-
IRS says thieves stole tax info from 100,000 [washingtonpost on 26 May 2015]
-
Hacked Adult FriendFinder database reveals extramarital affairs of millions [HN]:
"Adult Friend Finder, one of the largest online dating sites, may have been breached more than two months ago, and the sensitive files—include names, ages, email addresses, zip codes and more—are apparently still online....
Bev Robb, who does malware and dark Web research, came across the Adult Friend Finder files in March. She said she held off on publicizing the information for a few weeks before contacting two security experts.
Possibly an extortion / non-payment issue:
During a fit of rage, a pissed off hacker (going by the handle ROR[RG]) posted 15 downloadable spreadsheets (in zipped file format with credit card data stripped) to a week-old Darknet forum stating that he had rooted the adult site database. Why? Because they owed his guy approximately $248,000 USD. He bragged that the company and law enforcement could not touch him because he was based in Thailand. His ransom demand was set at $100,000 (50G to begin and 50G to end)."
-
NetUSB Impacts the Security of Millions of Devices Worldwide: [HN on 21 May 2015]
You can cause a remote kernel exploit when your device name is longer than 64 bytes.
Looks like most home router manufacturers are mindlessly plugging modules from various vendors to their devices' firmware, to add features.
"Sometimes NetUSB can be disabled via the web interface, but at least on NETGEAR devices this does not mitigate the vulnerability. NETGEAR told us, that there is no workaround available, the TCP port can't be firewalled nor is there a way to disable the service on their devices."
-
Why your 'A' grade SSL is 'outdated cryptography' on Chrome: OpenSSL and its cipherSuite [HN on 20 May 2015]
-
Spy agencies target mobile phones, app stores to implant spyware [HN on 22 May 2015]
Fefe dazu:
Ich werde ja gelegentlich gefragt, wieso ich gegen Auto-Updater bin. Das ist doch toll! Die Software updated sich selbst! Der User ist sicherer!
Ja, schon, aber: Damit fällt jeder Anreiz für den Hersteller weg, gleich ein ordentliches Produkt auszuliefern. Und dieser ganze Update-Scheiß sorgt auch dafür, dass derjenige, der die Update-Server kontrolliert, der ganzen Welt Malware unterschieben kann.
Paranoia? Die NSA hat daran gearbeitet, über den Android-Store Malware zu verteilen. Und ja, das ist völlig unüberraschend. Das hätte ich an deren Stelle auch getan. Die wären blöd, wenn sie das nicht täten!
Nun ist das glücklicherweise nicht so einfach, weil Google relativ frühzeitig mit Certificate Pinning angefangen hat. Da müsste die NSA also mehr machen als sich auf Netzseite einzuklinken (wir wissen, dass sie das können). Sie müssten auch Schlüssel von Google klauen (davon ist bisher nichts bekannt). Oder sie müssten eine Krypto-Schwachstelle ausnutzen. Ich kenne jetzt die Struktur des Android App Store nicht genug, um sagen zu können, ob dafür das Diffie-Hellman-Problem von gestern reichen würde oder nicht. Aber selbst wenn nicht: Habt ihr schon ein Update für eure alten Androids gesehen?
-
Cyberangriff auf Bundestag. Trojaner, wahrscheinlich von 5-eyes Geheimdienst, da angepasst auf IT-Infrastruktur des Bundestages [Spiegel on 21 May 2015]
-
LogJam: Diffie Hellman ist praktisch die Basis von allen Online-Public-Key-Kryptographiesystemen da draußen - SSH, TLS, IPsec, etc. [fefe and HN/cloudflare 19 May 2015]
Problem:
- TSL Downgrade attack
- es wird dieselbe Primzahl als Diffie Hellman Parametern von vielen Server benutzt, dass heisst man muss sie zum Knacken nur einmal berechnen
Update: [Fefe on 21 May 2015]
Ich mache mir ein bisschen Sorgen, dass wir jetzt wegen Logjam die Leute alle den von der NSA manipulierten elliptischen Kurven der NIST in die Hände schieben.
Ich habe ja mein SSH schon vor einer Weile auf djb-Krypto umgestellt (hier hatte ich das beschrieben). Es ist leider auffallend schwierig, mit regulären Browsern djb-Krypto im TLS hinzukriegen. Firefox supported das noch nicht (warum eigentlich nicht?), Chrome supported es angeblich, aber ich kriege das nicht negotiated. OpenSSL kann es nicht (es gibt einen alten Patch, der aber nicht auf aktuelle Versionen passt), PolarSSL kann es nicht, BoringSSL kann es zwar, aber die Knalltüten haben das Buildsystem auf cmake umgestellt, und da krieg ich die dietlibc nicht reingepfriemelt. Das muss mir auch noch mal jemand erklären, wieso heutzutage jedes gammelige Hipsterprojekt sein eigenes Buildsystem braucht. Bei autoconf ist wenigstens dokumentiert, wie man da von außen eingreifen kann. Aber dieses cmake ist in der Beziehung nur für den Arsch, ich komm aus dem Fluchen gar nicht raus.
Und so bleibt mir im Moment nur LibreSSL, das kommt in der portablen Version mit autoconf und funktioniert mit dietlibc, und da taucht das auch in der Cipherliste auf, und wenn ich mit openssl s_client die Verbindung aufmache, kriege ich auch ECDHE-ECDSA-CHACHA20-POLY1305, aber mit Chrome? Kein Glück.
Und, mal unter uns, solange man da nicht von Hand noch eine ordentliche Kurve konfiguriert, ist das auch Mist. Von den Kurven, die OpenSSL unterstützt, scheint nur secp256k1 akzeptabel.
Update: http://blog.cryptographyengineering.com/2015/05/attack-of-week-logjam.html
-
"Um nicht die Smart Meter Gateways mit Displays und Bedienfeld bestücken zu müssen, hat die PTB die Möglichkeit geschaffen, eine zertifizierte Software-Applikation zur Anzeige einzusetzen. Die erfolgt über das Internet in einem Webbrowser."
Und dafür haben sie jetzt eine Linux-Distro gebaut, die man als Live-CD bootet, und damit kann man dann … was zur Hölle?! Wem hilft ein altes Live-Linux mit einem Firefox, der schon zwei Wochen nach Release der CD veraltet ist? Das ist dann sicher wegen … oh, was sagen Sie? Ist gar nicht sicher? Na sowas. [heise on 12 May 2015]
-
Malware auf der GPU. Hätte uns doch nur jemand gewarnt!1!! [heise und fefe on 12 May 2015]
-
2014 Schluesselaustausch: OpenSSL, Kerberos, OpenVPN,StronSwan
-
2014 Password wechseln: eBay, yahoo, Sony,
-
Sagten wir 40000 Selektoren? Wir meinten eher so 400000 Selektoren!
Ach was sage ich! "Mittlerweile ist im NSA-Untersuchungsausschuss von Millionen Selektoren die Rede"!
Ach naja, NSA-Selektoren galten beim BND halt als "unproblematisch".
Zum Vergleich: Als handfeste Zahl kann man die Angaben zum aktiven, d. h. in seinen Werken nachweisbaren Wortschatz bei Goethe ansehen, der im 3. Band des Goethe-Wörterbuchs auf ca. 90.000 Wörter beziffert wird. [Fefe on 21 May 2015]
-
Österreich-Luxemburg war nur eine abgeschnorchelte Leitung, es gab da noch viel mehr. Amsterdam, Rotterdam, Jakarta, Manila, Sydney, Tokio, Stockholm, Dublin, Moskau (jeweils nach Österreich). [STandart on 19 May 2015 ]
-
Die Telekom hat dem BND für ihre Schnorchel-Handlangerei monatlich pauschal 6500 Euro in Rechnung gestellt. Das klingt grob wie der Preislisten-Preis, den man von der Telekom für eine Gigabit-Leitung zwischen dem Berliner und der Pullacher BND-Niederlassung erwarten würde. Insofern denke ich mir, dass das entweder heißt, dass die Telekom aus patriotischen Gründen kostenlos schnorchelt und dem BND dann halt ihre Listenpreise für die Zuträger-Leitung in Rechnung stellt, oder die Zahl ist der Preis für das normale BND-Hausnetz und es handelt sich um ein Missverständnis. Andererseits hat Netzpolitik.org den geleakten Vertrag, und da steht dieser Preis, aber nicht für die Leitung sondern für personellen Aufwand (!?). Die Österreicher und Luxemburger haben jedenfalls Strafanzeige gegen den BND, die Telekom und unbekannte Mittäter eingereicht. Ich fände das super, wenn jetzt das Kanzleramt geschlossen in den Knast wandert. [Fefe on 19 May 2015]
-
Wie biegen sich eigentlich die Damen und Herren vom BND ihre Lebenslüge so zurecht? Netzpolitik.org hat da ein paar Dokumente.[fefe on 18 May 2015]
"Herr D. B. [Unterabteilungsleiter Technische Aufklärung] erklärte telefonisch einige Stunden später, die erwähnte Weitergabe von Rohdaten an [die NSA] sei in der Tat nicht explizit im Rahmen des Besuchs des behördlichen Datenschutzes in Bad Aibling erwähnt worden. Grund hierfür sei, dass man das Thema „Metadatenanalyse bzw. -erhebung“ habe zugunsten der Erörterung anderer Themen ausklammern wollen. Herr B. bestätigt auf Nachfrage, dass die vorgenannte Weitergabe von Rohdaten an [die NSA] in großem Umfang stattfinde. Es würden auf bestimmten Übertragungswegen im Ausland alle durch den BND erhobenen Daten an [die NSA] weitergegeben. Eine inhaltliche Sichtung bzw. eine Eingrenzung der erhobenen Daten anhand von wie auch immer gearteten Kriterien finde nicht statt."
Ach soooo, das habt ihr den Datenschützern gegenüber ausklammern wollen. Na dann ist ja alles klar! Ich klammere dann auch nächstes Mal dem Finanzamt gegenüber meine Einnahmen aus. Das senkt nur die Lebensqualität, wenn das Finanzamt davon erfährt!
-
Wie NSA-Selektoren funzen [FAZ on 11 May 2015]
-
Die NSA wollte vom BND, dass sie Siemens ausspionieren. Siemens! Der BND!!! Siemens gilt als sowas wie eine Tochterfirma des BND. [spiegel and fefe on 11 May 2015]
-
Sniffing GSM Traffic (Radio Frequency) with HackRF [HN]
-
Crypto data structures [HN] Stromnetz =========
-
zum Thema Load-Shedding und Lastabwurfkunden noch ein anderer Hinweis. Es gibt auch einen frequenzgesteuerten automatischen Lastabwurf im europäischen Verbundnetz (UCTE). In den Umspannanlagen sind frequenzgesteuerte Relais verbaut, die in verschiedenen Stufen Last abwerfen. Die Netzbetreiber können nicht verhindern, das so ein Relais auslöst. Das ganze ist in vier Stufen aufgeteilt und im TransmissionCode der Übertragungsnetzbetreiber festgelegt:
- 49,8 Hz: Alarmierung des Personals und Einsatz der noch nicht mobilisierten Erzeugungsleistung auf Anweisung des ÜNB, Abwurf von Pumpen.
- 49,0 Hz: Unverzögerter Lastabwurf von 10 - 15 % der Netzlast.
- 48,7 Hz: Unverzögerter Lastabwurf von weiteren 10 - 15 % der Netzlast.
- 48,4 Hz: Unverzögerter Lastabwurf von weiteren 15 - 20 % der Netzlast.
- 47,5 Hz: Abtrennen aller Erzeugungsanlagen vom Netz.
Zuletzt ist das soweit ich weiß 2006 in Europa passiert, als das UCTE-Netz in drei Frequenzzonen zerbrochen ist. Mir wurde auch mal bei einer Besichtigung einer Netzleitstelle eines Stadtwerks gesagt, dass es auch gerade Konzepte zu "richtigem" Load-Shedding erarbeitet werden, also dass die Ingenieure in den Netzleitstellen selbst Last abwerfen können, aber da gibt es noch erhebliche rechtliche Bedenken, vor allem in Fragen der Haftung.
-
ich habe mein Praxissemester in Südafrika verbracht und dann auch meine Bachelorarbeit (Umweltingenieurwesen) über ein Thema in SA geschrieben.
In dem Rahmen hab ich mich dann auch etwas stärker mit dem Topic auseinander gesetzt.
Einer der Hauptfaktoren für die fehlenden Kapazitäten war einfach der Regimewechsel und der völlige Neuaufbau einer Regierungslandschaft. Verglichen mit der FDP wusste die ANC damals auch nicht was sie plötzlich alles machen und bedenken muss wenn man eine Regierung bildet. Z.B. eine fließende Infrastrukturplanung für die Energieversorgung. Dazu kommt das man sich vorstellen kann, dass die damals andere Probleme hatten (zum Teil immer noch haben).
Der Mangel an Energiekapazitäten wurde größtenteils hervorgerufen durch das wegbrechen der Wirtschafts-Sanktionen und dem daraus enstandenen BOOM in der Wirtschaft und Industrie. Die freie Marktwirtschaft ohne Normen oder Regulierung (in den ersten Jahren) hat da kräftig ins Netz gehauen. Vor allem wenn man bedenkt das sich die Europäer mit effizienteren Produktionsstraßen ausgerüstet und die alten nach Südafrika gebracht haben, um dort billig zu produzieren(weil der Strom so günstig war). Wenn das einer macht wird das wohl klappen.... wenn das alle machen wirds eng.
Korruption ist da unten ein großes Thema, aber nicht Hauptverursacher
Ein weiterer großer Faktor ist die Tatsache, das in Südafrika quasi das ganze Jahr die Sonne scheint mit der doppelten Menge an kW/m² verglichen zu Deutschland, der Warmwasserbedarf der Bequemlichkeit halber jedoch größten Teils mit elektrischen Heizelementen beliefert wird. Da sind die aber bei das zu ändern.
-
Load Shedding gibt es auch in Deutschland, das nennt sich Lastabwurfkunden. Da nimmt man vorzugsweise solche, die viel Strom ziehen. Das ist aber vertraglich geregelt und sie zahlen auch weniger pro kWh. [wikipedia]