social.sokoll.com

Search

Items tagged with: malware

Johannes Deger auf Twitter: „Genau mein Humor. https://t.co/UhKdt1tMbX“ / Twitter


appropriate solution!
#emotet #malware #network #humor

https://twitter.com/JayDi_/status/1222563078870568961
 

Und täglich grüßt das Murmeltier...


https://www.heise.de/newsticker/meldung/IT-Systeme-der-Stadt-Frankfurt-am-Main-wegen-Malware-Befall-offline-4619634.html
#alleskaputt #malware #offline
 

Und täglich grüßt das Murmeltier...


https://www.heise.de/newsticker/meldung/IT-Systeme-der-Stadt-Frankfurt-am-Main-wegen-Malware-Befall-offline-4619634.html
#alleskaputt #malware #offline
 
15.11.2019 Bleeping Computer: New NextCry Ransomware Encrypts Data on NextCloud Linux Servers #itsec #NextCloud #PHP7 #Ransomware #Malware – einen Hinweis darauf, daß auch OwnCloud betroffen sein könnte, habe ich nicht gefunden.
 
Ein Leser weist mich gerade auf dieses Heise-Foren-Posting hin.

Heise lädt nämlich mit 1 Sekunde Verzögerung, wenn man Adblocker hat. Ich bin ja bei sowas gutwillig und nehme immer erstmal Inkompetenz an. Im Zweifel für den Angeklagten. Aber es stellt sich raus: Das ist nicht Inkompetenz, das ist Bösartigkeit. Das wird von einem Stück Javascript auf deren Webseite künstlich herbeigeführt, den sie über eine dieser windigen Onlinewerbungs-Startups reingelutscht haben. Das Forumsposting erklärt auch, wie man dieses Skript in Firefox wegblockt.

In der IT-Security habe ich schon länger das Problem, dass ich andere Teilnehmer immer nur noch als potentielle Angreifer betrachte und niemandem per Default Vertrauen entgegenbringe. Das ist einfach das Modell in der Security. Ich fand immer, dass das schlecht fürs Gemüt ist, denn die meisten Menschen sind ja nicht böse. Zumindest nicht aktiv.

Aber so langsam zeigt sich ja nach und nach, dass das völlig richtig ist. Jede einzelne Webseite da draußen will dich ans Messer liefern. Heise hat sich ja schon durch Outbrain-Einblendungen ins Abseits katapultiert, wo dann lauter so Scammer inserieren, die dir Bitcoin-Investments und Silbermünzen mit total voll hohem Wiederverkaufswert andrehen wollen. Oder ein Malware, äh, Treiberpaket zum Download anbieten.

Vielleicht bin ich einfach nur ein schlechter Kapitalist, aber da würde ich lieber die Hälfte meiner Mitarbeiter feuern, als mir so den Ruf zu ruinieren. Absolut undiskutabel.

Oh und wo wir gerade bei Scams waren: Es ist ja inzwischen offenbar absolut üblich, sich seine Entwicklung durch Kickstarter finanzieren zu lassen, und dann aber auch nochmal Kohle für das von wohltätigen Spendern finanzierte Ergebnis sehen zu wollen. Hab ich da irgendein Memo nicht gekriegt?

#fefebot #malware
 
Ein Leser weist mich gerade auf dieses Heise-Foren-Posting hin.

Heise lädt nämlich mit 1 Sekunde Verzögerung, wenn man Adblocker hat. Ich bin ja bei sowas gutwillig und nehme immer erstmal Inkompetenz an. Im Zweifel für den Angeklagten. Aber es stellt sich raus: Das ist nicht Inkompetenz, das ist Bösartigkeit. Das wird von einem Stück Javascript auf deren Webseite künstlich herbeigeführt, den sie über eine dieser windigen Onlinewerbungs-Startups reingelutscht haben. Das Forumsposting erklärt auch, wie man dieses Skript in Firefox wegblockt.

In der IT-Security habe ich schon länger das Problem, dass ich andere Teilnehmer immer nur noch als potentielle Angreifer betrachte und niemandem per Default Vertrauen entgegenbringe. Das ist einfach das Modell in der Security. Ich fand immer, dass das schlecht fürs Gemüt ist, denn die meisten Menschen sind ja nicht böse. Zumindest nicht aktiv.

Aber so langsam zeigt sich ja nach und nach, dass das völlig richtig ist. Jede einzelne Webseite da draußen will dich ans Messer liefern. Heise hat sich ja schon durch Outbrain-Einblendungen ins Abseits katapultiert, wo dann lauter so Scammer inserieren, die dir Bitcoin-Investments und Silbermünzen mit total voll hohem Wiederverkaufswert andrehen wollen. Oder ein Malware, äh, Treiberpaket zum Download anbieten.

Vielleicht bin ich einfach nur ein schlechter Kapitalist, aber da würde ich lieber die Hälfte meiner Mitarbeiter feuern, als mir so den Ruf zu ruinieren. Absolut undiskutabel.

Oh und wo wir gerade bei Scams waren: Es ist ja inzwischen offenbar absolut üblich, sich seine Entwicklung durch Kickstarter finanzieren zu lassen, und dann aber auch nochmal Kohle für das von wohltätigen Spendern finanzierte Ergebnis sehen zu wollen. Hab ich da irgendein Memo nicht gekriegt?

#fefebot #malware
 
Dinge, die man nicht in einem Satz hören will: Malware mit "Domain controller-level access at Kudankulam Nuclear Power Plant".

Wie es aussieht, haben die Angreifer das bloß für C&C benutzt, also um anderswo gehackte Rechner zu steuern.

#fefebot #malware #twitter
 
Dinge, die man nicht in einem Satz hören will: Malware mit "Domain controller-level access at Kudankulam Nuclear Power Plant".

Wie es aussieht, haben die Angreifer das bloß für C&C benutzt, also um anderswo gehackte Rechner zu steuern.

#fefebot #malware #twitter
 
Leserbrief zu "deine Domain hat Malware" von einem Demo-Coder:
Zum Thema "Schlangenöl nimmt Webseite als Geisel und verhindert, dass Leute mit gängigen Browsern sie überhaupt zu Gesicht bekommen" möchte ich dir über meine Erlebnisse erzählen. Betrachte dich also bitte als Kummerkasten ;) Vielleicht findest du aber auch den ein oder anderen (Ab-)Satz für deine Leser interessant; in diesem Falle: bedien dich. (Und spring' von mir aus gleich zum TL;DR am Ende :)

Im Vorfeld: Ich bin, was amoklaufende Virenscanner angeht, schon einiges gewohnt. Ich bin in der Demoszene aktiv (also jetzt nicht der mit den brennenden Autos, sondern der mit den Grafikdemos), insbesondere im Bereich 4k- und 64k-Intros, also Demos mit einer Größenbeschränkung auf wenige Kilobyte. Da kommen praktisch immer sehr spezielle Laufzeitpacker wie "Crinkler" (http://www.crinkler.net/) und "kkrunchy" (http://www.farbrausch.de/~fg/kkrunchy/) zum Einsatz, um noch das letzte Byte herauszukitzeln. Dummerweise haben wohl auch mal Malware-Autoren diese Packer zur Obfuscation benutzt, und da Schlangenöl-Hersteller das Brett an der dünnsten Stelle bohren, haben sie, anstatt die Malware ordentlich zu analysieren, einfach die Packer auf die schwarze Liste gesetzt. Da ich selbst ein paar mit besagten Packern komprimierte, aber an sich völlig harmlose 4k- und 64k-Intros auf meiner Webseite hoste, habe ich schon mehrfach von meinem Hosting-Provider böse Mails bekommen, ich möge doch binnen X Stunden meine Site saubermachen, sonst wird sie vom Netz genommen. Bisher ist das immer mit einer erklärenden Mail aufzulösen gewesen, zum Glück.

Andere Demoszener haben übrigens angefangen, ihre Intros in einer Form zum Download anzubieten, die automatisches Scanning unmöglich macht. Standard sind inzwischen ZIP-Archive, in denen die EXE-Dateien verschlüsselt abgelegt sind, und der Key steht in einer readme.txt oder so. Oder, ein besonders schräger Hack: Da liegt das Executable im Download-Archiv einfach ohne die "MZ"-Signatur (also die ersten zwei Bytes jedes Windows-Executables) vor. Erst eine mitgelieferte .bat-Datei klebt Header und Rest wieder zusammen und erzeugt eine gültige Windows-EXE.

Aber ich schweife ab.

Irgendwann wurde es jedenfalls mit den Fehldetektionen noch schlimmer und Nutzer wurden daran gehindert, auch meine "normalen" Utilities, die nichts mit der Demoszene zu tun haben, herunterzuladen. Beliebte Ziele sind ein Tool, das in Python geschrieben ist und das ich für faule Windows-Nutzer mit einem Standard-Programm(!) in eine einzelne EXE verpackt habe. Oder ganz normale, mit Microsoft Visual C++ compilierte Executables.

Auch Google hatte mich schon immer auf dem Kieker. Der Aufruf des Verzeichnisses auf dem Server, in dem die Downloads lagen, führte schon länger bei Chrome-Nutzern zum gefürchteten "roten Bildschirm". Das war mir noch egal, aber vor zwei Wochen begann Google damit, meine gesamte .de-Domain als gefährlich einzustufen — einschließlich *aller* Subdomains, nicht nur der, wo das (angeblich) gefährliche Zeug lagert! Selbstverständlich wurde ich darüber nicht informiert (Mail an webmaster@meinedomain.de oder so? I wo!), ich habe es von Nutzern meiner anderen Webdienste erfahren, die auf anderen Subdomains liegen sind als der persönliche und Demoszenen-Kram.

Nun gibt es bei Google keine öffentliche, funktionierende Möglichkeit, "false positives" zu melden. Es gibt Dokumentation für Webmaster, was man tun soll, wenn Google Malware auf der eigenen Domain erkannt hat, aber die geht stets davon aus, dass man wirklich mit irgend einem Wurm infiziert ist. Die Option auf eigenen Irrtum scheint Google gar nicht zu kennen. Vor allem kriegt man nicht einmal heraus, *welche* konkreten Inhalte denn als schädlich erkannt wurden.

Es gibt aber eine Möglichkeit, nämlich die "Search Console". Um die zu nutzen, muss man sich gegenüber Google mit einem permanentem DNS-TXT-Record als Besitzer der Domain ausweisen (wohl dem, der die DNS-Records seiner Webseite unter Kontrolle hat!). Die Console selbst ist eher für SEO-Kram gedacht, aber da gibt es auch einen Menüpunkt "security issues" und tatsächlich stehen dort mal ein paar konkrete URLs von angeblich bösen Inhalten. Überraschenderweise waren das bei mir nicht die erwartete Handvoll Demoszenen-Intros, sondern nur eine zehn Jahre alte .tar-Datei mit einer Library, die als Beispielprogramm ein kkrunchy-gepacktes Windows-Executable enthielt. (Das Programm selbst war völlig harmlos: Es handelte sich um einen schlichten MP3-Player.) Nun ja, da gibt es einen "I have fixed the issues, request review"-Button, also hab' ich den mal gedrückt und im Freitextfeld eingegeben, dass es ein "false positive" ist (mitsamt ein paar Erläuterungen, wie was wo warum). Zwei Tage später die Antwort: Meinem Review Request konnte nicht stattgegeben werden, die Malware sei immer noch da. Die haben meine Erklärung gar nicht gelesen! Also habe ich die inkriminierende EXE-Datei aus dem Archiv entfernt und das Archiv zudem umbenannt (die ganze Library ist eh' obsolet). Nochmal "request review" gemacht, mit Freitext "ich hab's jetzt entfernt, aber ehrlich jetzt, Jungs, das wäre gar nicht nötig gewesen, weil …". Daraufhin: Nichts. Eine Woche lang keine Reaktion. Nach einer anderthalben Woche schaue ich nochmal in die Search Console, und siehe da: Jetzt ist ein anderes Programm der Stein des Anstoßes. Eins, das vorher schon da war. Eins, das nichtmal Crinkler oder kkrunchy benutzt, sondern schlicht UPX, den bekanntesten Executable-Packer überhaupt. Ein Bildbetrachter, in C++ geschrieben, mit Visual Studio compiliert und statisch gegen libjpeg-turbo und die Microsoft Visual C++ Runtime gelinkt. Das reicht also heutzutage aus, um mit einer ganzen Domain auf dem Malware-Index zu landen!

Zum Glück war das nur eine Testversion, also konnte ich die gefahrlos löschen und wieder den "request review"-Affentanz aufführen. Jetzt ist meine Domain erstmal wieder als unbedenklich markiert, aber für wie lange?

TL;DR: Alles Scheiße.

Takeaway #1: Wenn Google deine Domain wegen angeblicher Malware-Infektion hops nimmt, erfährst du es nur indirekt von deinen Nutzern (außer du nutzt selbst Chrome mit aktiviertem "ich schicke erstmal jede aufgerufene URL an Google"-Phishing-Schutz, aber hey, das tust du natürlich nicht). Wenn du wissen willst, wo Google denn nun genau Malware auf deiner Domain gefunden hat, musst du an deinem DNS herummanipulieren und einen Google-Account haben, um die "Search Console" benutzen zu können. "False Positives" reporten geht nicht: Derlei Anfragen werden ignoriert, also lösch den Kram oder fuck you.

Takeaway #2: Es braucht nicht viel, um Schlangenöl zu triggern, deine (Windows-)Software als Malware zu erkennen.
  • Laufzeit-Packer verwendet? Verdächtig!
  • C-Library statisch gelinkt? Verdächtig! (siehe https://twitter.com/KeyJ_trbl/status/1138885991517839360 — selbst ein verdammtes "Hello World"-Programm wird schon von diversen Schlangenöl-Anbietern als Malware erkannt!)
  • Python-Software mit PyInstaller (einem Standard-Paket in der Python-Welt) in eine einzelne Windows-EXE verpackt? Verdächtig! Wenn man (wie ich) möglichst kompakte Software für Windows (nur eine EXE-Datei, keine weiteren Dependencies) schreiben und veröffentlichen möchte, ist man quasi am Arsch.
Lacher am Rande: Die Schlangenöl-Community macht das auch so. Die müssen sich ja auch ihre Samples gegenseitig zuschicken. Die tun das auch in ZIP-Files mit Standardpasswort.

Ich hab mich da immer aus der Ferne drüber totgelacht.

Mal ganz neutral analysiert ist das natürlich ein weiterer Fall von Externalisierung von Kosten. Wenn ich mir einen wirtschaftlichen Vorteil verschaffe, indem ich die durch meine Aktivitäten entstehenden Kosten Anderen aufdrücke. Wie bei Umweltverschmutzung und Atommüll. Die Tech-Riesen bieten einen Mail-Service an, und externalisieren die Spam-Kosten auf den Rest der Welt.

Ach ICH soll mir jetzt irgendwelche DNS-Records anlegen, und meine Mails vom Mailserver mit einem Domainkey digital signieren lassen, um EUER Spamproblem für euch einfacher lösbar zu machen? Go fuck yourself!

Oh aber selbst habt ihr nicht mal eine funktionierende abuse@-Adresse, wo man sich über von euch ausgehenden Spam beklagen könnte? Go fuck yourself!

Ihr verkauft Schlangenöl, das prinzipiell seine Funktion nicht erfüllen kann, und die Kosten für False Positives externalisiert ihr an … mich? Go fuck yourself!

Ich glaube, wir brauche mal eine Behörde für Digitalumweltschutz, die solche Geschäftsmodelle systematisch aus dem Verkehr zieht. Alle solche Firmen systematisch zumachen. Eine nach der anderen. Wer Kosten externalisiert, wird zugemacht. Und der Aufsichtsrat / der CEO / die Gründer / die Investoren sind persönlich haftbar für die Verfahrenskosten.

Ja aber Fefe wenn wir die ganzen Kosten selber tragen müssten, dann würde sich unser Geschäftsmodell nicht tragen!!1!

Wenn sich euer Geschäftsmodell nur durch Externalisierung von Kosten trägt, DANN TRÄGT ES SICH GAR NICHT. Man stelle sich mal vor, ein Wurstproduzent würde so argumentieren! Ja klar könnte ich hier Hygienestandards erfüllen, aber dann wäre das nicht profitabel!!1! Da würde doch niemand auch nur eine halbe Sekunde zögern, den aus dem Verkehr zu ziehen!

Ja klar könnten wir auch Bremsen in die Autos einbauen, aber dann wären wir preislich nicht mehr konkurrenzfähig!1!!

Unfassbar.

#fefebot #EU #malware #twitter #google #microsoft
 
Leserbrief zu "deine Domain hat Malware" von einem Demo-Coder:
Zum Thema "Schlangenöl nimmt Webseite als Geisel und verhindert, dass Leute mit gängigen Browsern sie überhaupt zu Gesicht bekommen" möchte ich dir über meine Erlebnisse erzählen. Betrachte dich also bitte als Kummerkasten ;) Vielleicht findest du aber auch den ein oder anderen (Ab-)Satz für deine Leser interessant; in diesem Falle: bedien dich. (Und spring' von mir aus gleich zum TL;DR am Ende :)

Im Vorfeld: Ich bin, was amoklaufende Virenscanner angeht, schon einiges gewohnt. Ich bin in der Demoszene aktiv (also jetzt nicht der mit den brennenden Autos, sondern der mit den Grafikdemos), insbesondere im Bereich 4k- und 64k-Intros, also Demos mit einer Größenbeschränkung auf wenige Kilobyte. Da kommen praktisch immer sehr spezielle Laufzeitpacker wie "Crinkler" (http://www.crinkler.net/) und "kkrunchy" (http://www.farbrausch.de/~fg/kkrunchy/) zum Einsatz, um noch das letzte Byte herauszukitzeln. Dummerweise haben wohl auch mal Malware-Autoren diese Packer zur Obfuscation benutzt, und da Schlangenöl-Hersteller das Brett an der dünnsten Stelle bohren, haben sie, anstatt die Malware ordentlich zu analysieren, einfach die Packer auf die schwarze Liste gesetzt. Da ich selbst ein paar mit besagten Packern komprimierte, aber an sich völlig harmlose 4k- und 64k-Intros auf meiner Webseite hoste, habe ich schon mehrfach von meinem Hosting-Provider böse Mails bekommen, ich möge doch binnen X Stunden meine Site saubermachen, sonst wird sie vom Netz genommen. Bisher ist das immer mit einer erklärenden Mail aufzulösen gewesen, zum Glück.

Andere Demoszener haben übrigens angefangen, ihre Intros in einer Form zum Download anzubieten, die automatisches Scanning unmöglich macht. Standard sind inzwischen ZIP-Archive, in denen die EXE-Dateien verschlüsselt abgelegt sind, und der Key steht in einer readme.txt oder so. Oder, ein besonders schräger Hack: Da liegt das Executable im Download-Archiv einfach ohne die "MZ"-Signatur (also die ersten zwei Bytes jedes Windows-Executables) vor. Erst eine mitgelieferte .bat-Datei klebt Header und Rest wieder zusammen und erzeugt eine gültige Windows-EXE.

Aber ich schweife ab.

Irgendwann wurde es jedenfalls mit den Fehldetektionen noch schlimmer und Nutzer wurden daran gehindert, auch meine "normalen" Utilities, die nichts mit der Demoszene zu tun haben, herunterzuladen. Beliebte Ziele sind ein Tool, das in Python geschrieben ist und das ich für faule Windows-Nutzer mit einem Standard-Programm(!) in eine einzelne EXE verpackt habe. Oder ganz normale, mit Microsoft Visual C++ compilierte Executables.

Auch Google hatte mich schon immer auf dem Kieker. Der Aufruf des Verzeichnisses auf dem Server, in dem die Downloads lagen, führte schon länger bei Chrome-Nutzern zum gefürchteten "roten Bildschirm". Das war mir noch egal, aber vor zwei Wochen begann Google damit, meine gesamte .de-Domain als gefährlich einzustufen — einschließlich *aller* Subdomains, nicht nur der, wo das (angeblich) gefährliche Zeug lagert! Selbstverständlich wurde ich darüber nicht informiert (Mail an webmaster@meinedomain.de oder so? I wo!), ich habe es von Nutzern meiner anderen Webdienste erfahren, die auf anderen Subdomains liegen sind als der persönliche und Demoszenen-Kram.

Nun gibt es bei Google keine öffentliche, funktionierende Möglichkeit, "false positives" zu melden. Es gibt Dokumentation für Webmaster, was man tun soll, wenn Google Malware auf der eigenen Domain erkannt hat, aber die geht stets davon aus, dass man wirklich mit irgend einem Wurm infiziert ist. Die Option auf eigenen Irrtum scheint Google gar nicht zu kennen. Vor allem kriegt man nicht einmal heraus, *welche* konkreten Inhalte denn als schädlich erkannt wurden.

Es gibt aber eine Möglichkeit, nämlich die "Search Console". Um die zu nutzen, muss man sich gegenüber Google mit einem permanentem DNS-TXT-Record als Besitzer der Domain ausweisen (wohl dem, der die DNS-Records seiner Webseite unter Kontrolle hat!). Die Console selbst ist eher für SEO-Kram gedacht, aber da gibt es auch einen Menüpunkt "security issues" und tatsächlich stehen dort mal ein paar konkrete URLs von angeblich bösen Inhalten. Überraschenderweise waren das bei mir nicht die erwartete Handvoll Demoszenen-Intros, sondern nur eine zehn Jahre alte .tar-Datei mit einer Library, die als Beispielprogramm ein kkrunchy-gepacktes Windows-Executable enthielt. (Das Programm selbst war völlig harmlos: Es handelte sich um einen schlichten MP3-Player.) Nun ja, da gibt es einen "I have fixed the issues, request review"-Button, also hab' ich den mal gedrückt und im Freitextfeld eingegeben, dass es ein "false positive" ist (mitsamt ein paar Erläuterungen, wie was wo warum). Zwei Tage später die Antwort: Meinem Review Request konnte nicht stattgegeben werden, die Malware sei immer noch da. Die haben meine Erklärung gar nicht gelesen! Also habe ich die inkriminierende EXE-Datei aus dem Archiv entfernt und das Archiv zudem umbenannt (die ganze Library ist eh' obsolet). Nochmal "request review" gemacht, mit Freitext "ich hab's jetzt entfernt, aber ehrlich jetzt, Jungs, das wäre gar nicht nötig gewesen, weil …". Daraufhin: Nichts. Eine Woche lang keine Reaktion. Nach einer anderthalben Woche schaue ich nochmal in die Search Console, und siehe da: Jetzt ist ein anderes Programm der Stein des Anstoßes. Eins, das vorher schon da war. Eins, das nichtmal Crinkler oder kkrunchy benutzt, sondern schlicht UPX, den bekanntesten Executable-Packer überhaupt. Ein Bildbetrachter, in C++ geschrieben, mit Visual Studio compiliert und statisch gegen libjpeg-turbo und die Microsoft Visual C++ Runtime gelinkt. Das reicht also heutzutage aus, um mit einer ganzen Domain auf dem Malware-Index zu landen!

Zum Glück war das nur eine Testversion, also konnte ich die gefahrlos löschen und wieder den "request review"-Affentanz aufführen. Jetzt ist meine Domain erstmal wieder als unbedenklich markiert, aber für wie lange?

TL;DR: Alles Scheiße.

Takeaway #1: Wenn Google deine Domain wegen angeblicher Malware-Infektion hops nimmt, erfährst du es nur indirekt von deinen Nutzern (außer du nutzt selbst Chrome mit aktiviertem "ich schicke erstmal jede aufgerufene URL an Google"-Phishing-Schutz, aber hey, das tust du natürlich nicht). Wenn du wissen willst, wo Google denn nun genau Malware auf deiner Domain gefunden hat, musst du an deinem DNS herummanipulieren und einen Google-Account haben, um die "Search Console" benutzen zu können. "False Positives" reporten geht nicht: Derlei Anfragen werden ignoriert, also lösch den Kram oder fuck you.

Takeaway #2: Es braucht nicht viel, um Schlangenöl zu triggern, deine (Windows-)Software als Malware zu erkennen.
  • Laufzeit-Packer verwendet? Verdächtig!
  • C-Library statisch gelinkt? Verdächtig! (siehe https://twitter.com/KeyJ_trbl/status/1138885991517839360 — selbst ein verdammtes "Hello World"-Programm wird schon von diversen Schlangenöl-Anbietern als Malware erkannt!)
  • Python-Software mit PyInstaller (einem Standard-Paket in der Python-Welt) in eine einzelne Windows-EXE verpackt? Verdächtig! Wenn man (wie ich) möglichst kompakte Software für Windows (nur eine EXE-Datei, keine weiteren Dependencies) schreiben und veröffentlichen möchte, ist man quasi am Arsch.
Lacher am Rande: Die Schlangenöl-Community macht das auch so. Die müssen sich ja auch ihre Samples gegenseitig zuschicken. Die tun das auch in ZIP-Files mit Standardpasswort.

Ich hab mich da immer aus der Ferne drüber totgelacht.

Mal ganz neutral analysiert ist das natürlich ein weiterer Fall von Externalisierung von Kosten. Wenn ich mir einen wirtschaftlichen Vorteil verschaffe, indem ich die durch meine Aktivitäten entstehenden Kosten Anderen aufdrücke. Wie bei Umweltverschmutzung und Atommüll. Die Tech-Riesen bieten einen Mail-Service an, und externalisieren die Spam-Kosten auf den Rest der Welt.

Ach ICH soll mir jetzt irgendwelche DNS-Records anlegen, und meine Mails vom Mailserver mit einem Domainkey digital signieren lassen, um EUER Spamproblem für euch einfacher lösbar zu machen? Go fuck yourself!

Oh aber selbst habt ihr nicht mal eine funktionierende abuse@-Adresse, wo man sich über von euch ausgehenden Spam beklagen könnte? Go fuck yourself!

Ihr verkauft Schlangenöl, das prinzipiell seine Funktion nicht erfüllen kann, und die Kosten für False Positives externalisiert ihr an … mich? Go fuck yourself!

Ich glaube, wir brauche mal eine Behörde für Digitalumweltschutz, die solche Geschäftsmodelle systematisch aus dem Verkehr zieht. Alle solche Firmen systematisch zumachen. Eine nach der anderen. Wer Kosten externalisiert, wird zugemacht. Und der Aufsichtsrat / der CEO / die Gründer / die Investoren sind persönlich haftbar für die Verfahrenskosten.

Ja aber Fefe wenn wir die ganzen Kosten selber tragen müssten, dann würde sich unser Geschäftsmodell nicht tragen!!1!

Wenn sich euer Geschäftsmodell nur durch Externalisierung von Kosten trägt, DANN TRÄGT ES SICH GAR NICHT. Man stelle sich mal vor, ein Wurstproduzent würde so argumentieren! Ja klar könnte ich hier Hygienestandards erfüllen, aber dann wäre das nicht profitabel!!1! Da würde doch niemand auch nur eine halbe Sekunde zögern, den aus dem Verkehr zu ziehen!

Ja klar könnten wir auch Bremsen in die Autos einbauen, aber dann wären wir preislich nicht mehr konkurrenzfähig!1!!

Unfassbar.

#fefebot #EU #malware #twitter #google #microsoft
 
Irgendwie läuft da draußen gerade eine völlig absurde Debatte über irgendeine angeblich gefundene Linux-Malware namens "Godlua", weil die angeblich ihren Kontrollkanal mit DNS-über-HTTPS verschlüsselt haben soll. Siehe Heise, die aber bloß die ursprüngliche Analyse der Bude, die das entdeckt haben will, repostet haben.
Daraufhin gab es Widerspruch bei Golem und jetzt rudert auch Heise zurück. Dabei spielt das doch mal sowas von überhaupt gar keine Rolle, wie irgendwelche Malware-Samples nach Hause telefonieren. Wenn eie Malware nach Hause telefoniert, ist das Kind schon im Brunnen und ist schon blau angelaufen.
Das Problem bei DNS-over-HTTPS ist auch nicht, dass man damit verschlüsselt kommunizieren kann, sondern dass ... ich hatte das hier schonmal ausgeführt ... die Komplexität mehrere Größenordnungen höher ist, ohne dass es tatsächlich einen echten Privacy-Mehrwert bringt. Außer in einem Szenario. Bei einem WLAN, das man sich mit Fremden teilt.

Mein Hauptproblem mit DNS-over-HTTPS war aber, dass das den gesamten Traffic über Cloudflare lenken wollte. Nun halte ich Cloudflare für einen Haufen inkompetente Clowns, aber selbst wenn sie wüssten, was sie täten, was wie gesagt jedenfalls aus meiner Warte nicht der Fall zu sein scheint, selbst dann wäre es eine schlechte Idee, allen DNS-Traffic aller Mozilla-Kunden über Cloudflare zu tunneln. Das macht dann nämlich das Abgreifen der DNS-Daten noch einfacher für die Geheimdienste. Die müssen nur bei Cloudflare den Schnorchel ansetzen. Gerade für US-Geheimdienste, in deren Jurisdiktion Cloudflare liegt, wäre dafür nicht mal Hacking-Aufwand vonnöten.

Also, nochmal zum Mitmeißeln. DOH ist schlecht, weil es so furchtbar komplex ist, nicht weil Malware darüber reden könnte. DOH zu Cloudflare ist schlecht, weil Cloudflare alle Nase lang irgendwelche katastrophalen Ausfälle hat, und weil zentralisiertes DNS-Routing für die Dienste das Abschnorcheln zu einfach macht. Und hört endlich auf, Malware zu analysieren, was sie nach der Infektion macht. Nach der Infektion ist es zu spät. Findet lieber raus, wie die Malware auf das System kommen kann, und macht das zu.

#fefebot #malware #linux
 
Irgendwie läuft da draußen gerade eine völlig absurde Debatte über irgendeine angeblich gefundene Linux-Malware namens "Godlua", weil die angeblich ihren Kontrollkanal mit DNS-über-HTTPS verschlüsselt haben soll. Siehe Heise, die aber bloß die ursprüngliche Analyse der Bude, die das entdeckt haben will, repostet haben.
Daraufhin gab es Widerspruch bei Golem und jetzt rudert auch Heise zurück. Dabei spielt das doch mal sowas von überhaupt gar keine Rolle, wie irgendwelche Malware-Samples nach Hause telefonieren. Wenn eie Malware nach Hause telefoniert, ist das Kind schon im Brunnen und ist schon blau angelaufen.
Das Problem bei DNS-over-HTTPS ist auch nicht, dass man damit verschlüsselt kommunizieren kann, sondern dass ... ich hatte das hier schonmal ausgeführt ... die Komplexität mehrere Größenordnungen höher ist, ohne dass es tatsächlich einen echten Privacy-Mehrwert bringt. Außer in einem Szenario. Bei einem WLAN, das man sich mit Fremden teilt.

Mein Hauptproblem mit DNS-over-HTTPS war aber, dass das den gesamten Traffic über Cloudflare lenken wollte. Nun halte ich Cloudflare für einen Haufen inkompetente Clowns, aber selbst wenn sie wüssten, was sie täten, was wie gesagt jedenfalls aus meiner Warte nicht der Fall zu sein scheint, selbst dann wäre es eine schlechte Idee, allen DNS-Traffic aller Mozilla-Kunden über Cloudflare zu tunneln. Das macht dann nämlich das Abgreifen der DNS-Daten noch einfacher für die Geheimdienste. Die müssen nur bei Cloudflare den Schnorchel ansetzen. Gerade für US-Geheimdienste, in deren Jurisdiktion Cloudflare liegt, wäre dafür nicht mal Hacking-Aufwand vonnöten.

Also, nochmal zum Mitmeißeln. DOH ist schlecht, weil es so furchtbar komplex ist, nicht weil Malware darüber reden könnte. DOH zu Cloudflare ist schlecht, weil Cloudflare alle Nase lang irgendwelche katastrophalen Ausfälle hat, und weil zentralisiertes DNS-Routing für die Dienste das Abschnorcheln zu einfach macht. Und hört endlich auf, Malware zu analysieren, was sie nach der Infektion macht. Nach der Infektion ist es zu spät. Findet lieber raus, wie die Malware auf das System kommen kann, und macht das zu.

#fefebot #malware #linux
 
Boah was ist denn heute schon wieder für ein bizarrer Tag?!

Meldung 1: MIT-Forscher stellen probabilistisches Programmiersystem Gen vor.

Wait, what?!
Ein wesentliches Anliegen der vorgelegten Forschungsarbeit sei es, automatisierte KI auch Menschen mit geringeren Fachkenntnissen in Informatik oder Mathematik zugänglich zu machen
OH NEEEIIINNNN!!!!!!

Meldung 2: Firefox erhöht endlich die Kompatibilität mit Man-in-the-Middle-Malwaren, die TLS aufbeißen wollen. Und man kann es nicht abschalten!
In Firefox 68 wird sie standardmäßig aktiv sein. Wenn ein Nutzer sie im about:config-Bereich manuell auf "false" setzt, stellt Firefox dies beim nächsten Auftreten eines MitM-Fehlers eigenständig wieder auf "true" um. Sofern die Umstellung das Problem behebt, bleibt sie anschließend aktiv.
Na das ist ja eine TOLLE Idee!!1!

Der Krieg der Mozilla Foundation gegen die eigenen Kunden geht erbarmungslos weiter!!

Update: Geht noch weiter. Ursula von der Leyen ist angeblich als EU-Kommissionschefin im Gespräch. Erinnert ihr euch daran, als wir uns für Oettinger geschämt haben?

Auf der anderen Seite besteht dann eine reelle Chance, dass die Flinten-Uschi dann die EU-Kommission mit der bewährten McKinsey-Methode handlungsunfähig macht.

#fefebot #EU #malware
 
Boah was ist denn heute schon wieder für ein bizarrer Tag?!

Meldung 1: MIT-Forscher stellen probabilistisches Programmiersystem Gen vor.

Wait, what?!
Ein wesentliches Anliegen der vorgelegten Forschungsarbeit sei es, automatisierte KI auch Menschen mit geringeren Fachkenntnissen in Informatik oder Mathematik zugänglich zu machen
OH NEEEIIINNNN!!!!!!

Meldung 2: Firefox erhöht endlich die Kompatibilität mit Man-in-the-Middle-Malwaren, die TLS aufbeißen wollen. Und man kann es nicht abschalten!
In Firefox 68 wird sie standardmäßig aktiv sein. Wenn ein Nutzer sie im about:config-Bereich manuell auf "false" setzt, stellt Firefox dies beim nächsten Auftreten eines MitM-Fehlers eigenständig wieder auf "true" um. Sofern die Umstellung das Problem behebt, bleibt sie anschließend aktiv.
Na das ist ja eine TOLLE Idee!!1!

Der Krieg der Mozilla Foundation gegen die eigenen Kunden geht erbarmungslos weiter!!

Update: Geht noch weiter. Ursula von der Leyen ist angeblich als EU-Kommissionschefin im Gespräch. Erinnert ihr euch daran, als wir uns für Oettinger geschämt haben?

Auf der anderen Seite besteht dann eine reelle Chance, dass die Flinten-Uschi dann die EU-Kommission mit der bewährten McKinsey-Methode handlungsunfähig macht.

#fefebot #EU #malware
 
Google confirms that advanced backdoor came preinstalled on Android devices | Ars Technica

So much for Huawei own OS would be less secure than

#Android #malware #backdoor
 
Lacher des Tages: Intel will UEFI durch was modernes, ordentliches ersetzen. Was macht das neue modern und ordentlich, fragt ihr? Nun, äh, papierraschel es ist, äh, … open source?
Ich erinnere mich ja noch gut daran, als Intel uns allen diese EFI-Scheiß aufgezwungen hat. Niemand wollte das haben. Und was haben sie damals gesagt, wieso man das angeblich braucht? Weil es modern und ordentlich ist, im Vergleich zum alten Legacy-Bios.
War wohl doch nicht so modern und ordentlich.
Wieso sollte ich Intel eigentlich glauben, dass das "ModernFW" jetzt modern und ordentlich ist? Wer einmal lügt und so?
Oh und EFI war ja auch schon nicht open source. Daher haben wir UEFI gekriegt. Das war so halb open source. Googelt mal Tianocore, das ist der open source-Teil davon. Bugs, die ihr darin findet, werden auch in eurem UEFI-Bios sein.
Der Grund, wieso UEFI so einen schlechten Ruf hat und so wenig Vertrauen genießt, ist ja, weil die völlig ohne Not ein Modulkonzept eingeführt haben, über das sich dann Malware einnisten kann. Das hätte man natürlich vorher wissen können. Es wird eich nicht überraschen, dass man das natürlich vorher wusste. Man hat es trotzdem gemacht. Weil das ein Trend war.
Genau wie überhaupt metastasierende Firmware ein Trend ist. Früher hatte man ein Mainboard und eine CPU und auf dem Mainboard war ein BIOS und das war es. Wenn man von der Netzwerkkarte booten wollte, gab es ein Konzept für das Laden eines DHCP-Moduls von der Netzwerkkarte. Wenn man einen SCSI-Controller einbaute, gab es ein Konzept für das Laden eines BIOS-Moduls von dort. Das alte Ranzbias war auch schon so modular wie nötig.
Aber heute? Heute hat man in der CPU zwei Firmwares (einmal Microcode, einmal für die Management Engine, die übrigens auch ein eingebetteter Prozessor ist, auf dem ein Betriebssystem-Kernel und User-Space-Module laufen), dann hat man ein UEFI-Bios mit Modulen, dann hat man im WLAN-Chip eine Firmware, in der Netzwerkkarte, selbst Tastaturen und Mäuse haben Firmwares. Oh und auf dem Mainboard gibt es auch nochmal eine Management-Engine mit eigener Firmware. Und innerhalb dieser Geräte gibt es teilweise noch Unter-Firmwares für interne Teilkomponenten, die die verwalten, ohne dass man das von außen sehen kann.

Es ist wieder alte Flat-Earth-Joke. Firmware all the way down.

Insofern entschuldigt, wenn ich nur heiser lachen kann, wenn Intel jetzt von modern und ordentlich redet. Modern ist bei mir ein verbranntes Wort. Wer modern sagt, meint "schlechter als die letzte Generation". Modern heißt "wir haben sinnlos irgendwelche Trend-Hipster-Kacke eingebaut, die niemand braucht, weil wir dachten, dass man das halt heutzutage so macht".

Und alle kämpfen dann mit einer Update-Strategie für ihre Firmwares. Trust-Probleme werden mit Kryptografie unter den Teppich gekehrt. Früher hat man Kryptografie zwischen Regierungen benutzt, dann zwischen mir und meiner Bank, dann zwischen mir und meinem Drucker, zwischen mir und meinem Monitor, jetzt haben wir innerhalb der CPU Kryptographie zwischen Host-CPU-Teil und Management-Engine. Es ist so dermaßen absurd, nicht zuletzt weil das natürlich eine massive Energieverschwendung ist.

#fefebot #malware
 
Lacher des Tages: Intel will UEFI durch was modernes, ordentliches ersetzen. Was macht das neue modern und ordentlich, fragt ihr? Nun, äh, papierraschel es ist, äh, … open source?
Ich erinnere mich ja noch gut daran, als Intel uns allen diese EFI-Scheiß aufgezwungen hat. Niemand wollte das haben. Und was haben sie damals gesagt, wieso man das angeblich braucht? Weil es modern und ordentlich ist, im Vergleich zum alten Legacy-Bios.
War wohl doch nicht so modern und ordentlich.
Wieso sollte ich Intel eigentlich glauben, dass das "ModernFW" jetzt modern und ordentlich ist? Wer einmal lügt und so?
Oh und EFI war ja auch schon nicht open source. Daher haben wir UEFI gekriegt. Das war so halb open source. Googelt mal Tianocore, das ist der open source-Teil davon. Bugs, die ihr darin findet, werden auch in eurem UEFI-Bios sein.
Der Grund, wieso UEFI so einen schlechten Ruf hat und so wenig Vertrauen genießt, ist ja, weil die völlig ohne Not ein Modulkonzept eingeführt haben, über das sich dann Malware einnisten kann. Das hätte man natürlich vorher wissen können. Es wird eich nicht überraschen, dass man das natürlich vorher wusste. Man hat es trotzdem gemacht. Weil das ein Trend war.
Genau wie überhaupt metastasierende Firmware ein Trend ist. Früher hatte man ein Mainboard und eine CPU und auf dem Mainboard war ein BIOS und das war es. Wenn man von der Netzwerkkarte booten wollte, gab es ein Konzept für das Laden eines DHCP-Moduls von der Netzwerkkarte. Wenn man einen SCSI-Controller einbaute, gab es ein Konzept für das Laden eines BIOS-Moduls von dort. Das alte Ranzbias war auch schon so modular wie nötig.
Aber heute? Heute hat man in der CPU zwei Firmwares (einmal Microcode, einmal für die Management Engine, die übrigens auch ein eingebetteter Prozessor ist, auf dem ein Betriebssystem-Kernel und User-Space-Module laufen), dann hat man ein UEFI-Bios mit Modulen, dann hat man im WLAN-Chip eine Firmware, in der Netzwerkkarte, selbst Tastaturen und Mäuse haben Firmwares. Oh und auf dem Mainboard gibt es auch nochmal eine Management-Engine mit eigener Firmware. Und innerhalb dieser Geräte gibt es teilweise noch Unter-Firmwares für interne Teilkomponenten, die die verwalten, ohne dass man das von außen sehen kann.

Es ist wieder alte Flat-Earth-Joke. Firmware all the way down.

Insofern entschuldigt, wenn ich nur heiser lachen kann, wenn Intel jetzt von modern und ordentlich redet. Modern ist bei mir ein verbranntes Wort. Wer modern sagt, meint "schlechter als die letzte Generation". Modern heißt "wir haben sinnlos irgendwelche Trend-Hipster-Kacke eingebaut, die niemand braucht, weil wir dachten, dass man das halt heutzutage so macht".

Und alle kämpfen dann mit einer Update-Strategie für ihre Firmwares. Trust-Probleme werden mit Kryptografie unter den Teppich gekehrt. Früher hat man Kryptografie zwischen Regierungen benutzt, dann zwischen mir und meiner Bank, dann zwischen mir und meinem Drucker, zwischen mir und meinem Monitor, jetzt haben wir innerhalb der CPU Kryptographie zwischen Host-CPU-Teil und Management-Engine. Es ist so dermaßen absurd, nicht zuletzt weil das natürlich eine massive Energieverschwendung ist.

#fefebot #malware
 

Keepass.com spreading malware acting as the official password manager site


HN Discussion: https://news.ycombinator.com/item?id=19867971
Posted by svacko (karma: 191)
Post stats: Points: 196 - Comments: 49 - 2019-05-09T13:17:26Z

\#HackerNews #acting #keepasscom #malware #manager #official #password #site #spreading #the
HackerNewsBot debug: Calculated post rank: 147 - Loop: 306 - Rank min: 100 - Author rank: 112
 

Keepass.com spreading malware acting as the official password manager site


HN Discussion: https://news.ycombinator.com/item?id=19867971
Posted by svacko (karma: 191)
Post stats: Points: 196 - Comments: 49 - 2019-05-09T13:17:26Z

\#HackerNews #acting #keepasscom #malware #manager #official #password #site #spreading #the
HackerNewsBot debug: Calculated post rank: 147 - Loop: 306 - Rank min: 100 - Author rank: 112
 

Evil Clippy is now helping hackers infect your Office documents - MSPoweruser

All the years of derision has caused Clippy to go over to the dark side. Still super-helpful, Clippy is now helping the wrong people.
@Alicia S Your friend Clippy has switched to the dark side!
#Clippy #MicrosoftOffice #Malware
Evil Clippy is now helping hackers infect your Office documents
 
Wisst ihr, was wir schon lange nicht mehr hatten? Einen kraftvollen Firefox-Fuckup!

Völlig unvorhergesehen und überraschend stellt sich nämlich heraus, dass Zertifikate ablaufen. Tsja, Mozilla, und DAS ist die Hölle, die ihr mit Letsencrypt einmal auf die ganze Welt rausgehauen habt. Nur halt nicht alle paar Jahre mal sondern alle paar Wochen mal. Wegen … uh … Yolo!!1!
Das Zertifikat, das hier abgelaufen ist, ist ein Intermediate Cert, das im Prozess des Signierens aller Add-Ons beteiligt ist. Denn Add-Ons müssen ja neuerdings signiert sein. Damit, wenn man sie über eine signierte Verbindung von Mozilla lädt, und da Malware drin ist, Mozilla sagen kann: Haha, nicht unsere Schuld!1!!
Ich frage mich ja, wie häufig Code Signing noch komplett versagen muss, bevor dieser unsägliche Bullshit-Trend mal endlich geerdet wird.
Mozilla hat jetzt jedenfalls Add-Ons komplett abgeschaltet.
Das Problem hat den schönen Namen "armagadd-on-2.0" gekriegt :-)

#fefebot #malware
 
Wisst ihr, was wir schon lange nicht mehr hatten? Einen kraftvollen Firefox-Fuckup!

Völlig unvorhergesehen und überraschend stellt sich nämlich heraus, dass Zertifikate ablaufen. Tsja, Mozilla, und DAS ist die Hölle, die ihr mit Letsencrypt einmal auf die ganze Welt rausgehauen habt. Nur halt nicht alle paar Jahre mal sondern alle paar Wochen mal. Wegen … uh … Yolo!!1!
Das Zertifikat, das hier abgelaufen ist, ist ein Intermediate Cert, das im Prozess des Signierens aller Add-Ons beteiligt ist. Denn Add-Ons müssen ja neuerdings signiert sein. Damit, wenn man sie über eine signierte Verbindung von Mozilla lädt, und da Malware drin ist, Mozilla sagen kann: Haha, nicht unsere Schuld!1!!
Ich frage mich ja, wie häufig Code Signing noch komplett versagen muss, bevor dieser unsägliche Bullshit-Trend mal endlich geerdet wird.
Mozilla hat jetzt jedenfalls Add-Ons komplett abgeschaltet.
Das Problem hat den schönen Namen "armagadd-on-2.0" gekriegt :-)

#fefebot #malware
 
Wisst ihr, was wir schon lange nicht mehr hatten? Einen kraftvollen Firefox-Fuckup!

Völlig unvorhergesehen und überraschend stellt sich nämlich heraus, dass Zertifikate ablaufen. Tsja, Mozilla, und DAS ist die Hölle, die ihr mit Letsencrypt einmal auf die ganze Welt rausgehauen habt. Nur halt nicht alle paar Jahre mal sondern alle paar Wochen mal. Wegen … uh … Yolo!!1!
Das Zertifikat, das hier abgelaufen ist, ist ein Intermediate Cert, das im Prozess des Signierens aller Add-Ons beteiligt ist. Denn Add-Ons müssen ja neuerdings signiert sein. Damit, wenn man sie über eine signierte Verbindung von Mozilla lädt, und da Malware drin ist, Mozilla sagen kann: Haha, nicht unsere Schuld!1!!
Ich frage mich ja, wie häufig Code Signing noch komplett versagen muss, bevor dieser unsägliche Bullshit-Trend mal endlich geerdet wird.
Mozilla hat jetzt jedenfalls Add-Ons komplett abgeschaltet.
Das Problem hat den schönen Namen "armagadd-on-2.0" gekriegt :-)

#fefebot #malware
 
Wisst ihr, was wir schon lange nicht mehr hatten? Einen kraftvollen Firefox-Fuckup!

Völlig unvorhergesehen und überraschend stellt sich nämlich heraus, dass Zertifikate ablaufen. Tsja, Mozilla, und DAS ist die Hölle, die ihr mit Letsencrypt einmal auf die ganze Welt rausgehauen habt. Nur halt nicht alle paar Jahre mal sondern alle paar Wochen mal. Wegen … uh … Yolo!!1!
Das Zertifikat, das hier abgelaufen ist, ist ein Intermediate Cert, das im Prozess des Signierens aller Add-Ons beteiligt ist. Denn Add-Ons müssen ja neuerdings signiert sein. Damit, wenn man sie über eine signierte Verbindung von Mozilla lädt, und da Malware drin ist, Mozilla sagen kann: Haha, nicht unsere Schuld!1!!
Ich frage mich ja, wie häufig Code Signing noch komplett versagen muss, bevor dieser unsägliche Bullshit-Trend mal endlich geerdet wird.
Mozilla hat jetzt jedenfalls Add-Ons komplett abgeschaltet.
Das Problem hat den schönen Namen "armagadd-on-2.0" gekriegt :-)

#fefebot #malware
 

Source code of Carbanak trojan found on VirusTotal | ZDNet

However, things changed in April 2019 when FireEye security researcher Nick Carr found two archives uploaded on the VirusTotal malware scanning portal that contained Carbanak's source code.
Wow, what a finding

#malware #virus
 
Later posts Earlier posts