Lesetipps: Bluetooth-Angriffe, Apple wehrt sich, IT-Sicherheitsgesetz 2․0

Artikel ansehen

Die 77% jungen und gesunden Anzeigenkonsumenten finanzieren den Medienkonsum der 23% Adblock nutzenden Konsumverweigerer mit. Die Rate ist seit Jahren stabil. Wenn sich das zu weit verschiebt, dann bricht das System irgendwann zusammen.

Und das wäre schlimm? Sehe da außer für die Designer von Werbung, kein problem. Kann sich ruhig weiter in richtung AD-Blocking verschieben.

Ich weiß zwar wie es geht aber ein Tutorial kann definitiv nicht schaden. Schicke nicht nur Pr0’s zu Tarnkappe, sondern vor allem Newbie’s die ich kenne. Die wären dankbar!

Holy fucking shit. Tesla macht Keyless Entry und Wegfahrsperre per Bluetooth? Kinnladeaufschreibtischaufsetz

Waren die nicht angeblich der weltweiten Konkurrenz 6 Jahre voraus? Ich meine, auch die Schwergewichte des Buiness hatten wenig Glück mit Keyless Entry, aber immerhin mussten die bösen Hacker da erstmal bis dahin als Industriestandard geltende Krypto brechen. Abzug in der B-Note, aber volle Punktzahl fürs Ass Ccvering.

Bluetooth dagegen hatte schon immer den Ruf, sicherheitstechnisch ein Fass ohne Boden zu sein. Gut genug für Tesla, um einen Vermögenswert von 80k+ USD abzusichern? Just… wow. Dass Tesla ein Auto-as-a-Service-Privacy-Albtraum ist, war mir ja geläufig. Aber selbst das Verbleiben der vierrädrigen Wanze beim amtlich registrierten Besitzer verkacken die? Da hat man ja besere Chancen, Nachts in der Innenstadt von Sao Paolo den Besitz seines Flagship Android-Telefons zu verteidigen.

Android-Browser:
Ich habe mich da dem Pragmatismus geschlagen gegeben. Fennec auf Android kommt nur mit einigen wenige ausgewählte Extensions klar. Damit fällt das große Pro-Argument des Desktop Firefox, perfekt auf die Bedürfnisse des Nutzers anpassbar zu sein, flach. Und „nackt“ kann man am Fennec echt nicht viel einstellen…

Mein Daily Driver ist aktuell der Kiwi Browser. Chromium-basiert, aber leider nicht Open Source. Dafür lassen sich alle Extensions aus dem Chrome Web Store einsetzen und bereits von Haus aus gibt umfangreiche Einstellmöglichkeiten.

Das Loch im Konzept „nur offene, auditierbare Softtware, bitte“ rede ich mir damit schön, dass Smartphone-Security eh total am Arsch ist, ich also nicht viel von Wert verlieren kann. Dafür ist der Browser produktiv einsetzbar und nicht der peinliche Abklatsch des (schwindenden) Mythos seines großen Vorbilds…

Wo wir gerade bei „schwindender Mythos“ sind… die vielbeschworene Iphone-„Security“ wurde doch schon seit quasi immer mit stets pünktlich zum neuen Produktrelease erscheinenden „Jailbreaks“, also öffentlichen One-Button-Root-Exploits ad absurdum geführt.

Da braucht man ja nichtmal eine eigene, verschwiegene Forschungsabteilung a la Cellebrite, Verbindungen in den Untergrund oder Tiefe Taschen für den „legitimen“ Zero-Day-Markt - man kann einfach den öffentlich verfügbaren PoC-Code verwursten. Dass es gut ein Jahr gedauert hat, bis ein Startup sein entsprechendes Produkt an die geneigte Kundschaft vermarktet bekam, deutet wohl auf Finanzierungsprobleme hin.

Na ja kein Wunder, wäre ich VC-Investor, würde mir beim Geschäftsmodell „Null Innovation, Null Alleinstellungsmerkmal, Null Plan B falls die öffentlichen Exploits austrocknen“ auch nicht die Brieftasche aus der Hand springen…

WTF, alles was die haben sind ein paar Freunde aus der „Intel Community“?!! Das reicht in den USA heute für eine Finanzierungsrunde? Dann haben die deutschen „Digitialisierungs“„startups“ vielleicht doch eine Chance am Markt :crazy_face:

IT-Sicherheitsgesetz:
Aua.

Außerdem werden die neuen Nummern 19 und 20 ergänzt: das Aussprechen von Empfehlungen für Identifizierungs- und Authentisierungsverfahren und die Bewertung dieser Verfahren im Hinblick auf die Informationssicherheit

Sicher kann uns das BSI gute Empfehlungen zu sicheren E2E-Verschlüsselungsverfahren geben. Der geneigte Zuschauer möge selbst entscheiden, ob er nicht vielleicht doch lieber einsetzt, was das BSI ausdrücklich nicht empfiehlt…

Die Gewährleistung der Cyber-und Informationssicherheit

Boah CRINGE!
„Cyber“ sagten früher nur die Hollywood-Hacker in seichten Teenie-Komödien mit „Computer und so“-Verpackung, aber damals zumindest noch in der Ursprungsbedeutung des Begriffs… wann und wie wurde diese unglaublich dumme Umdeutung einer Abkürzung eines Sammelbegriffs als Synonym für IT-Sicherheit akzeptabel? Wann wurde daraus ein Rechtsbegriff?

Die Angriffe werden qualitativ immer ausgefeilter

Nein, werden sie nicht. Es sind immer noch nur Cryptotrojaner, aber Unternehmen haben immer noch kein Geld für Backups. Lieber das Budget ins Marketing stecken, ohne Verkauf kein Geschäft!

Die zunehmende Verbreitung von Internet of Things (IoT)-Geräten

LOL gut erkannt, das Internet of Shit ist eine reale Gefahr für die Wirtschaft! Na ein Glück, dass wir die IoS-Geräte selbst gebackdoort haben. Nicht auszudenken, wenn die Amis… äh die Russen… äh die Chinesen da auch reinkämen!!!1

Schaffung von Befugnissen zur Detektion von Schadprogrammen

Wieher! Bisher haben die die Malware nicht gefunden, weil sie nicht autorisiert waren, danach zu suchen, wa?

Befugnis für das BSI, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen TK-Netzen zu detektieren sowie Einsatz vonSystemen und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden

Lolwut. Ich dachte, ZITIS ist die „Hacker-Behörde“? Hat man dort immer noch kein Personal oder ist das einfach der normale Mission Creep?

Fälle von rechtswidrig verbreiteten Daten […] zu melden

Wie jetzt? Ich dachte, da wird dann gleich zensiert, wenn etwas illegal ist? Oder geht es hier nicht um „illegale Daten“, sondern um „illegale Informationen“? The Mind Boggles.

Verbraucherschutz im Bereich der Informationssicherheit

Hö? Ist das nicht durch GPDR geregelt?

einheitliches IT-Sicherheitskennzeichen

Au ja, ein digitales CE-Logo als Erkennungszeichen noch schwurbeligeren Cyber-Bullshits, als den der Amis… perfekt für die Entscheider im Einkauf der wenigen Märkte, die noch nicht mit dem Cyber-Bullshit der Amis völlig zugecybert sind!!!1 Kauft nicht beim Ju… äh Euro!

C. Alternativen
Keine.

ROFLMAOPMP!!!

Entwicklung und Veröffentlichung eines Stands der Technik

Sweet Dreams are made of this… sing

Zu berücksichtigen ist dabei auch die Art und Weise, mittels derer der Meldende die Erkenntnisse gewon-nen hat.

Oh geil, wir liebäugeln nun also in absoluter Torschlusspanik doch mit Selective Enforcemnt? Scheiß auf den Rechtsstaat, wir brauchen endlich Hacker!!!11 Und wenn der schon ein paar Millionen Schäden verursacht hat, der kommt mit seinem Exploit doch lieber zu uns wo er straffreiheit im Tausch gegen sein Wissen kriegt als zu den Amis, wo sie nur immer bezahlen wollen!111 m(((

Die Entscheidung nach Satz 6muss dem oder der behördlichen Datenschutz-beauftragten des Bundesamtes sowie einem oder einer weiteren Bediensteten des Bundesamts, der oder die die Befähigung zum Richteramt hat, zur vorherigen Prüfung vorgelegt werden.

Nun Schwarz auf Weiß. Der Neue Markt der Gerichte muss endlich mal mit ordentlicher europäischer Innovation disruptet werden! Wo kein Gericht, da auch kein Richter Zwinkersmiley. Der Hausjurist darf das in zukunft einfach in Prokura unterschreiben. Win-win!

Das Bundesamt darf von demjenigen, der geschäftsmäßig Telekommunikati-onsdienste erbringt oder daran mitwirkt, […] Auskunft verlangen.

Goodbye Providerprivileg, Good Morning Vorratsdatenspeicherung

Das Bundesamt kannim Rahmenseiner Aufgaben […] (Portscans) durchführen

Aber das geht doch nur mit verbotenen Hackertools! Kann doch nicht rechtsstaatlich sein sowas! Oh warte, ich weiß… die geben einfach die bei der Bestandsdatenabfrage ermittelte IP bei Shodan ein. Cloud-Dienste sind DER SHIT!!111

Ein informationstechnisches System ist ungeschütztim Sinne des Absatzes1, wenn auf diesem öffentlich bekannte Sicherheitslücken bestehen

Krass, dann kann man nicht mehr für „Hacken“ belangt werden, wenn der Anbieter zu Fault für Patchday war?

Nationale Behörde für die Cybersicherheitszertifizierun

Go fuck yourselves. Ich hab keinen Bock mehr.
Plonk.