Tagebuch * Seite 3 von 6 * Rollfeld Bros. DIGITAL AGENTUR

Krass

Microsofts Totalversagen und wer dafür schuldig ist

NETZWELT Microsofts Totalversagen und wer dafür schuldig ist (die Chinesen … na klar!) Wie schon zu befürchten war: „Die Chinesen“, mit denen Microsoft von ihrem eigenen Totalversagen abzulenken versuchen, haben ja neulich fies und gemein aus einem regulären Endanwender-Schlüssel einen Admin-Schlüssel gebastelt, die Schufte! Das wissen wir, weil Regierungsbehörden betroffen waren. Microsoft gab also zu, was sie nicht mehr leugnen konnten, nämlich dass ihre Azure Security ein Trümmerhaufen ist. Aber warte. Sie haben nur zugegeben, dass die Chinesen damit ihren Exchange aufmachen konnten. Nur… wenn du eine Art Admin-Schlüssel selbst erzeugen kannst, wieso würde das dann auf Exchange beschränkt sein? War es natürlich nicht. This led us to believe that although the compromised key acquired by Storm-0558 was a private key designed for Microsoft’s MSA tenant in Azure, it was also able to sign OpenID v2.0 tokens for multiple types of Azure Active Directory applications. Und damit könnte man sich auch einfach so bei Sharepoint und Teams und co anmelden und einmal alle Daten absaugen. Microsoft verhält sich echt wie so ein TV-Kleinrimineller in einer Polizeiserie. Nur zugeben, was die eh schon wissen. Schnell ablenken und auf „die Chinesen“ zeigen. Abstoßend, sowas. Na, habt ihr auch schon euer Business in die Microsoft-Cloud geschoben? Wegen der Sicherheit oder wegen der Ausfallsicherheit? *wieher* Hätte uns doch nur vorher jemand gewarnt!!1! Quelle: blog.fefe.de Microsofts gestohlener Schlüssel mächtiger als vermutet Ein gestohlener Schlüssel funktionierte möglicherweise nicht nur bei Exchange Online, sondern war eine Art Masterkey für große Teile der Microsoft-Cloud. … Es handelt sich bei dem gestohlenen Schlüssel um einen OpenID Signing Key für das Azure Active Directory (Azure AD oder AAD). Das ist Microsofts Cloud-Verzeichnisdienst, also eine Art Telefonbuch der jeweils bekannten Cloud-Nutzer. Und nach Wiz-Erkenntnissen konnte man mit diesem Signing Key Zugangstoken für die Benutzerkonten nahezu aller Microsoft-Cloud-Dienste erstellen. Also nicht nur Outlook, sondern auch Office, Sharepoint und Teams. Doch es kommt noch schlimmer: „The compromised key was trusted to sign any OpenID v2.0 access token for personal accounts and mixed-audience (multi-tenant or personal account) AAD applications.“ Sprich: Auch in von Unternehmen selbst betriebenen Azure-AD-Instanzen und deren Cloud-Appikationen hätten die Storm-Trooper demnach einfach reinspazieren können, wenn diese auch anderen AAD-Instanzen vertrauten und etwa ein „Login with Microsoft“ ermöglichten. Das wäre der Größte Anzunehmende Unfall (GAU) für einen großen Identitäts-Provider, der Microsoft gerne sein möchte. Microsoft hat den kompromittierten Schlüssel zwar jetzt gesperrt, sodass jetzt keine weiteren Zugriffe damit möglich sein sollten. Aber es wäre durchaus möglich gewesen, die Zugänge vorher zu nutzen, um die betroffenen Accounts – also praktisch fast die gesamte Microsoft-Cloud – mit Hintertüren zu versehen. Eigentlich müsste man jetzt jedes einzelne AAD- und Microsoft-Konto auf nicht autorisierte Aktivitäten hin überprüfen. Doch wie macht man das? Den vollständigen Artikel gibt es hier … Quelle: heise.de

weiter lesen »

24. Juli 2023

Krass

Hamburg setzt „KI“-Überwachungskameras am Hansaplatz ein

NETZWELT Hamburg setzt KI zur Überwachung ein Hamburg setzt „KI“-Überwachungskameras am Hansaplatz ein. Natürlich von Fraunhofer entwickelt, dem ACME für Militär und Unterdrückungsstaat. Polizeivizepräsident Mirko Streiber sagte bei der Vorstellung des Pilotprojekts am Freitag, die Software ermögliche es den Beamten und Beamtinnen, besser mit einer immer größer werdenden Menge an Videomaterial umzugehen und Gefahrensituationen schnell zu erkennen und zu bewerten. Ja wessen Schuld ist denn das, dass es immer mehr Videomaterial gibt, Sie Spezialexperte?! Natürlich ist Innensenator Andy „1 Pimmel“ Grote auch all in bei dem Projekt. Innensenator Andy Grote (SPD) sagte, der Hansaplatz sei ein Beispiel dafür, dass es gelungen sei, mit Videoüberwachung und einer erhöhten Präsenz die Sicherheit und die Aufenthaltsqualität spürbar zu stärken. „Wir wollen neben dem Ausbau der Videoüberwachung auch die technische Weiterentwicklung vorantreiben und damit die Wirksamkeit unserer Maßnahmen steigern“, sagte Grote. Dafür wären alle Orte mit Videoüberwachung geeignet — auch Bahnhöfe oder Züge. Ja klar, super! Bahnhöfe und Züge! Am besten wir implantieren jedem direkt einen Tracking-Chip. Fangen wir beim Herrn Grote an, der scheint mir hier der größte Gefährder zu sein. Ich weiß, was Sie jetzt denken, und Sie haben Recht! Wenn die SPD hier einen auf innere Sicherheit macht, dann kann die CDU doch nicht einfach so untätig daneben stehen? Natürlich nicht! Die CDU in Bremen sieht das und will auch mitspielen!!1! Die CDU. Nur echt mit Hirntumor-Prollparolen wie Datenschütz dürfe nicht vor die Sicherheit gestellt werden, plädiert die CDU für den Einsatz von KI bei der Polizei. In Hamburg läuft ein entsprechendes Pilotprojekt bereits. Quelle: blog.fefe.de

weiter lesen »

24. Juli 2023

Krass

Kann man Nach-Hause-Telefonier-Software mit Telemetrie-Wohnsitz in der Cloud als deutsche Behörde datenschutzkonform einsetzen oder nicht?

NETZWELT Kann man Nach-Hause-Telefonier-Software mit Telemetrie-Wohnsitz in der Cloud als deutsche Behörde datenschutzkonform einsetzen oder nicht? Es geht um den Antrag auf Überlassung eines Rechtsgutachtens zur Datenschutzkonformität von Microsoft Office365 vom 12.11.2022 und 20.12.2022. „Ich spoiler mal das Offensichtliche: Nein. Kann man nicht. Nichtsdestotrotz haben die Bundesländer ein Gutachten in Auftrag gegeben. In der Hoffnung, offensichtlich, dass der Gutachter high, besoffen und blind ist. Und von Microsoft bezahlt, denn selbst ein Blinder sieht, dass das nicht geht. Und wie lief das Gutachten? Fragdenstaat wollte da mal reingucken, und das wurde ihnen verweigert. Der Antrag ist nach 8 6 a) IFG NRW abzulehnen, da das Bekanntwerden des Rechtsgutachtens die Beziehungen zu anderen Bundesländern beeinträchtigen würde. Wait … what?!? Die ALD hat einer Herausgabe zu recht widersprochen. Es handelt sich nämlich um ein internes Arbeitspapier der ALD, das der gemeinsamen Erarbeitung und Umsetzung einheitlicher Verhandlungsbedingungen dient. Ja! Richtig gelesen! Das ist klar illegal, also hoffen sich damit den Preis senken zu können. Hey Microsoft, wir bezahlen euch und die amerikanischen Geheimdienste doch schon mit dem illegalen Zugriff auf alle Daten unserer Bevölkerung, die wir hier ohne sie zu fragen ans Messer liefern!1!! Da könnt ihr doch sicher den Kaufpreis etwas senken? Schlagt das doch einfach auf die Wartungskosten drauf, die zahlt bei uns ein anderer Topf. Immer dran denken: Diese Leute sind von uns Steuerzahlern bezahlte Dienstleister, deren Auftrag es ist, sich an Recht und Gesetz zu halten. Wie kriminell müssen die noch werden, bevor man die einfach mal alle rausschmeißt?“ Quelle: blog.fefe.de Die Zurückweisung wurde wie folgt begründet: Eine Veröffentlichung des Gutachtens in diesem laufenden Verhandlungsprozess würde das Verwaltungsverfahren in mehrfacher Hinsicht ganz erheblich beeinträchtigen. So beschreibt das Gutachten detailliert, welche Maßnahmen als Mindest-Anforderungen für eine Vereinbarkeit der MS-Produkte und ihrer Nutzung mit der DSGVO gesehen werden und welche Anforderungen eher als optionale Maßnahmen wünschenswert wären. Erhielte Microsoft Kenntnis von der genauen Abgrenzung, welche Maßnahmen für eine Vereinbarkeit der MS-Produkte und ihre Nutzung mit der DSGVO als zwingend und welche nur als optionale Maßnahmen angesehen werden, würde dies die Verhandlungsposition des Bundes in zukünftigen Verhandlungen über die Konditionenverträge sowie der Verhandlungspositionen der Länder im Hinblick auf die datenschutzrechtlichen Anforderungen im Rahmen zukünftiger Beschaffungen von Lizenzen unter den Konditionenverträgen erheblich schwächen. Eine Zugänglichmachung des Gutachtens an Microsoft widerspräche damit einem wesentlichen Zweck der Einholung des Gutachtens. Dieser war und ist gerade die Bündelung und Stärkung der Interessen wie auch der Verhandlungspositionen der Bundesländer im Hinblick gegenüber Microsoft und den jeweiligen Handelsvertragspartnern. Quelle: fragdenstaat.de

weiter lesen »

14. Mai 2023

Krass

Ebay Kleinanzeigen übergriffig

NETZWELT Ebay Kleinanzeigen wird übergriffig Früher wurde der freie Wille respektiert, heute herrscht die Diktatur der Konzerne Es gab Zeiten, da war man Herr oder Dame seiner Daten. Das ändert sich schleichend. Jüngstes Beispiel: Da willst Du Dich auf Deinem Ebay-Kleinanzeigen-Account einloggen – Desktop – und schwuppdiwupp war Ebay Kleinanzeigen so unfreundlich und setzt Dein Passwort zurück. Ohne vorherige Einverständniserklärung. Wozu auch. „Um dein Nutzerkonto besser zu schützen, haben wir dein Passwort zurückgesetzt.Wir haben festgestellt, dass dein Passwort unsicher ist. Daher haben wir es automatisch zurückgesetzt. Klicke einfach auf den Link, den wir dir soeben per E-Mail geschickt haben. Bitte wähle dann ein neues sichereres Passwort und logge dich erneut ein.“ Herrlich. Da willste gleich kündigen und zur Konkurrenz gehen. Gäbe es da Eine und würde diese nicht früher oder später sich genauso über Deinen Willen hinwegsetzen. Ebay Kleinanzeigen hätte auch nett darauf hinweisen und eine Frist setzen können. Hätte.

weiter lesen »

9. April 2023

Allgemein

Männerabend – Swing Dein Ding

Das Boulevardtheater Dresden inszeniert im Frühjahr 2022 den Mädelsabend … Mädelsabend – Und es hat Zoom gemacht

weiter lesen »

31. März 2023

rollfeld bros. video klinik acura kliniken Baden Badenketo

Accura Kliniken

Video-Dreh bei den Acura Kliniken in Baden-Baden

Der Website-Relaunch unterstreicht die integrierte Aufstellung der Digitalagentur sowie die Branchenkompetenz für Bildungseinrichtungen. Neben dem BSZ gehören auch Schaffrath 1923 und die Acura-Kliniken zum Kundenportfolio der Agentur.

weiter lesen »

18. Dezember 2022