Freitag, 26.09.2014

Shellshock wird uns alle kräftig durchrütteln

Wenn Hacker irgendwo einbrechen und Datensätze klauen oder sich mit Hilfe von Botnets Logindaten besorgen, kann man immerhin sagen, wie viele Datensätze geklaut wurden. So in etwa zumindest. Zwar könnn sich Laien dann immer noch nicht vorstellen, wie das technisch funktioniert, aber die Dimension ist klar. Völlig anders sieht es bei Sicherheitslecks wie Blog: Heartbleed oder dem gerade erst entdecken Shellschock aus. Hier lässt sich nur grob schätzen, wie viele Rechner und Geräte betrroffen sein könnten. Genau kann es keiner wissen. Und wie viele Daten entwendet, manipuliert oder missbraucht wurden oder werden, das weiß keiner. Nicht mal annähernd.

Programmcode; Rechte: dpa/Picture Alliance
Die Bash Shell hat ein Sicherheitsleck


Ein Bug in Linux hat immer große Auswirkungen
Das macht die Gefährlichkeit solcher Sicherheitslücken deutlich. Sicherheitslecks wie Heartbleed oder Shellshock, die tief im Inneren eines weit verbreiteten Betriebssystems wie Linux verankert sind, betreffen automatisch unzählige Rechner und Geräte. Im Fall von Shellshock, der vom französischen IT-Entwickler WWW: Stephane Chazelas entdeckt wurde und den viele für gefährlicher als Heartbleed halten, dürften es mühelos hunderte Millionen von Rechnern und Systemen sein. Denn es gibt den Bug bereits seit geschätzt 20 Jahren, er schlummert in unzähligen Versionen von Linux. Es sind Server im Netz betroffen, aber auch Mac-Rechner, da Mac OS X dieselbe Basistechnologie verwendet.

Doch während Server und Tischcomputer noch relativ einfach aktualisiert werden können, indem ein Patch oder Update eingespielt wird, sieht es bei anderen Geräten schlimmer aus. Die meisten wissen gar nicht, dass in vielen technischen Geräten eine Variante von Linux werkelt. Eher nahe liegt noch das Beispiel Android-Smartphones. Doch nur wenige würden wohl darauf tippen, dass in ihrem WLAN Access Point oder Router ein Linux arbeitet. Auch dort ist mit hoher Wahrscheinlichkeit Shellshock verborgen. Ein Update für einen Router einzuspielen ist zwar möglich, aber schwierig. Nur wenige Heimnutzer machen so etwas.

hue_bridge.jpg
Dieses Gerät steuert Glübirnen per Smartphone-App - und nutzt Linux.


Der Bug steckt überall - auch in elektronischen Geräten
Doch Linux ist auch in Geräten des Alltags tätig. In Smartwatches, in Kühlschränken, in Smart-TVs, im Bordcomputer vom Auto. Überall. Immer mehr Geräte werden mit einer "Intelligenz" ausgestattet und vernetzt. Das Blog: Internet of Things bekommt so einen bedrohlichen Beigeschmack, denn solche Geräte zu aktualisieren ist teilweise unmöglich oder zumindest unheimlich schwierig. Angreifbar sind die Systeme dann trotzdem, erst recht, wenn sie vernetzt sind - und sie bleiben auch angreifbar, wenn die Lücke nicht gestopft wird.

Auf dem eigenen Rechner kann man noch rausfinden, ob man betroffen ist. Doch auf den meisten anderen Geräten mit potenzieller Bedrohung ist das nicht möglich. Es wird Jahre dauern, bis das Shellshock-Problem keins mehr ist: dann erst, wenn alle Geräte verschrottet sind, die mit diesem Bug ausgeliefert wurden. Bis dahin haben Kriminelle alle Zeit der Welt, sich Tricks einfallen zu lassen, wie sie das Sicherheitsleck ausnutzen. Und das ist wirklich dramatisch - ohne Übertreibung.

Der Artikel stimmt nicht so richtig. Bash (wo der Bug sitzt) wird von kaum einem Router etc. benutzt (die benutzen alle Busybox, die andere Shell benutzt). Und wer keinen Remote-Zugang wie SSH oder Telnet oder sonstige Dienste aktiviert hat, über die man von außen Shell-Zugriff hat, muß auf seinem Linuxrechner oder Mac auch keine unmittelbare Angst haben. Man muss erstmal irgendwie Zugriff auf das betroffene Gerät haben, um diesen Bug ausnutzen zu können.

Was viel lustiger ist: Dieser Bug in Bash ist seit 25 Jahren vorhanden! Und es wird noch unzählige andere Lücken geben, die auf allen möglichen Systemen existieren, aber auf die noch nie jemand gestoßen ist (oder nie jemand so ausgenutzt hat, dass es aufgefallen wäre). Software ist einfach viel zu komplex, als das man sowas ausschließen könnte.

joh am 26.09.14 13:50

Mit Verlaub, aber die Panikmache bezüglich Router, Smart-TV etc. ist etwas übertrieben: dort läuft zwar Linux, ja, aber nicht jedes Linux hat automatisch das Problem mit "ShellShock".
Hintergrund ist, dass Shellshock nur die sogenannte Bash-Shell betrifft, in vielen Kleingeräten und embedded devices wird aber eine Alternative eingesetzt (um Ressourcen zu sparen, und weil die Scripting-Fähigkeiten von Bash nicht benötigt werden): busybox. Und dieses Alternativprogramm ist NICHT betroffen.

Michael am 26.09.14 13:54

Mit Verlaub, aber die Panikmache bezüglich Router, Smart-TV etc. ist etwas übertrieben: dort läuft zwar Linux, ja, aber nicht jedes Linux hat automatisch das Problem mit "ShellShock".
Hintergrund ist, dass Shellshock nur die sogenannte Bash-Shell betrifft, in vielen Kleingeräten und embedded devices wird aber eine Alternative eingesetzt (um Ressourcen zu sparen, und weil die Scripting-Fähigkeiten von Bash nicht benötigt werden): busybox. Und dieses Alternativprogramm ist NICHT betroffen.

Michael am 26.09.14 13:56

WIR WERDEN ALLE STERBEN !

HansPeter am 26.09.14 15:12

Auch wenn shellshock embedded-Geräte nicht betrifft, weil sie andere shells als die bash benutzen: Das grundsätzliche Problem bleibt, dass oft updates an solche Geräte nicht ausgeliefert werden können, oder dies nur sehr schwer geht. Ich würde darauf wetten, dass da irgendwann noch die eine oder andere Sicherheitslücke auftaucht. Ich glaube, im Zweifel haben die Hersteller der Geräte auch kein Interesse daran, Zugriff auf die Software zuzulassen. Die verkaufen dann lieber neue Modelle mit gefixter Software. Ist sicher auch mit ein Grund, warum viele Android-Telefone nie updates des Betriebssystems sehen. Wenn man also langfristig nicht mit solchen potentiellen Zombiegeräten leben will, müsste man die Hersteller zu Support verpflichten, oder zur Bereitstellung einer entsprechenden Schnittstelle. Mit "freiwilliger Selbstverpflichtung" oder "gut zureden" jedenfalls wird das nie klappen.

Netzbürger am 26.09.14 15:34

Mein gutes, feines Win7. Mit XP zwar die beiden einzigen guten BS von MS, aber immerhin. Ich liebe es, die Linux-Fans leiden zu sehen. :-)

Urs am 26.09.14 15:56

Ps. Und die Daueronanie bezüglich der Browserdiskussion der Linux-Fans können wir gleich mit abhandeln. Seit ungezählten Jahren müssen sich IE-Nutzer anhören, wie fein der FF ist. Linux und FF sind sicher. Win und IE-Nutzer dumm wie Brot.

Gerne schreibe ich, daß der FF ein offenes Tor für jeden Mist war und ist. Bugs und Sicherheitslücken werden erst nach Jahren gefixt, wenn überhaupt. FF, ein Browser für Leute, die keine Ahnung haben. Für Leute, die sich mit ihrem Browser gar nicht befassen wollen. Der Browser für Daus. Scriptings auszuschalten ist anscheinend gar nicht mehr möglich. Es gibt für die Daus (FF kennt seine Kunden) nur noch wenige Optionen. Den Ein- und Ausschalter.

Ja, Linux und FF, eine feine Sache. Darf ich jetzt lollen? Ich liebe meinen IE mit seinen Möglichkeiten. Ein Browser, der Linux gar nicht mag. Und das ist auch gut so.

Es lebe Win7 und der wunderbare IE. Dreimal ein Hoch!

Urs am 26.09.14 17:38

Ach ja-da hat das Urmelchen(aka Urs)es ja den poesen Pinguinen ja mal so richtig eine verpasst.Dumm nur das er sich damit selber so etwas von laecherlich gemacht hat das ich schon garnicht mehr aus dem Lachen herauskomme.Dein so heissgeliebtes win benutze ich im uebrigen seit 20 Jahren.Brauchbar war w98 nachdem man mit win98Lite den meisten Mist entfernt hatte-daher gabs bei mir auch nie einen Virus oder BSOD.Gleiches galt fuer XP Pro-erst nachdem man mit nLite abgespeckt hatte war es benutzbar.w7 wird mein letztes win sein und ob ich das noch abspecke steht in den Sternen-oder nicht doch gleich voellig auf eine Linux distrie umsteige.Btw.Schoen das du auch keine Peilung hast was den FF angeht-der wunderbar und einfach sicher selbst zu konfigurieren ist und bei dem ich nicht 2 Jahre auf einen Sicherheitspatch warten muss-wie oft genug beim IE.Den habe ich deswegen auch immer grundsaeztlich aus meinen win Installationen entfernt!Viel Spass am Montag im Kindergarten Urs ;)

Ach je am 27.09.14 20:28

Innerhalb von 48h(!)wurde die Luecke,die Lücke Stéphane Chazelas entdeckte und nachdem es Google-Forscher Tavis Ormandy gelungen war, das erste Update zu umgehen und Bash trotzdem zum Ausführen von Code zu bewegen diese Lücke ebenfalls geschlossen.So etwas gibt es bei win nicht.Auch nicht bei Apple!Deren user sollen weiterhin darauf warten wann da ein patch ausgereicht wird.Btw. Googles Android ist NICHT betroffen-im Gegensatz zu einigen anderen Android Versionen.CyanogenMod hat allerdings bereits ebenfalls ein Update herausgebracht.Busybox ist definitiv nicht betroffen!'Wir werden alle spoerben"-muss nun leider doch erst einmal verschoben werden ;)

Lachnummer am 28.09.14 8:54

@ach je und Lachnummer (derselbe User)

Wenn Du schon trollst, solltest Du nicht an Deinen fehlenden Leerzeichen und der miesen Rechtschreibung erkannt werden. Du hast also Win7? Das ist doch eine feine Sache. Wenn Du schreibst, der FF lässt sich einfach selber konfigurieren, dann liegt es daran, daß er kaum was hat, was man konfigurieren kann. Lol!! Meine Rechner sind seit 1991 schädlingsfrei, trotz Win und meinem geliebten IE (tut gar nicht weh).

Jedem Tierchen sein Pläsirchen....

Urs am 28.09.14 13:29

Kommentieren



Die mit * gekennzeichneten Felder müssen ausgefüllt werden.


Angaben speichern (Cookie)?


Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage:


Trackbacks zum Eintrag Shellshock wird uns alle kräftig durchrütteln

Zum Anfang dieses Eintrags

Dienstag, 23.09.2014

Bentgate: Wenn sich Smartphones krümmen

So manches Smartphone ist heute ein krummes Ding. Das LG Flex zum Beispiel verfügt über ein gekrümmtes Display - von Hause aus. Digitalistan-Blogger Alex Nieschwietz hat sich das geschwungene Display aus Korea Blog: bereits Anfang des Jahres mal näher angeschaut und hat eine gewisse Faszination für das ausgefallene Design entwickelt.

LG G Flex auf einem Tisch; Rechte: Alex Nieschwietz
Das G Flex von LG ist von Hause aus gekrümmt


Luxushandy kommt in Bewegung
Doch wer hätte gedacht, dass Apple diesem Trend folgen will - wenn auch unfreiwillig? Wie es aussieht, krümmt sich das neue iPhone 6 Plus ebenfalls. Allerdings ungeplant, einfach weil man das vergleichsweise große Gerät in die Hosentasche steckt. In einigen WWW: amerikanischen Foren beschweren sich Käufer des noch mal 100 Euro teureren iPhone 6 Plus, das über ein 5,5 Zoll großes Display verfügt, über eine Verformung des Geräts.

Man kann nicht gleich von einem Massenphänomen sprechen, aber auch nicht von einigen Einzelfällen. Die Berichte über das sich biegende iPhone 6 Plus Modell häufen sich gerade. Und es gibt auch erste Fotos von den nun wellenförmigen Luxus-iPhones. Und alle Betroffenen berichten einhellig, sie hätten das Gerät lediglich in der Hosentasche getragen - vorne, wo bei Bewegung durchaus schon mal Druck entsteht. Auf Twitter wird das Phänomen bereits unter WWW: #Bentgate diskutiert.

Verbogenes iPhone 6 Plus; Rechte: macrumors.com
Verbogenes iPhone 6 Plus auf macrumors.com


Krumm ist der neue Chic
Bislang hat sich Apple noch nicht offiziell zu den Meldungen und Beschwerden geäußert. Man darf aber wohl davon ausgehen, dass der Sache in Cupertino auf den Grund gegangen wird. Denn eine Rückrufaktion würde ganz schön teuer werden. Jedenfalls zeigen die Bilder der betroffenen Geräte alle ein ähnliches Schadensbild: Das iPhone 6 Plus biegt sich unterhalb des SIM-Kartenschachts, das scheint eine besonders schwache Stelle zu sein. Bislang ist allerdings kein Display zu Bruch gegangen. Wer ein bisschen in seinen Erinnerungen kramt, dem kommt das bekannt vor. Auch beim iPhone 5S war anfangs von einem Bentgate die Rede - hat sich aber nicht gehalten.

Vielleicht haben die Apple-Entwickler auch einfach nur meinen Blogartikel Blog: Rund ist das neue 3D gelesen - und wollten dem iPhone 6 einen besonderen Chic verpassen? Apple-Konkurrent LG jedenfalls macht dem iPhone 6 Plus eine lange Nase und schreibt in einem Tweet belustig: WWW: #Bentgate? Wäre mit dem LG G Flex nicht passiert. Denn LG liefert sein Android-Smartphone mit 6-Zoll-Display eben serienmäßig gebogen aus. Geschwungen als Feature - bei Apple als Ärgernis.

not a bug... ;) Im uebrigen biegt sich das phone in hoehe der Lautstaerkeregleung.Versucht es jemand zurueckzubiegen splittert das display.Apple hat sich bereits geaussert-sehr lauwarm.Frage:"Does a bent enclosure ocurring during normal use fit under the warranty?"Und nun gommds ;) :"That is 100% up to the Genius that you speak with at the store(!).Ther is a test,called a "Visual Mechanical Inspection"(pruuust) that the device will have to pass.If it's within the guidelines,they will be abel to cover it.If not,the replacement would be a paid one."Nebelwerfer-keine Angaben zu den"guidelines".Alles schoen auf die Leute vor Ort abschieben,damit man bei staerkeren Protesten dann als "Retter"auftreten kann.In DE wohl keine Chance vor Gericht-in den USA durchaus moeglich,sofern kein Hinweis in der warranty das man DIES phone eben nicht in die Hosentasche stecken darf und sich dann damit hinsetzen.

It's a feature am 25.09.14 7:25

Ach ja,der faule Appel wusste schon Monate vorher das seine iKlaut beklaut werden kann,wie "The Daily Dot"berichtet.Zugriff lief ueber die Schnittstelle "Find My iPhone".Dort konnte man lustig munter zig tausende von PW per brute force laufen lassen-ohne das die server dies unterbanden.Zeigt nur das die Sprueche von Appel in bezug auf Sicherhit ein schlechter Witz sind-denn von Sicherheit hat man bei Appel absolut null die Peilung!Also besser die Finger weg von faulem Apfel Schrott.

Old bug am 25.09.14 16:33

Krümmungen sind doch jetzt in. Ist das nicht der neueste Hit bei Fernsehern?
Auch wurde reklamiert, das Handy sei "glitschig", es falle den Usern aus der Hand. Wird das der neue Trend? Finde ich gar nicht übel.

Urs am 26.09.14 16:13

Und wann eigentlich kapiert Ihr, daß die Firma Apple jederzeit auf Euer ach so smartes Phone zugreifen kann, den Zugriff durch Dritte ermöglichen kann? Es ein- und ausschalten kann, ohne Euer Zutun, ohne jede Meldung! Jede Sekunde alle Daten von dem PC abgreifen kann? Ist Euch das klar, oder seid Ihr nur blöde? Von den netten Apps mal ganz abgesehen. Ihr holt Euch den Feind ins Schlafzimmer.

Urs am 26.09.14 19:00

Lt. Meldung v. Mac&i bekommt die "Testabteilung"die neue Hardware erst mit dem roll out!Nur"Fuerungskraefte"erhalten die schon vorher-aus "Geheimhaltungsgruenden".Pruust-da kpommt das Wort von der Bananaware mal wieder die volle Bedeutung.Krumm wie eine Banane und "reift"dann beim Kunden.ach ja und Leiter dieser"testabteilung"ist einer dreHauptverantwortlichen fuer die "gelungene"Appel Map verantwortlich ROFL ;)

Noch beser am 27.09.14 6:05

Kommentieren



Die mit * gekennzeichneten Felder müssen ausgefüllt werden.


Angaben speichern (Cookie)?


Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage:


Trackbacks zum Eintrag Bentgate: Wenn sich Smartphones krümmen

Zum Anfang dieses Eintrags

Dienstag, 23.09.2014

Missed Stories: Facebook zeigt versteckte Postings

Facebook bevormundet seine User. Das Netzwerk präsentiert einem keineswegs alles, was einen eigentlich interessieren könnte. Der Edgerank entscheidet, welche Nachrichten im eigenen Newsfeed auftauchen, welche Postings von Freunden relevant sind (oder sein sollen) und welche nicht. Wer also glaubt, alle Nachrichten und Postings von Freunden zu Gesicht zu bekommen, der täuscht sich. Das Problem dabei: Der Blog: Edgerank ist eine geheime Formel und man hat keinerlei Einfluss darauf. Es besteht keine Möglichkeit, Facebook anzuweisen, schlichtweg alles zu präsentieren was in die Timeline gehört.

Missed Stories; Rechte: WDR/Schieb
Missed Stories: Vorenthaltene Posts


Top Stories sind lückenhaft
Facebook-Usern wird also einiges vorenthalten. Die "Top Stories" in Facebook enthalten naturgemäß nur ausgewählte Nachrichten. Aber auch bei den neuesten Beiträgen filtert Facebook, auch hier wird keineswegs alles angezeigt. Facebook meint es nur gut mit uns. Denn wer mit Hunderten oder gar Tausenden von Menschen befreundet oder verbunden ist, der würde von einem Strom aus Nachrichten und Likes erstickt. Zweifellos wahr, dass so ein Filter nützlich sein kann. Blöd nur, dass man nicht selbst entscheiden kann, ob man so einen Filter haben möchte - und wie er funktioniert.

Doch es gibt einen Trick. Wer den anwendet, bekommt zwar auch nicht alles zu Gesicht, aber doch deutlich mehr, als Facebook normalerweise preisgibt. Zumindest ein Teil der herausgefilterten Beiträge wird sichtbar. Facebook nennt diesen Newsfeed WWW: Missed Stories. Hier präsentiert Facebook das, was wir bislang nicht zu Gesicht bekommen haben. Allerdings auch wieder nicht alles, sondern nur eine Auswahl, wenn auch eine relativ große. Man muss die Adresse des Feeds im Browser eingeben, es gibt keine offizielle Verlinkung dazu.


Der Edgerank bestimmt, was in der Timeline auftaucht (Video vom 10.06.13)


Top Stories sind lückenhaft
Die Funktion ist durchaus nützlich. Wer also in seinen regulären Feeds bestimmte Postings oder Beiträge vermisst, sollte mal die "Missed Stories" durchstöbern. Durch Interaktion mit dem einen oder anderen Angebot werden Verbindungen wiederbelebt - und tauchen zukünftig möglicherweise auch wieder in den regulären Feeds auf.

Kommentieren



Die mit * gekennzeichneten Felder müssen ausgefüllt werden.


Angaben speichern (Cookie)?


Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage:


Trackbacks zum Eintrag Missed Stories: Facebook zeigt versteckte Postings

Zum Anfang dieses Eintrags

 
 

Oktober 2014

Mo Di Mi Do Fr Sa So
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31

Über das Blog

Digitalistan: Heimatkundliches aus dem Land der Einsen und Nullen

Suche im Blog

Aktuelle Einträge

Autoren

Blogregeln und Glossar

Newsreader-Feeds (XML/RSS)


Permanente URL dieser Seite: http://wdrblog.de/digitalistan/