Veni, Vidi, VISA

Heute habe ich Post vom Amtsgericht Regensburg bekommen, welche von Citymail zugestellt wurde. Ich zitiere mal aus von Citymail: WIR NEHMEN DATENSCHUTZ ERNST.. und dann noch das AG Regensburg: Wem gegenüber werden Ihre personenbezogenen Daten offengelegt?: Die Justiz legt Ihre personenbezogenen Daten ihren Mitarbeiterinnen und Mitarbeitern sowie Dritten gegenüber nur auf der Grundlage gesetzlicher Vorschriften offen oder wenn eine ausdrückliche Einwilligung Ihrerseits vorliegt.. Das hört sich alles richtig geil an, aber mehr auch nicht. Denn es bringt exakt gar nichts, wenn man solche Briefe verschickt:






Und bevor jemand fragt: Nein. Ich habe den nicht geöffnet. Und Nein. Das ist nicht der erste Brief vom AG Regensburg, den ich so erhalten habe; fast alle Briefe kommen so - oder so ähnlich - verschlossen an. War ja nichts wichtiges drin. Nur so unwichtiges Zeug wie der Erbvertrag und in den anderen ging es auch nur Betreuungssachen und sowas.

Im Beitrag Vim 8 und vim-hug-neovim-rpc hab ich geschrieben das das Problem die (falsch) gesetzte Variable PYTHONPATH war und gestern bekam ich eine Mail, in der ich gefragt wurde wie ich darauf kam. Das is eigentlich relativ simpel.
Zuerst gebe ich die exakte Fehlermeldung bei einer Suchmaschine ein bzw. schau auf der Herstellerseite (in dem Fall bei GitHub) nach, ob das ein bereits bestehendes Problem ist. Hier war dem nicht so und Bing/SearX warfen keine brauchbaren Ergebnisse aus; ergo ist Handarbeit angesagt. In der Konfigurationsdatei meiner Shell habe ich dafür mehrere Aliase:

# start mutt/vim/zsh/jed without any setup

   alias null-mutt='mutt -n -f /dev/null -F /dev/null'

   alias null-zsh='zsh -f'

   alias null-vim='vim -u NONE'

   alias null-jed='jed -n'

   alias null-irssi='irssi --config=/dev/null'

   alias null-screen="screen -c /dev/null"

Vim ignoriere ich jetzt erst mal, da auch ein pythonx import neovim in der Shell nicht funktioniert. Ergo gibt es zwei Optionen: Entweder Python oder die Shell. Python stinkt zwar, aber die Defaultinstallation ist so gut wie nie defekt, also wird erstmal null-zsh eingegeben und die Zsh ohne irgendwelche Konfigurationsdatei(en) gestartet und siehe da.. funktioniert. Dann kurz Vim gestartet und auch da funktioniert es, also muss es an der Konfiguration der Shell liegen. Die ist bei mir zwar sehr umfangreich, aber auch in mehrere Dateien aufgesplittet; also wieder raus aus der null-zsh und dann ans Eingemachte. Hier kommen die Vorteile von Tmux und Vim zu Tage (bei letzterem in Verbindung mit dem Plugin NERD Commenter). Da ich i. d. R. kaum freie Window bei Tmux laufen habe, wird mit C-A c eins geöffnet, dort vim ~/.zshrc eingegeben und dann erstmal mit GG an die erste Zeile gesprungen und von da aus mit } weiter zur ersten leeren Zeile. Dort dann mit V}\cc den ersten Abschnitt kommentieren; danach F3 drücken (ist bei mir auf :w ge'map't) um die Datei zu speichern. Jetzt mit C-A v ein neues Window öffnen, pythonx import neovim eingeben und schauen ob das Problem noch immer besteht. Wenn ja, das Window wieder schließen, erneut V}\cc drücken, speichern, neues Window öffnen, usw. Das ganze macht man dann so lange, bis man das Problem auf eine Datei eingegrenzt hat. Die Änderungen in der ~/.zshrc macht man anschließend mit u wieder rückgängig (oder man verwendet mbbill/undotree) oder kommentiert sie einfach wieder aus. Mit dem Nerd Commenter geht das im Visual Mode mit \c<Space>.
In der Problemdatei geht man dann exakt gleich vor; sprich es wird alles kommentiert, nach und nach auskommentiert und bei jedem Mal eine neue Shell gestartet und geprüft ob die Änderungen sich auf die neue Shell ausgewirkt haben. Geht mit Tmux+Vim und ein paar Plugins sehr schnell und einfach.

Rund 50 Millionen Facebook-Profile sind von einem Hackerangriff betroffen. Die Angreifer sollen eine Sicherheitslücke ausgenutzt haben. Das Leck sei geschlossen und das FBI eingeschaltet worden, so das Unternehmen.
Die Internetplattform Facebook hat eine groß angelegte Hackerattacke gemeldet. Die Angreifer machten sich eine Sicherheitslücke zunutze, die fast 50 Millionen Nutzerprofile betraf, wie das US-Unternehmen mitteilte. Das Problem sei am Donnerstag behoben worden, erklärte Facebook-Chef Mark Zuckerberg.

Schwachstelle im Programmiercode genutzt
Das US-Unternehmen betonte, es nehme den Vorgang "sehr ernst" und habe die Justiz eingeschaltet. Die Attacke sei am Dienstag entdeckt und die Schwachstelle inzwischen geschlossen worden, hieß es. Man habe auch das FBI eingeschaltet. Gemäß der neuen EU-Datenschutzverordnung (DSGVO) seien auch Behörden in Irland unterrichtet worden.

Hacker hatten offenbar eine Schwachstelle im Programmiercode des Netzwerks gefunden. Facebook teilte mit, man könne derzeit weder sagen, woher der Hackerangriff kam noch welches genaue Ausmaß er gehabt habe.

Die Angreifer hätten bei ihnen digitale Schlüssel gestohlen, mit denen sie "die Profile nutzen konnten als seien es ihre eigenen", sagte Facebook-Manager Guy Rosen. Nach bisherigen Erkenntnissen hätten die Hacker aber keine privaten Nachrichten abgerufen oder versucht, etwas im Namen der betroffenen Nutzer bei Facebook zu posten.
[..]
Quelle: https://www.tagesschau.de/ausland/facebook-datenpanne-101.html

Na wenn sie das alles "sehr ernst" nehmen, ist doch alles halb so wild.

Auf der anderen Seite.. wer bei Facebook ist, verdient es auch nicht anders.

Pro Linux schreibt, das einer Untersuchung entnommen werden kann, liefern tausende Server mitunter sehr sensible Daten über nicht korrekt konfigurierte Seiten mit einer Git-Verwaltung. Unbefugte sind dadurch in der Lage, in Git gespeicherte Daten - bis hin zu Passwörtern - zu erspähen.. Da gebe ich jetzt nicht wirklich Git die Schuld; die meisten User sind schlicht und einfach mit allem überfordert, dass die technische Komplexität eines Waschlappens übersteigt. Ich übertreibe? Nope. nicht wirklich

Meine Dotfiles sind mittlerweile bei GitHub zu finden. Verwaltet werden die unter $HOME relativ simpel. Die relevanten Dateien werden mit ln(1) in ein Verzeichnis (${HOME}./dotfiles/) verlinkt, das als Repo dient. Sicherheitsrelevante Abschnitte (Passwörter, Emailadressen, IPs, ..) werden in andere Dateien ausgelagert (i. e. mutt.secret. Bei der Konfigurationsdatein von Irssi geht das nicht, da man keine externen Konfigurationsdateien "sourcen" kann. In meinem Fall ist das aber auch nicht weiter tragisch, weil sich die Konfiguration von Irssi seit ~10 Jahren kaum geändert hat. Ergo hab ich sich einfach von ~/.irssi/config nach ~/.dotfiles/irssi.config kopiert und dann in das Repo hinzugefügt, nachdem ich alle Passwörter (für Nichserv, Bouncer, VServer, ..) durch den String password ersetzt habe. Und jetzt ratet mal.. There has been 31 failed logins attempts since your last successful login.; das hab ich als Notice von FreeNode bekommen und bei meinem Bouncer waren es 18 fehlgeschlagene Logins. Also manchmal.. *sigh*

Gentoo hat sich mittlerweile zu dem Einbruch auf ihr Repo bei GitHub geäußert. Und zwar ohne langes Blabla, Ausreden oder ähnliches; sondern so: https://wiki.gentoo.org/wiki/Github/2018-06-28.

Nachdem ich das schon einige Male gefragt wurde: Nein> Meine Dotfiles gibt es nicht bei GitHub. Jetzt nicht aus egoistischen Gründen, sondern weil es mir zuviel Aufwand ist. Meine Konfigurationsdateien enthalten private/persönliche Daten wie z. B. Emailadressen, Hostnamen, IPs, Links zu privaten Seiten, ... Jetzt könnte ich persönliche Daten/Zeilen z. B. mit EDIT markieren, anschließend ein Script schreiben das alle Zeilen mit EDIT löscht bevor ich die Datei ins Repo lade, aber das ist mir - momentan - zuviel Aufwand. Wenn jemand eine brauchbare Lösung dafür parat hat, dann immer her damit.

Das Gentoo-Projekt wurde durch Unbekannte von seinen eigenen Seiten auf Github ausgesperrt. Der dort liegende Code wurde anscheinend manipuliert. Die Gentoo-eigene Infrastruktur ist dagegen nicht betroffen und die dort erstellten Pakete sind unversehrt.

Die Linux-Distribution Gentoo besitzt eine Github-Seite, über die ein Spiegel des Paket-Repositoriums bereitgestellt wird. Laut einer Mitteilung wurde diese Seite am 28. Juni gegen 20:20 UTC gehackt. Unbekannte konnten die Kontrolle über die Github Gentoo-Organisation übernehmen und die Mitglieder des Gentoo-Projekts aussperren. Einige Seiten sowie Inhalte der Repositorien wurden offenbar manipuliert. Gentoo versucht zur Zeit, wieder die Kontrolle über die Seiten zu erlangen.
Jeder Gentoo-Code auf Github muss daher als kompromittiert angesehen werden und sollte auf keinen Fall genutzt werden. Wie das Team erklärt, ist der Code auf Github nur eine Kopie des Codes, der auf der Gentoo-eigenen Infrastruktur gespeichert ist. Die Gentoo-eigene Infrastruktur ist nicht von dem Einbruch betroffen und nach wie vor sicher. Ebenfalls unversehrt sind die Gentoo-Mirror-Repositorien, die ebenfalls auf Github liegen, aber unter einer separaten Organisation. Gentoo spricht hier allerdings mit aller Vorsicht nur von »wahrscheinlich nicht betroffen«.

Alle Commits in die Gentoo-Repositorien sind signiert und es empfiehlt sich grundsätzlich immer, die Integrität der Signaturen zu verifizieren, wenn man Git nutzt, und jetzt erst recht. Weitere Informationen will das Team bereitstellen, sobald sie verfügbar sind.

Quelle: https://www.pro-linux.de/news/1/26044/gentoo-github-seiten-gekapert.html

Zeitnah dazu die Mitteilung auf Gentoo

Update: 04:26 UTC. Gentoo has regained control of the the Gentoo Github Organization. We are currently working with Github on a procedure for resolution. Please continue to refrain from using code from the Gentoo Github Organization. Development of Gentoo primarily takes place on Gentoo operated hardware (not on github) and remains unaffected. We continue to work with Github on establishing a timeline of what happened and we commit to sharing this with the community as soon as we can.

Today 28 June at approximately 20:20 UTC unknown individuals have gained control of the Github Gentoo organization, and modified the content of repositories as well as pages there. We are still working to determine the exact extent and to regain control of the organization and its repositories. All Gentoo code hosted on github should for the moment be considered compromised.

This does NOT affect any code hosted on the Gentoo infrastructure. Since the master Gentoo ebuild repository is hosted on our own infrastructure and since Github is only a mirror for it, you are fine as long as you are using rsync or webrsync from gentoo.org.

Also, the gentoo-mirror repositories including metadata are hosted under a separate Github organization and likely not affected as well.

All Gentoo commits are signed, and you should verify the integrity of the signatures when using git.

More updates will follow.

Ich mag zwar Gentoo nicht (u. a. wegen "POSIX?! pfff.. GNU Nano! Because fuck you!"), aber das ist mal ein vorbildliches Verhalten!

Durch einen Einbruch bei LinuxForums.org konnten Unbekannte die Zugangsdaten von 276.000 Benutzern erbeuten. Auf LinuxForums.org fehlt bis heute jeder Hinweis auf den Vorfall.

LinuxForums.org, ein Online-Forum für alle Linux-Themen, war offenbar bereits am 1. Mai oder früher Opfer eines Server-Einbruchs. Danach war die Seite zeitweise nicht erreichbar. Aktuell ist sie wieder online.


Das englischsprachige internationale Forum hatte nach Informationen von Linux Uprising rund 276.000 Benutzer, deren Zugangsdaten jetzt als kompromittiert gelten müssen. Benutzer sollten ein neues sicheres Passwort generieren, nicht nur bei LinuxForums.org, sondern auch bei allen anderen Zugängen, die dasselbe Passwort verwenden.

Besonders ärgerlich an dem Vorfall ist das Verhalten des Inhabers des Forums. MAS Media Inc, die Firma, die die seit 2001 bestehende Seite im Jahr 2008 übernommen hat, hat keinerlei Hinweise auf den Einbruch gegeben. Laut haveibeenpwned.com MAS Media Inc. außerdem auf keinen Kontaktversuch reagiert. Darüber hinaus hat es die Firma unterlassen, die Foren-Software aktuell und sicher zu halten. Zum Einsatz kommt auf LinuxForums.org eine proprietäre Software, vBulletin, in der obsoleten Version 4.2.2, die fast fünf Jahre alt ist.

Die von den Einbrechern vermutlich ausgelesenen Passwörter lagen zwar nicht im Klartext vor, sondern nur als gesalzener MD5-Hash. Dennoch müssen sie als kompromittiert gelten, da es mit heutiger Rechenleistung praktikabel ist, aus dem MD5-Hash das Passwort zu regenerieren. Für die Benutzer stellt sich die Frage, ob die Seite überhaupt noch betreut wird oder ob es nicht besser wäre, sie gleich ganz zu verlassen.

Quelle: https://www.pro-linux.de/news/1/25977/server-einbruch-bei-linuxforumsorg.html

Manchmal kann man nur noch mit dem Kopf nicken, den Schultern zucken und "Ja.. mei.." Denken.

Ergänzung der Regelungen zur Quellen-TKÜ und zur Online-Durchsuchung um ein Betretungsrecht
[..]
Sie sind der Auffassung, dass die derzeit zulässigen Möglichkeiten zur Aufbringung der Software auf dem informationstechnischen System des Betroffenen mit erheblichen rechtlichen und tatsächlichen Problemen behaftet sind.
[...]

Quelle: http://www.jm.nrw.de/JM/jumiko/beschluesse/2018/Fruehjahrskonferenz_2018/II-8-RP---Ergaenzung-der-Regelungen-zur-Quellen-TKUe-und-zur-Online-Durchsuchung-um-ein-Betretungsrecht.pdf

Kurz: Es geht um den Bundestrojaner. Die Polizei will in Wohnungen eindringen dürfen, um dort Spähsoftware auf dem Rechner installieren zu dürfen.