Die Dummheit des anderen stirbt nie.
Archiv der Kategorie: Security
So abends die Weltrevolution durchdekliniert
Antworten
Es war einer jener grauen Herbstabende in der NRW Stadt Paderborn. Wenn nicht Heinz Nixdorf gewesen wäre, wäre sicherlich kaum Notiz von der Stadt genommen worden.
Er saß zusammen mit einem Kommilitonen in der Szenekneiipe „Zum freien Bit“. Sie waren schon seit Stunden aufgebracht in einer Diskussionssession, der durch die Kneipe ziehende Rauchgeruch (man kann auch deutlich sagen: Eine völlig verräucherte Spelunke) störte sie nicht im geringsten. Und anstelle des Programmierpils wurde Cola nach alter imperialistischer US-Tradition vom nicht mit Apple aufs ärgste verbundenen Brauseliieferanten getrunken.
„Also, ich hab da DIE Software die Tage gefunden, Intergalaktisch! Mosaic heißt sie. Kommt aus der Schweiz, also eigentlich aus CERN. Die Bude ist was, was die Physiker machen, Aber 1A auf UNIX entwickelt. Auf dem NeXT. Kaufe ich mir auch, wenn mein Mac dann in die Jahre gekommen ist. Sind extrem gute Maschinen. Klar, designed by Steve eben. And made in Japan.
Als ich noch mit dem Atari ST rumbastelt, habe ich mir schon eine Hypertext-Software gekauft. Dann mit dem Mac endlich Hypercard. Wir habe das ja in Neuronale Netze kennengelernt. Du traversierte durch den gerichteten Baum (ob binär oder höherer Ordnung sei ganz egal).“
Der andere schaute erwartungsfroh in sein Glas braune Zuckerbrause und hatte an den entscheidenden Stellen (NeXT, CERN, Mosaic) ein flüchtiges Lächeln auf dem Gesicht. Er war derjenige der beiden, der nicht so nerdig war. Schließlich wurde ja Wirtschaftsinformatik unterrichtet. Er hatte im Geiste schon keinen kleinen Businessplan zurechtgezimmert. Er, der Denker, Lenker und das Gesicht des aufstrebenden Imperiums. Der andere, der nerdige, schlaksige war da der Macher – also Codierer – der Programmierer. Irgendwie wie bei Apple, dachte er, nur dass der andre zu schlank war, um den Vergleich „rund“ zu machen.
„Wenn ich mir jetzt vorstelle, dass man mit – sagen wir 10.0000 – gleichzeitigen Mosaic-Sessions eine Zieladresse ansteuert, um sie durch die Vielzahl der Anfragen zu überlasten. Ich nenne das man „Ki-Bulp-Infection“.“
Er grinste: „Ki, ist mein Namenskurzzeichen und außerdem kann es auch für künstliche Intelligenz stehen. Also Rechnersysteme, die ohne menschliches Zutun anhand von gelerntem Wissen, in der Lage sind in Grenzen natürlich, Neues zu schaffen. Turing etwa mit seinem alten Test: „Hey, bist Du Mensch oder Maschine?“ Oder aber auch Eliza von Weizenbaum. All das gibt es ja schon. Wir müssen nur den Missing Link finden, um ganz groß ins Geschäft einsteigen zu können. Da brauchen wir natürlich Geld. Mit dem Thema „Runterreißen von Mosaic-Adressen durch geballte Kraft, schaffen wir Aufmerksamkeit. Dann können wir unsere Sicherungssoftware anbieten. Mir schwebt vor, dass wir Mosaic-Server auf allen Kontinenten haben und Kunden als „Stütze“ für Ihre eigenen Adresse bieten, damit sie resistenter werden gegenüber Attacken. Zudem ist die Seite dann überall auf der Welt gut erreichbar.“
Der Business-made-Kommilitone staunte nicht schlecht, der Nerdige hat ja richtig Businesspotential. Vielleicht war das der Beginn einer langanhaltenden Freundschaft.
Anmerkung: Den Abend im herbstlichen Paderborn in der ersten Hälfte der 90iger hat es natürlich geben. Nicht überliefert ist die Nachweisbarkeit, dass beide Studierende jene fiktive Kneipe im erstkatholischen Bistum auch besuchten. Raucherkneipen, der Begriff wurde erst später erfunden, gab es damals immer, da Rauchen in Kneipen und Restaurants in Deutschland erlaubt war. Die vorgetragene Gedanken sind so akademisch-fiktiv, dass es reale Ausprägungen der genannten Softwaresystem sicher nie geben wird.
Die dümmsten Fischer…
…haben die kürzesten Sch*e primären Geschlechtsteile (man denke dabei an nicht Fische, das paßt ja auch zu Fischern, sondern eher an den Hund des Fischers an Bord des Kutters.).
Kritzelheft again under attack
The Wordfence Web Application Firewall has blocked 106 attacks over the last 10 minutes.
Wordfence is blocking these attacks, and we’re sending this notice to make you aware that there is a higher volume of the attacks than usual.
Below is a sample of these recent attacks:
Juni 22, 2025 12:41pm 1X.X.X.X (Singapore) Blocked for Known malicious User-Agents
Meine kleines WAF ist nicht das Allerheilmittel, aber immer ein guter Anfang.
Lightweight under fire
Auch wenn ich einige wenige Dinge beherzige, so ist dieses kleine digitale Kritzeltet doch im Handstreich platt, wenn es jemand nur wirklich darauf anlegt. Auch die markigen Werbesprüche meines Webkrauters, hier mit DDoS-Schutz-Sicherheit zu bieten und ähnliches, werden da sicher nicht helfen. Zudem heißt auch nicht jedes Unternehmen Spamhaus, das muss klar gesagt werden. Und dass ich mir ein „paar Kohlen“ bei Akamai dazu kaufen kann, wie es die großen GAFA-Unternehmen, immer wieder Apple bei Mammutveranstaltungen wie der WWDC machen, ist auch nicht gegeben. Das würde mein Budget sehr deutlich sprengen.
Gut, ich könnte ein CDN wie etwa Cloudflare nutzen, will ich aber gar nicht. Das hat weniger etwas mit der durchaus guten Technologie zu tun, sondern mit DSGV. Was ich nach Erprobungen deutlich feststellte (nativ Cloudflare und innerhalb von IONOS angeboten).
Today‘s In-Box-truth
Pentesting
Da hatte ich doch vor ein paar Tage mit ZAP angefangen, das Blog zu pentesten, wie ich es ja schon mal machte (etwa hier, hier oder hier). Das ganze zog sich über einige Tage hin. Mein kleines WAF dreht ordentlich auf und bestrafte ZAP mit bannig vielen 404 und mich mit etlichen Warnmeldungen.
Ob ich mir aber jemals die knapp 30 GB Session Data ansehen werde, mag bezweifelt werden. ZAP hat ja den kruden Scharm einer Linux-Konsolenanwendung, der man (scheinbar) mit AWT eine GUI verpass hat. Ich werde es aber weiter nutzen, auch wenn die Software immer mal wieder durchgereicht wird, d.h. den Eigenümer wechselt.
Gehackt! Komisch nicht, dass klar erwartet.
Wir haben uns auf verschiedensten Wegen die Identitäten der Patientinnen und Patienten besorgt (…), wir haben uns auf verschiedensten Wegen die Praxisidentitäten besorgt (…) und damit hatten wir wirklich alles beisammen, um auf (…) alle 70 Millionen Akten zuzugreifen.“
Was Kastl und Tschirsich auf der CCC-Bühne demonstrierten, war ein Angriff auf die privatesten Daten, die Mensch überhaupt haben: die eigenen Gesundheitsdaten. Die beiden Hacker haben diese Angriffe ausprobiert, um Sicherheitslücken aufzudecken – doch schon bald könnten die Schwachstellen auch von Kriminellen ausgenutzt werden.
..
Der Chaos Computer Club kommt angesichts der Erkenntnisse zu einem vernichtenden Urteil. Der Verband fordert ein „Ende der EPA-Experimente am lebenden Bürger“.
HAZ, tomorrow
Chapeau! CCC, denn schon vorm Start der elektronischen Patientenakte einen Supergau-Hack. Das zeigt wieder einmal und sehr erwartet: Security made in Germany sucht ihresgleichen in der internationalen IT-Landschaft.
Wenn es nicht so extrem bitter wäre, würde ich glatt drüber lachen.
Mehr findet sich noch bei Heise.
Phishingmails im Bundestag im Rahmen eines Pentestings
Da haben nicht alle Abgeordneten oder deren Mitarbeiter richtig auf die unangekündigte Phishingmail im Rahmen eines Pentest reagiert.
Das ist auch wirklich nicht zu erwaeten, denn derariges ist im Bundedtag noch neu. Wie bei allem Neuen hilf ab und zu unangekündigt „trainieren“, um eine Awareness zu erzeugen. Allerdings auf der präparieren Seite dann auch noch das Paßwort preiszugeben, ist leider sehr ungeschickt.
Under attack
Mein kleines WAF von Wordfence hat heute mehrfach per Maul geschrien:
„Wordfence Alert] blog.softwing.de Increased Attack Rate
Wordfence is blocking these attacks, and we’re sending this notice to make you aware that there is a higher volume of the attacks than usual.
Blocked for Directory Traversal in POST body: action.‘
