CoronaChroniken: die App, die nichts tat.

Guten Morgen,

ich lese heute morgen Nachrichten und wäre fast aus dem Bett gefallen vor Lachen: 69 Millionen Euro für eine App, die ein Anfänger hätte zusammen klicken können und die bei Millionen nicht funktioniert hat.

CoronaChroniken: die App, die nichts tat.

Die Sache mit den Handies ist schon komisch, die sind dauernd an und laufen doch tagelang durch. Wieso fragt Ihr? Na weil die Handybetriebssysteme die Apps runterregeln, wenn die nicht gebraucht werden. Dieser Umstand war jetzt Pech für alle CoronaFans, die unbedingt wissen wollten, ob da einer mal irgendwann in Ihrer Nähe war, der Ihnen das Virus hätte vorstellen können: (Links dazu unten)

Chip.de: Millionen Android-Nutzer betroffen: Corona-Warn-App hat nicht gewarnt

Business Insider: Corona-Warn-App seit Wochen defekt, Millionen Deutsche betroffen

Auf Samsung und Huawei Handies (vermutlich Androidhandies im Allgemeinen) wurde die 69 Millionen Euro teure Corona-App, die man auch für einen vierstelligen Betrag hätte entwickeln lassen können, wenn man nicht SAP und die DTAG als Eurogräber beauftragt hätte, einfach von Hintergrundaufgaben wie „nach Handies suchen“ befreit. Ein Umstand, der erfahrenen Androidentwicklern bekannt gewesen wäre 🙂  Seit der Version 1.1.1 der App, soll das Problem jetzt behoben sein.

Da heute bei Heise.de ein Bericht über den Algorithmus zur Berechnung des Risikos gekommen ist, mußte ich wieder schmunzeln, weil da wieder „fiktiv“ und „RKI“ zusammen genannt wurden, was ich schon bei dem NowCast des RKI auch so gesehen habe 😉  Fakt ist nämlich, daß aufgrund des Energiesparprinzips, der Scan soll nur alle 5 Minuten passieren, Einer Einen mit eingeschalteter Warnung anniessen kann, weg geht und die App das nicht merkt. Das dürfte so ziemlich das wichtigste Szenario zur Ansteckung überhaupt sein, von „Bei Tönnies in der Produktion arbeiten“ mal abgesehen. Auch sonst macht die Berechnung der Wahrscheinlichkeit zur Ansteckung in der App nicht sofort Sinn. Mehr dazu bei Heise.

Ich halte die App daher für eine ziemlich teure Todgeburt. Von den 16 Mio. Usern waren gerade mal ~500 mit Warnung unterwegs, da kann man sich leicht ausrechnen, daß die anderen 16 Mio. kaum eine Chance hatten, auf einen zu treffen und dann muß die App das ja auch noch mitbekommen und das Risiko für gegeben halten. Wenn dann noch Millionen Corona-Apps im Energiesparmodus rumdümpeln, kann man das nur einen Flop nennen.

Wenn man dann noch so etwas von einem Unbekannten Forenbenutzer liest: „…die Corona-Warn-App flankiert noch die viel ’stärkere‘ Maßnahmen wie Maske, Abstand, …“  hmm.. ja, genau, diese Maske die nichts brachte 🙂 Da kann ich nur sagen, „Ihr habt es nicht besser verdient.“

Eine gute Idee

Wer sich schützen möchte, der sollte Abstand zu anderen ein- und seine ungewaschenen Hände vom Gesicht fernhalten. Eine gute Idee ist es, jetzt im Sommer nach draußen in die Sonne zu gehen, Vitamin D aufzutanken und sich keine unnötigen Sorgen zu machen, denn das schwächt das Immunsystem zusätzlich.

Ein Blick auf die Zahlen, ein leichter Anstieg ist zu bemerken, nichts dramatisches:

Wie immer: Zahlen vom RKI, Grafik von mir.

Kleiner Tipp zu dem was Ihr oben seht: Ich meine das ist das normale Grundrauschen eines Virus, außerhalb seiner Saison. Am Anfang der Kurve die 0 kann zwei Sachen bedeutet: Entweder „Virus schon immer da, aber keine Tests vorhanden/durchgeführt“ oder „Virus neu (und keine Tests)“, deswegen kein Grundrauschen. Wenn jetzt auf dem Niveau weiter geht, dann dauert es 166.000 Tage bis die Bevölkerung rein rechnerisch voll durchsetzt wäre, das sind immerhin 454 Jahre 😉 Bis dahin sind min. 414.558.750 Menschen in Deutschland gestorben, falls uns kein Krieg o.ä. einen Strich durch die Rechnung macht.

Quellen:

https://www.tagesspiegel.de/wirtschaft/69-millionen-euro-warum-die-corona-warn-app-so-viel-kostet/25929302.html

https://www.chip.de/news/Millionen-Android-Nutzer-betroffen-Corona-Warn-App-hat-nicht-gewarnt_182865757.html

https://www.businessinsider.de/tech/corona-warn-app-seit-wochen-defekt-millionen-deutsche-betroffen-samsung-huawei-smartphones

https://www.heise.de/hintergrund/So-berechnet-die-Corona-Warn-App-Ihr-Ansteckungsrisiko-4851495.html

CoronaChroniken: Der negative Maskeneffekt

Millionen von Emailzugangsdaten auf Vorrat

Wie ja grade auf diversen Newsportalen berichtet wird, gibt es bei Kriminellen hundertmillionen Sätze mit Zugangsdaten zu Emailkonten. Es wird dann natürlich immer behauptet, daß die Konten geknackt wurden, was aber in den wenigsten Fällen stimmt.

„Knacken“ suggeriert, daß jemand z.b. einen Mailserver gehackt hat um an die Daten zu kommen, oder daß per Brute-Force-Angriff mit Hilfe von Wörterbüchern einfach durchgetestet wurde, ob ein gängiges Passwort verwendet wurde, was ja auch nur beweist, wie wenig kreativ die Menschen sind 😉

Die meisten Zugangsdaten werden nicht geknackt, sondern schlicht abgegriffen und zwar beim Besitzer selbst, weil der sich auf seinem PC oder Smartphone einen Keylogger eingefangen hat.

Wir sehen bei uns in der Firma bei Analysen eigentlich immer das gleiche Schema. Wie aus dem Nichts tauchen die Zugriffe eines Botnetzes in den Logfiles auf. Da es keine fehlerhaften Authentifizierungsversuche gab, gibt es nur einen gültigen Schluß:

Die Kriminellen hatten die korrekten Zugangsdaten bereits, als Sie angefangen haben.

Es braucht keinen Sherlock Holmes um herauszubekommen, was passiert ist. Die wahre Flut von ZIP/JS/Docx Dateien, die per Email anbranden und alle einen Trojaner/KeyLogger/Virus enthalten und der Infektionsrate von Webseiten, ist es ja nur eine Frage der Zeit bis man zwangsweise einen einfängt. Kommen da noch Windows XP im Jahr 2016 dazu, für das es nebenbei bemerkt, tatsächlich noch offizielle Updates gibt :), steigt das Risiko deutlich an.

Ein Umstieg auf Linux, wie er am letzten Samstag beim Linux Presentation Day, könnte helfen, daß Problem einzudämmen. Allerdings werden sich die Kriminellen anpassen und noch gezielter Exploitkits für Linux zusammenbauen.  Linux kann wenigstens damit Punkten, daß es keinen Patchday gibt, was meint, daß die Updatezyklen wesentlich kürzer sind als bei Windows. Bei gewichtigen Sicherheitslücken dauerte es oft nur Stunden, bis die Lücken geschlossen waren. Ehrlicherweise muß man auch erwähnen, daß dies nicht bei allen Programmfehlern so schnell geht. Dazu kommt es noch auf die Maintainer in den Distributionen an, ob die auf Zack sind. Open-Source ist also Segen und Fluch zugleich, denn es kann schnell gehen, aber keiner kann es erzwingen.

Was macht mich jetzt aber so sicher, daß keine Bruteforceattacken für die Zugangsdaten benutzt wurden?

Bruteforceattacken binden bei den Mailhostern Ressourcen und die werden genau überwacht. Man kann es sich schlicht nicht leisten, daß die CPU für den Angriff missbraucht wird. Daher haben alle mir bekannten Mailhoster, die den Namen verdienen, Gegenmaßnahmen laufen, z.b. Ratelimits, die einen Bruteforceangriff so in die Länge ziehen, daß er Monate dauert und nicht mehr lukrativ ist. Wir z.b. sperren die Angreifer gleich komplett aus, wenn Sie mehr als X Versuche falsch machen. Einen guten Hoster erkennen Sie übrigens daran, daß Sie sich dort gerade nicht mit Ihrer Emailaddresse beim Mailserver anmelden, sondern mit einem Benutzernamen.

Wieso ?

Die Emailadresse kann man bei Einbrüchen in den Adressbüchern der Opfer finden, zu welchem Server sie gehört, steht hinter dem „@“, aber den Benutzernamen kennt dagegen nur der Kontoinhaber. Meldet man sich also mit der Emailadresse an, kennt man bereits einen Teil des Geheimnisses und macht einen Bruteforceangriff erfolgreicher.  Das eigentliche Sicherheitsproblem ist aber die Bequemlichkeit, denn natürlich ist es einfacher sich nur die Emailadresse und ein Passwort merken zu müssen, auf der anderen Seite, wer trägt seine Zugangsdaten schon mehr als einmal in ein Emailprogramm ein ? Selbstverständlich ist es auch bequemer, keine Updates für Windows oder den Browser einzuspielen, aber wo das in letzter Konsequenz hinführt, kann jeder täglich in seinem Emaileingang  feststellen, was uns wieder zum Anfang der Geschichte bringt 🙂

Referenz: Auch-Google-und-Microsoft-betroffen-Millionen-E-Mail-Konten-gehackt

Sicherheitslücke in Zwangsroutern von Vodafon und Kabel Deutschland

Gerade schlug bei uns diese Meldung ein:

Fatale Sicherheitsluecken in Zwangsroutern von Vodafone Kabel Deutschland

Überraschend kams nicht wirklich. Was mich aber irritiert hat ist, daß über 1 Million Menschen für 2 Euro im Monat eine Funktion freischalten, die mit einer 20 € Investition 10x besser gelöst werden kann. Das sind 24 Millionen € im Jahr Gewinn für die Anbieter, ohne besondere Gegenleistung. Kein Wunder daß alle Anbieter bei der RegTP-Befragung für Zwangsrouter waren.

Wer sich nicht länger verarschen lassen möchte, geht einfach zum nächsten Elektronikladen und kauft einen WLAN-Accesspoint, vorzugsweise für den 5 Ghz Bereich, die sind schneller.

Sie geben damit einmalig Geld aus, welches sich bereits nach wenigen Monaten amortisiert hat. Da man den Accesspoint irgendwo im Netz einhängen und somit auch irgendwo in der Wohnung aufstellen kann, hat das mehr als nur finanzielle Vorteile.

„Wenn es keine Schafe gäbe, gäbe es auch keine Wölfe.“