Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Kommentar“

Spam von Microsoft! Über den Desktop gelegt!

Sonntag, 3. Juli 2016

Screenshot Windows 7 mit bildschirmfüllenden Update-Hinweis auf Windows 10

Piktogramm: Ein Monitor mit den großen, bildfüllenden Anzeige 'Desktop-Spam'Microsoft – wir erinnern uns: das ist die Unternehmung, die schon 1997-1998 so „vorausschauend“ und „innovativ“ war, dass sie über die „Channel-Leiste“ des „Active Desktop“ in Windows 98 Reklame direkt auf den Arbeitsbildschirm bringen wollte – unterbricht die Arbeit unter Windows 7 für einen wichtigen Hinweis: „Greifen sie jetzt kostenlos zu und nehmen sie jetzt unser neues Betriebssystem Windows 10, bevor sie dafür viel Geld bezahlen müssen! Das ist so irre mega wichtig, dass ihre eigentliche Computernutzung kurz hinter diesen Reklamehinweis von uns zurücktreten muss und deshalb unterbrochen wurde. Machen sie schon und klicken sie einen unserer Klickeknöpfe oder klicken sie auf einen etwas unsichtbarer gemachten Link, mit dem sie unsere Scheißspam abbestellen können“.

Wer dabei denkt, dass eine derartige bildschirmfüllende Präsentation verdächtig an die Präsentation eines Erpressungstrojaners erinnert, denkt das Gleiche wie ich.

Microsoft hat sich einen Eintrag in die Annalen der Spam verdient. Es ist die erste Unternehmung, die sich getraut hat, ihre Spam – als „Windows-Update“ getarnt und dem Opfer klandestin untergejubelt – direkt auf dem Desktop zu machen. Ich kann natürlich niemanden daran hindern, weiterhin Produkte eines offensiv auftretenden Spammers zu verwenden (und damit dem Spammer zu vertrauen, obwohl es sich um einen Spammer handelt), aber ich glaube, dass jeder Mensch, der mit einem so genannten Gehirn ausgestattet ist, selbst bemerken sollte, dass es sich dabei um eine ganz schlechte Idee handelt.

In jedem Fall verbietet sich die Nutzung eines durch Spam beworbenen Produktes von allein. Spam ist nämlich immer ein ganz schlechtes Zeichen. Das gilt auch, wenn es sich um eine neue, „innovative“ Form der Spam handelt. Nein, es gilt gerade dann!

Achtung! Spekulation!

Nach diesen Worten nun noch etwas Spekulatives von mir, nämlich eine völlig unbelegte Vermutung, wie es weitergehen wird. Des Schwierige an Prognosen ist ja diese Zukunft… ;)

Niemand glaube, dass mit dem ersten August der Wahnsinn der immer aufdringlicheren, grenzkriminelleren, überrumpelnderen, spamartigeren Werbemethoden von Microsoft für ein ohne derartige Spam offenbar nicht so gut weggehendes Windows 10 vorbei sein wird!

Ich halte es für ziemlich sicher, dass es danach noch eine Menge vergleichbar aggressiver Versuche geben wird, Windows-7-Nutzern das neue Windows 10 aufzuzwingen… ähm… auf vielerlei Wegen „nahezulegen“. Auch mit Sonderpreisen, vielleicht sogar (nach einer kurzen Schamfrist) weiterhin kostenlos.

Ich kann mich noch gut daran erinnern, wie der „sanfte“ Update-Druck damals mit Windows 98 gemacht wurde – ein Betriebssystem, das eher ein Bugfix-Paket zu Windows 95 als ein neues Betriebssystem war, aber angereichert um solche Unverschämtheiten wie einen Microsoft-Zwangsbrowser als „Betriebssystemkomponente“, um solche scheunentorgroßen Sicherheitslücken wie „ActiveX“ und um lustige Desktop-Reklame-Versuche der totgeborenen Marke „Channel-Leiste“. Dies geschah, indem mit aller neuerer Software eine aktualisierte comdlg32.dll¹ mitgeliefert wurde. Es handelte sich um eine Version, die unter Windows 95 ein kleines Speicherleck aufwies, so dass ein Windows 95, auf dem auch neuere Software installiert war (zum Beispiel ein aktuelleres Microsoft Office oder ein Internet Explorer 4), bei längerer Nutzungsdauer immer instabiler wurde, bis schließlich irgendwann einer der vielen möglichen blauen Bildschirme erschien. Dies geschah völlig unabhängig vom Speicherausbau des verwendeten Computers, weil vom DOS-basierten Windows aus technischen Gründen nur ein sehr kleiner Speicherbereich für Systemressourcen verwendet wurde. Im Lande des vollumfänglichen Rechtsschutzes für beleidigte Leberwürste würde ich natürlich niemals unbelegt und angesichts der geheimgehaltenen Quelltexte auch unbelegbar behaupten, dass es sich dabei um einen Vorsatz gehandelt habe; und selbstverständlich wäre die schwierig nachzuweisende Straftat einer Sabotage von Millionen Computern auch inzwischen verjährt². Aber Windows 98 war dann halt viel stabiler und zuverlässiger…

Wenn es demnächst zu allerlei billigen bis kostenlosen „Probierangeboten“ und „Aktionen“ für Windows 10 kommt, beginnt auch spätestens die Zeit, in der man den Microsoft-Updates für Windows 7 nicht mehr vertrauen kann (sie hat eigentlich jetzt schon begonnen, denn es wird von Seiten Microsofts Spam darüber ausgeliefert), sondern gut damit beraten ist, immer ein paar Tage mit dem Update zu warten und aufmerksam in diversen technischen Websites nachzulesen, was es damit auf sich hat und welche Probleme von einer Installation verursacht werden können. Von einer Fortsetzung der asozialen Spam bis hin zu kriminellen Methoden traue ich Microsoft auch bei der Vermarktung von Windows 10 alles zu, und ich glaube nicht, dass irgendetwas davon wohltuend für die Betroffenen sein wird. Warum? Weil Microsoft nicht einmal mehr vor der Erfindung neuer Spamformen zurückschreckt, um auch noch dem Letzten etwas anzudrehen, was er gar nicht haben will.

Und was ist die Folge dieser… sorry… Arschlochnummer von Microsoft? Richtig: Dass eine größere Anzahl von Computern nicht mehr vertrauensvoll und möglichst unmittelbar mit Sicherheitsupdates gegen die kriminelle Ausbeutung von Softwarefehlern abgesichert werden kann.

Ja: Microsoft macht sich gerade zum größten Freund der Organisierten Kriminalität. Die davon angerichteten Schäden bei Privatpersonen, Unternehmen, Verwaltungen und Organisationen werden in ihrer Summe zwar nicht präzise ausweisbar, aber gewaltig sein. Mir wäre es jedenfalls lieber, wenn sich Microsoft zum größten Feind der Organisierten Kriminalität machte (und auf diesem Weg auch mal ein paar dumme, häufig kriminell ausgebeutete GUI-Designentscheidungen aus den Neunziger Jahren korrigierte, wie etwa die standardmäßige Ausblendung von Dateinamenserweiterungen, wenn man schon die an sich gefährliche, grundlegende Idee der Kennzeichnung einer ausführbaren Datei durch ihren Dateinamen nicht ändern kann, ohne schwere Inkompatibilitäten zu verursachen).

Was für ein Zufall, dass bei solcher „Partnerschaft“ der bildschirmfüllende, den Desktop überlagernde Reklame-Hinweis auf Windows 10 so verdammt ähnlich wie der Hinweis eines Erpressungstrojaners aussieht… :mrgreen:

Ein abschließendes Wort an Microsoft

Microsoft-Entscheider!

Statt zu Spammern zu werden und eure Kunden (die euch immerhin bezahlen) so offen zu verachten, dass ihr ihnen mit asozialer, den Desktop überlagernder Spam kommt, seht lieber ein, warum eure Kunden Microsoft Windows benutzen! Sie tun das nicht, weil sie ein weiteres Spielzeug-Betriebssystem für Spielzeug-Computer wie diese Wischofone³ haben wollen, sondern weil sie mit ihrem Computer arbeiten wollen. Sonst würden sie sich ja auch direkt Spielzeug-Computer kaufen. Für das, was eure Kunden wollen, brauchen sie keinen Appstore, keine Kacheln, keine Reklame auf dem Desktop, keine Datenenteignung durch Cloud-Dienste, keine klandestin verbauten Überwachungsfunktionen und übrigens auch keine Arbeitsunterbrechungen durch eure Drecksspam.

Denkt an diese Menschen (programmiert meinetwegen eine zweite, alternative Shell für Kinder und Vollidioten, wie ihr es schon einmal gemacht habt), und sofort wird sich euer Erfolg wieder einstellen. Dann braucht ihr auch keine Spam. Und die Lizenzen werden sogar bezahlt. Nicht, weil man euch liebt. (Das ist auch eine Haltung, die man eher gegenüber Menschen als gegenüber Computern einnehmen sollte.) Sondern weil eine gewisse Abhängigkeit von eurem Betriebsystem gewachsen ist. Auf dieser Grundlage nehmen Menschen leider einiges in Kauf. Aber nicht alles.

Plonk!

¹Diese DLL von Microsoft ist zuständig für die Darstellung von Standarddialogen wie etwas zur Dateiauswahl, zur Schriftartauswahl, für den Ausdruck, für die Farbauswahl und dergleichen.

²Es gibt auch im Zusammenhang der spamartigen Windows-7-Marketingaktionen von Microsoft Menschen, die offen von Sabotage sprechen (hier auch eine dauerhaft archvierte Version der aus nachvollziehbaren Gründen patzig und aggressiv gestellten „Frage“ an den Microsoft-Support). Als Windows technisch noch ein Aufsatz auf DOS war, hat Microsoft sein Windows gezielt zu DOS-Versionen inkompatibel gemacht, die nicht von Microsoft kamen. Das war sicherlich nicht leicht, aber was tut man nicht alles für ein bisschen Erpresserlohn…

³Wischofon: Mein Wort für ein Smartphone.

Urteil I ZR 65/14 vom 14. Januar 2016

Freitag, 15. Januar 2016

Hier geht es nicht um eine Spam, sondern um ein aktuelles Urteil des Bundesgerichtshofes; der Titel des Postings ist das Aktenzeichen. Vieles an diesem Text ist Rückblick. Und zwar Rückblick in hilflosem Zorn, der mittlerweile Lust an der Zerstörung bekommt, weil andere Abhilfe nicht mehr möglich zu sein scheint.

Facebook hat vor dem Bundesgerichtshof verloren.

Der Bundesgerichtshof hat festgestellt, dass die auch immer wieder gern in fremdem Namen verfasste Spam von Facebook auch tatsächlich illegale Spam gewesen ist.

Welche Folgen hat das Urteil des Bundesgerichtshofes für Facebook?

Für Facebook hat dieses Urteil keine nennenswerten Folgen. Ein jahrelang durchgezogenes, auf klar illegalen (und damit: kriminellen sowie in ihrer Methodik von der organisierten Internet-Kriminalität abgeschauten) und zudem zutiefst asozialen Machenschaften basierendes Marketing führt in der Bundesrepublik Deutschland zu keinerlei Strafbarkeit. Die Gerichtskosten – für „normale“ Menschen sicherlich ein albtraumhafter Betrag – werden „aus der Portokasse“ bezahlt. Und sie werden selbstverständlich von der geringen Steuer abgesetzt, die Facebook in Irland zahlt. Einzige Einschränkung für Facebook: Das Unternehmen darf ab jetzt nicht mehr so vorgehen.

Um dieses Urteil zu fällen, hat das Rechtssystem der Bundesrepublik Deutschland rd. fünfeinhalb Jahre gebraucht.

Es ist im Rechtsraum der Bundesrepublik Deutschland zurzeit möglich, mit klar erkennbar illegalen Praktiken Milliardenumsätze zu machen, ohne dass das irgendeine Folge hat.

Ich finde das zum Erbrechen widerwärtig.

Worum es in diesem Verfahren und in diesem Urteil nicht ging, das sind die Speicherung und weitere Nutzung der klandestin über trojanische Apps ohne Einverständnis der Betroffenen aus Adressbüchern eingesammelten Mailadressen und weiteren personenbezogenen Daten. Diese neben der Spam ebenfalls klar illegale Praxis – zur Besänftigung der Hure Justitia, deren Waagschalen am liebsten durch Geldbündel bewegt werden: Ich bin kein Jurist und äußere diese Bewertung als juristischer Laie – kann fortgesetzt werden, damit ein Unternehmen ohne seriöses Geschäftsmodell, das mit illegalen Mitteln groß geworden ist, bei nächster Gelegenheit eine Zuordnung dieser personenbezogenen Daten zu vorgehaltenen pseudonymen Nutzerprofilen vornehmen kann, die über den so genannten „Facebook-Button“ systematisch erstellt wurden und werden. Diese illegale und zutiefst asoziale Praxis fand im Urteil des Bundesgerichtshofes nicht einmal eine Erwähnung, sie war nicht Verfahrensgegenstand. Sie kann ungestört weitergehen. Wenn irgendwann in rd. fünfeinhalb Jahren (oder vielleicht auch ein paar Jahre später) mal ein höchstinstanzlicher Richter der Bundesrepublik Deutschland feststellt, dass sie illegal ist, wird dieses Urteil ebenfalls keine Folgen haben. Weder für die Täter, noch für die Betroffenen.

Wer bei Facebook ist, ist Partner und Adressmateriallieferant eines illegal vorgehenden Unternehmens, dass aus einem durch Richterrecht geschaffenen rechtsfreien Raum heraus die Privat- und Intimsphäre von Menschen mit Füßen tritt. Ja, ich habe „Intimsphäre“ geschrieben. Das Wissen um geschäftliche und persönliche Kontakte ragt sehr weit ins Leben hinein.

Worum es in diesem Verfahren und in diesem Urteil ebenfalls nicht ging, ist die unternehmerische Ausspähung des Privatlebens von Menschen durch zur Installation angebotene (oder bei bereits bestehender Marktmacht: auf persönlichen Computern unlöschbar vorinstallierte) trojanische Apps. Es geht ebenfalls nicht um vergleichbare Machenschaften anderer Webanbieter, die vergleichbar asozial und illegal Postfächer mit Spam zuscheißen, um ihr unseriöses und menschenverachtendes „Geschäftsmodell“ voranzutreiben. Mir ist da vor allem LinkedIn sehr unangenehm aufgefallen. Auch diese Machenschaften werden also weitergehen. Nach dem gestrigen Urteil des Bundesgerichtshofes ist ja jedem klar, dass auch jahrelanges klar illegales Vorgehen keinerlei Konsequenzen haben wird.

Dieses Urteil ist ein Signal. Es sagt: Wenn du ein Unternehmen bist, das asoziale und illegale Spam als Bestandteil seines „Geschäftsmodells“ sieht, dann ist das zwar nicht gestattet, aber ansonsten zunächst völlig folgenlos. Eine Einzelfallklärung dauert viele Jahre. Ihr Ergebnis führt zu keiner Strafe, zu keiner Haftung und zu keiner nennenswerten Auflage (wie zum Beispiel einer erzwungenen Datenlöschung) und damit Einschränkung der weiteren geschäftlichen Tätig- und Tätlichkeit. Wie Unternehmen – insbesondere S/M¹-Unternehmen ohne seriöses Geschäftsmodell – mit dieser durch Richterrecht geschaffenen Rechtslage umgehen werden, ist absehbar. Wenn nicht ein Hauch lobenswerten Anstands durch die Addiermaschine weht, die dort zu sitzen scheint, wo richtige Menschen ihr Gehirn haben, ist zum Beispiel die Fortsetzung der systematischen Spamwerbung durch LinkedIn eine sichere Wette.

Dieses Urteil hat Spam und vergleichbar klar illegale Formen der Reklame im Internet gesellschaftsfähiger gemacht. Das ist eine Wirkung, die sich niemand wünschen kann.

Ich finde das – ja, ich wiederhole mich – zum Erbrechen widerwärtig.

Wer eine Welt mit weniger (oder ohne) Spam haben möchte, statt eine Welt mit immer mehr Spam, der hat in dieser vom Bundesgerichtshof hergestellten Situation nur eine Möglichkeit: Die vollständige und ausnahmslose Ächtung aller Unternehmen, die auf Spam setzen oder auf Spam gesetzt haben sowie die vollständige und ausnahmslose Ächtung aller Menschen, die diese Unternehmen mit Adressmaterial und Daten beliefert haben und weiterhin beliefern. Letzteres ist kaum durchführbar. Es bedeutet Kontaktabbruch zu jedem Nutzer eines Smartphones.

Durchführbar ist es aber, die Accounts bei Unternehmen zu löschen, die klar auf illegale und asoziale Spam als Reklamemittel gesetzt haben. Mir fallen da Facebook und LinkedIn ein. Es sind die einzigen derartigen Unternehmen, von denen ich jemals solche Spam bekommen habe.

Ich fordere jeden Menschen dazu auf, Accounts bei den Spammern Facebook und LinkedIn zu löschen, und zwar am besten genau jetzt, in diesem Moment! Wer das nicht tut, ist ein Komplize von Spammern und damit genau so schlimm wie die Spam selbst.

Facebook-Nutzer, du bist die Spam! Wenn du das nicht sein willst, hast du es in der Hand, etwas Erfreulicheres zu werden. Anleitungen, wie man den Account löscht, findest du in diesem Internet. Facebook ist da eher weniger behilflich, habe ich mir sagen lassen…

LinkedIn-Nutzer, du bist die Spam! Wenn du das nicht sein willst, hast du es in der Hand, wieder in Anstand, Würde und Ehre zu leben. Anleitungen, wie man den Account löscht, findest du in diesem Internet.

Vom Recht haben wir jedenfalls nichts mehr zu erwarten.

(Und nein, nicht ein Wort in diesem Text ist satirisch gemeint.)

¹S/M ist übrigens meine Abk. für „social media“. Aus Gründen. Wer dabei spontan BDSM assoziert, hat meine Gründe verstanden.

Wie Heise Online (manchmal) seine Leser verblödet

Donnerstag, 7. Januar 2016

FacepalmHier geht es nicht um eine Spam, sondern um einige wichtige Richtigstellungen und Ergänzungen zu einem aktuellen Artikel auf Heise Online: „Erste Malvertising-Kampagne mit Let’s-Encrypt-Zertifikat“.

Ich halte diesen Artikel für einen der blödesten und für seine weniger kundigen Leser gefährlichsten Texte auf Heise Online, den ich in den letzten Monaten gesehen habe, und glaubt mir, ich habe viel Durchschnittliches und Dummes von Heise ertragen. Um das näher dazulegen, komme ich nicht umhin, etwas größere Teile des Artikels zu zitieren, als ich es gewöhnlicherweise tun würde. Trotz allergrößter Mühe wird es mir dabei nicht immer gelingen, meine Darlegungen frei von ätzender Polemik zu halten.

HTTPS-Webseiten wecken Vertrauen.

Nein. HTTPS bedeutet, dass der Transportweg der Daten verschlüsselt ist. Mehr nicht. (Aber auch nicht weniger.)

Es bedeutet nicht, dass dem Gegenüber vertraut werden kann. Es bedeutet auch nicht, dass die Website frei von Schadsoftware ist. Es bedeutet, dass der Transportweg… ach, ich wiederhole mich.

Verschlüsselung allein weckt noch kein Vertrauen, und schon gar nicht im Web. Oder genauer gesagt: Verschlüsselung allein sollte noch kein Vertrauen erwecken. Auch auf einer Phishing-Seite, die über HTTPS kommt und die Daten verschlüsselt überträgt, gehen die Daten am Ende unverschlüsselt an den Empfänger – im Falle eventuell eingegebener Daten sind dies dann Kriminelle. „Nur“ das Mitlesen durch Dritte wird unterbunden.

Richtig hingegen ist: Kurzschlüssiger, dummer Journalismus, der Menschen niemals richtig über die Bedeutung und Wirkung von Kryptografie aufklärt, sorgt dafür, dass immer wieder einmal von „journalistisch aufgeklärten“ Menschen einer Website von Verbrechern vertraut wird, nur, weil ein kleines Schlösschen im Browser sichtbar ist. (Bei Heise Online übrigens nicht, denn der verschlüsselte Transport der Website würde im Zusammenhang mit den in die Seiten eingebetteten, unverschlüsselt übertragenen Ads zu hässlich aussehenden Warnungen im Browser führen, so dass man es dort lieber unterlässt.)

Doch auch Online-Gauner können sich oft über Umwege vertrauenswürdige Zertifikate ausstellen.

Was für ein Witz! Über „Umwege“! Das geht genau so direkt wie bei jedem anderen, und das ist auch keineswegs eine Neuigkeit, sondern seit mindestens einem Jahr aktuelle kriminelle Praxis.

Nun haben Kriminelle das erste Let’s-Encrypt-Zertifikat genutzt, um Vertrauenswürdigkeit vorzugaukeln.

Die „Neuigkeit“ ist, dass die Kriminellen jetzt nicht mehr eine gephishte Kreditkarte nehmen und die Identität eines anderen Menschen missbrauchen müssen (oder alternativ: Rd. zehn Euro selbst in die Hand nehmen müssen), um sich mit einem über TLS transportierten Phishing einige zehntausend Euro kriminellen Reibach unterm Nagel reißen zu können.

Nun ja, das schreibt Heise Online allerdings auch selbst, nachdem der hochgradig clickbait-verdächtige „quantitätsjournalistische“ Reißerton erst einmal überwunden wurde:

[…] Das [sic!] Online-Gauner SSL-Zertifikate einsetzen, ist nichts neues. Hierbei handelt es sich jedoch um den ersten bekannt gewordenen Fall, in dem Kriminelle ein kostenloses Zertifikat von Let’s Encrypt einsetzen

Geht doch! ;)

Das eigentliche Problem in diesem Fall war auch keineswegs ein kostenloses Zertifikat, sondern, dass es Kriminellen gelungen ist, die DNS-Konfiguration in einer Domain anderer Leute zu verändern – also nichts mit „Let’s Encrypt“ und nicht einmal etwas mit Krypto, sondern administrative Unfähigkeit beim Unternehmen, dessen Domain da offensichtlich von anderen konfiguriert werden konnte.

Und in der Tat, das hat Nachrichtenwert! Aber der Autor im Brote von Heise Online hatte sich dazu entschlossen, über etwas völlig anderes zu schreiben, indem er völlig andere Schwerpunkte setze.

Das Anlegen einer Subdomain ist nicht ohne weiteres möglich. Denkbar wäre, dass die Online-Gauner auf irgendeinem Weg an die Zugangsdaten für die Domain-Verwaltung gekommen sind. Wie das passiert ist, erläutert Trend Mirco nicht

Denn wenn sich ein Journalist der Aufgabe entledigt, über eine Sache zu schreiben, von der er nichts genaueres weiß und nicht einmal weiß, welches Unternehmen davon betroffen ist – es gibt ja ansonsten nur exakt eine Erklärung, wie es dazu kommen konnte: Administrative Unfähigkeit oder unverantwortlicher Leichtsinn in diesem Unternehmen – schreibt er eben über etwas anderes und eher nebensächliches: Darüber, dass „Let’s Encrypt“ es dann auch noch möglich macht, dass ein Schlösschen in der Adresszeile des Browsers sichtbar wird.

Als ob es darauf noch ankommen würde!

Ich will es einmal so sagen: Wenn Kriminelle in der Domain – sagen wir mal als ein an den Haaren herbeigezogenes Beispiel: – der Deutschen Bank herumkonfigurieren können und da eine hypothetische Subdomain wie sicherheit (punkt) deutsche (strich) bank (punkt) de anlegen können, die auf einen von diesen Kriminellen kontrollierten Server verweist, dann wird zum Beispiel das Phishing nach Konto- und Zugangsdaten auch ohne das Schlösschen im Browserfenster sehr gut funktionieren. Und um es noch besser funktionieren zu lassen – ich würde aus dem Bauch schätzen, dass es die Erfolgsquote und damit den kriminellen Reibach verdoppelt – können die Kriminellen zehn Euro ausgeben und ein Zertifikat kaufen oder sich ein kostenloses von „Let’s Encrypt“ holen, damit wirklich niemand mehr einen Verdacht schöpft. Kaum jemand, der vom verdummenden Bullshit-Journalismus jahrelang darauf konditioniert wurde, dass dieses Schlösschen im Browser der Inbegriff der Vertrauenswürdigkeit und Sicherheit sei, wird auf die Idee kommen, mal auf dieses Schlösschen zu klicken und sich die Einzelheiten anzuschauen.

Opfer in Sicherheit wägen

Zur Aufheiterung eine kleine Korinthenkackerei von mir: Es heißt „Opfer in Sicherheit wiegen“. Es hat nichts mit einer Waage zu tun, aber viel damit, ein unmündiges, dummes Kleinkind sanft zu schaukeln, damit es auch schön fest schlafe… :mrgreen:

Und genau dazu leistet jeder Journalist seinen Beitrag, der seinen Lesern immer wieder sagt, dass das Schlösschen in der Adresszeile des Browsers der Inbegriff der Sicherheit und Vertrauenswürdigkeit sei, während es in Wirklichkeit zunächst „nur“ bedeutet, dass der Transportweg der Daten verschlüsselt ist und von Dritten weder mitgelesen noch manipuliert werden kann. Dann kommt es eben dazu…

Mit der legitimen Domain und dem Zertifikat im Rücken wollen die Kriminellen ihre bösartige Webseite, die ein Exploit-Kit beinhaltet und einen Online-Banking-Trojaner verteilt, vertrauenswürdig erscheinen lassen

…dass eine Website von Verbrechern für die Opfer des verblödenden Journalismus „vertrauenswürdig“ aussieht. So ist das eben, wenn man sich ausgerechnet von Journalisten das Sehen beibringen lässt.

Die Fehleinschätzung ist insbesondere dann kein Wunder, wenn es sich um eine Subdomain einer Domain derjenigen Unternehmung handelt, für die sich die Kriminellen bei ihrem gewerbsmäßigen Betrug ausgeben – so etwas würde wohl auch ohne Schlösschen oft für „vertrauenswürdig“ gehalten. Ist es aber nicht, wenn die technischen Administratoren in dieser Unternehmung so unfähig sind, dass sie Dritten die Konfiguration ihres DNS-Servers ermöglichen.

Bleibt noch eine Frage: Wie kommen die Kriminellen an die Seitenbesucher für das Ergebnis ihres beeindruckenden Hacks? Nun, das verrät der Heise-Artikel auch eher so nebenbei, als wenn es nicht das Wichtigste wäre:

Der Schadcode soll sich in einer Werbeanzeige verstecken, die an Webseiten verteilt wird. Aus Gründen der Glaubwürdigkeit soll die Anzeige einen Bezug zur legitimen Domain aufweisen

Mit einer von den Kriminellen gekauften (und vermutlich sogar bezahlten) Ad-Einblendung in andere Websites.

Es gibt also einen höchst effizienten Schutz davor, von einer derartigen Kriminalität überrumpelt zu werden: Die durchgängige Verwendung eines wirksamen Adblockers beim „Surfen“ im Web, der diesen Weg an der Wurzel blockiert. Aber genau das ist es, was Heise Online in seinem gnadenlos schlechten Artikel nicht schreibt, obwohl es für die meisten unkundigen Leser die wichtigste Information sein dürfte. Ob das wohl daran liegt, dass die klare Kommunikation der Tatsache, dass ein wirksamer Adblocker eine unverzichtbare und sehr wirksame Schutzsoftware für das gegenwärtige Web ist, auch das Geschäftsmodell von Heise Online beschädigen könnte? Da weiß man als Leser dann aber gleich, wie scheißegal einem Journalisten die Computersicherheit ist, wenn er über ein Computersicherheitsthema schreibt, um Klickercents mit Reklameeinblendungen generieren zu lassen…

Eine Zusammenfassung

Folgendes ist vorgefallen:

  1. Die Domain einer zurzeit unbekannten Unternehmung war für kriminelle Dritte konfigurierbar, und diese Dritten haben eine Subdomain eingerichtet, die auf einen von Kriminellen betriebenen Server aufgelöst wird. Knackig ausgedrückt: Die technische Administration dieser zurzeit noch unbekannten Unternehmung ist so unfähig, dass sie einen für Kriminelle lukrativ ausbeutbaren Security-SuperGAU produziert hat, indem sie Dritten auf einem noch unbekannten Weg das Konfigurieren ihres DNS-Servers ermöglichte. Glaubt es mir: Es ist gar nicht einfach, jemanden anders solche Möglichkeiten einzuräumen…
  2. Die Kriminellen haben sich über „Let’s Encrypt“ ein Zertifikat für ihre „gekaperte“ Subdomain geholt.
  3. Die Kriminellen haben über diese Subdomain Schadsoftware verteilt.
  4. Damit die Schadsoftware auch bei ihren Opfern ankommt, haben die Kriminellen Ads gebucht, die Schadsoftware von der „gekaperten“ Domain nachladen oder verlinken.
  5. Es gibt einen einfachen und effizienten Schutz gegen die ausgeübte Kriminalitätsform: Einen wirksamen Adblocker. (Wirksam ist ein Adblocker, der jede Werbung von Drittanbietern blockt und nicht wie „AdBlock Plus“ und Konsorten Whitelists mit „weniger unerträglichen“ Werbeformen pflegt, die dann durchgelassen werden.)

Folgendermaßen klingt das in seiner Schwerpunktsetzung bei Heise Online:

  1. Das Schloss im Browser war bislang ein zuverlässiges Symbol des Vertrauens.
  2. Wegen „Let’s Encrypt“ ist das Schloss im Browser kein zuverlässiges Symbol des Vertrauens mehr, „Let’s Encrypt“ zerstört eine Grundlage des Vertrauens im Web, indem es kriminelle Nutzungen ermöglicht.
  3. Da es scheinbar keinen Schutz gegen die „Zerstörung des Vertrauens“ durch „Let’s Encrypt“ gibt, wäre es besser, wenn „Let’s Encrypt“ in die Pflicht genommen würde, aber „Let’s Encrypt“ sieht das natürlich völlig anders.

Folgende Sachverhalte werden bei Heise Online nicht deutlich oder gar nicht erwähnt:

  1. Die Umkonfiguration des DNS-Servers durch irgendwelche Dritte darf einfach nicht passieren und ist zurzeit nur mit Unfähigkeit und/oder verantwortungslosem Leichtsinn zu erklären.
  2. Bei der ausgeübten Kriminalitätsform handelt sich um eine einfache Ausbeutung der Ad-Verteilung im gegenwärtigen Web.
  3. Es gibt einen wirksamen Schutz gegen diese Kriminalitätsform, der nicht einmal Geld kostet und das ganze Web viel schöner und schneller macht.

Jeder möge selbst sein Urteil fällen. Ich habe jedenfalls heute einen journalistischen Offenbarungseid gelesen. Von der normalen Online-Presse, deren Journalisten ihre Arbeitszeit damit verbringen, dass sie die Meldungen der Nachrichtenagenturen halbautomatisch in ein Content-Management-System übertragen, das dann dafür sorgt, dass diese Meldungen mit massenhaft Werbung (und deshalb auch immer wieder einmal: mit krimineller Schadsoftware) vergällt werden, erwarte ich ja gar nichts Besseres mehr. Aber von den Gestalten in der Karl-Wiechert-Allee schon.

Es täte mir nach den ganzen guten Jahren mit Heise, die sich seit zwei bis drei Jahren immer deutlicher zum Ende neigen, schon ein bisschen weh, wenn ich nur noch vom „ehemaligem Fachjournalismus“ schreiben könnte…

Das hier verwendete Facepalm-Piktogramm stammt vom Wikipedia-User Chrkl und ist lizenziert unter den Bedingungen von CC BY-SA 3.0