, muß man nur noch dort ausbrechen können und das war bei Chrome ĂŒber einen Sandbox-Escape möglich. Danach findet sich im Kernel schon eine Schwachstelle, gerade bei Handies.

Von der Tragweite der LĂŒcke mal abgesehen, rankt sich um die Google Veröffentlichung noch einiges andere. In der Szene munkelt man von „Spionagekram“, wozu auch paßt, daß keiner der Beteiligten dazu irgendwas sagen möchte. Nachdem der Exploit verbrannt ist, dĂŒrften die frĂŒheren Nutzer ziemlich sauer auf Google sein. Das Google uns aber nicht sagen kann, woher die Exploits stammen und wie Sie darauf aufmerksam wurden, spricht dafĂŒr, daß es ein „us-heimischer“ Dienst war, sonst wĂ€ren die Antworten vermutlich anders. Aber, genaueres weiß man nicht, da keiner reden will.

Also feiert, daß ein Angriff weniger auf Euch möglich ist und wer von Euch Software schreibt, denkt bitte daran, wirklich sauber zu arbeiten, weil auch die unbedeutendste Lib einen immensen Schaden anrichten kann!

Systemd: resolved verkauft User u.U. an Google und Cloudflare

Was so alles ans Licht kommt, wenn man Mailinglisten verfolgt. Quasi in einem Nebensatz hat Herr Pöttering kurz mal erklĂ€rt, daß systemd gegen die DSGVO verstĂ¶ĂŸt.

Systemd: resolved verkauft User u.U. an Google und Cloudflare

Die DSGVO legt fest, daß alle Systeme die zum Einsatz kommen, in einer datenschutzfreundlichen Voreinstellung daher kommen mĂŒssen. Merkt Euch das mal fĂŒr spĂ€ter.

Hier erstmal ein Auszug aus dem Posting von Herrn Pöttering:

„Also, people would react very allergic if we’d start sending all DNS traffic to google or so. I mean, you can’t believe how pissed people are that we have a fallback in place that if no DNS servers have been configured at all or acquired via DHCP we fall back to Cloudflare + Google DNS servers. Downstream distros (Debian
) tend to patch that fallback out even…“ (Fedora ML, 29.9. 10:19)

Meint auf deutsch:

„Außerdem wĂŒrden Menschen sehr allergisch reagieren, wenn wir anfangen wĂŒrden, alle DNS Verkehr zu googlen oder so. Ich meine, Sie werden es nicht glauben, wie sauer die Leute sind, dass wir einen Fallback haben, der, wenn ĂŒberhaupt keine DNS-Server konfiguriert sind oder ĂŒber DHCP erworben werden, greifen wir auf Cloudflare + Google DNS-Server zurĂŒck. Downstream-Distributionen (Debian…) neigen dazu, das sogar raus zupatchen …“

Oh, ja, da reagieren wir Menschen allergisch drauf, weil das einen Verstoß gegen den Datenschutz darstellt. Die Debinaleute sehen das ganz richtig. Man kann nicht einfach heimlich am Benutzerwunsch oder Adminunvermögen hinweg Daten an Google oder Cloudflare schicken. Wenn das in einer Firma, einem Verein oder einer Behörde passieren wĂŒrde, dann wĂ€re das ein DSGVO Verstoß der bestraft wĂŒrde! Scheinbar hat hier jemand die Jahre 2016-2019 verschlafen, als die EU Gerichte mit so etwas aufgerĂ€umt haben. Zur Erinnerung: US Privacy Shield .. zusammengebrochen, Facebook droht mit RĂŒckzug aus der EU, Google & MS verlegen Ressourcen in die EU, damit sie weiter im Spiel bleiben können und dann kommt ein Systemd daher, der die DSGVO unterminiert.

Man stelle sich mal vor, eine grĂ¶ĂŸere Firma in der auch Linux als Desktop zum Einsatz kommt und dann steht in irgendsoeiner hart gecodeten .so drin, sie soll Google kontaktieren. FĂŒr alle die nicht wissen, was Datenschutz in Firmen heutzutage bedeutet:

  1. Zuerst muß man mal ermitteln wohin was fĂŒr Daten abfließenund wen das genau betrifft
  2. Dann muß man eine DatenschutzfolgeabschĂ€tzung dafĂŒr machen
  3. Dann muß man geeignete Schutzmaßnahmen ergreifen.
  4. Das muß als Vorgang mit laufender Nummer in die Datenschutzmappe eingetragen werden.

Jetzt habe ich als Admin also einen DNS Cache fĂŒr die Firma hingestellt und per DHCP teile ich dieses DNSCache allen PCs mit. Die PCs fragen also meinen DNS Cache und der fragt dann wen auch immer.Das DNS Cache wird also schon eine Reihe von meinen Abfragen so beantworten können, was den Datenschutzvorteil hat, daß der DNS, den das Cache wiederum fragt, nur einen Bruchteil davon sieht und so kein vollstĂ€ndiges Profil erstellen kann. Den DNS Cache ( z.b. nscd ) kann man auch per Round-Robin mehrere andere Server fragen lassen um die Profilbildung weiter zu erschweren.

Der Problemfall

Jetzt funktioniert der lokale DNS aber nicht, weil es ein Update gab, oder die VM abgestĂŒrzt ist. Systemd wĂŒrde jetzt keine gĂŒltigen DNS bekommen und Google+Cloudflare fragen. Damit wĂ€re meine komplette DatenschutzabschĂ€tzung fĂŒrn Arsch. Schlimmer noch ist der Umstand, daß diese Art Datenfluß als Vorgang ĂŒberhaupt gar nicht in meiner Datenschutzmappe vorkommt. Zum GlĂŒck ist das ein minder schwerer Fall, den der Datenschutzbeauftragte selbst regeln kann, indem er den Vorfall in die Mappe eintrĂ€gt und Maßnahmen ergriffen werden, dies zukĂŒnftig zu verhindern.

Sollte aber ein Datenschutzaudit ergeben, daß es diesen Abfluß gibt ohne das das intern gefunden wurde, sieht die Sache schon anders aus. Je nach Umfang könnte die Datenschutzbehörde ein Bußgeld verhĂ€ngen und das nur weil einer, den keiner in der Firma kennt, meinte schlauer sein zu mĂŒssen, als alle anderen. Na danke!

Jetzt kommt der nĂ€chste Oberschlaue mit dem Hinweis, daß bei DSL ja eh alle die gleiche IP von der Firma haben und individuelle Profile gar nicht erstellt werden können und außerdem wĂ€ren das ja keine privaten Domainanfragen. Das fĂ€llt bei grĂ¶ĂŸeren Firmennetzen seit IPv6 unter „Es war einmal..“ . Wenn ich einen Businesszugang mit einem reinen IPv6 Netz bekommen, habe ich einen ganzen Block zur VerfĂŒgung. Dies Netz kann ich direkt an alle Pcs durchreichen, denn dann habe ich kein NAT Problem mehr. Per Firewall kann ich den Direktzugang zu den Pcs sperren, kein Problem und wenn doch mal jemand von außen drauf muß, wĂ€ren individuelle Freigaben möglich. Das muß man als Admin natĂŒrlich auch mit IPv6 nicht so machen, aber es wurde mal so vermarktet, als fĂŒr IPv6 geworben wurde.

Das die meisten am Arbeitsplatz auch privat surfen, braucht man wohl kaum noch erwÀhnen.

Die Technisch -Organisatorischen Maßnahmen zum Datenschutz einer Firma ( TOM ) beinhalten alle Maßnahmen die man so als Firma macht und wenn da steht, wir leiten DNS ĂŒber ein Cache zum minimieren von Profilbildungen, dann kann man da schlecht ein Linux betreiben, daß sich da nicht dran hĂ€lt, oder seht Ihr das anders? Linux muß also auch in der Datenschutz freundlichen Einstellung daher kommen, was damit einen Einsatz von systemd-resolved ausschließt, da man sich da ja nicht drauf verlassen kann wie man oben sieht.

Update

Ein Leserbrief erreichte mich vorhin. Hier ist der Link, in dem das Fallbackfeature bei Systemd besprochen wird: https://github.com/systemd/systemd/pull/11666

Und gleich noch die Diskussion, wieso CloudFlare DNS besser wÀren: https://github.com/systemd/systemd/issues/8899

So richtig viel Gegenwind gabs aus der Peergruppe anscheinend nicht.

CoronaChroniken: Es tut sich was

Liebe Maskierte,

die Frage, wieso es hauptsĂ€chlich Ältere Menschen mit Vorerkrankungen in der Risikogruppe gibt, könnte geklĂ€rt worden sein.

CoronaChroniken: Es tut sich was

Wie aus einer Studie der CharitĂ© in Berlin hervorgeht, gibt es im Blut von Risikopatienten viel mehr T-Helferzellen, als im Blut von Patienten deren Verlauf mild ist. Das ist ein krasser Widerspruch zur Aufgabe der T-Helferzellen, denn die sind fĂŒr die Immunantwort verantwortlich (u.a.). Wieso verlaufen die Erkrankungen also schwerer als die von Menschen, wo viel weniger T-Helferzellen vorhanden sind? Das scheint an einer Immunantwortbremse zu liegen, denn im Blut der Patienten ist vergleichsweise wenig Interferon gamma. Das Interferon gamma löst andere Prozesse der Immunabwehr aus, ist es nicht da, fehlt diese Antwort. Die CharitĂ© geht davon aus, daß sich diese Erkenntnis als Therapieansatz nutzen lĂ€ĂŸt, weitere Studien sind nötig.

Vermutung

Wenn ich eine Vermutung Ă€ußern mĂŒĂŸte, wĂŒrde ich meinen, daß auch bei anderen Infektionskrankheiten dieses PhĂ€nomen bei schweren VerlĂ€ufen beobachtet werden kann und sich die Behandlung universell eignen wird, schwere VerlĂ€ufe bei Infektionen zu behandeln.

In weiteren Nachrichten

Gesundheitsminister Jens Spahn Ă€ußerte, bevor er auf seiner jĂŒngsten Wahlkampfveranstaltung in Bochum ausgebuht wurde, um es freundlich auszudrĂŒcken, daß ein nochmaliges Schließen von EinzelhandelsgeschĂ€ften, Friseuren etc. nicht in Frage kommt, weil es „unangemessen“ war. Ebenso wird es keine Kontaktverbote in Alten- und Pflegeheimen mehr geben. SpĂ€t, aber immerhin, ein Sinneswandel. Auf die nutzlose Maske möchte er nicht verzichten. Da bekommen wir Ihn auch noch zu 😉

Medizinisch auffĂ€llig, aber nur bedingt im Bezug zu Corona relevant, Ă€ußerte sich Herr Trumph dahingehend, daß Joe Biden und die Protestbewegung BLM von Menschen aus der „Schattenwelt“, die im Verborgenen agierten, gesteuert( und finanziert). Das war dann selbst Trumps Haus- und Hofsender Fox News zu viel: „Das klingt sehr nach einer Verschwörungstheorie“, entgegnete Fox-Moderatorin Laura Ingraham.

Apple und Google

Ähnlich schlimm, weil nicht ĂŒberprĂŒfbar, ist diese Meldung:

Apple und Google ĂŒberraschen – keine App mehr fĂŒr Coronakontaktverfolgung nötig

Man brĂ€uchte dann keine App mehr, weil es im OS ist. Was aber auch bedeutet, daß derjenige, der das OS beherrscht festlegt, ob dieses Teil aktiv ist, oder nicht. Da weder das Google Android, noch das Apple iOS schon gar nicht, nicht vollstĂ€ndig OpenSource ist, mĂŒĂŸte man hier wieder jemandem vertrauen, dessen GeschĂ€ftsmodell das Verkaufen von Daten ist, und die Handyhersteller dĂŒrfen wir nicht vergessen, die da auch dran rumfummeln können und werden. Das treibt einen eigentlich immer schneller und intensiver zu rein linuxbasierten Handies. Mögen Sie noch schneller kommen, als jetzt schon.

Google News Lean & Clean

Google News hat mal wieder das Layout angepaßt. Blöd nur, daß man jetzt ohne Javascript nicht mal mehr die News aufrufen kann. Da Google da wohl nicht viel Ă€ndern wollen wird, da Sie die Kontrolle ĂŒber das Tracking verlieren wĂŒrden, ist also jetzt Schluß mit Google News. RIP.

Hmmm.. oder nicht ? Könnten findige Leute einen Weg gefunden haben ? Ja, hat er 😉

Wenn Ihr Google News so benutzen wollt, wie das mal gedacht war, dann abboniert es per RSS Feed,  aber nicht in einem RSS Feedreader, denn so gewinnt Ihr nichts. NatĂŒrlich wird ein Script das Abholen und die ganzen Google Umleitungsurls extrahieren dĂŒrfen.

Nun, das Script schreiben dauerte 15 Minuten, funktioniert 1a und Google ist bis als Lieferant komplett raus. Praktischerweise kann ein Handy RSS Reader das auch abonnieren, womit das auf dem Handy dann auch sauber geht.

Fuchsia: Google schraubt seit Jahren an neuem OS

Nicht, daß mich das wundern wĂŒrde, aber Google schraubt seit Jahren an einem neuen OS namens Fuchsia. Sie beschreiben es als „Capability Based OS“  was auch immer das jetzt genau bedeutet 😉

Fuchsia OS – Abkehr von Linux

Fuchsia ist eine Abkehr vom Linuxkernel, den Google ohnehin eher stiefmĂŒtterlich in Android aktualisiert hat. Derzeit steht der Android Linux Kernel bei 3.18 (2014), aktuell wĂ€re 4.16 (April 2018).  Nach 2  Jahren Entwicklung bootet das als UI Demo gestartete OS tatsĂ€chlich direkt von einer Hardware, womit es einen wichtigen Produktionsschritt geschafft hat.

Mit dem Kernel Wechsel kommt auch eine LizenzĂ€nderung daher. Linux nutzt die GPL und Android somit auch. Fuchsia wird aber einen wirren Mix aus BSD 3 , MIT  und Apache 2.0 einsetzen, was spannende Fragen aufwirft z.B. Wie setzt sich „welche Lizenz bei den Anwenderprogrammen fort“ oder ‚Was passiert, wenn ein Programm GPL will/fordert.“  Da werden sich AnwĂ€lte rund um den Globus vermutlich die HĂ€nde reiben 😉

Die UI

Ars Technica hat 2017 mal die UI gezeigt, da fĂ€llt mir nicht viel zu ein 🙂 Wie das mit ersten EntwĂŒrfen so ist, die schaffen es eh nie ins finale Produkt. Ich denke, da wird sich auch eine Menge verĂ€ndern. Spannend warte ich persönlich ja auf die Auflösung der „Log Out“ Funktion. „Log out“ aus was ? 😀

Technik

Wer sich dafĂŒr interessiert, was Fuchsia unter der Haube macht, der kann sich das von einigen Kommentatoren als „GotteslĂ€sterlich“ benannte „THE BOOK“ ansehen 🙂  Und so ganz ohne *Nix gehts dann wohl noch nicht im neuen Kernel, denn das ELF Dateiformat fĂŒr ausfĂŒhrbare Programme ( das L steht nicht fĂŒr Linux 😉 ) und die Libs sind auch .so Files. Ich denke, daß das einfach dem Compiler geschuldet ist, den Google vermutlich nicht neu bauen wollte.

Angefangen hat Fuchsia als Embedded OS fĂŒr IoT u.Ă€. GerĂ€te . Da Google nun das hauseigene Pixelbook als Testplattform fĂŒr interessierte Entwickler einsetzt, mutmaßen einige schon, daß Fuchsia der geistige Nachfolger von Andromeda ist. Noch nie gehört ? 🙂 Kein Wunder, der Hybrid aus Android und ChromeOS fĂŒr das Pixelbook ist eingestellt worden und hat es auch nie in eine grĂ¶ĂŸere Öffentlichkeit geschafft.

Die Zukunft ist nebulös

Ich frage mich grade, wieso Google laufend das OS neu erfinden will.  Wollen die aus einem Lizenzproblem raus ? Ist Ihnen der Linux Kernel zu langsam ? ( mir wÀre er es, weil zu aufgeblÀht ).

ich kann mir auch nicht vorstellen, daß Google so verrĂŒckt wĂ€re, seinen eigenen Markenschlager Android fĂŒr ein neues OS zu opfern. Die Hardwarehersteller haben so viel in die Plattform investiert, die machen auch ohne Google mit dem OpenSource Android weiter. Naja, mal sehen was kommt.

Wo wir grade dabei sind, weiß einer, wieso Tablet Retina-Displays nicht in Laptops verbaut werden ? Die kosten angeblich nur 20$ und sind um soviel besser als das ĂŒbliche LaptopMatschDisplay, welches dann auch noch viel viel mehr kostet.

Google Spam – ganz ohne Google :)

Folgender Textbeitrag landete neulich in unserer Spamfalle :

You have 3 lost emails

Google

We have sent you a message.

11/12/2013
3 lost emails has been found and recovered.
View emails
We hope you found this message to be useful. However, if you'd rather not receive future e-mails of this sort, please [Link opt-out here].

Wenn man mal von dem Datum, das 4 !! Jahre in der Vergangenheit liegt absieht, macht die Mail natĂŒrlich gar nichts her. Da wĂŒrde ich nichmal drauf klicken, wenn die wirklich von Google wĂ€re 🙂 Der Opt-Out Link ging dann natĂŒrlich an eine völlig andere Webseite : http://www.ads.kalauz.hu/disagreed.php ( keine Panik, liefert nur noch 404 🙂 )

Wie man an den Headern sehen kann :

From: "Support" <polk@link4pc.com>
Message-ID: <5913e6.b157.35c4ec43@link4pc.com>
Subject:  You have 3 lost emails

Kam das nicht mal mit einem gefĂ€lschten Googleansender. Als wirklich, was fĂŒr eine schlampige Arbeit 😀

Auch mal interessant der Spamreport :

 Pkte Regelname Beschreibung 
---- ---------------------- -------------------------------------------------- 
2.4 DATE_IN_FUTURE_03_06 Absendezeit 3 bis 6 Stunden nach Datum in "Received"-Kopfzeilen 
0.0 HTML_MESSAGE BODY: Nachricht enthÀlt HTML 
1.1 MIME_HTML_ONLY BODY: MIME-Nachricht besteht nur aus HTML

Also Angekommen, bevor sie abgesendet wurde 😀 Über soviel Fehler beim Virenverteilen kann  man echt nur noch laut Lachen !

Vertraue keinem, schon gar nicht Deinem Browser

Man sollte nie, nie nachsehen was sein eigener Computer so treibt, denn es könnte einem nicht gefallen! Genauer gesagt, es macht einem einfach nur Sorgen.

Ich dachte immer Skype wĂ€re verantwortlich…

… was schlimm genug wĂ€re, weil Skype Verbindung wie ein Grippevirus auf den ganzen Planeten verteilt. Wie sich heraus gestellt hat, ist FireFox noch schlimmer. FF hĂ€lt einfach mal eine offene Verbindung zu Google auf, nur das keiner weiß was da transportiert wird. Man kann nur annehmen, daß es sich um eine hĂ€ngende Verbindung der Googlesuche handelt, aber sicher kann man sich da nicht sein.

Aber die Krönung meiner kleinen Inspektion des Desktoptraffics war das hier:

tcp        0      0 192.168.0.44:59734      98.137.200.255:80       VERBUNDEN   1929/cinnamon

Oh ja, DER Cinnamon-Desktop selbst wars. Wie eine Recherche gezeigt hat, ist das Problem seit 2013 bekannt. Das Wetter-Applet ist zu blöd!!! die Verbindung zum Yahoo-Wetterserver sauber zu beenden. Also wird, genau wie im Fall der Googlesuche oben, einfach alle paar Sekunden ein KEEP-ALIVE Paket ausgetauscht. Völlig nutzloser Traffic!

Nie Nachsehen, wenn ihr nicht stundenlang Dinge prĂŒfen wollt

Mehr kann man dazu nicht sagen, außer natĂŒrlich der Frage: „Wie bist Du da ĂŒberhaupt drauf gekommen?“

Antwort: „HAK5“

In einer der Hak5 Sendungen ging es um Bandbreitenmessungen. Welche Tools es da gibt, steht in einem anderen Artikel, der morgen kommt : Bandbreitenmessung in der Console

Google Chrome löscht sich selbst per Update

„Google ist dumm, wie Esel ist schlau“ wĂŒrde unser Lieblings-Pseudo-OsteuropĂ€er sagen, denn Google selbst hat Chrome per Update auf allen RPM basierten Linuxservern unabsichtlich entfernt.

Grund war ein falsch zusammengebautes RPM im Google Repository. Die Datei /usr/bin/google-chrome-stable fehlte im Update vom 2. September 2016 einfach. Lustigerweise ist das ausgerechnet die wichtigste 😉

Sep 02 09:11:48 INFO Upgraded: google-chrome-stable-53.0.2785.89-1.x86_64
Sep 02 09:11:49 INFO Cleanup: google-chrome-stable-52.0.2743.116-1.x86_64

# rpm -ql google-chrome-stable

/opt/google/chrome/xdg-mime

/opt/google/chrome/xdg-settings
/usr/bin/google-chrome
/usr/share/applications/google-chrome.desktop
/usr/share/gnome-control-center/default-apps/google-chrome.xml
/usr/share/man/man1/google-chrome.1

Mit dem heutigen Update google-chrome-stable-53.0.2785.92-1.x86_64.rpm kam die Datei dann wieder auf die Computer drauf 🙂

Ursache fĂŒr den Fehler dĂŒrfte eine neue Directoyhierarchie sein, die aus dem Binary einen Link gemacht hat:

0 lrwxrwxrwx. 1 root root   31  3. Sep 20:54 /usr/bin/google-chrome -> /etc/alternatives/google-chrome
0 lrwxrwxrwx. 1 root root   29  3. Sep 20:54 /etc/alternatives/google-chrome -> /usr/bin/google-chrome-stable

0 lrwxrwxrwx. 1 root root   32  2. Sep 01:20 /usr/bin/google-chrome-stable -> /opt/google/chrome/google-chrome
4 -rwxr-xr-x. 1 root root 2112  2. Sep 01:20 /opt/google/chrome/google-chrome

Update: 6.9..2016

Heute kam dann der Grund fĂŒr das wohl ĂŒberhastete Update :

Am 1. 9. 2016 gab es Advisories fĂŒr Chrom und Chromium, die eine echt krasse SicherheitslĂŒcke im Browser offenbaren:

Mehrere Schwachstellen in Google Chrome vor Version 53.0.2785.89 auf Windows,
Mac OS X und Linux Systemen ermöglichen einem entfernten, nicht
authentifizierten Angreifer das AusfĂŒhren beliebigen Programmcodes, Umgehen
von Sicherheitsvorkehrungen, Darstellen falscher Informationen, DurchfĂŒhren
von Cross-Site-Scripting (XSS)-, Universal-Cross-Site-Scripting (UXSS)- und
Denial-of-Service (DoS)-Angriffen sowie weitere nicht spezifizierte Angriffe.

In dem Licht betrachtet, könnte es auch Absicht gewesen sein, die Browser zu deaktivieren und die User zu schĂŒtzen.

Google und die Post-Quantum Kryptographie

Seit neuesten hat Google einen Kryptoalgorithmus im Browsertest mit Chrome, der vor Angriffen mit Quantencomputern schĂŒtzen soll. Das Projekt ist auf zwei Jahre begrenzt. In dieser Zeit sollen aussagekrĂ€ftige Ergebnisse vorliegen und am Ende ein noch besserer Algorithmus herauskommen, der dann sicher vor „Angriffen aus der Quantenwelt“ schĂŒtzt.

Der Name des Algorithmuses leitet sich möglicherweise aus Star Wars 4 ab : „New Hope“; könnte aber natĂŒrlich auch einfach nur der Stimmung entsprechen, endlich was gegen Quantencomputer gefunden zu haben 🙂 An der Sache arbeiten die Schöpfer schon seit Dezember 2015, als aus einer Menge an Ideen, der vielversprechenste Ansatz von Google ausgewĂ€hlt wurde. Wer ĂŒber die AbkĂŒrzung „CECPQ1“ stolpert, hat den Algo gefunden 😉

Quelle: security.googleblog.com

Diese Woche im Netz

Die Woche fĂ€ngt ja gut an, in Japan wurden Konten einer sĂŒdafrikanischen Bank geplĂŒndert, in dem mit gefĂ€lschten Karten, aber echten Kreditkarteninfos, in wenigen Stunden 12-13 Millionen Dollar an Geldautomaten abgehoben wurden.

Quelle: heise.de – Japan-Kreditkarten-Betrueger-erbeuten-13-Millionen-US-Dollar

Die Klage der Piratenpartei gegen die MassenĂŒberwachung kann man nur unterstĂŒtzen. Auch wenn im Gesetz geregelt ist, fĂŒr was die Daten gebaucht werden dĂŒrfen, wird es frĂŒher oder spĂ€ter Begehrlichkeiten geben, und mit genug Inhalt von schwarzen Koffern im Rolli, wird so ein Gesetz dann schnell geĂ€ndert.

Quelle: heise.de – PKW-Maut-Piraten-reichen-Verfassungsbeschwerde-gegen-Kfz-Kennzeichen-Scanning-ein

LinkedIn wurde ja gehackt und ~170M Passworthashes wurden dabei entwendet.

„Das populĂ€rste Passwort auf LinkedIn war ĂŒbrigens „123456“, das ĂŒber eine Million mal genutzt wurde. Es deklassierte „linkedin“, „password“ und „123456789“ deutlich, die aber immer noch jeweils weit ĂŒber hunderttausend Mal zum Einsatz kamen.“   schreibt Heise dazu.

Quelle: heise.de

Die Googlezentrale in Paris hat Besuch von Staat bekommen. Dem Finanzamt entkommt halt niemand 🙂

Quelle: Der Spiegel

Das FBI warnt im USA derzeit vor verwanzten USB-LadegerĂ€ten. Hintergrund ist, daß ein Hacker letztes Jahr bereits ein Ă€ußerlich harmlos erscheinendes USB-LadegerĂ€t gebaut hat, in dem aber noch zusĂ€tzlich ein auf einem

Quelle: FBI warnt: Kauft nur unsere verbuggten USB-Charger

Gut dazu paßt auch, daß Webseiten jetzt per Audio-Fingerprinting Laptops und Handies tracken.

Quelle: The Hackernews

Wie Torrentfreak Anfang der Woche berichtet hat, bietet ein pakistanischer Internetprovider seinen Kunden an, die Raubmovies direkt bei ihm zu beziehen. Spart vermutlich jede Menge Traffic im Peering ein 🙂

Quelle: Torrentfreak.com

Eine Smarte Flasche soll Kindern beibringen, die korrekte Menge an Wasser am Tag zu trinken. Jetzt kann man darĂŒber streiten, was die korrekte Menge ist, aber eins ist wohl unstrittig: Die Flasche ist zu teuer. Die soll auf Kickstarter 99$ kosten 🙂  Also ich setz da lieber weiterhin auf die magische Eigenschaft namens „Durst“. Die funktioniert schon seit Millionen von Jahren zuverlĂ€ssig 😉

Quelle: AndroidCentral.com

Seit 1999 sollten die PockenvirenbestÀnde der Welt vernichtet sein, sind Sie aber nicht. In 2014 wurde sogar in einer !Abstellkammer! noch ReagenzglÀser mit Pockenviren gefunden, die aus den 50er Jahren des letzten Jahrhunderts stammen. Wer die Pocken am Leben erhÀlt könnt Ihr ja mal raten.

Quelle: Handelsblatt

Deutsche Bahn stellt Rechnung ĂŒber 2300 Euro fĂŒr 30 Minuten radfahren aus.

Quelle: focus.de

Und die Welt ist wieder um eine Lachnummer bereichert worden. Nur gefĂŒhlte 10 Jahre nachdem der Rest der Welt Passwörter wie „12345“ „passwort“ „password“ usw. nicht mehr zulĂ€ĂŸt, kommt dem selbsternannten WeltmarkfĂŒhrer der Gedanke : „Hey, laßt uns doch einfache Passwörter verbieten.“

Quelle: heise.de