Archiv für die Kategorie „Hacking“

sl33p l4t3r

y0u b3tt3r g3t y0ur 4ss up/
y0u b3tt3r get your ass up/
you better get your ass up/
work now/
sleep later/

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

m4ch1n3 l0v3

Soundtrack zu einem gelungenen Wochenende in Elektronik:

Machine Love von ASC & Synkro aus 2013. Inside The Machine eben.

Es gibt nur wenige Einzel-Tracks, die mich ewig flashen werden und da gehört dieses Schmuckstück dazu.

Es ist so eine Mischung aus früher „Space Night“ glotzen, kiffend durch die Gegend mit dem Auto fahren, sich fragen, mit welchem Equipment wohl die Klänge erzeugt wurden, einen neuen Rechner mit Lieblings-Hardware zusammenbauen, sich Physik von Harald Lesch erklären lassen und nebenher PlayStation zocken.

Davon mal abgesehen ist die EP eine wundervolle Zusammenarbeit von ASC und Joe McBride.

Wer möchte kann eine der seltenen Vinyl-Platten kaufen: discogs.com/ASC-Synkro-2-and-Sam-KDC-Machine-Love/release/4680767. Gab aber heute beim Stöbern nur noch vier Stück.

H4ppy h4ck1ng!

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

wow: world of wannacry

Seit Freitag kann man quasi live mitverfolgen, was passiert, wenn Unternehmen weiterhin auf Windows XP oder auch Windows Server 2003 setzen: Die Erpresser-Software WannaCrypt zieht die weitesten Kreise, die eine Schadsoftware jenes Typus jemals angerichtet hat.

Zu den betroffenen Unternehmen zählen:

  • Microsoft selbst I: weil die extra deswegen einen Patch für Windows XP veröffentlichen mussten, was niemals niemals mehr gedacht war
  • Microsoft selbst II: weil das ein Imageschaden ungekannten Ausmaßes ist, den man jetzt, eine knappe halbe Woche nach dem Start der Infizierung, nur in Maßen begreift
  • Telefónica (Spanien): denen gehört z.B. die Marke O2
  • Teile des NHS (UK): das ist das Gesundheitssystem des Königreiches. Scheinbar ging es keine Nummer kleiner…
  • FedEx (USA)
  • Deutsche Bahn (DE)
  • Portugal Telecom (PT)
  • Renault (Frankreich)
  • Nissan (Japan)
  • LATAM Airlines (Südamerika)

Ich spekuliere jetzt mal frei, dass Banken nicht so davon betroffen waren, da deren ATMs nicht ans Internet angeschlossen sind. So ziemlich jeder Bankautomat hierzulande läuft mit Windows XP, was man sehr gut an den Meldungen im Blue Screen of Death erkennen kann, wenn das Scheißding mal nicht läuft. Pech für die Erpresser und hartes Glück für die Banken dieser Welt, würde ich mal behaupten.

In der Unternehmensliste oben fehlt übrigens das eigentliche Entwicklerstudio des WannaCrypt zugrundeliegenden Codes: die NSA. Ein Bestandteil der Ransomware ist das signifikante Exploit DoublePulsar, was hier auf gizm{e}o.eu zwar nicht, jedoch auf href.ninja bereits erwähnt wurde am 28. April. Bei den Shadow Brokers weiß man allerdings nicht, ob die nicht selbst die NSA sind, daher schreibe ich über deren „Hacks“ nicht so gern.

Abgesehen von Schaden für Unternehmen wurden ganze Länder getroffen, was die krassesten Opfer Russland, Ukraine, Indien und Taiwan ja schon mal als Verursacher ausschließt. Insgesamt kommt man inzwischen auf 200.000 PCs in 150 Länder. 192 listet die UNO weltweit. Joa, das ist doch eine ganz bescheidene Zahl!

Der Ausblick:

1) Stand heute wurden bereits ca. 70.000 US-Dollar Lösegeld bezahlt. Insgesamt wurden 238 Zahlungen gezählt. Man kann diese Zahlungen tracken, da die Schreiber drei Bitcoin-Wallet-Adressen hardcoded im Quelltext unterbrachten und man das öffentlich einsehen kann. Ist ja bei Bitcoin üblich. Es gibt wohl auch Bots, die das überwachen: via Quartz.com.

2) es gibt keinen „Kill Switch“ mehr: die ersten Versionen der Ransomware hatten das noch zufälligerweise drin, es war eine Gegenmaßnahme am Wochenende. Aber neueren Versionen fehlt dieser Aus-Schalter, was weitere Infektionen die nächsten Wochen nach sich ziehen dürfte.

3) Schuld hat eigentlich insgesamt die US-Regierung. Die NSA entwickelt Schadsoftware und hortet diese. Informationen dazu werden ja nicht einmal engen Verbündeten wie dem Vereinigten Königreich zur Verfügung gestellt. Das ist auch einer der Kritikpunkte, die aus der Cybersecurity-Ecke kommt. Wird man ein Element hier wohl zur Verantwortung ziehen? Natürlich nicht.

4) noch viel mehr bescheuerte Kommentare nach dem Schema: „wir müssen mehr Backups ziehen!“ „Wir müssen aufhören einfach auf Links in Emails zu klicken!“ „Wir müssen aufhören zu sparen an der IT-Infrastruktur!“ Idiotischerweise setzt man jedoch in UK im lebenswichtigen Gesundheitssektor auf Windows XP. Das würde ich viel eher mal erklärt bekommen wollen. Da hilft auch das beste Backup und der intelligenteste Mitarbeiter nichts.

5) was WannaCry hier gerade verursacht ist eigentlich lächerlich und irrelevant. Worauf sich alle eben stürzen ist „das Ausmaß“; das Ausmaß!1 Interessant wird die Sache erst, wenn Infrastruktur (mit dem britschen NHS hier bereits teilweise gelungen) oder Kraftwerke betroffen sein werden. Die entsprechenden Exploits gibt es da draußen nämlich schon. Ist nur eine Frage der Zeit, bis das ein Script-Kid vor dem Schlafengehen mal ausprobiert.

6) ich persönlich bin mittlerweile gelangweilt von Meldungen, die Betriebssysteme aus der Steinzeit betreffen. Dass ich Windows XP-Rechner heute lahmlegen kann ist selbst irgendwie lahm. Die Zeit wird uns schon noch zeigen, dass es mit Exploits bei aktuellen Betriebssystemen ebenfalls nicht unmöglich ist. Wie gesagt: Organisationen wie die NSA stapeln diese Art Software. Es ist ihnen egal, was damit passiert oder angerichtet wird. Da wird auch genügend in den Darknets dieser Welt erhältlich sein, nur blickt heute da noch kaum jemand durch.

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

anbox: android in a box

Viele Versuche Android mit Linux zu verheiraten gab es bisher nicht, umgekehrt sieht es noch viel schlimmer aus. Ich warte immer noch auf Apps wie Amarok oder Audacious oder GIMP. Auch einfach, weil diese Programme (wie viele andere von Linux auch) viel mehr Publikum verdient hätten und davon gäbe es auf Android mehr als genug.

Vielleicht ist das aber auch bald völlig egal, denn da ist etwas in Alpha, was zumindest die eine Richtung abdecken würde:

Anbox steht einfach für Android in einer Box und läuft, ohne Emulation übrigens, in einem Linux Container (LXC) auf (jedem?) Desktop-Linux.

Der Clou ist, diese Alpha läuft jetzt schon mit dem neuesten Android 7.1.1 (Nougat), wie man oben sehen kann.

Mehr dazu: http://anbox.io/. [via]

Den Play Store findet man erst einmal nicht, stattdessen werden Apps mit

adb install /path/to/.apk

installiert.

Um Anbox selbst auf Linux zu installieren wird die Nutzung von Snaps vorausgesetzt, das geht dann ganz einfach mit:

sudo snap install --classic anbox-installer && anbox-installer

Das Anbox-Projekt ist öffentlich und jeder kann mitmischen: Anbox auf GitHub. Auf IRC reicht #anbox zum Mitreden.

Have fun! <3

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

app-leaky-leaky

Was sehr gerne und oft gemacht wird, wenn es um das Thema IT-Sicherheit geht, ist Programme genauer zu untersuchen, was die irgendwo hin senden. Das wird seit Jahrzehnten bei den Redmonder „Expertenprogrammen“ sehr gerne praktiziert und führt dann immer wieder zu irgendwelchen „Enthüllungen“.

Das sind nette Pausenfüller und sorgt auf jeder Konferenz für Gelächter, in Zeiten von halbintelligenten Telefonen mit der Power von Super-Computern und zig Lokalisierungsdiensten, die wir täglich in den Hosentaschen mitführen, aber mittlerweile Kindergeburtstag.

In einer Studie von letzter Woche haben es sich eine Handvoll Forscher der Virginia Tech nicht ganz so einfach gemacht. Die haben 100.000 Android-Apps genauer untersucht und fanden dass 23.500 davon Daten leaken. Aber nicht irgendwohin, sondern untereinander. Was selbstredend so gut wie überhaupt nicht kontrollierbar ist von den Usern.

Ihr System nennt sich DIALDroid, wenn das mal jemand googlen will.

Viele Daten-Deals sind auch gar nicht böswillig oder so vorgesehen, wie das bei Software oft ist, sondern einfach schlecht entwickelt. Übrigens ist auf Platz 1 die Verortung des Smartphones gelandet, was bedeutet dass entweder das Mobilnetz, WLAN, GPS, NFC oder einfach alles gleichzeitig dran Schuld ist.

Die Information, wo ihr euch gerade in Echtzeit(!) befindet ist also nicht nur die Information, die am einfachsten, sondern auch am häufigsten geleakt wird. In Zeiten von Meta-Informationen und was Geheimdienste damit so machen und wie sie diese priorisieren, kann man sich selbst fragen, ob man hier noch gut schlafen können wird.

Weitere Leaks fanden dann entweder üblich über das Internet oder gleich per SMS statt. [via]

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

libreboot

Da brennt der Hirsch:

libreboot logo

Libreboot will _die_ Open-Source-Alternative zum schlimmen BIOS und noch schlimmeren UEFI sein.

Hier kann man es downloaden. Dort findet sich eine Liste der kompatiblen Hardware. Ferner noch die AutorInnen des charmanten Ersatzes.

Fröhliches Hirschen!

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

glitch: alles coden. schnell.

Sollte die Idee von Glitch zünden, kommen wir sehr nah an die Vision von den Erfindern des WWW, ein Medium zu schaffen, das als Plattform für alles und jeden dient.

Über „Plattform für alles“, darüber sollten wir uns mittlerweile einig sein. Nur das mit dem „für jeden“, das funktionierte bisher noch nicht so übermäßig gut. Wer keinerlei Plan hatte, musste nicht nur erst HTML lernen, später noch CSS und Javascript dazu, brauchte eigene Server um den Schnickschnack dann auszuprobieren und eine Möglichkeit das up- und downzuloaden. Und irgendwer musste auch für das nötige Eye-Candy, sprich Grafiken sorgen. Kann man schwer von j-e-d-e-m verlangen.

Glitch will das alles abnehmen. Nicht nur steckt mit Anil Dash ein vertrauenswürdiger Geek aus den metafilter-Welten dahinter, wer den Code einmal blickt (viel Spaß mit JavaScript!), kann Games genauso programmieren wie Blogs oder Wikis.

Klingt nach einem guten Witz, ist aber Realität, sollte man mal ausprobieren. Wird ungefähr so verkauft:

„With Glitch, coding is a multi-player experience“

Ich bin jetzt 35 und ehrlich gesagt müde vom Zocken, Videogames reizen mich kaum mehr. Alles schon mal gesehen oder gehört, der Ansatz hier macht Lust auf mehr, eine Community der Coder, die gemeinsam an, nun ja, man stapelt dort auch nicht gerne tief, „an den Apps deiner Träume baut“.

Probiert es mal aus und lasst mich wissen, wie es ist. Klingt alles sehr vielversprechend, vielleicht sieht man sich ja dort!

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

darknet: weitere infos

Wie in der Vergangenheit bereits erwähnt wird Gizmeo gerne als Einstieg in die Welt des Darknet genutzt. Die internen Suchen sind jedenfalls voll davon, kein anderes Thema ist dermaßen populär.

orbot logo

Dann will ich mal nicht so sein und weitergehende Links liefern, falls sich jemand damit länger beschäftigen möchte:

* Pastebin – faktisch die erste Anlaufstelle um frische *.onion-Links abgreifen zu können. Die Einträge verschwinden nach einer Weile, was weitere Vorteile hat

* https://reddit.com/r/darknet/ – wichtig für Einsteiger oder Leute, die einfach blöde Fragen stellen wollen. Doch blöde Fragen gibt es nicht und das macht dieses Forum so wertvoll

* Darknet Wörterbuch – mit ein paar Fachbegriffen diskutiert es sich besser, darum braucht ein verstecktes Zwiebelnetzwerk natürlich auch ein eigenes Wörterbuch. Keine Ahnung, ob das hier das einzige ist oder „das beste“, aber es ist ein Anfang

* Darknet: Market Comparison Chart: hier findet sich tatsächlich eine Tabelle, die diverse Darknet-Marktplätze vergleicht. Gelistet werden auch Uptime, Ratings, Datum der Erstellung, usw.

* Derzeit aktive Darknets – die meisten denken heute beim Darknet an TOR, vergessen aber dabei, dass es a) eine Militär-Entwicklung der US-Marine ist und b) nicht das einzige Netzwerk dieser Art. Hier ist eine Liste mit den derzeit aktiven Darknets

* was Darknet auch ist: ein Open Source Neural Framework geschrieben in der Programmiersprache C

* 2014 schrieb Jamie Bartlett in einem Buch, das Darknet hätte folgende Subkulturen mit entsprechenden Fachbegriffen hervorgebracht: „Camgirls“. „Kryptoanarchisten“. „Darknet-Drogenmärkte“. „Self Harm Communities“. „Social-Media-Rassisten“. „Transhumanisten“.

Und schließlich, zum Schluss, aus der Kategorie „Technikgedönsen“: Darknet meinte eigentlich in den 1970er-Jahren jegliches nicht ans ARPANET angeschlossene Netzwerk und einfach „vom ARPANET nicht sichtbar“. Der Begriff wurde aber nach einiger Zeit obsolet, weil das ARPANET faktisch alles geschluckt hat.

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

vault 7: dark matter

Es gibt Neues zur aktuellen Wikileaks-Serie Vault 7, ab heute u.a. mit Informationen zur Infizierung von brandneuen iPhones seit mindestens 2008.

Dark Matter ist aber eher eine Zusammenfassung mehrerer Techniken um Geräte mit Software von Apple zu kontrollieren, abrufbar ist alles hier: https://wikileaks.org/vault7/darkmatter/?cia.

Einige Projekte sind/waren:

  • Sonic Screwdriver: Code von Peripheriegeräten (z.B. USB-Sticks) ausführen können, während ein Mac-Rechner bootet
  • DarkSeaSkies: ein Implantat, welches aus mehreren Elementen besteht und im neueren BIOS EFI abgelegt wird
  • NightSkies 1.2: eben das Implantat, das seit 2008 in nagelneue iPhones installiert werden kann
  • Updates zu Dokumenten von MacOSX-Malware „Triton“, „Dark Mallet“, „DerStarke“ in Version 1.4 und 2.0

Was natürlich auffällt ist, dass das Meiste davon irgendwie ja physisch auf die Geräte geschaufelt werden muss. Hier wird noch spekuliert, jedoch wahrscheinlich ist, dass man einfach die Versorgungsketten und Zulieferer infiltriert hat, um Geräte manipulieren zu können, bevor sie aus den USA oder Teile aus China in die Welt versendet werden.

Empfehlenswert ist übrigens auch der Wikipedia-Artikel zu Vault 7, der ja konstant auf dem Laufenden und erweitert wird: https://en.wikipedia.org/wiki/Vault_7. Übrigens bis heute nicht in deutscher Sprache erhältlich. Ein Schelm, wer dabei Böses denkt (Frankfurt Konsulat, ähemm…)!

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

(geheime) geschichte: silicon valley

Wer eine gute Stunde seiner wertvollen Zeit entbehren kann, und nicht allzu viel gegen ein bisschen Geschichte hat, dem sei der folgende Vortrag von Steve Blank empfohlen:

[via]

In „Die geheime Geschichte des Silicon Valley“ erklärt er anschaulich und oft auch mit Humor, worin diese weltverändernde Kolchose ihre Ursprünge hat. Für die Ungeduldigen, hier der SPOILER: Zweiter Weltkrieg, elektronische Kriegsführung, Mikrowellen, Hewlett Packard. Ungefähr auch in der Reihenfolge.

Selbst wenn Opa nicht gerne erzählte, was er wirklich so trieb, manche Dinge konnte auch er nicht ins Grab mitnehmen. o.O

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

facebook-in-app-browser crashen

Mein Projekt der Woche ist das hier auf GitHub: https://github.com/Mte90/FB-Android-Crash.

An der Oberfläche: ein kleines Coding-Projekt, was durch permanenten Ärger mit dem In-App-Facebook-„Browser“ entstand und durch Raten und Rumprobieren (der Vergleich zur „Black Box“ IExplorer 6 kommt nicht von ungefähr) eben diesen zum Absturz bringt. Ich denke, über die Zeit soll auch nachverfolgt werden können, warum das genau geschieht. Derzeit gibt es noch zu wenig Lösungsansätze.

Unter der Oberfläche: tiefergehende Facebook– und Open Web-Kritik. Wie es ein kann, dass man sich eigentlich auf Web-Standards einigt und am Ende eh wieder jeder seine eigene graue, undurchsichtige Plörre kocht. Eben IExplorer-like. Und wofür Webentwickler solange gekämpft haben. Und wofür man debuggen, testen und dokumentieren konnte. Den Blick dafür schärfen, dass solche Gimmicks sicher kein Fortschritt sind.

„Think about it for a moment, okay.“ Dem ist nichts mehr hinzuzufügen. Ach, halt, stopp, da war noch das hier: „Is Facebook A Structural Threat To Free Society?“ Ja!

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

lunatico auf c64

Der C64 war in meinem Leben der erste Computer, mit dem ich in Berührung kam. Wohl noch vor dem Rechnen und Schreiben. Manchmal, sehe ich auch nur Bilder vom lila-blauen „Startbildschirm“, kommen Erinnerungen zurück, was man so damit gemacht hat. Retro pur und irgendwie schon geil.

Ganz selten findet man heute noch Hacker die für den Brotkasten programmieren. Oft zu besonderen Anlässen, etwa für Demos oder Games oder Kunst. Heute würde man sagen, das bedeutet „pain in the ass“, nichts Gutes, kein Komfort dafür zu coden. Spaß kann es trotzdem machen, das sieht man auch an dieser Demo Lunatico von Linus Akesson aus Schweden:

[via]

Sein persönlicher Beitrag für den Demo-Wettbewerb X’2016. Silbermedaille hierfür, 2. Platz, Glückwunsch!

So richtig in die Tiefe für den, wohl „nagelneuen“ Effekt, den er hier entwarf, geht er hier: der MISC-Effekt. Witzigerweise eine Kombination, wo er drei Macken des VIC ausnutzt. Also der innovative Effekt entsteht durch die Verbindung dreier Bugs. o.O N1ce one!

„ye good ol‘ days…“

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

vault 7: doch kein hoax II

Wikileaks hat mit Vault 7 eine Serie erschaffen, die CIA-Leaks der 8761 Dokumente sollen den Teil 1 davon markieren, quasi „Episode I“, intern bezeichnet man den Dump auch deshalb als „Year Zero“.

Auch haben sich mittlerweile Dinge weiter aufgebläht oder sind inzwischen klarer geworden. Da ja jeder Internetnutzer die Dokumente selbst ansehen kann, man braucht ja nur den Link https://wikileaks.org/ciav7p1/cms/index.html aufrufen und mal an einem Wochenende anfangen sich da einzulesen, sind weitere Details öffentlich. Ein paar davon will ich hier erwähnen und es dann dabei belassen, soll ja für mich auch noch etwas übrig bleiben. Außerdem findet sich am Ende der Liste das Passwort für die Torrent-Datei:

  • abgedeckter Zeitraum: 2013-2016
  • Organigramm der Abteilungen
  • Whistleblower ist vom Typ her wohl wie Snowden. Seine Motivation: „source of the information told WikiLeaks in a statement that they wish to initiate a public debate about the “security, creation, use, proliferation and democratic control of cyberweapons“
  • „Year Zero“ wurde als Bezeichnung auch gewählt, weil die meisten Exploits Zero Day Exploits sind, die sich hauptsächlich gegen Produkte aus Europa, aber auch den USA widmen
  • CIA hat selbst keine Kontrolle mehr über die Viren, Malware, Trojaner und deren Dokumentation
  • Code-Umfang: mehrere Millionen Zeilen Code, mehr als das Gesamtprojekt Facebook
  • registrierte Nutzer: um die 5000
  • gehackte Messenger-Apps bislang: „Signal“, „Telegram“ und „WhatsApp“
  • Projekt UMBRAGE: Angriffs-Werkzeuge geklaut aus anderen Staaten, z.B. Russland oder China, um so Angriffe durchzuführen, die dann diesen Staaten zur Last gelegt werden können („fingerprinting“). Ein praktisches Beispiel wäre hier die gefakte Manipulation der US-Wahl durch Russland, die faktisch jedoch nie statt fand
  • Projekt WEEPING ANGEL: wie im letzten Beitrag angesprochen die Infektion von „Smart TVs“ durch Malware, um diese als Wanze nutzen zu können
  • Projekt HAMMER DRILL: infiziert durch Software von CDs/DVDs
  • Projekt BRUTAL KANGAROO: versteckt Malware in nicht-sichtbaren Bereichen von Images und Festplatten
  • US-Konsulat in Frankfurt dient wohl als Knotenpunkt für verdeckte Operationen in Europa, dem Mittleren Osten und Afrika
  • Projekt FINE DINING: Interna, eine Art Fragebogen um an technische Voraussetzungen für Hack-Aktivitäten zu kommen. Man trägt z.B. „System-Administrator“ ein und bekommt die nötigen Werkzeuge zur Ausführung geliefert
  • Projekt HIVE: Malware-Software-Suite für diverse Systeme wie Windows, Linux, Solaris, MikroTik (wird in Internet-Routern verwendet), kommuniziert wird über eine https-Schnittstelle einer verdeckten Domain
  • Größe von „Vault 7“: bislang unbekannt, ist aber jetzt schon der größte Leak in der Geschichte zu Geheimdienst-Aktivitäten
  • Datum für die weiteren Leaks: werden angekündigt
  • Passwort zur Entschlüsselung der Leaks-Torrent-Datei: SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds

[via]

Manche Stimmen fragten bei den Leaks nach dem Zeitpunkt und einem „warum jetzt?“ Man wird Wikileaks nichts Böswilliges unterstellen können, doch die US-Administration, die derzeit die Politik der USA steuert, hat erst letzten Monat durch eine Executive Order eine Review der Geheimdienstaktivitäten zum Stichwort cyberwar herausgegeben. Befürchtet wird, dass eben solche Fakten zum Thema dadurch ein für allemal vernichtet werden könnten. Und wie schnell diese Orders umgesetzt werden können sah man auch bei dem Einreiseverbot der sieben arabischen Länder Ende Januar.

Das im letzten Beitrag erwähnte Novum ist kein richtiges: Wikileaks hat in der Vergangenheit bereits Stellen in Leaks unkenntlich gemacht. Nur wurden diese Kennzeichnungen nach Kritik von Edward Snowden und Glenn Greenwald noch einmal verschärft.

Ob jemals alle Informationen von Vault 7 verwertet werden können ist unwahrscheinlich. Wikileaks selbst bereitet nichts auf, das machen freie Autoren und/oder Journalisten. Zusammenfassungen zusammenzustellen, wie diese oben, sind also rein zufällig oder eben allgemein interessant, da wir alle Smartphones nutzen oder Router für den Internetzugang brauchen.

Nicht erwähnt wurde von meiner Seite z.B. die Geschichte mit dem Hacken von Fahrzeug-Software, weil ich kein Auto mehr habe. Dieses Thema ist aber natürlich nicht weniger relevant, zumal hier die Autobauer in der Pflicht sind Aufklärung zu leisten. Eine düstere Vermutung, die gerade durch diese Hacks kursiert, ist der Tod von Michael Hastings durch einen solchen „Remote Car Hack“.

Wikileaks behält sich vor fleißige Autoren an zukünftigen Veröffentlichungen zu Vault 7 früher Zugriff auf aktuelle Leaks zu geben. Man schafft so Anreize, dass möglichst viele neue Informationen aus dem Bestand weiter gestreut werden sollen. Ein Hinweis auf diese Praxis ist auch das Torrent-Passwort selbst.

Über Wikileaks kann man sich genüsslich streiten. Vault 7 zeigt jedoch einmal mehr, dass wir durchaus die Werkzeuge haben eine aufgeklärte Gesellschaft zu sein, wozu die ihre Köpfe herhalten. Was jetzt noch fehlt ist ein bisschen mehr Zeit, die niemand von uns hat, und eine wirkliche Debatte welchen Nutzen konkret Geheimdienste eigentlich im 21. Jahrhundert noch bringen sollen. Wie oben zu lesen ist eine Kontrolle dieser Cyberwaffen selbst für solch einen Monster-Apparat wie die CIA unmöglich. Zu beobachten, was hier in diesem Jahr geschieht wird also mindestens ebenso spannend sein wie weitere Details zu Vault 7 zu heben. Fortsetzung folgt bestimmt.

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

vault 7: doch kein hoax

Vault 7 war dann doch kein Hoax, war aber eigentlich von Wikileaks auch nicht anders zu erwarten. Bisher haben alle Enthüllungen zu 100% der Wahrheit entsprochen, das ist eine seltene Statistik, die Assange auch immer wieder hervorhebt. Zu Recht, wie ich finde.

Die Dokumente wurden mittlerweile veröffentlicht, 8761 sind es dieses Mal. Online frisch erhältlich seit ca. 14:00. Und die haben es, den psychotischen Twitter-Botschaften das Wasser reichend, durchaus in sich. Auch für Deutschland. Leider.

Beleuchtet wird hier die Rechner-Spionage der CIA. Die Dokumente stammen von Kommunikation zwischen Regierungs-Hackern und Zuliefererfirmen und gelangten über eine anonyme Quelle an die Wikileaks-Plattform. Die CIA hat, was in Expertenkreisen bereits vermutet wurde, weil der Auslandsgeheimdienst in direkter Konkurrenz zur NSA steht, eine „eigene kleine NSA“ aufgebaut mit ca. 200 Mitarbeitern. Ausspioniert werden neben den üblichen Verdächtigen, also Windows-PCs und Smartphones & Tablets mit iOS und Android, übrigens auch Fernseher, z.B. der F8000 von Samsung.

Zur Spionage trägt Frankfurt aktiv bei: in der Gießener Straße steht das größte US-Konsulat der Welt. Um es mit Merkel zu sagen: „geht mal gar nicht!“ Nun, den Schlapphüten wird es egal sein, die arbeiten munter „undercover“ (wahrscheinlich unter Gullideckeln) im SCIF („Sensitive Compartmented Information Facility“). Um es mit Merkel zu sagen: „ist halt Neuland.“ Wird nicht das letzte Örtchen dieser Art bleiben, blubbert, is ongoing.

Zum Schluss noch ein Hinweis zu den Publikationen, es gibt durch direkte Snowden-Kritik übrigens ein Novum: Namen der Mitarbeiter der CIA, IP-Adressen und auch die von Emails, wurden geschwärzt. Man versucht so dieser Kritik zu begegnen, die Menschen besser zu schützen und es könnte ja sein, dass sich der eine oder die andere der Schlapphut-Fraktion nun auch vorstellen könnte, zur Aufklärung aktiver beizutragen. Eine Grundeigenschaft von Wikileaks war eigentlich immer, die Dokumente unzensiert so weiterzugeben, wie man diese bekommen hatte.

Viel Spaß und Erfolg beim Durchstöbern: https://wikileaks.org/ciav7p1/cms/index.html.

Wenn wir dann bitte langsam anfangen könnten die Geheimdienste zu schließen, ich denke spätestens seit 2013 sollten wir als Menschheit begriffen haben, dass diese NSA/CIA/BND/GCHQ-Aktionen weder für die Freiheit noch den Fortschritt wirklich etwas bringen. In Zeiten von „post truth“ und „Wir bauen wieder Mauern!“, das in der Realität seit 1990 nicht mehr existieren darf und soll, gibt es sicher wichtigere Themen, denen wir uns gemeinsam die nächsten paar Hunderte Jahre widmen sollten, wie Klimawandel, Atomkraft und Überbevölkerung, als uns Fragen zu stellen wie „wie verwandele ich am besten den Fernseher meines Nachbarn in eine Wanze!?“ Sowas geht eben, zu Recht übrigens, dann auch auf die eigene, bzw. kollektive, Gesundheit.

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^

alternative zu custom roms

Stichwort Budget-Smartphones: wer aus irgendeinem Grund keine Custom ROM für sein Android-Gerät findet, muss nicht sofort verzweifeln. Generell ist es ein gutes Zeichen für ein Betriebssystem, wenn es auf möglichst viel Hardware zurückgreifen kann. Bekannte Hersteller heute, die „generic devices“ anbieten, also Smartphones mit identischem Chipsatz, sind etwa Wiko aus Frankreich, Cubot aus China oder Kazam aus Großbritannien. Häufig verzichten diese Hersteller auf populäre, teurere SoCs von Qualcomm und setzen die mittlerweile nicht minder leistungsfähigen MediaTek-SoCs ein.

Ob das eigene Gerät vom Mangel an Custom ROMs betroffen ist lässt sich schnell herausfinden: man installiert TWRP aus dem Play Store und gibt seinen Hersteller in der App ein. Findet die App den Hersteller nicht, war es das mit einer Custom Recovery für euer Gerät. Findet die App den Hersteller, aber euer Gerät nicht, gilt das selbe. Eine Custom Recovery ist jedoch eine _der_ Grundvoraussetzungen um das Gerät mit ROMs zu versorgen. Fehlt diese, lohnt es sich davon Abstand zu nehmen eine zu installieren die man irgendwo im Netz findet, es wird nichts Brauchbares durch eure Experimente herauskommen.

Was aber tun, wenn man das Gerät trotzdem modden und personalisieren will? Hier kommt das „Xposed Framework“ ins Spiel. Xposed lässt euch Module downloaden, die auch nichts anderes als Apps sind. Doch diese Module lassen euch eure Geräte in einer Tiefe modifizieren, dass diese am Ende von einer Custom ROM kaum mehr zu unterscheiden sind. Eines der umfangreichsten und populärsten ist z.B. GravityBox. Dieses Modul allein ist schon wert, dass man Xposed auf seinem Gerät ans Laufen bringt, die Einstellungen sind in etwa so umfangreich wie wenn ihr die Einstellungen und die Massen an Tweaks von Cyanogenmod/LineageOS her kennt.

xposed framework logo

Wie ihr Xposed installiert, ohne Recovery und ohne TWRP, will ich hier kurz erläutern.
WICHTIG: euer Gerät _muss_ gerootet sein! Egal wie ihr das macht, ob per ADB, das zwielichtige KingRoot oder sonstwie, ein Android-Gerät ohne Root ist nichts wert. Da hilft auch das günstigste SoC nichts.

Anleitung für Xposed-Installation:

  • 1. Installiert FlashFire [root] aus dem Play Store von Chainfire. Dieses Tool lässt euch ZIPs ohne Custom Recovery flashen. Benötigt, selbstredend, root-Rechte
  • 2. ihr braucht die ZIP des Xposed Framework. Wählt eure Android-Version hier aus (sdk21 für KK, sdk22 für LP, sdk23 für MM), danach eure Architektur, das wird meist ARM sein. Ganz unten findet ihr dann die neueste Version des Frameworks, derzeit v87 vom November 2016. Diese ZIP auf den Telefonspeicher verschieben
  • 3. besorgt euch die APK der Xposed-App: hier der XDA-Thread. Die App ist frisch aus der Testphase raus und befindet sich derzeit in einer stabilen Version 3.1.1
  • 4. Jetzt wird gekocht! Öffnet Flashfire und klickt auf das rote „+“ unten rechts.
    Dort wählt ihr dann den Menüpunkt „Flash ZIP or OTA“.
    Navigiert zu eurer Xposed-ZIP-Datei.
    Klickt in Flashfire nun unten auf Flash!. Setzt den ersten Haken. Das Grundgerüst wird installiert. Es dürfen keine Fehlermeldungen kommen. Kommen doch welche, versucht andere Haken zu setzen oder lasst diese ganz weg. Sollten Fehlermeldungen kommen wird üblicherweise nichts zerstört, das Framework installiert sich einfach nicht
  • 5. Installiert die XposedInstaller-App. Startet danach das Gerät neu
  • 6. wenn ihr nach dem Neustart die App das erste Mal öffnet, klickt kurz die Meldung weg und schaut, dass ihr einen grünen Haken seht. Danach könnt ihr links unter Downloads ein Modul installieren, wie erwähnt ist GravityBox dann eigentlich ein Must-Have
  • Fazit: als goldene Regel gilt, wer Xposed nutzt, der braucht keine Custom ROM mehr und umgekehrt. Die zwei vertragen sich nicht und es ergibt auch keinen Sinn Xposed unter einer Custom ROM zu installieren. Das Xposed Framework stellt euch vielmehr auf dem Android-Gerät die Funktionalität einer Custom ROM durch herunterladbare Module zur Verfügung. Etwa wenn, wie erwähnt, keiner Lust hatte eine ROM zu basteln oder es in TWRP einfach kein Interesse von Seiten der Entwickler gab

Die Vielfalt an Android-Geräten dürfte in Zukunft wohl eher weiter zu- als abnehmen. Nicht immer werdet ihr für diese Geräte eine passende ROM finden, eine zu bauen erfordert unvorstellbar viel Aufwand, frisst Zeit und andere Ressourcen. Der oben erwähnte Test mit TWRP ist hier ein guter Anfang um herauszufinden, wie populär euer Device ist. Das trifft auch auf Tablets zu.

Mit diesem Beitrag wollte ich zeigen, dass es aber mittlerweile sehr mächtige Alternativen gibt, die eben nicht mal mehr eine Custom Recovery erfordern. Die Anzahl der Module für das Xposed Framework ist unvorstellbar riesig, man wird förmlich erschlagen, wenn man sich das erste Mal durch diese Liste scrollt. Ab Kitkat, also Android 4.4, werdet ihr sehr gute Karten haben viele Mods zu finden. Da sollte für jeden etwas dabei sein. Meines Erachtens ein MUSS ist das erwähnte GravityBox. Damit dürften die meisten Gelüste bereits abgedeckt sein. Probiert diese Module einfach aus, das Einzige, worauf ihr achten müsst ist, dass diese mit eurer Android-Version kompatibel sind.

Viel Spaß beim Modden, ihr cyberpunks! 😎

Flattr this!
Bitcoin-Spenden hier akzeptiert ^^