Fragen? Antworten! Siehe auch: Alternativlos
Chinese hackers exploit Fortinet VPN zero-day to steal credentialsUnd natürlich ist Fortinet genau so drauf wie der Rest der Industrie, wenn es um Bug-Fix-Geschwindigkeit geht."Volexity reported this vulnerability to Fortinet on July 18, 2024, and Fortinet acknowledged the issue on July 24, 2024," explains the report."At the time of writing, this issue remains unresolved and Volexity is not aware of an assigned CVE number."
Aber Fortinet ist nicht Microsoft, also kolportiert die Presse nicht das übliche unerträgliche Gewinsel von Microsoft, dass hier unschuldige Kunden gefährdet würden und man doch Responsible Disclosure fordert. Da krieg ich jedesmal Zucken in der Faust, wenn ich das lese. Die Kunden werden ja nicht von der Disclosure gefährdet sondern von der beschissenen Produktqualität ihrer versifften Zulieferer. (Danke, Dino)
Wieviele KRITIS-Organisationen setzen eigentlich Fortinet oder Palo Alto ein? Und sind damit durch diverse Audits und Pentests gekommen?
Wir haben doch umfangreiche Dokumentationspflichten jetzt. Erzählt doch mal, wie gut die geholfen haben!
Wie viele Firmen haben ISO-27001 und Fortinet/Palo Alto?
Fällt euch selber was auf oder muss ich weiterreden?
Update: Leserbrief:
Ich arbeite in einem Kritis-Unternehmen (Strom). Habe heute im Flurfunk mitbekommen, dass wir in unserem neuen Rechenzentrum nicht mehr auf Fortinet setzen.
Wir werden da etwas einsetzen von:
Palo Alto
Badumm Tsssss
Ich persönlich wundere mich ja nicht, dass wir ständig gehackt werden. Ich wundere mich, dass wir nur so wenig gehackt werden. Das liegt wahrscheinlich daran, dass unsere Spezialexperten wegen des ganzen Checklistenballetts nicht bemerken, dass und wie lange und von wie vielen parallel sie schon kompromittiert wurden.
Mir persönlich erschließt sich ja nicht, wieso Destatis überhaupt Geld nehmen darf, denn das ist das Statistische Bundesamt. Das ist eine Bundesbehörde. Die kriegen einen riesigen Sack Steuergelder für ihre Arbeit.
Nun, jetzt kennt man Destatis auch für einen Datenreichtum der Daten deutscher Unternehmen. Die haben ein paar Hacker da rausgetragen und verkloppen die jetzt im Darknet. Money Quote:
Ob es sich bei Indohaxsec um eine staatlich finanzierte Gruppierung handelt, ist fraglich. Bei den betroffenen Unternehmen und Behörden fehlt ein eindeutiges Muster. So wurden etwa eine ungarische Kirchgemeinde, eine ukrainische Gärtnerei genauso angegriffen wie eine indische Hochschule. Vermutlich sucht Indohaxsec seine Ziele nicht strategisch aus, sondern dringt dort ein, wo Systeme schlecht gesichert sind. Und ab und zu trifft es auch deutsche Behörden.Destatis operierte auf dem Security-Niveau einer ukrainischen Gärtnerei! Besser hätte ich das auch nicht auf den Punkt bringen können.
Update: Oooooh, sorry, ich habe Destatis mit Statista verwechselt. Destatis ist die Bundesbehörde und hatte den Datenreichtum aber die mit der Google-Infektion und Paywall-Scheiße ist Statista, eine Firma der Ströer-Gruppe. (Danke, Michael)
Ein aktueller Hohlphrasen-Trend heißt "Secure by Design". Klingt eigentlich erstmal wie eine gute Idee, bis einem auffällt, dass da niemand etwas konkretes oder hilfreiches drunter versteht. Das ist einfach wie so ein Bullshit-Prüfsiegel-GIF im Web, das man auf seine Webseite pappt, damit die Kunden ein wohliges Gefühl haben.
Man kann das auch ernsthaft betreiben, klar. Ich halte seit einiger Zeit Vorträge darüber, wie ich konkret mein Blog so gebaut habe, wie ich mir Secure by Design vorstelle. Das ist allerdings transformativ. Das ist nichts, was man nachträglich dranflanscht. Man überlegt sich die Dinge vorher, damit das am Ende passt.
In meinem Blog habe ich eine Kombination aus Self-Sandboxing (Blog hat keinen Zugriff aufs Dateisystem, darf nur nach stdout schreiben und keine Sockets aufmachen) implementiert, und beim Anmelden prüft das Blog gar nichts sondern reicht die Credentials durch zum LDAP. Blog-Prozesse können sich gegenseitig nicht sehen.
Ergebnis: Ich könnte euch eine Shell-Kommandozeile im Blog einbauen und ihr könntet damit nichts machen, weil das Blog auch keine Prozesse starten kann und gegenüber dem LDAP nur mit den Zugriffsrechten angemeldet ist, die ihr über Bedienung des Blog-CGIs auslösen könnt. Das verstehe ich unter Secure by Design.
Wieso hole ich diese alten Kamellen raus? Weil mir gerade jemand diesen Artikel zu Secure by Design in der Industrie geschickt hat. Wie immer, wenn man inhaltlich nichts in der Hand hat, greift der Marketing-Experte zu "social proof" und listet zufriedene oder erfolgreiche Kunden. In diesem Fall Firmen, die Secure by Design erfolgreich umgesetzt haben.
Setzt euch mal stabil hin kurz:
The Cybersecurity and Infrastructure Security Agency’s (CISA) secure-by-design pledge has hit its six-month mark, and companies that took the pledge say they’ve made significant security improvements since they signed onto the initiative.CISA ist sowas wie das BSI der USA. Eine Bundesbehörde. Und CISA ist hochzufrieden, dass ihr Compliance-Theater von der Industrie Kunstförderung erhält:Jack Cable, a senior technical adviser at CISA, told Recorded Future News in a newly published Q&A about the project, which he said has “exceeded expectations.”Gut, das heißt natürlich nichts. Die Erwartungen könnten auch negativ gewesen sein, so dass schon "keiner tut was" die Erwartungen übertroffen hätte. Aber seien wir mal kurz nicht so zynisch. Er nennt fünf konkrete Firmen.Amazon Web ServicesNein, wirklich! Das sind die fünf hervorstechenden Erfolgsgeschichten für Secure by Design!Fortinet
Microsoft
Okta
Sophos
Und was haben die am Ende gemacht, um Secure by Design behaupten zu können jetzt? Sie haben ihren Opfern, äh, Kunden MFA reingedrückt!
Und MFA ist meiner Ansicht nach Security-Theater. Tut nichts für eure Sicherheit und erlaubt den gehackten Firmen so zu tun, als sei das deine Schuld, weil du ihnen Passwörter anvertraut hast statt MFA zu machen.
Wenn eine Firma dich zu MFA nötigen will, denkt immer daran, wie Firmen nach Hacks sagen, "aber die Kreditkartennummern sind nicht weggekommen". Warum sind die nicht weggekommen? Weil das teuer würde für die Firma. Alle anderen Daten? Da scheißen die drauf, wenn die wegkommen. Ist ja euer Schaden, nicht ihrer.
Bei Verschwörungstheorien beobachte ich immer begeistert, wie jahrelanges Wegleugnen eines Tages spontan umspringt, entweder zu "haben wir doch schon immer gewusst" (hat sich aber nie im Handeln niedergeschlagen und wurde die ganze Zeit nach Kräften geleugnet!), oder, noch schlimmer, zu "haben wir doch schon immer gesagt" (eine glatte Lüge).
Umso erfreulicher für mich in letzter Zeit, wie sich bei Kernthemen von mir langsam herauskristallisiert, dass wir uns diesem Kipppunkt nähern.
Heise-Kommentar: Sophos und der gebrochene Schwur. Was ist der gebrochene Schwur? Dass Sophos Malware an ihre Kunden verteilt hat, um angebliche chinesische Hacker auszuspionieren, die ihre kaputte Sophos-Software genutzt haben, um Sophos-Kunden anzugreifen. Hier mein Kommentar zu der Sophos-Nummer, als die ganz frisch war. Jürgen Schmidt, Chef von Heise Security, dazu:
Sie haben selbst Spionage-Software entwickelt und die gezielt auf Systemen von Kunden platziert, um diese auszuforschen. Das war eigentlich ein ungeschriebenes Gesetz der Branche: Wir entwickeln keine Malware und insbesondere setzen wir sie nicht ein, um unsere Kunden auszuspionieren.Ich würde noch einen Schritt weiter gehen und sagen: Das war schon immer Malware. Gut, ich habe da Einblicke, die vielleicht nicht jeder hat. Ich weiß, wie so "Antiviren" funktionieren, und was für Methoden die verwenden, um Kernel-Calls zu hooken und ihren Code in Prozesse zu injecten. Das ist genau das, was eine Verhaltens-Anomalie-Erkennung sofort als Malware flaggen würde. Daher haben die Antiviren Whitelists drin, um sich nicht gegenseitig zu flaggen, und warnen explizit davor, nur eine "Endpoint Security" zur Zeit zu installieren, und deshalb schaltet Norton erstmal den MS Defender aus. Der würde nämlich alle Alarmglocken zünden, wenn Norton tut, was Norton halt so tut. Norton hier als Stellvertreter für alle Antiviren.
Wenn man das weiß, dann wird spontan klar: Das war schon immer Malware, die sich Rechte rausnimmt, die man im System niemandem zugestehen sollte, schon gar nicht Vertriebsgetriebenen Firmen wie Antivirenherstellern.
Dieses ungeschriebene Gesetz, das Jürgen hier zitiert, das gab es noch nie. Das war schon immer ein Trust Me I Know What I'm Doing, und genau wie bei Wurstproduktion will der Konsument da gar nicht so genau hingucken, weil er weiß: Wenn er wüsste, was da passiert, könnte er das Produkt nicht mehr konsumieren.
Ich für meinen Teil finde auch nicht glaubwürdig, dass Sophos diesen Übersprung dazu, mit krimineller Energie Malware an ihre Kunden auszuliefern und deren Systeme absichtlich weiter zu gefährden, nur in diesem einen Fall gegen die fiesen Chinesen einsetzt. Kriminelle Energie mateiralisiert sich nicht über Nacht. So viel kriminelle Energie muss man über Jahre hegen und pflegen. Nur eine durch und durch unvertrauenswürdige Firma würde auch nur erwägen, solche Methoden einzusetzen.
Überlegt euch auch mal, wie verbogen deren moralischer Kompass sein muss, damit sie das auch noch für eine gute Idee, das öffentlich zuzugeben und sich damit als Helden zu feiern zu versuchen.
Sophos steht hier als Stellvertreter für alle Antiviren. Glaubt mal gar nicht, dass irgendeiner von denen vertrauenswürdig ist.
Hier ist noch ein Kipppunkt-Indikator. Ein anderer Heise-Kommentator pflichtet mir bei, dass es ungefährlicher ist, für Entdecker von Sicherheitslücken, die im Darknet zu verkloppen als sie dem Verursacher zu melden. Ich persönlich habe seit mindestens 20 Jahren keine Sicherheitslücken mehr initiativ-gemeldet oder auch nur gesucht. Ich suche Sicherheitslücken, wenn mich der Hersteller dafür bezahlt. Wenn ich über eine stolpere, melde ich die nur wenn es sich um freie Software handelt. An Bug Bounty-Programmen nehme ich nicht teil.
Die Lobbyisten der Industrie haben die Rahmenbedingungen so gesetzt, dass ich auch allen anderen nur raten kann, es mir gleich zu tun. Anderes aktuelles Beispiel in dem Kontext waren die polnischen Eisenbahnhacker auf dem letzten CCC-Kongress.
Die mussten sich inzwischen vor Gericht einer Klage dieser Firma stellen. Ich bewundere deren Heldenmut, aber hätte ich nicht gemacht. Da wäre ich Trump-Wähler und würde den ganzen Apparat herunterbrennen sehen wollen, bevor ich wieder mitzuhelfen bereit wäre. Dankt CDU und FDP.
Auch da scheint sich inzwischen die Erkenntnis breit zu machen, dass ich die ganze Zeit Recht hatte, und es gibt jetzt den Versuch eines Reförmchens. Ich glaube es, wenn ich es sehe.
Wenn man bedenkt, wie viel billiger und besser wir das alles hätten haben können, wenn die Leute gleich auf mich hören würden. Aber Plan B greift auch: Aus Schmerzen lernen. In diesem Sinne: Geht ihr mal alle in die Cloud und macht Blockchain, IoT und "KI". Wir sehen uns in 10 Jahren wieder und weinen gemeinsam dem verbrannten Geld hinterher.
Da fällt mir dieser Thread ein…Mit anderen Worten: An der Korruption von Politik und Justiz ist die Automobilindustrie schuld. Hey, macht deren Schuldmaß auch nicht mehr fett, nachdem sie an der Zerstörung der Biosphäre Schuld sind.Was mir dabei besonders gefällt: „Ausgeleierte“ Schlüssel passen praktisch überall. Offensichtlich haben die Autobauer daran gedacht, dass die Leute ja 20 Jahre lang mit ihrem Schlüssel in ihr Auto reinwollen, und dafür gesorgt, dass aus den Schlüsseln durch Verschleiß am Ende ein Dietrich wird, weil der Failure-Mode, den der Hersteller vermeiden will, nicht etwa Diebstahl ist (da verkauft man ein neues Fahrzeug!), sondern das Austauschen des Schließzylinders.
Das ist nur ein Thread über ganz stinknormale mechanische Schlüssel, mit den elektronischen will ich gar nicht anfangen. Oder doch? Weil's Spaß macht, und VW hat bei der ersten Entdeckung dieser Gruppe auch völlig „richtig“ reagiert: Sie haben erst mal die Finder der Schwachstelle verklagt, und dadurch die Veröffentlichung um 2 Jahre verzögert. Man sieht daran, dass Richter in solchen Fällen auf der Seite der Autohersteller stehen, und nicht etwa sich Sorgen um ihre Karre machen. Das hat die Sicherheitsexperten immerhin nicht davon abgehalten, praktisch das komplette digitale Schlüsselsystem vieler Hersteller (nicht nur VW) auszuhebeln.
Kommentar: Es ist keine Schande, gehackt zu werdenIch beneide so Leute ja immer um ihr Selbstbewusstsein. Wenn ich etwas probiere und nicht schaffe, dann nehme ich an, ich mache etwas falsch und muss meine Herangehensweise ändern.
Nicht so die Denkschule, die wir hier beobachten können! Da sieht man Scheitern eher als Zeichen, dass das dann halt unmöglich ist und niemand das kann. Denn wenn das ginge, dann hätte ich es ja geschafft. Und zwar beim ersten Versuch!
So, und weil ihr alle per Definition dümmer als ich seid, solltet ihr euch nicht grämen, wenn ihr es auch nicht schafft!
Richtig deprimierend wird es, wenn ihr darüber nachdenkt, was für weitere Implikationen diese Einstellung hat. Wenn aus "ich kann es im Moment nicht" direkt "es geht nicht" folgt, dann ist auch Fortbildung Zeitverschwendung. Dinge dazu lernen? Überflüssig! Besser als was ich jetzt mache geht eh nicht!
Und ehe du es dich versiehst ist die Selbstzerstörung selbstverstärkend.
Wisst ihr, wer das jetzt auch sagt? Sophos.
For years, it's been an inconvenient truth within the cybersecurity industry that the network security devices sold to protect customers from spies and cybercriminals are, themselves, often the machines those intruders hack to gain access to their targets. Again and again, vulnerabilities in “perimeter” devices like firewalls and VPN appliances have become footholds for sophisticated hackers trying to break into the very systems those appliances were designed to safeguard.Ach. Ach was. Wartet, das war noch nicht Sophos. Das war die Einleitung von Wired.Wieso sagen die Leute das eigentlich immer erst, wenn es nicht mehr zu leugnen ist?
Sophos versucht es natürlich anders zu spinnen. Sie sind hier die glorreichen Helden, die gegen die verruchten fiesen Chinesen "zurückhacken". Da werden sich aber die üblichen Kompetenzgranaten in Deutschland freuen, die meinen Vortrag dazu noch nicht gesehen haben.
The company went as far as discreetly installing its own “implants” on the Chinese hackers' Sophos devices to monitor and preempt their attempts at exploiting its firewalls.Das ist selbstverständlich illegal, und zwar sowohl unter chinesischen wie auch unter britischem oder EU-Recht. Sophos gibt hier also unumwunden Straftaten zu. Das könnt ihr ja mal mit eurer Einkaufsabteilung besprechen, wenn die bei Sophos eingekauft haben.Aber mal abgesehen davon. Was fand Sophos denn da?
In the process, Sophos analysts identified a series of hacking campaigns that had started with indiscriminate mass exploitation of its products but eventually became more stealthy and targeted, hitting nuclear energy suppliers and regulators, military targets including a military hospital, telecoms, government and intelligence agencies, and the airport of one national capital. While most of the targets—which Sophos declined to identify in greater detail—were in South and Southeast Asia, a smaller number were in Europe, the Middle East, and the United States.Das ist schön ausweichend formuliert, daher lasst es mich noch mal betonen. Alle diese Organisationen wurden über Sophos-Pfusch-Produkte angegriffen. Wenn die auf mich gehört und kein Schlangenöl gekauft hätten, wären die Chinesen auf dem Weg nicht reingekommen.Sophos says it’s telling that story now [...] to break the cybersecurity industry's awkward silence around the larger issue of vulnerabilities in security appliances serving as entry points for hackers.Absolut an der Zeit. Hätten sie auch 20 Jahre früher machen können. Am besten direkt auf ihre Produkte eine fette Warnung aufdrucken! Wer das hier kauft, öffnet den Chinesen eine Hintertür in sein Netz.Ist jetzt natürliche in bisschen ungerecht, so auf Sophos herumzuhauen. Die sind ja nur einer der Player, und der erste, der ein bisschen Anflüge von Ehrlichkeit zeigt in der Beziehung.
In just the past year, for instance, flaws in security products from other vendors including Ivanti, Fortinet, Cisco, and Palo Alto have all been exploited in mass hacking or targeted intrusion campaigns.No shit.Bleibt mir nur eines zu sagen:
TOLD YOU SO. (via)
But Whisper has a major flaw: It is prone to making up chunks of text or even entire sentences, according to interviews with more than a dozen software engineers, developers and academic researchers. Those experts said some of the invented text — known in the industry as hallucinations — can include racial commentary, violent rhetoric and even imagined medical treatments.Whisper, wir erinnern uns, wurde von OpenAI gehackt, damit sie Youtube-Videos transkribieren konnten, weil sie keine Trainingsdaten mehr hatten für ihr "KI"-Training. Das ist natürlich super hilfreich, wenn die Trainingsdaten schon voller Halluzinationen sind!“Nobody wants a misdiagnosis,” said Nelson, a professor at the Institute for Advanced Study in Princeton, New Jersey. “There should be a higher bar.”Ach. Ach was.Whisper also is used to create closed captioning for the Deaf and hard of hearing — a population at particular risk for faulty transcriptions.Keine Sorge. Die hören den Unterschied nicht. *wieher*Naja komm, Fefe, wie schlimm kann das schon sein. Hallziniert das Teil halt ein bisschen. Nun... hier ist ein Beispiel aus der Praxis:
In an example they uncovered, a speaker said, “He, the boy, was going to, I’m not sure exactly, take the umbrella.”But the transcription software added: “He took a big piece of a cross, a teeny, small piece ... I’m sure he didn’t have a terror knife so he killed a number of people.”
Und das in einem Land mit der Todesstrafe. Mhhjam! (Danke, Maximilian)
memcpy_s ist im Annex K und optional und glibc implementiert das nicht. dietlibc implementiert das auch nicht, weil es das Äquivalent von Gendern für C ist. Bringt nichts, regt nur alle auf und macht Code weniger portabel.
Old and busted: memcpy(dest,src,bytecount);
New hotness: memcpy_s(dest,destsize,src,bytecount);
Ich habe persönlich beobachtet, wie sie das bei Windows per Fiat des Mufti eingeführt haben, und die Leute sich dann alle Makros gehackt haben, um memcpy(a,b,c) zu memcpy_s(a,c,b,c) umzuschreiben.
Anyway, wenn euch diese Warnungen so auf den Sack gehen wie mir, dann kriegt ihr die so weg:
$ cat ~/.clang-tidyIch hab keine Ahnung, wieviel Lack die clang-tidy-Leute saufen mussten, um sich diesen Scheiß schönzureden. Das bringt das ganze Projekt in Verruf, wenn sie statt sinnvoller Fehlerdiagnostik die Entwickler mit solchem Rotz nerven.
Checks: "-clang-analyzer-security.insecureAPI.DeprecatedOrUnsafeBufferHandling"
Im Übrigen, wenn ihr es noch nie gemacht habt, und unter Windows programmiert: Probiert doch mal aus, was passiert, wenn man memcpy_s so aufruft, dass destsize < bytecount ist. "Sicherer", my ass.
Wie kommt es? Nun, ein fieser Hacker hat den Quasi-Monopolisten bei Paywall-Single-Sign-On-Lösungen zerhackt und alle Daten gelöscht. (Zweite Quelle)
Ich bin bestürzt, sage ich euch! Bestürzt! Was für eine noch nie dagewesene kriminelle Energie!!1!
Bin mal gespannt, ob in ein paar Tagen rauskommt, dass das ne stinknormale Ransomware war, die keine Backups hatten und nicht zahlen wollten.
Der geht leider nicht sehr weit. Um nicht zu sagen: Ändert in der Praxis nichts.
Kennt eigentlich jemand einen Fall, wo eine Ransomware-Gang wegen Hackertoolverbot verknackt wurde, aber sonst lag gegen die nichts vor? Oder vielleicht ausländische Geheimdiensthacker? Von mir aus Russen, Chinesen oder Nordkoreaner?
Ich auch nicht.
Was soll also das Gehampel? Mach weg den Scheiß!
Update: Oh und wenn wir schon dabei sind, die Gesetze zu verbessern: Wie wäre es mit Knast für Leute, die sich anderer Leute Daten haben klauen lassen? Sozusagen Datenveruntreuung? Am besten Daten, um deren Speicherung sie keines der Opfer gebeten hat!
More than 100 million individuals had their private health information stolen during the ransomware attack on Change Healthcare in February, a cyberattack that caused months of unprecedented outages and widespread disruption across the U.S. healthcare sector.Jeder Dritte in den USA. Bei einem Einbruch bei einer Firma.Wie irgendjemand darauf kommen würde, dass sowas bei uns nicht passieren kann, und dann auch noch extra Maßnahmen einleitet, dass mehr Daten auf einem Haufen liegen, das erschließt sich mir nicht.
Lernt doch bitte einfach mal alle, dass wir Menschen zu blöde sind, auf unsere Daten aufzupassen. Der einzige Weg der Schadensbegrenzung ist, keine Daten zu haben, die wegkommen könnten.
The Cybersecurity Association of China (CSAC), in a lengthy post on its WeChat account on Wednesday described Intel's chips as being riddled with vulnerabilities, adding that the American company's "major defects in product quality and security management show its extremely irresponsible attitude towards customers."Das ist natürlich erstmal sehr witzig, weil selbstredend chinesische Hersteller auch absolute Pfuscher sind, wenn es um Qualität und Sicherheit von Software geht. Klarer Fall von Glashaus also.The CSAC also accused Intel of embedding a backdoor "in almost all" of its CPUs since 2008 as part of a "next-generation security defense system" developed by the US National Security Agency.Da wird es schon interessanter. So richtig konkret werden sie leider nicht an der Stelle, außer natürlich dass es wohl die NSA gewesen sein wird.This allowed Uncle Sam to "build an ideal monitoring environment where only the NSA is protected and everyone else is 'naked,'" the post continued. "This poses a huge security threat to the critical information infrastructure of countries around the world, including China," the industry group claims.Ist das glaubwürdig? Unbedingt! Die Amis sind da schon mehrfach mit heruntergelassenen Hosen erwischt worden. Aber ob die Chinesen da wirklich etwas konkretes gefunden haben oder nur mal ein bisschen rumfurzen, das bleibt erstmal unklar.Der Fachbegriff für solche Backdoors wäre übrigens NOBUS. Genau derselbe Schwachsinn wie wenn unsere Regierung glaubt, Hintertüren in Chatsystemen vorschreiben zu können, und besonders witzig, wenn man sich erinnert, dass China neulich erst die NOBUS-Abhörschnittstellen bei AT&T und Verizon gegen die Amis verwendet haben. NOBUS, my ass.
WENN diese Meldung also etwas konkretes aussagt, dann dass die Chinesen noch nicht herausgefunden haben, wie sie die Backdoors in Intel-Chips gegen die NSA anwenden können.
"Compromised data: Github projects, Gitlab Projects, SonarQube projects, Source code, hard coded credentials, Certificates, Customer SRCs, Cisco Confidential Documents, Jira tickets, API tokens, AWS Private buckets, Cisco Technology SRCs, Docker Builds, Azure Storage buckets, Private & Public keys, SSL Certificates, Cisco Premium Products & More!," reads the post to a hacking forum.Auffällig: Alles Cloud-Dienste. Ist das am Ende gar keine tolle Idee, seine kritischen Daten in die Cloud hochzuladen?! Hätte uns nur rechtzeitig jemand gewarnt!1!! (Danke, Mark)
Denn natürlich haben die Geräte Internetanschluss und Kamera und Mikrofon. Selbstredend. Brauchen sie ja, weil, äh, ...
Cyberpunk kommt immer näher :-) (Danke, Simon)
Für viele Android-Geräte da draußen ist die Antwort: Ja.
The zero-day vulnerability, officially designated CVE-2024-43047, “may be under limited, targeted exploitation,” according to Qualcomm, citing unspecified “indications” from Google’s Threat Analysis Group, the company’s research unit that investigates government hacking threats.
Irgendwann werden die von Hackern gefunden und benutzt, zu deinen Lasten. In diesem Fall: Von den Chinesen.
Ich bin mir sicher, die werden sich auch an Recht und Gesetz halten!1!!
Der Link geht zum Wall Street Journal, die eigentlich komplett Paywall haben. Macht den mal im Private Mode auf sicherheitshalber. Die Money Quotes aus dem Artikel sind:
Verizon Communications, AT&T and Lumen Technologies are among the companies whose networks were breached by the recently discovered intrusion, the people said.[...]
The surveillance systems believed to be at issue are used to cooperate with requests for domestic information related to criminal and national security investigations. Under federal law, telecommunications and broadband companies must allow authorities to intercept electronic information pursuant to a court order. It couldn’t be determined if systems that support foreign intelligence surveillance were also vulnerable in the breach.
Ein Glück, dass Möchtegern-Diktatoren so häufig bloß Blender und Pfuscher finden, die für sie zu arbeiten gewillt sind. Schade nur, dass der Schaden immer der Bevölkerung entsteht, nie den Möchtegern-Diktatoren.Eine gute Nachricht gibt es. Da die "westlichen Demokratien" inzwischen so weit zu Überwachungs-, Kontroll- und Unterdrückungsstaat abgedriftet sind, ist heutzutage praktisch die komplette Kommunikation über das Internet ordentlich verschlüsselt. Die Chinesen sehen da also auch nicht mehr als die Amis. Hauptsächlich Metadaten. (Danke, Roman)
Fortinet confirms data breach after hacker claims to steal 440GB of filesToller Laden. Da will man doch einkaufen!!1!
Solche Szenarien sind bereits diskutiert worden, nicht zuletzt weil es solche Vorfälle bereits gab.
Der immer wieder lesenswerte Bert Hubert hat sich dazu mal ein paar Gedanken gemacht. Hier sein Anreißer:
The short version: most consumer and business solar panels are centrally managed by a handful of companies, mostly from countries outside of Europe. In the Netherlands alone, these solar panels generate a power output equivalent to at least 25 medium sized nuclear power plants. There are almost no rules or laws in Europe governing these central administrators. We pretend that these companies only deserve the regulation we’d apply to (say) an online birthday calendar.Es ist ja an sich eine gute Idee, möglichst bürokratiefrei den privaten Ausbau von Solaranlagen zu fördern, aber wenn die Steuerung davon zentralisiert von irgendwelchen Firmen gemacht wird, sollte es für die schon regulatorische Vorschriften und Aufsicht geben, meint ihr nicht?Oder wir könnten einfach mal die Frage stellen, wieso das Management von Solaranlagen nicht direkt per Ethernet oder von mir aus Bluetooth innerhalb des Hauses geht, sondern über eine verfickte Schrott-Cloud von irgendwelchen Billigstanbietern gehen muss, denen es scheißegal ist, ob dein Haus abbrennt.
Das ist generell ein Problem bei IoT.
Update: Immer dran denken: Das S in IoT steht für Security!
Gibt ein paar lustige Details. Erstens: Trump sitzt so tief in Putins Arsch, dass sie nicht "DIE RUSSEN!!1!" gerufen haben sondern "DER IRAN!!1!" :-)
Zweitens: Aber natürlich sind die in die Cloud gezogen und dort gehackt worden!
The campaign blamed “foreign sources hostile to the United States,” citing a Microsoft report on Friday that Iranian hackers “sent a spear phishing email in June to a high-ranking official on a presidential campaign.” Microsoft did not identify the campaign targeted by the email and declined to comment Saturday.Ist ja komisch! Ihr habt euch komplett abhängig gemacht von gammeliger Microsoft-Cloud-Scheiße und jetzt wurden ihr gehackt? NA SOWAS! Hätte euch doch nur vorher jemand gewarnt!Wisst ihr, bei manchen Leuten bin ich ja ganz froh, dass die nicht auf mich hören.
Ich persönlich würde ja bestreiten, dass die Hacker "hostile to the United States" sind. Das sind Freunde in der Not!1!!
Das ist doch dasselbe Geschäftsmodell! "Schöne EDV-Infrastruktur haben Sie da! Wäre ja schade, wenn der etwas zustöße!"
Gut, außer dass die Schlangenölindustrie euch Software gibt, die eure Angriffsoberfläche maximiert und damit zukünftige Angriffe ermöglicht, wo sie vorher nicht möglich waren. Nur mit Schlangenöl kannst du über ein Wordperfect-File gehackt werden, ohne Wordperfect einzusetzen!
Ich frage mich ja manchmal, ob die Schlangenölbranche der Ransomwarebranche Kick-Backs zahlt. Oder vielleicht andersherum?
Gestern so: Twilio-Datenreichtum, 8TB Logdaten bei Dienstleister entfleucht.
Heute so: Twilio-Führungskräfte stoßen ihre Aktien ab. Money Quote:
Die Transaktionen erregen dabei besonderes Interesse der Investoren und Marktbeobachter, da sie oft als Indikator für das Vertrauen der Führungsebene in die Zukunftsaussichten des Unternehmens angesehen werden.Ich verstehe nicht, wieso die sich Sorgen machen. Ihre Kunden waren so blöd, überhaupt zu ihnen zu kommen, ohne irgendwas zu verifizieren und obwohl Twilio schon Datenreichtümer hatte. Die Schafherde wird da auch weiter kaufen.
Und wenn das nächste Mal Daten wegkommen, werden wieder alle von der enormen kriminellen Energie der bösen APT-Russen schwafeln und keiner wird sich verantwortlich fühlen.
Wenn ihr mich fragt, haben sich die Player hier alle gegenseitig verdient.
Immer wenn du denkst, OpenAI hat den Boden erreicht in Sachen Schmierigkeit und Unseriosität, dann kommt sowas.
Hey, deren "KI" willst du doch deine Daten anvertrauen!1!!
Das sieht man ganz gut an Fällen wie diesen.
Twilio this week confirmed suffering a data breach after hackers leaked 33 million phone numbers associated with the Authy application.NATÜRLICH haben sie ihn erst zugegeben, nachdem die Staatsanwaltschaft die Beweise gegen sie in der Hand hatte. NATÜRLICH haben die da Millionen von Datensätzen herumliegen gehabt. NATÜRLICH kam keiner von deren Auftraggebern auf die Idee, da mal nachzugucken, mit was für einer unseriösen Klitsche sie da ihre Verträge abschließen. Und NATÜRLICH stand da bei keinem Auftraggeber in den Verträgen eine Konventionalstrafe pro wegkommendem Datensatz drin.Weil das halt alles nicht Security sondern Theater ist.
“While Authy accounts are not compromisedNee, natürlich nicht. Das geben sie erst zu, wenn die Staatsanwaltschaft es beweisen kann. Wie immer bei den Tech Bros.
In der Praxis wollen euch alle 2FA aufdrücken, und implementieren es dann hinten schrottigst bis völlig kaputt. Warum ist das so? Weil es nicht um 2FA oder Security geht, sondern es geht darum, das Narrativ zu etablieren, dass der User hier das Sicherheitsproblem ist, nicht die Bank. Wir sprechen jetzt solange über den CO2-Footprint, äh, die Dinge, die der User machen kann, bis bei jedem auftretenden Problem sofort alle denken: Da wird wohl der User was nicht ordentlich gemacht haben.
Zur Erinnerung: Wir reden hier vom zahlenden Kunden. Der Kunde zahlt und kauft damit einen Service, die Bringschuld inklusive ordentlich machen und Security liegt beim Verkäufer. Nicht beim Kunden!
Im Übrigen hilft 2FA natürlich überhaupt nicht gegen Hacker bei denen im System. Wer bei denen im System ist, braucht sich ja nicht mehr deren System gegenüber zu authentisieren.
Ich persönlich hab jetzt schon mehrfach Hacks erlebt, bei denen meine Daten betroffen waren. Noch kein einziges Mal war es meine Seite, auf der die Daten weggekommen sind. Immer die andere Seite. Deshalb geben ich denen auch jeweils nur das absolute Minimum an Daten und lobbyiere gegen Gesetze, die Hotels zum Sammeln von Meldedaten zwingen.
Lasst euch nicht von 2FA-Vertrieblern verarschen.
Übrigens, am Rande. Hilft 2FA denn, wenn euer Rechner gehackt wurde? Nein, natürlich auch nicht! Nicht mal dann hilft 2FA! Euer 2FA-Gerät sagt euch doch nicht, was ihr da gerade bestätigt? Das steht auf dem Display vom gehackten Rechner. Niemand garantiert euch, dass ihr gerade das bestätigt, was ihr zu bestätigen glaubt. Außer euer 2FA-Gerät hat ein eigenes Display, das diese Daten anzeigt. Und dann ist es unattraktiv teuer und so komplex, dass es wahrscheinlich auch gehackt werden könnte.
Die Postbank hat z.B. eine App, die das tut. Und ohne diese App kann man sich bei denen nicht mal einloggen. Man loggt sich auch nicht mit seinem Namen oder seiner Kontonummer ein sondern mit einer alphanumerischen ID. Wenn die wegkommt, kann der Angreifer damit genau nichts machen.
Was tut also die Postbank? Sagt dem Browser, er soll sich die ID dort nicht merken. Hat das irgendeinen Security-Zweck? Nein. Das ist reine Schikane von Nichtsblickern, die mir gegenüber erfolglos zu simulieren versuchen, dass sie was von Security verstehen. Tun sie nicht.
Update: Was mich ja besonders fertig macht: Das war nicht das erste Mal. Aber keiner von euch schmeißt Zulieferer raus, die ihre Security verkacken. Warum auch?! Die haben ja jetzt gepatcht!1!!
Es findet ja auch niemand mehr negativ, wenn einen Hersteller mit mehreren Patches pro Woche fluten. Das wird sogar positiv gesehen! Immer dran denken: Jeder Patch heißt, dass die was verkackt haben. Die haben ihren Kunden kaputte Produkte geliefert und du trägst nicht nur das Risiko, darüber gehackt worden zu sein, sondern auch das Risiko, dass ihr Patch kaputt ist und deine Produktion zerschießt.
Update: Falls jemand keinen Bock hatte, die Primärquelle zu lesen (*fingerwackel*), hier noch ein Money Quote daraus:
Twilio found no evidence that the hackers gained access to its systems or that they obtained other sensitive data, but as a precaution urged Authy users to install the latest Android and iOS security updates.
Der Handlungsbedarf ist nicht etwa bei der Firma, die die Daten ihrer User über einen API-Endpunkt in die Welt geblasen hat. Nein, nein, mein Herr! Der Handlungsbedarf ist bei den Kunden, deren Daten hier vergewaltigt wurden. Zum Kotzen, sowas.
"Bürger Indonesiens, wir entschuldigen uns für die Tatsache, dass es alle betroffen hat", schreiben die Angreifer in einer bereits am Montag veröffentlichten Ankündigung mit der Überschrift "Wichtiger als Geld ist nur die Ehre". Darin betonen die Hacker, ihr Angriff sei nicht aus politischen Beweggründen erfolgt. Es habe sich lediglich um einen "Penetrationstest mit nachträglicher Zahlungsaufforderung" gehandelt.Aha. Soso. Ein Penetrationstest mit nachträglicher Zahlungsaufforderung!
Dein jüngster Artikel zu Microsoft, Win11 und verkackten Updates hat mich an die etwas außerweltliche Erfahrung erinnert, die ich vor einiger Zeit in einem Meeting mit Microsoft-Saldesdroiden gemacht habe, die ich Dir mal schildern wollte.Leider stimmt das in vielen Fällen sogar, dass die Leute völlig überfordert sind mit ihren Eigeninstallationen. Was nicht zuletzt daran liegt, wie kompliziert und beschissen dokumentiert aber gleichzeitig komplett die Untiefen versteckt hinter multiplen Abstraktionsschichten Microsoft-Software heutzutage ist.Zum Umfeld: Ich arbeite in einer mittelgroßen Bank in der IT-Security. Der Vorstand hat sich einen hippen CDO eingekauft, der hier mit Cloud und agil und so durchdigitalisieren soll. Azure findet er sehr geil, und so durfte ich neben seinen Lakaien vor einiger Zeit (Anfang des Jahres) an einem Meeting teilhaben, in dem MS mal darstellen sollte, was sie so alles Superes für uns tun könnten.
Das war…bizarr. Es handelte sich im Wesentlichen um eine Publikumsbeschimpfung. Die dreisteste Vorwärtsverteidigung, die ich je erlebt habe. Pointe: es funktioniert.
Seinerzeit war gerade wieder ein größerer Azure-Hack publik geworden. Der Leading Salesdroid, eine peinlich genaue Steve-Jobs-Kopie mit asketisch hagerer Statur, schwarzen Rollkragenpulli und trendigem Jackett ohne Kragen stieg gleich ein mit „JA, WIR WURDEN GEHACKT! Aber wenn sogar wir gehackt werden, dann haben SIE ja so gar keine Chancen, nicht gehackt zu werden! Deshalb: kommen Sie zu uns in die Azure-Cloud! Da beschützen die BESTEN DER BESTEN DER BESTEN Sie gleich mit! Das können Sie gar nicht selbst!“
Soso. Wie wäre es denn mal anstelle dessen mit der Bereitstellung von Software und Infrastruktur, die konsistent, durchschaubar und ordentlich gewartet ist?
Sein mitgebrachter Security-Bro hieb danach mit noch mehr Chuzpe und halb schreiend in die gleiche Kerbe: „Sie wurden noch nicht gehackt?!? DANN WISSEN SIE NUR NICHT, DASS SIE SCHON GEHACKT WURDEN!!!“
Haltlose Unterstellungen als Verkaufsargument. Holt mich gleich richtig ab.
Bevor er dann wichtig wichtig in den nächsten Flieger musste gab er dann natürlich auch zum Besten, dass nur MS in der Cloud in der Lage sei mit neuester KI unsere Infrastruktur zu schützen.
Das ließ mich alles echt sprachlos zurück. So eine kackdreiste Mischung aus Lügen, Schuldumkehr und Generierung von Verkaufschancen - das verdient fast schon Respekt.
Bonus: Die Zuständigen (ich war nur Gasthörer) fanden hinterher, das sei ein „super Termin“ gewesen.
Man lügt einfach dem Kunden ins Gesicht, er könne das einsetzen, ohne es zu beherrschen oder auch nur verstanden zu haben. Wenn was ist, kann er ja den Support anrufen.
Daher ist glaube ich die Metrik an der Stelle nicht, wo es unsicherer ist, sondern wo man für dasselbe inakzeptable Niveau an Inkompetenz und Unsicherheit mehr zur Ader gelassen wird. Und das ist ziemlich klar in der Cloud.
Es gibt da draußen noch vereinzelte gallische Dörfer, die den Anspruch haben, ihre IT-Landschaft selber beherrschen zu wollen, aber auch die sprenkeln da gerne Appliances drüber, die sie als Black Box betrachten und lieber nicht so genau hingucken.
Bei Star Trek gab es so einen Running Gag, wenn irgendein überlegener Gegner die Enterprise beschossen hat, dass sie dann die Schildfrequenzen moduliert haben. Microsoft fährt dieselbe Strategie. Die modulieren ihre Software immer schnell durch, und hoffen, dass der Angreifer keinen Exploit findet, der auch mit der Update nächste Woche noch funktioniert.
Das ist heutzutage der Goldstandard in Sachen Security. Je häufiger es Updates gibt, desto (weniger Kontrolle hat man) weniger schafft der Angreifer einen erfolgreichen Angriff. Wäre eigentlich eine prima Monty-Python-Nummer, wenn es nicht so tragisch wäre.
Microsoft has told customers that the Russian criminals who compromised its systems earlier this year made off with even more emails than it first admitted.Na? Um mal unsere Politik zu channeln: Ein nie dagewesenes Ausmaß an krimineller Energie!Wie? Nein, nicht bei den Hackern. Bei Microsoft. Shippen erst kaputte Produkte, nötigen dann ihre Kunden in ihre Cloud, die sie mit ihren besagten kaputten Produkten inkompetent und unsicher betreiben, werden dann über ihre kaputten Produkte und dazu auch noch inkompetent konfigurierte Konfigurationen gehackt und die Angreifer tragen eure Daten da raus.
Und wen blamed Microsoft? DIE RUSSEN!
Wieso kauft ihr eigentlich von denen? Ich meine, wie krass muss euch ein Hersteller verarschen, damit ihr da nicht mehr kauft?
Noch ist über das Ausmaß des Angriffs gegen die Fernwartungssoftware nicht viel bekannt - erste Hinweise auf die Urheber deuten auf Profis hin.Oh klar. Wir wissen nichts, aber es waren bestimmt Profis.
Ist euch mal aufgefallen, dass in der Geschichte der Welt noch nie jemand von Idioten gehackt wurde? Die Gehackten stellen das immer so dar, als seien die Angreifer besonders fähig, besonders gut ausgestattet, besonders gut organisiert, und im Übrigen von einer Regierung betrieben.
Nicht weil das so ist, sondern um ihr Totalversagen zu relativieren.
Hey, am besten gleich den Verfassungsschutz einschalten!!1!
Ich komm aus dem Fazialpalmieren gar nicht mehr raus hier.
Es gab noch nie einen Grund, Produkte von Check Point zu kaufen oder gar einzusetzen.
Wenn es nicht so warm wäre, würde ich an den rauchenden Ruinen der Parteien ein paar Marshmellows rösten.
Aber nicht doch, mein Herr!1!!
Ist aber egal. Ich bin inzwischen überzeugt, dass es nichts gibt, was Microsoft ihren Kunden antun würde, um die dazu zu bewegen, woanders zu kaufen.
Ich freu mich gerade besonders über diese Formulierung in dem Artikel:
Critical code-execution flaw was under exploitation 2 months before company disclosed it.So sieht das nämlich aus. Hersteller sitzen gerne monatelang auf Sicherheitslücken, bevor es einen Patch gibt. Der Kunde kriegt normalerweise gar nicht mit, wie lange der Hersteller schon von der Lücke wusste.Auch in diesem Fall weiß man das nicht genau. Aber man weiß, dass das schon monatelang aktiv ausgenutzt wurde, und der Hersteller fand es nicht nötig, ihre Kunden davon zu unterrichten.
Die Behörden nehmen den Vorfall "sehr ernst". Alles deute auf einen professionellen Akteur hin.Natürlich, mein Herr! Sonst wären die ja nicht durchgekommen!!1! Durch die hochprofessionellen Checklisten-Verteidigungslinien der CDU!1!!
Zum Ausmaß des Schadens oder zum Angreifer könne wegen der laufenden Ermittlungen nichts gesagt werden. "Die Art des Vorgehens deutet aber auf einen sehr professionellen Akteur hin", erklärte ein Sprecher.Ja hatten die etwa kein Active-Directory-Webinar bei Heise gebucht?!?
Sehr geil auch: Für einen Angriff mit DERMASSEN enormer krimineller Energie reicht die normale Polizei nicht aus. Da musste die CDU den "Verfassungsschutz" einschalten.
Und da, muss ich sagen, bin ich dann doch ausnahmsweise mit der Gesamtsituation zufrieden. Die CDU kriegt jetzt die volle Inkompetenz zu spüren, die sie selbst zu verantworten hat. Bei sich selbst und beim "Verfassungsschutz".
Der Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik hätten Ermittlungen aufgenommen.Oh und beim BSI! HAHAHA, wunderbar! Auch deren Inkompetenz hat die CDU zu verantworten.
Die Vorstellung, dass das BSI denen jetzt eine Familienpackung Checklisten per Kurier vorbeibringt, füllt mich mit großer Genugtuung.
Bonus:
"Unsere Sicherheitsbehörden haben alle Schutzmaßnahmen gegen digitale und hybride Bedrohungen hochgefahren und klären zu Gefahren auf. Wir sehen erneut, wie notwendig dies gerade vor Wahlen ist."Tja, äh, Pro-Tipp fürs nächste Mal: VOR dem Angriff Security machen.
Update: Die CDU ist auch für das Hackertoolverbot verantwortlich, das Sicherheitskräfte kriminalisiert und außer Landes getrieben hat, die ihnen jetzt hätten helfen können. Und sie haben Lilith Wittmann angezeigt, als die ihnen eine Sicherheitslücke melden wollte und damit auch den CCC dazu gebracht, ihnen keine Lücken mehr zu melden.
The head of Canada's Security Intelligence Service warned Canadians against using video app TikTok, saying data gleaned from its users "is available to the government of China,"Der Mann hat völlig Recht. Man muss da aufpassen. Das ist nicht wie bei Reddit, wo die Daten der Regierung offenliegen, und auch den Werbepartnern, und auch noch an OpenAI verkauft werden.Oder wie bei Slack, Teams oder Zoom. Oder Twitter oder Linkedin. Die fallen alle unter den Cloud Act.
So gesehen sind die Chinesen noch vergleichsweise ungefährlich, denn deren Regierung hat sich bisher eher selten hacken lassen.
Tiktok tut außerdem nicht so, als hätten sie Ende-zu-Ende-Verschlüsselung, und hat sie dann nicht. Wie Telegram.
Falls ihr also dachtet, dass euch Europol vor Cyberkriminellen schützen wird, dann solltet ihr einen Plan B vorbereiten.
Da kann schon mal versehentlich der Account mit allen anhängenden Diensten und Daten wegkommen. Also nicht wegkommen im Sinne von "aufhackt" oder "Daten geklaut". Nein, nein.
Google Cloud accidentally deletes UniSuper’s online account due to ‘unprecedented misconfiguration’Wie dieser alte Witz, wo der Sherriff eine Leiche mit 10 Messern im Rücken inspiziert. Läuft so langsam rum, guckt sich das aus allen Richtungen an, meint dann so: This has got to be the worst case of suicide I have ever seen.Nene, Leute, keine Panik, das war eine Fehlkonfiguration, die wir so noch nie gesehen haben!
Fehlkonfiguration. Kann man nichts machen.
Vor allem war das wohl nicht mal eine Fehlkonfiguration von UniSuper (ein australischer Fonds)! Harr Harr.
Die haben sich erst gedacht: Hey, wir zahlen da extra für geografisch verteilte Replikation. Wenn eine Kopie einer Katastrophe zum Opfer fällt, haben wir noch die andere.
Nur leider hingen die am selben Account und der fiel aus, woraufhin beide Kopien automatisch entsorgt wurden.
Hey, da willste doch deine Daten lagern und deine Firmen-IT hinmigrieren!!1!
Ich glaube kein Wort. Erstens Mal ist das alles noch sehr nebulös. Das ist eher ein Testballon, ob man damit die Presse bamboozeln kann, als eine Ankündigung.
Zweitens legen sie direkt mit Weasel Words los, "part basing of the compensation" und "our progress in meeting our security plans and milestones".
Die können also selbst die Bedingungen festlegen, unter denen sie weniger Geld kriegen.
DAS KLAPPT BESTIMMT SUPER!
Im Übrigen ist bekannt, dass bestrafen nicht funktioniert für Security. Daher macht man bei Flugzeugen das Gegenteil. Niemand ist Schuld, es geht um Vermeiden von Wiederholungen, dazu müssen wir aus Vorfällen lernen.
Wenn du Strafen verhängst, erzeugst du eine Kultur, in der Sicherheitslücken nicht gefixt sondern geleugnet werden.
Wie ernst sie das nehmen? Seht selbst:
"Security underpins every layer of the tech stack and it's our No. 1 priority," Nadella said on a conference call with analysts. "We are doubling down on this very important work, putting security above all else, before all other features and investments."Das ist natürlich eine hanebüchene Lüge. Windows fällt in den letzten Jahren vor allem dadurch auf, dass es noch mehr Überwachung macht und noch mehr Werbung einblendet und einen zum Verwenden von noch mehr Microsoft-Clouddienste überreden will, damit noch mehr Daten abgreifbar sind.Das letzte Mal, als Security bei Microsoft eine Rolle gespielt hat, war als Bill Gates noch Memos rumgemailt hat, dass er XML geil findet.
Update: Wo wir gerade bei Microsoft und Security waren: Hier ist noch eine Story dazu, wo sie schreiben:
The United States government kept buying and using Microsoft products, and senior officials refused to publicly rebuke the tech giant. It was another reminder of how insulated Microsoft has become from virtually any government accountability, even as the Biden administration vows to make powerful tech firms take more responsibility for America’s cyberdefense.
So sieht's aus. Es ist so schlimm, dass schon peinliche Fragen fallen wie:
Asked about experts’ arguments that Microsoft’s strategy of profiting off of cybersecurity is incompatible with a security-first mindset, Faehl says, “We would disagree with that characterization.”
Die Einschläge kommen näher! Wenn man doch nur ... wie nennt man das sonst im Leben? Haftung? Ja, Haftung! Wenn man doch nur Haftung für Software machen könnte!1!!
Vor vier Jahren: NSA warnt Microsoft, dass der Printer Spooler (seit Jahrzehnten eine einzige Katastrophe) aktiv exploitet wird.
Vor zwei Jahren (ja, zwei Jahre saß Microsoft da drauf) machen sie einen Patch, aber schreiben ins Advisory nicht rein, dass das aktiv exploitet wird.
Jetzt machen sie einen Blogpost mit ihren überragenden Investigativ-Ergebnissen, dass die Russen Tools haben, um das zu exploiten.
Währenddessen steht am Advisory immer noch nicht dran, dass das aktiv exploitet wird.
Ich persönlich finde das ja keinen relevanten Datenpunkt, ob der Hersteller weiß und zugibt, dass etwas aktiv exploitet wird. Alle Patches einspielen. Immer. Sofort.
Das Tool, das sie jetzt "aufdecken", ist seit 2019 in freier Wildbahn im Einsatz.
Der Gehackte konnte dann einfach behaupten, "alles getan zu haben", denn gegen EiNe RegIErUnG kann man nichts machen.
Der tatsächliche Angreifer kann ungestört weiterhacken, denn gegen EiNe RegIErUnG kann unsere Polizei ja nichts machen.
Unsere Polizei kann ein paar Monate die Akten Moos ansetzen lassen und dann ungetaner Dinge die "Arbeit" einstellen, denn gegen EiNe RegIErUnG kann unsere Polizei ja nichts machen.
Die unseriösen Security-Klitschen, deren Schlangenöl die Gehackten eingesetzt hatten, sind auch nicht ein Erklärungsnot, denn gegen EiNe RegIErUnG kann man sich ja eh nicht verteidigen.
Auch bei der Nordstream-Explosion haben alle sofort gesagt, das wird eine Regierung gewesen sein, aber da scheint das gerade nach hinten loszugehen, denn die Versicherungen wollen jetzt nicht zahlen. Begründung: Wenn das eine Regierung war, dann war das eine kriegerische Handlung, und gegen sowas versichern wir nicht.
Ja, äh, Scheiße, Bernd! Auf der anderen Seite auch abzusehen. Das Geschäftsmodell von Versicherungen beschränkt sich auf das Kassieren. Auszahlen war noch nie so deren Ding. (Danke, Karim)
Wir brauchen glaube ich mal einen Steelman-Vortrag zum Wasserfall. Ein Vortrag, der dem Publikum ernsthaft zu verkaufen versucht, wieso man das machen sollte.
Ich finde das ja generell sehr abstoßend, wenn Leute alle performativ gegen irgendwas sind, weil alle anderen auch dagegen sind. Am besten etwas, das jahrzehntelang Stand der Technik war, und von den erfolgreichsten Organisationen seiner Zeit verwendet wurde. Eine Methode, ohne die wir keine Mondlandung und keine Computer hätten.
Ich verstehe ja, dass die Entwickler das alle unsexy finden. Das Modell hätte auch versagt, wenn das nicht so wäre. Denn das Wasserfallmodell kommt halt aus dem Management und versucht, Entwickler möglichst austauschbar (und billig!) zu halten. Wasserfall versucht das Fordsche Fließband-Konzept auf Softwareentwicklung anzuwenden.
Die Entwickler sollen möglichst wenig Verantwortung übergeben kriegen, und bitte keine Entscheidungen treffen, die sich später rächen können. KLAR finde ich als Entwickler das scheiße! Ich möchte gerne eine Schneeflocke sein, einzigartig und wertgeschätzt für meine großartigen Fähigkeiten.
Wir sind ja inzwischen sogar noch viel weiter. Softwareentwickler nehmen die Situation regelmäßig so wahr, dass sie nach einem Software-Projekt mehr Domain Knowledge haben als der Kunde, für den sie die Software schreiben!
Softwareentwickler halten sich genau so gerne für Gott wie andere Diziplinen!
Für den Kunden (und für die Firma, die mich angestellt hat!) ist es aber besser, wenn der Entwickler ein Rädchen im Getriebe ist, dessen Fähigkeiten sich darauf beschränken, sich zu drehen. Und zwar so schnell und in die Richtung, die vom Domain Expert vorgegeben wird. Das war damals eine separate Berufsbezeichnung, nannte sich Softwarearchitekt. Heute ist Softwarearchitekt bloß ein Pay Grade in vielen Firmen, wo man halt nach soundsovielen Jahren hinbefördert wird als Entwickler.
Genau wie wir mit Devops die Ops-Leute abgeschafft haben, und mit DevSecOps die Security-Leute, und mit Agile die Tester, genau so gab es bei Wasserfall noch Architekten.
Genau wie es sich bei DevOps herausgestellt hat, dass du nicht einfach die Entwickler nebenher Ops machen lassen kannst, und das dann insgesamt billiger wird, genau wie sich bei DevSecOps herausgestellt hat, dass du nicht einfach Entwickler auch Security machen lassen kannst, und dann wird das billiger oder besser, genauso hat sich nach der Wasserfall-Abschaffung herausgestellt, dass nicht jeder "Entwickler" das Zeug zum Softwarearchitekten hat. Aber die Entwicklergehälter sind halt entsprechend hochgegangen, daher ist das heute normal, dann halt auch Architektur zu erwarten von denen.
Typische Ausreden gegen das Wasserfallmodell sind "Wir haben gar keine Domain Experts". Ich halte das für Bias von Entwicklern, die trotzdem das Projekt machen und Geld verdienen wollen. Klar sagen die dann nicht, was sie sagen sollten, nämlich: Dann können wir diese Software nicht seriös anbieten. Die sagen lieber "pass uff, Atze, wir machen das agile. Die Software ist fertig, wenn ihr kein Geld mehr nachschießen könnt. Wenn ihr immer schön mithelft, wird das vielleicht was. Vielleicht auch nicht."
Das sind Zustände wie beim Berliner Großflughafen! Da schäme ich mich für meine Profession, wenn da solche Marktteilnehmer rumlaufen!
Inzwischen hat sich das aber nicht nur durchgesetzt, sondern es hat die Gesamtsituation, dass Software halt nie fertig ist, immer teurer wird, und das Problem nicht löst, so normalisiert, dass die Leute das für normal halten.
Die Leute haben nicht Wasserfall gemacht, weil sie böse Menschen waren, sondern weil das Modell Dinge versprochen (und zumindest teilweise eingelöst!) hat, die attraktiv waren.
Früher hatte man auch Fachkräftemangel. Die Antwort war: Dann nehmen wir die Leute, die wir kriegen können, für die Architektur und das Pflichtenheft und das Domain Knowledge, und das Eintippen des Codes können halbgeschulte bessere Tippkräfte machen.
Heute haben wir Fachkräftemangel, und die Antwort ist: Wir suchen alle nach "Full Stack Engineers" mit 20 Jahren Kubernetes-Erfahrung, die seit 50 Jahren Java programmieren, aber höchstens 25 Jahre alt sind.
Klar funktioniert das nicht, aber wenigstens machen wir keinen Wasserfall mehr!!1!
Update: Jetzt werde ich gerade unsicher, ob ich Wasserfall vielleicht falsch verstanden habe. Ein Leser meint (mit Verweis auf Wikipedia), dass es da keine Iterationen gibt. Gibt es natürlich trotzdem, auch wenn du die dann "Folgeprojekt" nennst. Den Einwand wische ich also mal eben zur Seite *hust*
Heutzutage geht das schon als Wasserfall durch, wenn du vor dem Loshacken ein Pflichtenheft gemacht hast.
Das Originalpaper von WW Royce aus dem Jahre 1970 ist übrigens ganz witzig. Mit so Krachern wie
Many additional development steps are required, none contribute as directly to the final product as analysis and coding, and all drive up the development costs. Customer personnel typically would rather not pay for them, and development personnel would rather not implement them. The prime function of management is to sell these concepts to both groups and then enforce compliance on the part of development personnel.
Wasserfall war also ursprünglich nicht "so müsst ihr das machen" sondern eher "diese Schritte sind auch noch nötig, sonst wird das nichts". Überhaupt kommt viel der Dogmatik in der Computerei aus neuerer Zeit. Früher war man da deutlich experimentierfreudiger. Deshalb haben die Leute damals ja auch Dinge hingekriegt, während wir heute hauptsächlich heiße Luft und kaputte Software produzieren und nach "KI" schreien, um uns zu retten.
Royce nimmt die Kritik sogar teilweise selbst vorweg, indem er schreibt, dass das Testen erst nach der Implementation eigentlich zu spät ist und ein teures Redesign nach sich ziehen kann. Nicht nur das: Royces Modell sah Feedback entgegen der "Flussrichtung" des Wasserfalls vor (Figure 4), sowie Prototyping, im Gegensatz zum Vorgängermodell von Benington, das da starrer war.
Hier ist noch ein wunderbarer Abschnitt:
At this point it is appropriate to raise the issue of - "how much documentation?" My own view is "quite a lot;" certainly more than most programmers, analysts, or program designers are willing to do if left to their own devices. The first rule of managing software development is ruthless enforcement of documentation requirements.
Das ist kaum der verstaubte Antichrist der Softwareentwicklung, den die Agile-Leute da als Strohmann verbrennen.
After documentation, the second most important criterion for success revolves around whether the product is totally original. If the computer program in question is being developed for the first time, arrange matters so that the version finally delivered to the customer for operational deployment is actually the second version insofar as critical design/operations areas are concerned
Von wegen keine Iterationen!
For some reason what a software design is going to do is subject to wide interpretation even after previous agreement. It is important to involve the customer i n a formal way so that he has committed himself at earlier points before final delivery. To give the contractor free rein between requirement definition and operation is inviting trouble.
Von wegen "der Kunde wird nicht involviert". Wikipedia liegt falsch und die Agile-Leute sind Lügner.
Klar müsste sie! Machen unsere versifften Behörden und Firmen natürlich nicht. Aber die Amis operieren noch unter der Annahme, dass man Microsoft-Infrastrukturen sicher betreiben kann.
Ist ja auch egal. Ist ja nicht deren Geld. Sind ja nur Steuergelder.
Und unsere Behörden? Das BSI? Da fällt mir dieser alte Mittermeier-Sketch ein. MIR TUN MAS MIR KÖNNNN!
Offensichtlich lohnt es sich, die Kunden einfach Hackern ans Messer zu liefern. Spart Kosten und die blöden Kunden haben offensichtlich kein Problem damit sondern bleiben Kunden.
Wir erinnern uns: Der Chef meinte damals, da sei ja wohl der Staat gefordert, um seine ranzige, unsichere IT vor Ransomware zu schützen. Wie immer halt. Profite privatisieren, Kosten vergesellschaften. (Danke, Mark)
Der Tiefkühlkosthersteller Ardo ruft wegen möglicher Metallspäne in einzelnen Verpackungen verschiedene Spinat-Artikel zurück.Der Ruf ist übrigens unbegründet.
Auch der Ruf von Karotten, gut für die Augen zu sein, ist übrigens unbegründet. Die Briten haben im 2. Weltkrieg die Legende verbreitet, weil sie Radar hatten und den Nazis eine unschuldige Begründung für die steigenden Abschussquoten geben wollten.
Dieses CVE-Sammeln und dann (am besten automatisierte) Suchen nach CVEs in Versionen hat dazu geführt, dass CVEs eine Währung geworden sind. Mit CVEs gegen Produkte kann man Hersteller erpressen.
Das hat zu Dutzenden von "ethical hacking"-Bullshit-Sites geführt, und einer veritablen Armee von Schlammfischern, die auf irgendwelchen Webseiten herumklicken und dann "Sicherheitslücken" melden.
Das Geschäftsmodell ist, die Webseitenbetreiber anzubetteln, dass sie doch mal eine Bug Bounty raustun sollen, sonst sagt man ihnen nicht, was die Lücke sein soll. Hier kann man sich das mal in der Praxis angucken. Ganz großes Elend, sowas.
A CISA spokesperson said in a statement that “there is no operational impact at this time” from the incident and that the agency continues to “upgrade and modernize our systems.”Gehen Sie weiter! Gibt nichts zu sehen hier!Ist alles sicher jetzt, denn Microsoft wird uns retten. Das Microsoft, das die Hacker nicht aus ihren eigenen Systemen rausoperiert kriegt. Das Microsoft, das russische Hacker eine dezentrale Kopie ihrer Quellcode-Kronjuwelen machen ließ. DIE werden uns schützen.
Oh, und natürlich die Compliancetheaterbehörden, ob sie jetzt CISA oder BSI heißen. Hey, habt ihr schon die neue Lage Schlangenöl über euer Active Directory gesprenkelt? Jede Woche ein "Security-Produkt" mehr, wisst ihr doch!
Früher war die Argumentation immer: root kann /dev/kmem aufmachen und die Platte formatieren, das ist äquivalent zu Kernel-Zugriff. Genau so unter Windows: Admin kann Kernelmodule laden, ist daher äquivalent zu Kernel.
Später hat sich das dann langsam geändert, als Code Signing für Kernelmodule eingeführt und später erzwungen wurde. Ich habe aber schon vor 20 Jahren mit Microsoft verhandelt, dass das eine Security Boundary sein soll, bevor das mandatory war.
Inzwischen kann Admin nicht mehr einfach irgendwelche Module laden, sondern nur noch solche mit valider Signatur. Das ist aus meiner Sicht das Ende der Debatte, denn offensichtlich handelt es sich jetzt um eine Security Barrier.
Ich habe damit ein paar Bugfixes durch-gebullyt gekriegt (am Ende entscheidet nicht die Policy sondern der einzelne Entwickler, ob der Bug gefixt wird; niemand hindert einen Entwickler am Fixen eines Bugs, auch wenn die Policy den nicht so schlimm findet). Aber die offizielle Policy wurde nie geändert.
Das führte zu bekloppten Situationen wie dass die fiesen Ransomwarer eine Lücke aktiv ausnutzen, um von Admin zu Kernel zu kommen, und Microsoft weigert sich die zu fixen, weil die Policy sagt, Admin = Kernel. Nach sechs Monaten (!) haben sie die Lücke jetzt doch zugemacht.
Immer dran denken: DAS sind die Leute, die ihr eure Klöten halten lasst, in deren Cloud ihr eure Kronjuwelen migriert habt.
Tja und jetzt überlegt euch mal: Wenn Microsoft schon ihre eigenen Kerneltreiber nicht sicher kriegt, wieviel Vertrauen solltet ihr dann in anderer Leute Kerneltreiber haben?
Das ist immer eine tolle populistische Forderung, weil alle "Experten" sofort zustimmen werden.
Währenddessen werden die Leute rechts und links geransomwared, Active Directory braucht auch keine Memory Corruption Bugs. Shitrix war nicht Memory Safety. Die Exchange-0days gerade waren nicht Memory Safety. Die Gitlab-Bugs waren nicht Memory Safety. etc pp.
Versteht mich nicht falsch. Memory Safety ist gut und wichtig. Aber die Mitigations machen die Ausnutzung inzwischen nervig genug, dass ihr wahrscheinlich eher über andere Lücken aufgehackt werdet.
Die ganzen Atlassian-Bugs waren auch nicht Memory Safety glaube ich.
Jensen Huang says kids shouldn't learn to code — they should leave it up to AIDas muss man verstehen. Der nimmt an, dass alle bloß talentlose Großmäuler sind wie er. Und für Blender ist "KI" super! Liefert prima Bullshit am Fließband und man kann am Ende einfach sagen, die "KI" sei schlecht gewesen.Ich habe hier schon ein paar Mal erzählt, dass ich bei der Lektüre von Dystopie-Scifi immer unrealistisch fand, dass die Menschen sich eine Infrastruktur hinstellen würden, die komplett hackbar ist. Alles offen wie ein Schneunentor.
Das hat sich ja inzwischen geklärt, wie diese Dystopie Realität werden konnte. Wir sind einfach alle zu blöde. Wir haben die Verantwortung in die Hände von inkompetenten und borderline kriminellen Tech-Bros gegeben. Wir haben uns von inkompetenten und borderline kriminellen Wirtschafts-"Wissenschaftlern" erklären lassen, dass es zu teuer wäre, das ordentlich zu machen.
Es gibt aber noch andere Dinge, die ich fragwürdig fand, und die sich inzwischen geklärt haben. In Fantasy-Literatur gibt es das Trope des alten Wissens, vergessen aber allem überlegen, was wir heute haben. Wie soll das bitte passieren? Fand ich auch immer absurd.
Jetzt wissen wir es. Wir drucken aus Kostengründen auf Papier, das von selbst zerfällt, und vernichten digitales Wissen mit ewig länger werdenden Copyrights und DRM.
Dennoch könnte man immer noch einwenden, dass es ja private Wissensarchive gibt, und Raubkopierer. Es müsste also immer noch irgendwo Leute geben, die den Scheiß verstehen und warten können.
Auch das hat sich jetzt geklärt. Nicht, wenn man Dinge von "KI" machen lässt. Dann gibt es schon zur Konstruktionszeit niemanden, der versteht, wie der Scheiß funktioniert.
Wir haben uns zielgerichtet die beschissenste Kombination aus beschissenen Dystopien herausgesucht und in die Praxis umgesetzt. Wie konnten wir als Spezies das so weit schaffen!?
Lasst euch davon mal bitte nicht blenden. Die Polizei ist hier massiv im Hintertreffen. Die Polizei greift spezifische Ziele an. Die Ransomwarer schießen einfach mit der Schrotflinte ins Gehege und holen dann die toten Tiere raus.
Von der Schwierigkeit liegen da Größenordnungen dazwischen.
Ich will die Leistung der Polizei hier nicht kleinreden, im Gegenteil. Wenn sie auf der Lockbit-Darknet-Seite statt der Countdowns für die erpressten Firmen (in ZWEI Tagen veröffentlichen wir eure Daten, wenn ihr nicht zahlt) einen Countdown für das Bekanntgeben des Klarnamens des Chefs der Ransomwaregruppe hintun, dann ist das schon lustig und ich würde sogar sagen, dass das Hack Value hat.
So und jetzt denken wir mal eine Runde weiter. Wenn die Polizei es unter diesen widrigen Umständen schafft, Lockbit einmal die Infrastruktur wegzusnipern, obwohl die hinter Tor war und so weiter, dann haben die mehr als die nötigen Fähigkeiten, um jedem von euch und mir alle Infrastruktur wegzusnipern. Die Idee, dass ihr euch mit ein paar technischen Tricks wie Server im Ausland oder Tor Hidden Service schützen könnt, die ist nicht mehr aufrecht zu erhalten.
Ist das jetzt gut oder schlecht? Kommt auf eure Bild vom Rechtsstaat an und für wie korrupt ihr die Behörden haltet. Bei mir ist ja nach dem Urteil gegen die Filesharing-Oma ohne Computer nicht mehr viel übrig vom Glauben an den Rechtsstaat.
Ja aber Fefe, du machst doch nichts kriminelles, du musst doch keine Angst vor der Polizei haben?
Es gibt durchaus Dinge, die ich für richtig und wichtig finde, die aus irgendwelchen Gründen in unserem Rechtssystem als verboten gelten. Ich bin beispielsweise ein Sympathisant von frei zugänglichen akademischen Papers. Ich finde es grotesk, dass sich Sci-Hub in einer Diktatur vor dem Zugriff der freidrehenden westlichen DRM-Mafia verstecken muss. Und dass wir uns gleichzeitig dauernd anhören müssen, dass wir einen Fachkräftemangel haben. Ja, äh, vielleicht hätten wir den nicht, wenn wir nicht das Wissen der Welt hinter eine Paywall von unseriösen Aasgeier-Verlagen gepackt hätten!
Wenn unsere Behörden die technische Befähigung haben, um Lockbit plattzumachen, können sie damit auch Raubkopierer plattmachen, oder unliebsame Journalisten. Ich persönlich habe daher immer vertreten, dass der Staat besser nicht alle Zugriffsmöglichkeiten kriegt, und einige Verbrechen dann halt ungesühnt bleiben.
Wie demaskiert man Tor Hidden Services? Mit Trafficanalyse und Timing-Korrelationen. Man generiert Traffic zum Hidden Service und dann guckt man, ob man Pakete dieser Größe kurz danach irgendwo anders wiederfindet. Wenn die Behörden also die Tor Services demaskieren konnten, dann haben sie auch Trafficdaten über allen Traffic da draußen. Auch deinen hier gerade zu meinem Blog.
Update: In diesem Fall haben sie einfach einen PHP-Exploit gegen die Dark-Net-Site gefahren und mussten gar nicht Tor demaskieren. Die obigen Überlegungen sind trotzdem jetzt angemessen bis notwendig, finde ich.
Das BSI äußert sich zur eID-Nummer. Das ist ein Feuerwerk aus sorgfältig formulierter Krisen-PR, ein Windbeutel neben der nächsten Nebelwand, eingebettet in ein Laken aus Nullaussagen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde.Das "vermeintlich" ist eine Frechheit. Wenn sie geschrieben hätten "in der eID-App", dann hätte man hier verhandeln können. So ist das schlicht eine dreiste Unterstellung und eine Frechheit. Das ist eine tatsächliche Sicherheitslücke, und das BSI trägt die Verantwortung, weil sie die App für die Plattform hätten verhindern können, aber es nicht getan haben.
Im Ergebnis betont das BSI: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen.Ja, äh, doch! Genau das ist es! Wenn du eine App für Apple-Geräte baust, und die Sicherheitsgarantien macht, die sie nicht einhalten kann, dann ist das eine Lücke im System. Auch wenn deine App nicht Schuld ist.
Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion.Das ist eine Bankrotterklärung des BSI. Sie sagen uns hier: Ja gut, dass man daran sterben kann, das, äh, das wussten wir die ganze Zeit und das war absichtlich so durchgewunken (weil wir sonst zugeben müssten, dass wir völlig inkompetente Tester sind und unsere Risikobewertungen nicht das Papier wert sind, auf dem wir sie ausdrucken). Das ist wie wenn Donald Trump sagt, dass er absichtlich Nancy Pelosi und Nikki Haley verwechselt.
Um die Online-Ausweisfunktion des Personalausweises missbräuchlich verwenden zu können, ist ein mehrstufiger Cyberangriff auf ein mobiles Endgerät der Anwenderinnen und Anwender erforderlich.Lassen Sie mich nochmal die ENORME KRIMINELLE ENERGIE betonen, die jemand aufbringen müsste, um Sie zu hacken! Der Angreifer müsste Sie dazu bringen, dass Sie eine App installieren!1!! So wie es z.B. alle Supermarktketten erfolgreich tun, und die Deutsche Bahn. Und Behörden (KATWARN, NINA). Eine IMMENSE kriminelle Energie also!!1!
Dazu muss das mobile Gerät entweder vollständig kompromittiert werden oder die Anwenderinnen und Anwender müssen aktiv eine entsprechend manipulierte App installieren.Kommt, guckt mal kurz auf einer Smartphone, wie viele Apps ihr aktuell installiert habt. Dreistellig? Vierstellig?
Des Weiteren ist es bei jedem einzelnen Angriffsvorgang notwendig, den Ausweis physisch an der NFC-Schnittstelle zu platzieren. Ein vergleichbarer Angriff wäre auch bei zahlreichen weiteren Online-Diensten denkbar.Niemand würde niemals nie nicht sein Telefon in der Nähe seiner Geldbörse aufbewahren!!1! Und außerdem ist Paypal ja auch unsicher. Wer also einen Hauskauf mit der Paypal-App signiert, der sollte mal über sein Risikoprofil nachdenken!1!!
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen. Das BSI empfiehlt die Verwendung von durch das BSI zertifizierten Apps wie z.B. der AusweisApp, die kostenfrei durch den Bund zur Verfügung gestellt wird.Die andere App kam aus dem App Store. Das ist eine vertrauenswürdige Quelle. Das sind peinliche Nebelkerzen hier gerade.
Das BSI prüft zudem, mit welchen zusätzlichen Maßnahmen die Nutzung der Online-Ausweisfunktion noch sicherer gestaltet werden kann."Das BSI prüft" ist das neue "der Verfassungsschutz beobachtet", ja? Absolut grotesk. Es gab keinen Angriff. Wenn es ihn gab, dann war immense kriminelle Energie nötig. Wir haben nichts falsch gemacht! Aber wir gucken jetzt mal, ob wir was besser machen könnten. Das ist wie bei Calvin & Hobbes!
Lange las ich nicht mehr etwas so peinliches wie diese Presseerklärung vom BSI. *fremdschäm*
Ein unter dem Pseudonym CtrlAlt auftretender Sicherheitsforscher hat einem Spiegel-Bericht zufolge eine Schwachstelle im eID-Verfahren aufgedeckt. Damit sei es ihm gelungen, im Namen einer fremden Person ein Konto bei einer großen deutschen Bank zu eröffnen.Nota bene: Das war genau das Szenario, das das Verfahren verhindern sollte.
Vielleicht sollte da doch mal jemand jemanden fragen, der sich mit sowas auskennt?
Ich könnte ja viel gelassener auf sowas reagieren, wenn es nicht meine Steuergelder wären, die da für Cyberclown-Securitytheater verbrannt würden.
Aus dem Blogpost des Forschers:
A responsible disclosure process was conducted with the BSI (Bundesamt für Sicherheit in der Informationstechnik), during which the BSI acknowledged the presence of the vulnerability. Their defense centers on the user’s responsibility for maintaining the security of their client devices.War ja klar. BSI so: Habt ihr auch alle 17 Lagen Schlangenöl gestapelt? Ja? Dann macht mal sicherheitshalber noch eine 18. Lage drüber!1!!
Lasst mich das an dieser Stelle nochmal absolut unmissverständlich sagen: Wenn du davon ausgehst, dass die Endgeräte sicher sind, DANN BRAUCHST DU KEINEN NPA ZU VERTEILEN! Vollpfosten, allesamt.
However, users typically exhibit poor security practices. In addition, this paper demonstrates that the attack remains successful even when all BSI recommendations are followed and client devices are updated.Ach. Ach was. Das war bloß Ass-Covering? Nur Security-Theater? Hätte uns nur rechtzeitig jemand gewarnt!!1!Hey, Fefe, ich habe gehört, die neue BSI-Chefin kommt aus der Informatik. Die ist gar kein Cyberclown! Mit der wird bestimmt alles besser jetzt!1!!
Kommt, liebes Publikum, rollt noch eine Ehrenrunde Schlangenöl über eurer Infrastruktur aus. Wer zuerst über sein Schlangenöl geransomwared wird, muss eine Runde ausgeben!
Update: OK, nochmal mit ein bisschen Abstand. Sicherheitsforscher mit Pseudonym, Blogpost auf Medium und PDF auf Dropbox, da gehen direkt alle Unseriositätslampen an. Bei euch hoffentlich auch. Inhaltlich haben wir es hier mit einer Eigenheit der Apple-Plattform zu tun, nicht mit einem Bug in der App, und die App kann da inhaltlich auch nicht so viel gegen tun jetzt.
Meine Einstellung dazu ist: Apple sind ein paar Tech-Bros aus Amerika, mit einem beschissenem Security-Track-Record. Die sind durch die BSI-Empfehlungen überhaupt erst zu einer satisfaktionsfähigen Plattform geworden für nPA-Scheiß, und da hat das BSI schlicht niemanden, auf den sie jetzt zeigen können. Das ist deren Verkacken, aus Gründen von Realpolitik. Aber aber aber der Minister verwendet ein Apple-Telefon!!1! Da können wir doch nicht ... ja, äh, doch. Könnt ihr nicht nur, das wäre genau eure Aufgabe gewesen, ihr Cyberclowns. Nicht dass Android fundamental besser wäre.
Wenn du findest, das das Gerät vertrauenswürdig sein sollte, dann ist Anforderung Nummer 1, dass da kein Code nachinstallierbar ist. Damit sind wir dann aber bei einer Gerätekategorie wie einem Analogtelefon oder einer Supermarktkasse.
Das ist übrigens alles gaaaaanz kalter Kaffee. Windows NT hat damals Ctrl-Alt-Del für den Login-Screen eingeführt, den sogenannten Secure Attention Key. Das war genau diese Kategorie von Problem. Wie verhindern wir, dass eine Anwendung so aussieht wie ein Login-Screen, und User ihre Passwörter dort eingeben? Du brauchst einen Weg, wie der User erkennbar einen sicheren Eingabepfad hat, und da darf sich dann auch niemand einklinken und mitlesen können. Das ist dann aber alles Software und möglicherweise hackbar. Eigentlich geht das nur, wenn da keine Software nachinstallierbar und die Hardware verplombt ist.
Hier haben wir es mit einer anderen Art von einklinken zu tun, aber die Kategorie Problem ist dieselbe.
Update: Wisst ihr, wer 2010 auf die Problematik mit den sicheren Eingabegeräten hinwies? Anlässlich des "neuen elektronischen Personalausweise" und der SuisseID? Der CCC! Schade nur, dass nie jemand auf die Experten hört. War wichtiger, auszusehen, als würde man Digitalisierung vorantreiben.
Update: Fortsetzung. (Danke, Tenshi)
Sagt mal, habt ihr eigentlich Windows Defender laufen, um euch vor Malware zu schützen?
Wieso verbreiten die jetzt diesen Schwachsinn mit den DDoS-Zahnbürsten? Ich weiß es auch nicht. Aber ich habe Vermutungen.
Erstens mal, der Vollständigkeit halber. Nein, es gab da keinen DDoS. Das war ein hypothetisches Szenario. Muss wohl bei der Übersetzung verloren gegangen sein.
Zweitens: Die hatten noch nie einen guten Ruf. Die hatten damals behauptet, sie hätten ein eigenes Realtime-OS gehackt, was sich dann als ein Linux herausstellte, wenn man das Image gegen den hartkodierten Wert XORt. Aber das sind ja alte Kamellen. Neuer ist "FortiSIEM - Multiple remote unauthenticated os command injection". Ah, die Königsklasse! In der "oh Mann ist das peinlich"-Liga!
Aber warte, Fefe, das war doch letztes Jahr. Das haben die doch bestimmt schnell gefixt.
Klar! Microsoft-Style! Der Patch war rottig und jetzt mussten sie für dieselben Bugs neue Patches machen.
Wer kauft bei solchen Leuten?!
Überlegt mal, wie einfach sich das BSI das machen könnte! Einfach gucken, was Gartner empfiehlt, und jeweils direkt eine Warnung raushauen. Fertig!
Update: Die Aargauer Zeitung sieht sich übrigens als Opfer und bestätigt, dass es sich um ein hypothetisches Szenario gehandelt habe. Das war bestimmt mit "KI"-Hilfe übersetzt. Softwarefehler. Kann man nichts machen.
Oder nehmen wir an, ihr kennt euch mit Computer-Architektur aus. Ihr wisst, dass es einen Kernel gibt, und der kann Userspace-Programme laufen lassen, und stellt denen virtuellen Speicher zur Verfügung und Syscalls und so weiter. Natürlich wisst ihr, dass der Kernel grundsätzlich in den Speicher der Prozesse reingucken kann.
Wenn ihr also, sagen wir mal, curl benutzt, und der spricht SSL mit einem Gegenüber, dann kann der Kernel grundsätzlich in den Speicher gucken und die unverschlüsselten Daten sehen. Da wird jetzt niemand wirklich überrascht sein, dass das so ist, hoffe ich.
Aber die Details waren bisher nicht so attraktiv. Das war mit Aufwand verbunden. OK, du kannst gucken, welche SSL-Library der benutzt, und da stattdessen eine Version mit Backdoor einblenden als Kernel. Oder du könntest die Offsets von SSL_read und SSL_write raussuchen und dann da Breakpoints setzen, wie bei den Debugging-APIs, und dann halt reingucken. Du hättest potentiell auch mit Races zu tun. Du müsstest wissen, wie man aus einer Shared Library die Offsets von Funktionen rausholt.
Gut, aber dann denkst du da ein bisschen drüber nach, und plötzlich sieht das gar nicht mehr so schwierig aus. curl lädt openssl als dynamische Library.
$ ldd =curlDa sieht man schon, dass die Adressen irgendwie krumm aussehen. Das ist ASLR. Wenn du nochmal ldd machst, kriegst du andere Adressen. OK aber warte. Die Daten hat der Kernel ja, und exponiert sie sogar an den Userspace:
linux-vdso.so.1 (0x00007ffff7dd2000)
libcurl.so.4 => /usr/lib64/libcurl.so.4 (0x00007f1df4c66000)
libssl.so.3 => /usr/lib64/libssl.so.3 (0x00007f1df4b6f000)
[...]
$ cat /proc/self/mapsUnd innerhalb des Adressbereichs, an den so eine Library gemappt wird, bleibt das Offset von SSL_write ja konstant. Wie finden wir das? Nun, da gibt es Tooling for:
[...]
7f846a8d2000-7f846aa27000 r-xp 00028000 00:14 5818768 /lib64/libc.so.6
$ nm -D /usr/lib64/libssl.so.3 | grep SSL_writeGut, also grundsätzlich könnte man den Kernel so umbauen, dass er beim Mappen von libssl.so.3 immer bei Offset 35660 einen Breakpoint setzt, und dann könnte man da die Daten abgreifen. Das ist aber eine Menge Gefummel und Kernel-Space-Programmierung ist sehr ungemütlich. Der kleinste Ausrutscher kann gleich die ganze Maschine crashen.
0000000000035660 T SSL_write@@OPENSSL_3.0.0
Warum erzähle ich das alles? Stellt sich raus: Muss man gar nicht. Ist alles schon im Kernel drin. Nennt sich uprobes und ist per Default angeschaltet. Da kann man über ein Config-File im /sys/-Tree dem Kernel sagen, man möchte gerne hier einen Breakpoint haben. Dann kann man per eBPF ein über Kernelversionen portables Kernelmodul hacken, das sich an die uprobe ranhängt und die Daten kopiert. Dann gibt es ein standardisiertes Interface dafür, wie man von dem eBPF-Modul die Daten wieder in den Userspace kopiert, wenn man das möchte.
Was hat man dann? Ein Tool, das in alle SSL-Verbindungen via OpenSSL auf der Maschine reingucken kann. Der Aufwand ist so gering, dass man das im Handumdrehen mit nur ein paar Zeilen Code auch auf gnutls erweitern kann, und auf NSS (die Mozilla-Library). Auch den TLS-Code von Go oder von Java kann man abfangen (Java ist etwas fummelig, da würde man vermutlich einen gemütlicheren Weg nehmen).
Gut, für das Eintragen der uprobe und für das Laden von dem eBPF muss man root sein. Es ist also kein Elevation of Privilege im herkömmlichen Sinne.
Aber es immanentisiert das Problem, das bis dahin bloß theoretisch war. Aus meiner Sicht heißt das, dass man ab jetzt keinem Kernel trauen kann, den man da nicht selbst hingetan hat. Mit anderen Worten: In jemand anderes Container laufen geht nicht.
Das war schon immer klar, aber jetzt ist es immanent. Was sage ich jetzt. Die Tools gibt es sogar schon seit mehreren Jahren. Ein SSL-Abgreif-Tool war das 2. Projekt, das auf diesen Frameworks gebaut wurde. Es sind sogar mehrere Tutorials und Beispielanwendungen online, wie man das macht.
Das nimmt mich gerade mehr mit als es sollte. Wir haben die Vertrauensfrage in der IT auf jeder Ebene verkackt. Der Hardware kann man schon länger nicht mehr trauen. Anderer Leute Software kann man schon länger nicht mehr trauen. Dass man Hypervisoren und Containern nicht trauen kann, ist auch schon immer klar, daher machen die ja dieses Affentheater mit "memory encryption", damit ihr euch in die Tasche lügen könnt, das sei schon nicht so schlimm. Doch. Doch, ist es.
Das könnte mich alles im Moment noch kalt lassen. Ich hacke alle meine Software selber (bis auf den Kernel), OpenSSL ist bei mir statisch reingelinkt (d.h. der Kernel sieht nicht, dass ich da eine Library lade, von der er die Offsets kennt). Man kann mit uprobes und ebpf immer noch meine Anwendungen ausspähen, aber dafür muss man die erstmal reverse engineeren und pro Anwendung die OpenSSL-Offsets raussuchen und eintragen. Das nimmt einem im Moment das Framework noch nicht ab. Aber ihr merkt hoffentlich selber, wie gering die Knautschzone hier ist. Meine Software läuft auf einer physischen Maschine, keinem vserver. Sagt der ISP. Ihr könnt euch mal mal selber fragen, wie sicher ihr euch seid, das selber nachprüfen zu können, wenn euch euer Dienstleister das verspricht.
Ich spoiler mal: Könnt ihr nicht.
Ich glaube, da muss ich mal einen Vortrag zu machen. Das ist alles sehr deprimierend, finde ich.
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen."Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Punkt 1: Das war ein 0day! Da konnte man nichts machen!
Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.
2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.
3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.
5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!
6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.
6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und *papierraschel* Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!
Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.
Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!
Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Fallt also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik. (Danke, Max)
In a number of interviews with individuals who had been at the forefront of ransomware attacks and their aftermath, RUSI found that individuals were suffering from stress related illnesses, alongside financial, reputational and social harm as a result of ransomware attacks.Ach Gottchen! Reputational harm!? Bloß weil die vorher so massiv verkackt habt, dass Ransomware reinkam? Also DAS ist ja mal ungerecht!!1! Die Armen!1!!Pass uff, morgen gibt es eine Story, dass die Täter auch bloß Opfer sind. Die leiden so unter der Last ihrer geraubten Gelder!
Ich war heute vor allem mit der Fnord-Show ausgelastet und habe nicht so viel gesehen. Hirne Hacken war lustig, kann ich empfehlen. Linus erzählt, wie er mit Ransomwaregangs verhandelt hat.
Synthetic Consciousness Sentience war Peak Joscha und ht dem Publikum das Hirn durchgehackt :)
Der Demoscene-Vortrag hat inhaltlich nicht viel erzählt, hauptsächlich Videos von Demos gezeigt, aber hat mit seiner Begeisterung für die Sache das Publikum schnell für sich gewonnen.
A New Hope sollte ein Pep-Talk sein, war aber eher das Gegenteil.
Decentralized Energy Production war ganz nett, hätte man aber auch als Lightning Talk machen können. In den ersten Minuten erzählt er, dass der Hersteller Remote Firmware Updates machen kann, dass er sich mit MITM einhängen und das auslösen kann, dass der Pfad relativ zum Server in der Cloud ist aber man da Firmware hochladen kann. Damit war der Drops inhaltlich gelutscht.
Von Loab erwartete ich nichts und war dann sehr positiv überrascht.
Jetzt erst mal ausschlafen.
Update: Name des Vortrags von Joscha korrigiert.
Ich saß nach der Eröffnungsveranstaltung (könnt ihr skippen) in Unlocking the Road Ahead (könnt ihr auch skippen, war im Wesentlichen Grundlagen für den danach) und dann Back in the Driver's Seat. Das war der über Tesla-Hacking und den Elon-Modus. Der war nett. Parallel lief Hacking the Climate, davon habe ich auch Gutes gehört.
Danach saß ich in dem Talk der Kaspersky-Leute, den hatte ich ja schon empfohlen hier. Der alleine war den Eintritt wert.
Trevor Paglen ist natürlich immer spannend, aber diesmal hat er hauptsächlich ein Spiel beworben, das man während des Congresses spielen kann, um sich in die Thematik spielerisch einzuarbeiten. Ihr findet es unter cyclops.sh.
Den nächsten Slot habe ich für eine Mittagspause genutzt. Den Talk über Assange fand ich nicht so prall. Das wirkte auf mich, als wollte sich der Holger Stark da als Retter der Pressefreiheit feiern, aber ohne an die unrühmliche Rolle seines damaligen Chefs Jakob Augstein erinnert zu werden.
Bifröst war nett aber handelte nur von der Softwareseite. Den ganzen Sat-Teil übernimmt ein Modem, das nicht in Scope war.
Danach gab es zwei Vorträge über Teleskope, die beide wunderbar waren. Wenn ihr Alternativlos über den Fusionsreaktor mochtet, guckt euch die Talks über Euclid und das ELT an.
Der Vortrag der Polen über das Zughacken war ganz großes Kino, aber das war ja schon vorher abzusehen, nachdem die Tagesschau über den Inhalt berichtete.
Da haben ein paar Kaspersky-Mitarbeiter auf ihren Telefonen Malware gefunden. Es waren Apple-Telefone. Sie haben die Exploit-Chain mitgeschnitten und bei uns öffentlich verbrannt.
Die Exploit-Chain (und hier müsst ihr möglicherweise meiner professionellen Einschätzung trauen) war insgesamt mindestens 8stellig Dollar wert. Die haben da einmal die aktuelle Toolbox der NSA verbrannt, oder des GCHQ. Das war der Hammer, was die da für 0days hatten.
Es ging los mit einer Memory Corruption im Truetype-Interpreter (bis hier noch nicht so spektakulär). Von da aus hatten sie einen Kernel Exploit, der aus interpretiertem Javascript heraus ging.
Und am Ende schrieben sie dann ein paar magische Werte in eine undokumentierte MMIO-Adresse und dann überschrieb irgendeine Hardware an allen Schutzmechanismen vorbei physischen Speicher ihrer Wahl mit Werten ihrer Wahl.
Der Adressbereich liegt in der Nähe der GPU und ist in älteren Geräten drin, aber auch in M1 Apple Silicon. Das ist ja schon der Hammer, aber um dieses Operation auszulösen, muss man auch einen undokumentierten Hashwert des Requests in ein undokumentiertes MMIO-Register schreiben. Den Hash haben sie jetzt halt reversed und veröffentlicht.
Aber damit scheiden aus meiner Sicht alle gutartigen Erklärungen für diese Funktionalität aus. Für Debug-Funktionanlität braucht man keinen "geheimen Hash".
Sie haben das an Apple gemeldet und Apple hat dann den Adressbereich gesperrt. In der Konfigdatei für gesperrte Bereiche steht normalerweise das Gerät dran, um das es geht. Hier steht: "DENY".
Da werden gerade einige Geheimdienste sehr unglücklich sein.
Bei Autos machen die Hersteller das über Mafiamethoden wie "man braucht extra Spezialwerkzeug, und das geben wir nur Vertragswerkstätten".
Das Phänomen gibt es auch bei Zügen, z.B. denen des größten polnischen Herstellers für Schienenfahrzeuge, Newag. Dort ist das aber manuelle Sabotage per Software-Hintertür, nicht Spezialwerkzeug. Haben jetzt ein paar polnische Hacker aufgedeckt, die den Scheiß reverse engineered haben.
So wurde der Service- und Wartungsvertrag für die Impuls-Triebzüge durch die Koleje Dolnośląskie (Niederschlesische Eisenbahnen, KD) neu ausgeschrieben. Hersteller Newag verlor dabei gegen den günstigeren Konkurrenten SPS, der die vorgeschriebenen Inspektionen nach 1.000.000 Kilometer Laufleistung vornimmt.Ach. Ach was. Schöne Züge haben Sie da! Wäre ja zu schade, wenn der Strom nicht mehr die Motoren erreichen würde!1!!Nach Inspektionen und Wartung standen SPS und KD jedoch plötzlich vor einem für die Unternehmen unlösbaren Problem: Der Strom erreichte die Elektromotoren nicht mehr und die Züge konnten nicht mehr fahren.
Ja aber Fefe, Sabotage ist ja eine harter Vorwurf. So klar wird das doch nicht sein in der Realität? Lest selbst:
"Wir fanden heraus, dass der PLC-Code tatsächlich eine Logik enthielt, die den Zug nach einem bestimmten Datum, oder wenn der Zug eine bestimmte Zeit lang nicht fuhr, mit falschen Fehlercodes blockieren würde. Eine Version des Controllers enthielt sogar GPS-Koordinaten, um das Verhalten auf Werkstätten Dritter einzugrenzen."Wenn euch da eine gutartige Erklärung für einfällt, bin ich ganz Ohr.
Weiter hieß es, dass das Verhalten durch eine Tastenkombination in der Kabinensteuerung schnell wieder deaktiviert habe werden können. [...] Als erste Medien darüber berichteten, dass die Drittwerkstätten die Züge wieder flott bekommen hätten, folgte ein Softwareupdate, bei der die Tastenkombination verschwand, so Bazański.Ja gut, jetzt kommt die Führungsetage dieses Herstellers aber mal komplett in den Knast, oder nicht? ODER NICHT?!
Abgesehen von Klagen der Eisenbahnunternehmen gegen den Hersteller haben die polnischen Behörden laut Aussage der Hacker bisher aber kein wirkliches Interesse daran, die Vorgang kartellrechtlich oder unter anderen Gesichtspunkten aufzuklären.Das gefährdet den Wirtschaftsstandort, wenn wir solche Ransomware-Gangs einknasten!1!!
But sources said breaches were first detected as far back as 2015, when experts realised sleeper malware – software that can lurk and be used to spy or attack systems – had been embedded in Sellafield’s computer networks.Ja gut, das ist eine Atomruine. Was würden ausländische Hacker da wollen?The site has the largest store of plutonium on the planet and is a sprawling rubbish dump for nuclear waste from weapons programmes and decades of atomic power generation.Sonst noch was?Guarded by armed police, it also holds emergency planning documents to be used should the UK come under foreign attack or face disaster.Update: Die Regierung dementiert. Schade nur, dass die so unglaubwürdig sind.
Stattdessen sollen die ab jetzt die weltberühmten Messengerdienste Olvid und Tchap verwenden.
Keine Sorge. Ich habe auch noch nie von denen gehört.
OK, aber Sicherheitslücken? Da werde ich hellhörig. Was für Sicherheitslücken denn?
Der französische Digitalminister Jean-Noël Barrot erklärte auf X (vormals Twitter), die Ende-zu-Ende-Verschlüsselung von Olvid sei von der Cybersicherheitsbehörde Anssi zertifiziert.Genau mein Humor!
Erstens: Digitalminister. Direkt ein Lacher.
Zweitens: Verkündet er auf X. Direkt der nächste Lacher!
Drittens: Er meinte nicht Sicherheitslücken, er meinte eine Behörden-Zertifizierung.
Frankreich war, die Älteren werden sich erinnern, jahrelang ein Ödland der Verdammnis, wenn es um Computer ging, weil die Regierung ein Kryptoverbot verhängt hatte. Wenn DIE uns jetzt also was von Ende-zu-Ende-Verschlüsselung erzählen, ist das mehr als lächerlich.
Viertens: Frankreich steht heute für den Einsatz von Staatstrojanern. Wenn DIE uns also was von Sicherheitslücken erzählen, und sagen, wir sollen doch bitte ihre Software einsetzen, dann ist das mehr als unglaubwürdig, dass das was mit einer Erhöhung der Sicherheit zu tun hat. Eher im Gegenteil.
Ich mache mich ja seit Jahrzehnten über Zertifizierungen lustig, besonders über BSI-Zertifizierungen. Die sind inhaltlich absolut wertlos. Waren sie schon immer, werden sie auch absehbar bleiben. Aber eine Sache, die erst mit den Staatstrojanern wirklich Wucht kriegt, möchte ich hier nochmal explizit ansprechen. Eine Zertifizierung kostet sechsstellig. Wenn eine Firma also so viel Geld in die Hand nimmt für einen Messenger-Dienst, dann gibt sie der Regierung einen ziemlich großen Hebel in die Hand, ihnen "Features" reinzudrücken, die am Ende die Sicherheit kompromittieren.
Für mich sind daher staatliche Zertifikate nicht nur wertlos sondern ein starker Indikator dafür, dass ich dieser Software noch weniger Vertrauen entgegen bringen sollte. Selbst wenn es sich um Open Source handelt, auch wenn sich die Bedenken dann abschwächen.
Gibt es denn irgendwas positives zu sagen? Nun, Tchap scheint eine Implementation von Matrix zu sein. Matrix ist ein offener Standard mit Open-Source-Implementationen. Das ist also vergleichsweise gut. Tchap selbst ist auch Open Source. Es könnte also sein, als wäre das hier die eine Ausnahme von der Regel. Auch Olvid ist Open Source und auf Github. Die Beschreibung liest sich auch richtig gut. Das einzige, was ich gerade nicht auf Anhieb sehe, ist Reproducable Builds.
Beide Messenger sehen nicht wie Schnellschüsse aus. Da werde ich ja fast ein bisschen neidisch gerade!
Gehen den Ransomwarern die Opfer aus?
Letzte Woche machte das Nationale Zentrum für Cybersicherheit bekannt, dass die Basler Softwarefirma Concevis gehackt wurde. [...] Concevis schrieb in einer Mitteilung letzte Woche lediglich von einem «umfangreichen Datenabfluss».Das sind schon alles wahrhaft gute Menschen, diese Schweizer. Viel zu bescheiden, um mit ihren Taten herumzuprotzen.
Aber ich möchte den Schweizern hier zurufen: Ich sehe euch. Ich sehe, was ihr für die Allgemeinheit und die Gerechtigkeit getan habt. Es soll nicht vergessen werden!
Wahrhaft gute Menschen, sage ich euch.
Self-proclaimed 'gay furry hackers' breach nuclear lab*badumm tsssss*They demanded research into creating IRL catgirls.
Wenn ihr jetzt denkt: Das waren bestimmt die Chinesen!1!! Dann habt ihr völlig Recht:
Industrial & Commercial Bank of China Ltd.’s U.S. unit had been hit by a cyberattack, rendering it unable to clear swathes of U.S. Treasury trades after entities responsible for settling the transactions swiftly disconnected from the stricken systems. That forced ICBC to send the required settlement details to those parties by a messenger carrying a thumb drive as the state-owned lender raced to limit the damage.Das waren in der Tat die Chinesen. Die Bank, nicht die Angreifer. Die Angreifer waren Lockbit, eine russische Ransomwaregang.Na? Seid ihr eigentlich auch so zufrieden mit Windows, Active Directory und Outlook? Industriestandard, hörte ich! So machen das alle!1!!
Als ich kann ja nur raten, in die Cloud zu gehen. Da sind die Daten sicher, hörte ich.
Echt? Nach all der Unfähigkeit, die die demonstriert haben?
Nun... die waren noch nicht fertig mit der Unfähigkeits-Demonstration.
Okta has been hit by another breach, this one against a third-party vendor that allowed hackers to steal personal information for 5,000 Okta employees.Denen willst du doch deine Daten anvertrauen!1!!
Kein Problem! In Zukunft kann man dann einfach 119 anrufen, schlägt das BSI vor. Da wird einem dann geholfen. Von Schlangenölverkäufern, die einem "Endpoint Security" verkaufen, nehme ich an. Denn andere Lösungen als das und Reporting-Pflichten sind mir beim BSI bisher noch nicht aufgefallen.
Liegt bestimmt an mir. Da arbeiten bestimmt voll fähige Leute, die Dinge verstanden haben, und uns alle retten werden. Die reden nur nicht mit mir.
Die Siegener Zeitung macht Liveberichterstattung.
Ist ja komisch. Haben die etwa das Webinar von Heise Security, wie man Active Directory sicher betreibt, nicht besucht?! Genau wie Boeing und alle anderen Ransomware-Opfer. Oder ist es am Ende vielleicht gar nicht möglich, ein Active Directory sicher zu betreiben? Fragen über Fragen. (Danke, Pit)
Das Scheunentor dahinten, brauchen Sie das noch? Oder können wir das mal gaaaanz weit aufmachen?
Das ist ein gruseliger Dammbruch, denn die Daten kommen aus offensichtlich illegaler Quelle. Geheimdienst und Polizei haben zusammen Server von anderen Leuten gehackt und übernommen. Ja, das waren in diesem Fall ziemlich klar Kriminelle, aber wer sagt denn, dass das in Zukunft auch so sein wird?
Wenn der EuGH sich der Position dieser Gutachterin anschließt, dann kann in Zukunft jeder für alles eingelocht werden, weil sich sicher irgendein "befreundeter" Geheimdienst finden wird, der "Beweise" vorzeigen kann.
Trigona z.B. hat intern richtig professionelle Standardsoftware eingesetzt. Confluence, von Atlassian.
Beim Patchen waren die weniger professionell, daher wurden sie über die Lücke neulich von ein paar ukrainischen Aktivisten hopsgenommen und ihnen wurden die Server gewiped. (Danke, Christina)
Wenn ja: Habt ihr alle Lack gesoffen? Sind bei den ganzen Firmen gar keine Erwachsenen mehr im Raum oder was ist da los?
Wenn ihr eure Credentials oder anderen Geheimnisse einem Third-Party-Dienst gebt, sind es nicht mehr eure Geheimnisse. Das ist ja nun echt keine Raketenchirurgie!
Mann Mann Mann
Und auch die Ausreden immer. "Aber wir haben doch eh schon alles an Cloudflare und Amazon weggegeben, das macht den Kohl auch nicht mehr fett."
Wo bleibt eigentlich die Revolution?
Demnach ist auch Motel-One-Gründer und Miteigentümer Dieter Müller von dem Angriff betroffen. Gegenüber der »SZ« richtete er einen Appell in Richtung Politik: »Leider hat der Staat noch keinen Weg gefunden, seiner staatlichen Hoheitsaufgabe gerecht zu werden und seine Bürger und Unternehmen vor kriminellen digitalen Angriffen zu schützen«, sagte Müller.Oh ACH SOOOO ist das! Der Staat ist schuld, dass ihr auf eurer Verantwortung nicht gerecht geworden seid! Klaaaar, Herr Müller, so ist das. Wir setzen hier alle schön Windows und Outlook und Active Directory an, und dann meckern wir über den Staat, wenn wir gehackt werden. *tätschel*
Ja gut, aber wenn der Laden Datensparsamkeit pflegen würde, wäre das ja jetzt kein großes Ding. Haben sie doch sicher, oder? Haben sie?
Laut »SZ« enthält der Satz neben den annähernd vollständigen Übernachtungslisten seit dem Jahr 2016 private Rechnungsadressen, Geburtsdaten von Kunden sowie interne Geschäftszahlen und Handynummern von Motel-One-Mitarbeitern.Hey Fefe, wieso willst du denn immer Hotels nicht deine persönlichen Daten geben? Die wollen dir doch nichts Böses!1!!
Glaubt mal nicht für eine Sekunde, dass das bei irgendwelchen anderen Hotels besser aussieht. (Danke, Marissa)
Hat denen jemand von euch seine DNA gegeben? Wenn ja: Betrachtet euch hiermit als ausgelacht.
Hier ist mal ein Reporter vorbeigefahren und hat sich die Auswirkungen angeguckt. Ja, die MGM-Hotels und Casinos haben offen.
Aber nicht mal die Slot Machines funktionieren noch. Ein- und Auszahlen geht normalerweise über eine Karte, das klappt nicht. Man kann jetzt Cash einzahlen, aber fürs Auszahlen muss man dann warten, bis ein Typ mit einer Tüte Bargeld rumkommt und einen auszahlt.
Die Restaurants haben auch keine funktionierenden Kassen mehr. Eine Kasse in einem Restaurant geht wohl noch, und darüber wickeln die jetzt alle Restaurants der ganzen Kette ab.
An der Stelle fällt denen natürlich auch echt auf den Fuß, dass sie so viele Menschen wegautomatisiert haben, die sie jetzt nicht mehr haben, um das manuell zu stemmen.
Ganz am Ende haben sie noch die Story, dass ein örtlicher Stripclub für betroffene MGM-Gäste Free Lap Dances anbietet. Als PR-Aktion. Begründung:
When I asked him why they were doing the deal, he said that it was important “to come together as a city” to lift people up during hard times.Kannste dir nicht ausdenken. (Danke, Malte)
Das war damals der Start eines wunderschönes Brauchtums, einer epischen Serie aus Sony-Hacks. Leider verlief das nach einer Weile im Sand, weil Hacker einfach alles bei Sony mindestens einmal penetriert und alle Daten rausgetragen hatten. Aber inzwischen ist eine Menge Zeit vergangen und anscheinend will jemand dieses Brauchtum weiter pflegen. Jedenfalls hat eine Ransomwaregruppe gemeldet, sie hätten da "ALLE DATEN!!1!" rausgetragen. Vorzeigen konnten sie aber wohl nur ein paar lahme Powerpoint-Präsentationen, daher war mir das erstmal keine Meldung hier wert.
Aber jetzt kommt gerade ein bisschen Bewegung in die Sache, denn eine zweite Ransomwaregruppe hat sich gemeldet. Sie sagen, sie hätten tatsächlich Sony gehackt und die andere Gruppe seien bloß Betrüger. Diese zweite Gruppe sagt, sie hätten Zertifikate und Lizenzgeneratoren (also den interessanteren Scheiß!).
Ich für meinen Teil würde das ja begrüßen, wenn wir jetzt wieder wöchentlich einen Sony-Hack haben.
Update: Money Quote:
Aufbauend auf bereits umgesetzte Maßnahmen sollen in Zukunft aber auch die Cybersicherheitsmaßnahmen verstärkt werden, "inklusive der beschleunigten Nutzung von Cloud-Technologie".
Oh ja, dann wird bestimmt alles viel ... teurer. Hey, nehmt doch Azure! Deren Keys sind besonders sicher, hörte ich neulich!1!!
Also nicht den Wahlrat selbst, sondern deren Software. Klar. Der Hacker stocherte in einer Software namens OSV2020 herum, in Java geschrieben.
Er guckt sich alse in Ruhe den Installer an, findet darin Metadaten … mit Login-Credentials.
Stellt sich raus: funktionierende Login-Credentials. Für das Development-System des Herstellers. Hmm. "JedesJahrWieder" klingt nicht sehr niederländisch. Eher Deutsch. Was geht denn da vor? Dafür muss man das Statement des Wahlrats lesen. Dort steht:
Voor vragen over het programma heeft de leverancier van de software, Elect iT, een helpdesk beschikbaar. De helpdesk is bereikbaar op werkdagen van 09.00 tot 17.00.Hmm. "Elect iT", ja? Oh gucke mal, das ist ja eine deutsche Firma! Hups!Die aktuelle Generation von elect bildet alle Aspekte einer Wahl auf Ebene des Bundes, der Länder, der Kreise, kreisfreier Städte, Ämter und Kommunen ab.Uiuiuiui. Vielleicht sollte mal jemand gucken, an welchen Stellen deren Software in Deutschland im Einsatz ist.
Update: Der Vollständigkeit halber: "JedesJahrWieder" ist kein gutes Passwort. Das Confluence-Passwort sieht da schon viel besser aus. Aber hilft natürlich nicht, wenn man das dann im Installer ausliefert.
Update: Einem Leser fällt auf, dass elect iT und vote iT praktisch identisch aussehende Homepages haben. Und sie sitzen auch an derselben Adresse in der Ringbahnstraße in Berlin. vote-it könnte euch bekannt vorkommen von dem CCC-Hack von PC-Wahl von vor ein paar Jahren.
Hätten sie mich gefragt, hätte ich ihnen gesagt, dass dieser Vorfall zeigt, dass das fundamentale, zentrale Versprechen der Cloud nicht eingelöst werden kann:
Dass sich jemand kümmert, der sich mit sowas auskennt, und dann keine Vorfälle passieren.
Ich hätte ihnen gesagt, dass Microsoft dieselbe Software, die sie uns allen als sicher und vertrauenswürdig verkauft, selber einsetzt und darüber nicht nur von ausländischen Geheimdiensten gehackt und unterwandert wird, sondern das auch weiß und daher das Produktionsnetz vom Entwicklernetz zu isolieren versucht hat. Aber dass diese Abschottung inkompetent implementiert wurde und Microsoft offensichtlich nicht einmal rudimentärste Qualitätssicherung durchgeführt hat.
Ich hätte darauf hingewiesen, dass die Software, die bei Ihnen auf den Rechnern läuft, aus genau dem Entwicklernetz kommt, das (wie sich jetzt rausstellt) großflächig von ausländischen Geheimdiensten unterwandert ist. Wenn Sie 2 und 2 zusammenzählen können, sollten Sie das daher schleunigst durch etwas vertrauenswürdigeres ersetzen.
Wenn ich gute Laune gehabt hätte, hätte ich noch darauf hingewiesen, dass Apples Icloud jahrelang Untermieter bei Azure war und daher auch als kompromittiert gelten sollte.
Außerdem hätte ich darauf hingewiesen, dass Microsoft den ganzen Vorfall unter den Teppich zu kehren versucht hat. Wir hätten davon nie erfahren, wenn nicht US-Behörden in ihren zusätzlich eingekauften und extra bezahlten Log-Zugängen Anomalien gesehen hätten.
Kurz gesagt: Microsoft kann das nicht. Microsoft wusste, dass sie das nicht können. Also haben sie uns uns Gesicht gelogen.
Damit haben sie sich in eine traurige Reihe hinter der SPD, der CDU, der CSU und der FDP eingereiht. Die Grünen haben wenigstens nie ernsthaft so getan, als hätten sie von irgendwas Ahnung, mit ihren Bachblüten und ihrem "Elektrosmog".
Zusammenfassung: Komplettes Versagen auf allen Ebenen. Eine atemberaubend lange Kette an Versagen führte dazu, dass ihre Policy nicht sauber umgesetzt wurde, das Produktionsnetz vom normalen Corpnet zu trennen. Darüber konnte über einen Crashdump (glauben sie!) ein Production Key ins Corpnet kommen.
Ja äh Sekunde, warte mal, sollte das Corpnet nicht auch komplett sicher sein? Ich meine, dort wird der Code geschrieben, der am Ende bei euch Endkunden läuft?
Nein. Das Corpnet ist offensichtlich komplett durchseucht. Ein einziger Key-Leak aus dem Produktionsnetz ins Corpnet hat gereicht für eine Total-Kompromittierung. Microsoft spricht hier von "Assume Breach" wie in der Policy, aber es ist nicht nur eine Policy. Deren Corpnet ist offensichtlich tatsächlich komplett durchseucht und in den Händen irgendwelcher "Threat Actors".
Warum? Lasst mich das kurz aufklären: Weil sie das tödliche Trio einsetzen. Windows, Active Directory und Office. Man nimmt ja immer gerne an, dass die ganzen Microsoft-Kunden einfach alle zu blöde waren, das ordentlich einzusetzen. Nein. So ist das nicht. Microsoft setzt das intern auch ein und hat genau dieselben Probleme wie alle anderen. Wir hören nur selten davon.
Am Ende haben sie nicht etwa ihr Corpnet zugenagelt als Reaktion auf dieses Problem. Nein. Sie haben die lange Liste der Bugs auf dem Weg dieses Exploits gefixt. "Best Practices" heutzutage. Man baut erst einen kaputten Müllhaufen, dann macht man einen Pentest und fixt alle gefundenen Issues. Dann wird man von den Chinesen gehackt und fixt wieder alle gefundenen Issues. Eine Woche später wird man von den Russen gehackt und fixt wieder alle gefundenen Issues. An keiner Stelle versucht man auch nur, eine tatsächlich sichere Software zu schreiben.
Eine Sache noch. Der Key leakte über den Crashdump-Mechanismus aus ihrem Produktionsnetz in ihr Corpnet. Das heißt: Die Dienste in Produktion crashen. Und zwar nicht ab und zu, nein, ständig. Deshalb haben sie überhaupt einen Mechanismus bauen müssen, um Crashdumps aus der Cloud ins Corpnet zu ziehen.
Letzter Punkt: Normalerweise ist beim Übergang Produktion - Corpnet das Corpnet der Teil mit den höheren Privilegien. Hier ist das offenbar anders herum. Da hat das Cloud-Team wohl ein-zwei Mitarbeiter gehabt, die die desolate Lage korrekt eingeschätzt haben, was man hier vor wem schützen muss.
Wenn eure Firma also in die Cloud gezogen ist, weil ihr dachtet, unsere Haus-Installation crasht ständig, und dort ist das in guten Händen und es läuft zuverlässig durch, dann solltet ihr das nochmal neu bewerten jetzt.
Update: Achtet auch mal darauf, wie sie begründen, wieso sie im Prod-Netz dem Corpnet nicht trauen!
Our corporate environment, which also requires secure authentication and secure devices, allows for email, conferencing, web research and other collaboration tools. While these tools are important, they also make users vulnerable to spear phishing, token stealing malware, and other account compromise vectors.
Genau das, worüber auch ihre Kunden sich Ransomware einfangen. Das betrachten sie selber als so ein hohes Risiko, dass sie das Prod-Netz lieber davon trennen.
Wenn wir doch nur eine Firma kennen würden, die diese Software sicher machen könnte!1!!
Mich freut ja besonders, dass hier Teams als Risiko geführt wird ("Conferencing"). Alle Teile dieser Risikobetrachtung sind Microsoft-Software. Microsoft bewertet ihre eigenen Produkte als zu riskant, um sie in die Nähe ihrer Produktionsumgebung zu lassen.
In dieser Umfrage geht es um Cyberkriminalität. Wichtige Zahlen:
Damit liege der Schaden zum dritten Mal in Folge über der Marke von 200 Milliarden EuroFür mich der perfekte Moment für ein bisschen Zurücklehnen und die Teilnehmer von der Tribüne aus Beschimpfen :-)[...]
Erstmals fühlten sich 52 Prozent der Betriebe durch Cyberangriffe in ihrer Existenz bedroht
[...]
75 Prozent der befragten Firmen halten die Sicherheitsbehörden gegen Angriffe aus dem Ausland für machtlos.
Na, liebe Firmen? Rückblickend immer noch zufrieden mit euren Entscheidungen, das tödliche Trio (Windows + Active Directory + Office) einzusetzen? Würdet ihr das jetzt wieder so machen, nichts in Security zu investieren, und stattdessen sinnloses Compliance-Theater zu fahren?
Bitkom würde jedenfalls, denn deren Lösung ist ...
Er forderte eine Meldepflicht für Firmen im Fall von Cyberangriffen.Oh ja, Meldepflichten! Die haben ja auch zu einer massiven Verbesserung der Sicherheitslage bei Kritis-Unternehmen geführt! (Das war Sarkasmus)
Ich bin ja immer noch stocksauer über den gestern verlinkten Podcast. Die haben sofort ans BSI gemeldet, und gebracht hat es natürlich gar nichts. Dann haben sie die Bundeswehr um Hilfe gebeten und der bundesweite Steuerzahler hat die Kosten übernommen. KLAR wird das dann nicht besser, wenn nie jemand für sein Versagen die Kosten tragen muss!
Der Landkreis hat jahrzehntelang die Kosten für ordentlich machen gespart und dann die Kosten für die Reparatur nicht tragen müssen, sondern sich da als Opfer geriert und den Katastrophenfall ausgerufen. Könnt ich mich endlos drüber aufregen!
Die Ursachenforschung war dann nach "naja wir haben halt nie die Zeit gehabt, das ordentlich zu machen" abgeschlossen. Und dann hatten sie noch die Stirn, diesen IT-Typen da zum Helden zu stilisieren, weil der jetzt Überstunden fährt bei der Reparatur des von ihm verursachten Problems, und sich heldenhaft nicht rasiert, bis das repariert ist.
Gegen Ende hab ich den Podcast abgebrochen, weil sie da ernsthaft zu diskutieren anfingen, welcher Russe das ihrer Meinung nach gewesen sein könnte, und was der sonst so für kriminelle Dinge tut. Leute, wenn bei euch jemand reinhackt, ist das in praktisch 100% der Fälle eure Schuld. Es gibt Ausnahmen, aber die sind Rundungsfehler in der Häufigkeitsverteilung.
Wenn ihr Hilfe beim Identifizieren der Verantwortlichen braucht, dann guckt am besten kurz in den Spiegel. Oh, da ist er, der Verantwortliche!
Update: Wohlgemerkt: In den Schadenssummen sind die Kosten für Schlangenöl und co noch nicht drin. Das sehen die Bitkom-Heinis und die verstrahlten Befragten ja nicht als Schaden sondern als Investition. Das kommt noch obendrauf.
Na das wird ja mal ein peinliches Debriefing gegeben haben! So, liebe Mitarbeiter, was habt ihr diese Woche gehackt? A: Den BND. B: Den Bundestag. C: Das Bundesamt für Kartografie und Geodäsei!1!!
Aber eine Sache ist an dem Bericht erwähnenswert, und sei es zur aus Ego-Gründen für mich :-)
Demnach hat der Nachrichtendienst aktuelle Hinweise darauf, dass beide Gruppen kompromittierte Geräte mit Netzwerkanschluss in Privathaushalten und bei kleinen Unternehmen nutzen, um bei Angriffen ihre Spuren zu verschleiern.Das ist ja unglaublich, Bob! Diese fiesen Schurken!! Wer hat die bloß auf so eine verruchte Idee gebracht, die fiesen Schurken-Chinesen? Doch nicht etwa Mein Hackback-Vortrag von vor 4 Jahren?
Scheiße, Bernd! Was machen wir denn, wenn die fiesen Kriminellen jetzt auch noch die anderen Dinge machen, vor denen der böse Fefe die ganze Zeit warnt?!?
Update: Ist in Großbritannien.
Update: Da ist nichts gehackt worden. Die Herstellerfirma ist pleite gegangen, die Domain ist ausgelaufen, und die hat sich dann halt jemand gekrallt und macht darauf Werbung für Porno-Apps. (Danke, Holger)
In der Praxis sind solche Maßnahmen typischerweise entweder Nichtverfügbarkeit von spezialisierten Werkzeugen oder Ersatzteilen und/oder DRM-"Sicherheits"-Funktionalitäten, die verhindern, dass man noch funktionierende Ersatzteile aus kaputten Geräten in andere Geräte einbaut.
Die Haupt-Schlachtfelder waren bisher Traktoren, Autos, Smartphones und Laptops. Jetzt kommt ein neues dazu: E-Meter. E-Meter sind die Geräte, mit denen Scientology den Hautwiderstand ihrer Opfer misst, um ihnen dann endlose "Fortbilduingen" zur Befreiung ihrer Thetanen zu verkaufen (Zusammenfassung der Ideologie beim Bayerischen Verfassungsschutz) (Vorsicht: Link geht zum Verfassungsschutz!). Wikipedia hat auch eine Menge von deren "Lore".
Eine der Scientology-Organisationen hat sich jetzt in die Right to Repair-Debatte eingemischt, um eine Ausnahme für E-Meter zu erwirken. Das ist denen offensichtlich unangenehm, wenn Nicht-Scientologen ihre Geräte aufmachen können, und dann sehen, dass die gar keine Thetanen vermessen sondern bloß den Hautwiderstand messen.
BleepingComputer tested a malicious archive shared by Group-IB, who discovered the campaign, and simply double-clicking on a PDF caused a CMD script to be executed to install malware.Damit wurden offenbar über Monate Crypto-Wallets aufgemacht und ihr Inhalt gestohlen. Schnell updaten also, wenn ihr das einsetzt.Update: RAR wird auch von hunderten von 3rd-Party-Tools entpackt. Die verwenden dafür entweder den Open-Source-Unrar-Code oder unrar.dll oder unrar64.dll. Diese DLLs zumindest sind wohl auch betroffen. Das inkludiert dann vermutlich einmal alle Schlangenöl-Installationen auf diesem Planeten.
Die USA schlagen Alarm: China und Russland seien fähig, Satelliten zu hacken und zu kapern. Es gebe keine unkritische Infrastruktur im All, mahnen Experten.Ach. Ach was. Das ist ja unglaublich, Bob! Da rufe ich doch sofort die Nummer neben meiner Landesflagge an!
"Jeder ist auf den Weltraum angewiesen", weiß Steve Colenzo vom Air Force Research Laboratory im US-Bundesstaat New York.Das hat bestimmt die CIA herausgefunden. Die finden ja alles raus. Alles finden die raus!
Ja aber was machen wir denn jetzt? Jetzt wo sich völlig überraschend herausstellt, dass alle Akteure wohlwollend interpretiert gepennt haben und weniger wohlwollen interpretiert absichtlich Security ausgeblendet haben?
Die Autoren schlagen eine "Open-Source-Cybersicherheitsanalyseplattform im Zusammenhang mit Kleinsatelliten" vor.Scheiße, Bernd! Da hätten wir auch selber drauf kommen können! JETZT ruf ich aber schnell die Nummer neben der Landesflagge an!!1!
Ich wundere mich ja, dass noch keiner Antiviren vorgeschlagen hat.
Es geht um einen Hacker, der zu der Zeit im Gefängnis saß. Bolsonaro ist auf ihn zugekommen, sagt er, mit einem abgehörten Telefonat vom vorsitzenden Richter des brasilianischen höchsten Gerichts für Wahlrecht (der Mann ist außerdem Richter am Supreme Court). Wikipedia über den:
De Moraes's presidency of Brazil's Superior Electoral Court and certain actions he took during the 2022 Brazilian general election has made him the target of allegations and criticisms by former President Jair Bolsonaro and his supporters.[4] After the 2023 Brazilian Congress attack, de Moraes ordered several judicial actions to maintain Brazil's democratic rule.[5]Bolsonaro wollte den also weghaben und hat daher sein Telefon abgehört, oder jedenfalls einen Mitschnitt eines Telefonats "besorgt". Von dem Hacker wollte er jetzt, dass er öffentlich die Verantwortung übernimmt, damit Bolsonaro das gegen den Richter verwenden kann, ohne dass das so schmierig aussieht wie es jetzt aussieht.Als Gegenleistung hat Bolsonaro dem eine Begnadigung versprochen. Der Hacker rannte damit aber erstmal zur Presse :-)
Bolsonaro hat ja, wie Trump, auch seine verlorene Wiederwahl als Wahlbetrug darzustellen versucht, und dann die öffentliche Wahrnehmung der Integrität der Wahlen zu beschädigen versucht.
Der Hack war im August 2021.
Gemerkt haben sie es im Oktober 2022.
Seit dem sitzen sie auf der Sache und erst jetzt benachrichtigen sie.
Ansonsten ist das Statement natürlich die übliche Krisen-PR-Sauce. Der Angriff war natürlich "complex" und die bösen Angreifer waren "hostile actors". Seit dem arbeitet man mit wichtigen Leuten zusammen, um das aufzuklären. Externe Experten und die nationale Behörde.
Aber ein Highlight gibt es, das es sonst nicht gibt in solchen Fällen:
Shaun McNally, the Electoral Commission Chief Executive, said: “The UK’s democratic process is significantly dispersed and key aspects of it remain based on paper documentation and counting. This means it would be very hard to use a cyber-attack to influence the process.Ein Glück, dass wir das noch nicht digitalisiert haben, sagt hier der Chef der Behörde. Sonst hätte man da mit einem Cyberangriff noch viel mehr Schaden anrichten können!1!!Monty Python? Seid ihr es?
Ich weiß, was ihr jetzt denkt. Das hat bestimmt die CIA herausgefunden! Die finden ja alles heraus. Alles finden die heraus!!
Und das macht die Meldung zu so einer Monty-Python-Nummer: Fast richtig! Es war die NSA!
In the fall of 2020, the National Security Agency made an alarming discovery: Chinese military hackers had compromised classified defense networks of the United States’ most important strategic ally in East Asia.Mit anderen Worten: Die Amerikaner haben ihre Verbündeten in Japan gehackt und dabei ihre Kollegen aus China vorgefunden!Wartet mal, werden die Japaner nicht hellhörig, wenn ihnen die Amerikaner sagen, sie haben chinesische Spione in ihren geheimsten Netzen gefunden? Stellen sich da nicht Fragen? Fragen wie: Woher wisst IHR denn bitte, wer in unseren geheimsten Netzen ist?!
But the Japanese were wary. “They were uncomfortable having another country’s military on their networks,” said the former military official.Die Japaner haben eher in die Zukunft gedacht und wollten nicht auch noch "Hilfe" von der NSA beim Aufräumen annehmen.Also hat man einen Kompromiss geschlossen.
The two sides came up with a compromise approach: The Japanese would use domestic commercial firms to assess vulnerabilities, and a joint NSA/Cyber Command team would review the results and provide guidance on how to seal gaps.Das ist natürlich genau so schlimm als würde man die NSA direkt reinlassen. Und eigentlich ist es eh egal, denn die NSA ist ja schon drin. Sonst hätten sie nicht die Chinesen dort finden können.Wobei doch, ganz harmlos waren die Fragen der Japaner nicht:
To protect sensitive sources and methods, Neuberger could not explicitly tell the Japanese how U.S. spy agencies knew about the Chinese compromise. She tried in an oblique way to assure Tokyo that the Americans were not in their networks, but suspicions lingered. After all, the Japanese, like other allies, knew that the United States spies on partners.Ja aber das ist dann halt so. Mit Freunden wie den Amerikanern brauchst du keine Feinde mehr. Cost of doing business.Ihr fragt euch jetzt vielleicht, welchen Hebel die Amerikaner überhaupt in Japan haben, um denen zu erzählen, wie sie ihr Militär strukturieren. Nun, denselben Hebel, der auch sonst überall funktioniert!
“The Americans weren’t happy with how porous the Japanese intelligence community was,” said Samuels. “They did what you would expect, which was to share less. At a time when Japan needed more and better intelligence from its powerful ally, it wasn’t getting everything it needed, and it was told it’s because your intelligence community leaks. If you tighten it up, we can have a fuller and more robust exchange.”Schau nur, was wir hier für tolle Spionagedaten haben! Zu gerne würden wir die euch zeigen!1!!
Doch erst ein bisschen Vorgeschichte. Neulich war der russische Verteidigungsminister Shoigu in Nordkorea zu Besuch und hat sich dort feiern lassen. Die Nordkoreaner haben ihm stolz ihre Raketensysteme gezeigt, die mich in Form, Farbe und Transport-Vehikel frappierend an die russischen Modelle erinnern. Aber gut. Befreundete Nationen halt, denkt man sich.
Und jetzt die Reuters-Meldung.
Exclusive: North Korean hackers breached top Russian missile makerWait, what?
Das ganze geht zurück auf diese Analyse einer Security-Firma, die das ganze aufgedeckt haben will. Die betroffene russische Firma ist НПО машиностроения, die das halbe Arsenal der russischen Streitkräfte entwickelt haben, wenn man der Liste auf Wikipedia glaubt. Reuters fügt hinzu:
The targeted company, commonly known as NPO Mash, has acted as a pioneer developer of hypersonic missiles, satellite technologies and newer generation ballistic armamentsSo und was ist jetzt passiert? Nun, die Russen verwenden offensichtlich noch das tödliche Trio. Windows, Office und Active Directory. Solchen Leuten kannste einfach per Mail Malware schicken, und irgendein Depp wird schon drauf klicken.Aber kommen wir zum Slapstick-Teil:
Hegel's team of security analysts at SentinelOne learned of the hack after discovering that an NPO Mash IT staffer accidentally leaked his company's internal communications while attempting to investigate the North Korean attack by uploading evidence to a private portal used by cybersecurity researchers worldwide.Wartet, gibt noch ein Sahnehäubchen:When contacted by Reuters, that IT staffer declined to comment.Der plante wahrscheinlich gerade seine Flucht aus Russland. "Guten Tag, hier ist Reuters, haben Sie einen Kommentar dazu, wie Sie gerade Geheimnisse ihres Landes verraten haben?"Was für eine arme Sau.
Es ging um den Verkauf eines Gebrauchtwagens, die Rechnung sollte per E-Mail rausgehen. Der Verkäufer schickt also die E-Mail, aber drei Minuten später geht eine zweite E-Mail mit einer leicht modifizierten Rechnung beim Käufer ein. Die Kontonummer war eine andere und zeigte auf ein Konto, das nicht dem Verkäufer gehörte.
Das merkte der Käufer nicht und überwies dorthin. Der Verkäufer wollte sein Geld haben. Das Landgericht hat die Klage abgewiesen, weil der Käufer ja gezahlt hatte, wenn auch nicht an den Verkäufer. Das OLG hat jetzt andersherum entschieden.
Die Details sind nicht sehr schön, finde ich:
Um 11:46 Uhr erhielt der Geschäftsführer der Beklagten eine weitere E-Mail von der E-Mail-Adresse der Klägerin mit einer neuen Rechnung im Anhang.Das ist trivial fälschbar, sogar weitgehend ohne technische Kenntnisse. Die relevante Frage wäre gewesen, ob die Mail vom Mailserver des Verkäufers kam. Das kann man im Header der Mail sehen. Dann hätte man sagen können, wer sich hier von bösen Hackern hat hacken lassen. Wenn sich der Verkäufer hacken lässt, hätte ich gesagt, dass der auch auf dem Schaden sitzenbleibt. Wenn der Verkäufer sich verarschen lässt, hätte ich gesagt, dass der auf dem Schaden sitzen bleibt. Aber das haben die hier offenbar gar nicht nachgeschaut.
Danach kommt dieser bemerkenswerte Abschnitt:
Die Klägerin hat ihr E-Mail-Konto beim Anbieter W. Es ist mit einem Passwort geschützt, das zwei Personen im gesamten Betrieb der Klägerin bekannt war und alle zwei bis vier Wochen durch eine der beiden Personen geändert und der anderen mündlich mitgeteilt wurde. Computer und Software der Klägerin sind über die Windows Firewall geschützt, die regelmäßig aktualisiert wird. Darüber hinaus sind Computer und Software über die Vollversion von „X.-Internet-Security“ geschützt.Wie viele Leute im Betrieb das Passwort kennen ist irrelevant. Die E-Mail bei einem externen Dienstleister haben ist ein schlechtes Zeichen. Damit erweitert sich die mögliche Tätergruppe auf diesen Dienstleister, und wer da alles Zugriff hat, das wissen die Kunden ja nicht mal.
Passwortrotation ist Theater. Nicht nur nutzlos sondern sogar kontraproduktiv. Wen du dich bei einer Firma bewirbst, und die rotiert die Passwörter, dann ziehe die Bewerbung sofort zurück. Die machen dann auch alles andere falsch.
Die "Windows Firewall" tut natürlich gar nichts gegen den Abfluss von Passwörtern, weder vom E-Mail-Provider noch bei der Firma selbst.
Und dass sie noch irgendein nutzloses Schlangenöl drüberinstalliert haben, ist auch ein schlechtes Zeichen. Die wissen offensichtlich nicht, was sie tun. Und geholfen hat es ihnen ja auch nicht.
Der Käufer hat dann noch folgendes zu seiner Exkulpation auszuführen versucht:
Die Beklagte behauptet, es sei zum Versand der zweiten E-Mail an sie durch einen Dritten dadurch gekommen, dass auf das E-Mail-Konto der Klägerin eine Hacking-Attacke ausgeführt worden sei, die das Ausspionieren der Geschäftsbeziehung der Parteien und der Rechnungs-E-Mail ermöglicht habe. Dies sei durch mangelnde Vorsichtsmaßnahmen der Klägerin ermöglicht worden, wofür ein Anscheinsbeweis spreche; konkret nennt die Beklagte insoweit die nicht erfolgte Verwendung des „sender policy framework (SPF)“ bei der Kommunikation sowie eine unterlassene Verschlüsselung der pdf-Datei. Nach den Ausführungen im angefochtenen Urteil, die die Beklagte sich im Berufungsverfahren zu Eigen gemacht hat, sei der Klägerin vorzuwerfen, dass sie keine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung verwendet habe. Die Beklagte macht sinngemäß geltend, die Verwendung der genannten Verfahren sei im Geschäftsverkehr zwischen Unternehmen wie den Parteien des Rechtsstreits üblich und zu erwarten.Ende-zu-Ende-Verschlüsselung kann man nur machen, wenn man vorher Schlüssel ausgetauscht hat. Mit jemandem, der auf schlecht gefälschte Rechnungen reinfällt, kannst du auch keinen Schlüssel sicher austauschen.
Wenn tatsächlich eine der beiden Seiten gehackt war, dann kannst du auch keinen Schlüssel austauschen, ohne dass ihn der Angreifer abgreifen kann.
Eine Transportverschlüsselung hilft überhaupt nichts gegen gehackte Mailserver.
Kein SPF haben ist kein Anzeichen für gehackt worden sein.
Der Versender hätte Adobe-Krypto-Kram kaufen und benutzen können, dann wäre sein PDF signiert gewesen. Aber wieso wir davon ausgehen sollen, dass der Käufer gemerkt hätte, dass nur das eine PDF signiert war, leuchtet mir nicht ein. Und natürlich hätte auch das Angreifer-PDF signiert worden sein können, dann halt von irgendeinem anderen Zertifikat, vielleicht mit einer Tippfehler-Domain oder so.
Meine Zusammenfassung des Falls ist: Hilflose Leute sind hilflos und machen hilflose Handbewegungen. Am Ende sagt man: Softwareproblem. Kann man nichts machen. Und das Leben geht weiter.
Das BSI warnte eine Woche lang vergeblich vor einer maximal schädlichen Lücke in Ivanti-Schlangenöl, über die bereits 12 Ministerien in Norwegen hopsgenommen wurden. Das Digitalministerium tat nichts.
Bis jemand dann der Süddeutschen ein paar Daten gegeben hat, die er über die Lücke aus dem Digitalministerium befreit hatte. Ich würde hier auf die Süddeutsche linken, aber die haben das hinter Paywall und sich damit selbst ins Aus geschossen. Schlaue Strategie!
Was mich bei sowas ja immer am meisten ärgert: Alle sind schockiert, dass das Ministerium den Patch nicht eingespielt hat. Niemand ist schockiert, dass das Ministerium diese Software überhaupt installiert hatte. WARUM?!
Finger weg von der Microsoft-Cloud. Nicht nur jetzt akut. Für immer. Einem Hersteller, der so ein Vorkommnis nicht nur überhaupt stattfinden lässt, sondern dann auch noch die Kunden mit Platitüden und "aber aber aber DIE CHINESEN!!1!" abzuspeisen versucht, dem kann man jetzt und in Zukunft nie wieder trauen. Davon erholst du dich nicht als Anbieter.
Cloud-Anbieter sind mehr noch als reguläre Software-Anbieter auf Vertrauen angewiesen. Die können nicht in den Pool pinkeln und dann so tun als sei nichts gewesen. Einer Schließfach-Firma, bei der sich rausstellt, dass jedes Schließfach mit jedem Schlüssel zu öffnen ist, würde man ja auch nie wieder vertrauen. Würdet ihr noch Schlafmittel vom Contergan-Hersteller kaufen?
Das Problem ist, dass die Publikationen, die da jetzt aber mal so richtig auf die Scheiße hauen müssten, sich selber völlig ohne Not von Microsoft abhängig gemacht haben. Nur nur weil sie deren Produkte einsetzen, sondern auch weil sie von Microsofts Werbebudgets abhängig sind.
Und so kommt es zur peinlichsten Nummer diesen Sommer. Ja, peinlicher als der "Löwe" in Berlin. Heise Security schreibt einen Fragenkatalog für Microsoft auf. Microsoft antwortet natürlich nicht. Daher der Fragenkatalog. IHR sollt Microsoft die Fragen stellen, die sie schon Heise nicht beantwortet haben. Vielleicht kriegt IHR ja eine Antwort!1!!
Was für eine Zurschaustellung von Hilflosigkeit! Money Quote aus dem Artikel:
Der Verlag setzt selbst auch Microsoft-Dienste wie Microsoft-Teams ein. Deshalb haben wir auch aus der Sicht eines möglicherweise betroffenen Unternehmens nachgehakt und Fragen gestelltJa, äh, und auf die Idee ist keiner gekommen, den ganzen Microsoft-Scheiß sofort rauszuschmeißen?
Aber aber aber Fefe, das ist doch total unrealistisch. Ohne Windows und Outlook und Active Directory kann man doch gar keine Ransomware kri... äh ich meine kann man doch gar nicht arbeiten!!1!
Na dann macht mal alle weiter, ihr Verstrahlten. Hey, wieso stellt ihr nicht Microsoft die Fragen von Heise? Vielleicht kriegt ihr ja eine Antwort!
Seid ihr eigentlich auch so froh, dass wir eine so freie und unabhängige Presse haben?
Update: Versetzt euch mal kurz in Microsofts Management rein. Würdet ihr angesichts dieser Reaktion auf den größtmöglichen Verkacker bei ihnen jemals wieder auch nur einen Dollar in Security stecken? Ist ja offensichtlich völlig überflüssig. Die Kunden sind eh gefangen. Lass uns denen lieber noch "Threat Intelligence" verkaufen oder ähnlichen Scheiß. Solange die Geld-Pipeline den Kunden weiter Abogebühren aus der Nase zieht, ist doch alles gut!
Update: Freut mich, wie viele entsetzte Mails ich gerade zu Grünenthal kriege. Ja, nicht nur gibt es die noch, die verkaufen heute Opioide. Inklusive des am häufigsten verordneten Opioids, Tramadol. Hand aufs Herz, wie viele von euch wussten das?
Update: Hey, wo wir gerade bei Contergan sind ... sagt euch Heinrich Mückter was? Hier ein Spiegel-Artikel von 2007 dazu.
Friday’s post and two others Microsoft published Tuesday, bend over backward to avoid the words “vulnerability” or “zero-day.” Instead, the company uses considerably more amorphous terms such as “issue,” “error,” and “flaw” when attempting to explain how nation-state hackers tracked the email accounts of some of the company's biggest customers.Die Taktik, das auf Geheimdienste zu schieben, finde ich auch herausstellenswert. Als ob das dann weniger krasses Versagen auf ihrer Seite wäre, weil man gegen Geheimdienste ja eh nichts machen kann. Oder so.Aber wartet, die Nummer ist sogar noch krasser als ich bisher mitbekommen hatte.
one federal agency that was breached by Storm-0558, it discovered the intrusion through audit logs that track logins and other important events affecting customers’ Microsoft cloud events.Microsoft, however, requires customers to pay an additional fee to access these records. The cost for an “E5” enterprise license allowing such access is $57 per month per user, compared to an E3 license cost of $36 per month per customer.
Ach. Ach was. Erst liefern sie sich ans Messer, dann kassieren sie für Updates Abo-Gebühren, und jetzt wollen sie auch noch Geld für Zugang zu der Telemtrie, die sich über dich erhoben haben, damit du selber merken kannst, ob du gehackt wurdest?Tolle Gelddruckmaschine haben die da. Ich staune ja immer, dass die Doofe finden, die ihnen noch Geld für ihre "Dienste" geben.
Bevor jetzt irgendein Sprallo mit "aber Amazon ist ja auch teuer" kommt: Es geht auch ganz ohne Cloud! Ich weiß das von einer verlässlichen Quelle.
Klar, SEIN Job wird dadurch nicht wegfallen, und wenn doch wird er nicht verhungern.
Im Übrigen kann man die negativen Auswirkungen schon irgendwie managen. Klar, genau wie wir die negativen Auswirkungen von Microsofts Softwarequalitäts"standards" "managen", indem ständig alle gehackt werden.
Die Details sind interessant. Und zwar hat die Versicherung dann prüfen lassen, wie schlecht die Security war, und sie war branchentypisch GANZ furchtbar:
Von 21 Servern verfügten nach den Feststellungen des Sachverständigen nur 10 über die erforderlichen Sicherheitsupdates. Bei 11 Servern hatte man es folglich versäumt, die Software-Updates einzuspielen.Die Versicherung fand, dass das dann ja wohl eine klare Nummer war, dass die Firma fahrlässig die Sicherung ihrer Systeme unterlassen hat und sie daher nicht zahlen muss. Das Gericht fand aber:
Der Cyberangriff war jedoch bei insgesamt 16 der 21 Server erfolgreich und betraf Systeme mit allen Betriebssystemversionen, darunter auch die aktuelle Version Windows Server 2019.Die argumentieren also, dass auch ihre ordentlich gepatchten Systeme erfolgreich aufgemacht wurden, und daher der Patchstand ja wohl keine Rolle spielt.
Das ist Unsinn, wie man sich auch ganz leicht selbst überlegen kann. Server sind ja normalerweise nicht isolierte Einzelstücke, sondern hängen in einem Vertrauensverhältnis, bei Windows im Allgemeinen Active Directory, und dann gibt es gemeinsame Accounts mit demselben Passwort zwischen den Kisten.
Wenn der Angreifer jetzt also auf einen ungepatchten Rechner raufkommt, und die anderen Kisten mit dem in einem Vertrauensverhältnis stehen, in dem man wie im vorliegenden Fall Pass the Hash machen kann, dann spielt selbstverständlich sehr wohl der Patchstand eine Rolle. Pass the Hash benutzt man, nachdem man drin ist, um sich benachbarte Server anzugreifen. Wenn alle Rechner ordentlich gepatcht gewesen wären, wäre der Angreifer gar nicht in eine Position gelangt, um Pass the Hash anwenden zu können.
Aus meiner Sicht ist das daher ein Fehlurteil. Wenn die Firma auch nur einen Server nicht gepatcht hatte zum Zeitpunkt des Angriffs, dann sollte die Versicherung gar nichts zahlen müssen.
"Ja. Und dann der niederländische Geheimdienst."
if your computer gets hacked by group X and there was a warrant to intercept the traffic of group X, the Dutch services now gain automatic approval to also intercept your communications or hack you.Wenn du "Sicherheitsbehörden" einmal den kleinen Finger hinhälst, sägen sie nach und nach den ganzen Arm ab.
Nehmt nur Barracuda. Die bauen "Email Security Gateways". Allerdings so schlecht, dass die reihenweise gehackt wurden.
Wenn man kurz einhält und sich fragt, was die zentrale Sicherheitszusage eines "Email Security Gateways" ist, dann fällt einem schnell auf, dass es das Netz vor Angriffen schützen soll, das heißt mindestens nicht selber hackbar sein darf.
Nicht nur kann Barracuda keine sicheren Appliances bauen, wie man an diesem Vorfall schön sieht. Sie sind auch nicht in der Lage, das ohne externe Hilfe zu bemerken (es brauchte einen externen Hinweis) oder aufzuklären (sie brauchten die Heißluftgebläse von Mandiant). Und jetzt der neue Rekord: Sie sind auch nicht in der Lage, gehackte Geräte wiederherzustellen.
Barracuda’s remediation recommendation at this time is full replacement of the impacted ESG.Wegschmeißen! Dem kann ich mich nur anschließen. Einem Hersteller, der eine Security Appliance verkauft, die gehackt werden kann, sollten man sofort alle Artefakte aus allen zugreifbaren Netzen rausschmeißen.Aber diese Meldung ist auch in anderer Hinsicht toll. Ein hocharomatisches Geschmackserlebnis für alle Security-Interessierten!
The vulnerability stemmed from incomplete input validation of user supplied .tar files as it pertains to the names of the files contained within the archive.Wenn du Dateien auspackst, um auf Malware zu scannen, hast du im Wesentlichen EINEN JOB: Nicht von komischen Dateinamen im Archiv verarschen lassen.Aber wartet, wir noch krasser.
Consequently, a remote attacker could format file names in a particular manner that would result in remotely executing a system command through Perl's qx operator with the privileges of the Email Security Gateway product.Perl! Der externe Kommandos ausführen darf! Und der auch noch mit den maximalen Zugriffsrechten läuft!Mir fällt gerade kein Weg ein, wie sie noch krasser verkacken könnten. Wer von so einem Laden Security-Produkte kauft, hat alles verdient, was ihm danach deswegen zustößt.
Update: Mit "Appliance" ist hier nicht zwingend ein Gerät gemeint, sondern kann auch ein VMware-Image sein. Elektroschrott entsteht also immerhin nicht notwendigerweise beim Wegwerfen.
Stellt sich raus, dass der Hersteller da Credentials hardcodet hatte. Aber natürlich wollten sie das Ausmaß ihres umfassenden Monumentalversagens nicht zugeben, also haben sie den guten Samariter angezeigt, der die Lücke nicht an die Russenmafia verkauft sondern ihnen gemeldet hatte.
So und jetzt das Erdbeben an der Nummer:
Es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv geschützt gewesen sein, so die Richter in Jülich.Ja, klar waren sie das nicht, sonst hätte er sie ja nicht sehen können.
Aber wenn man das einmal so sieht, kann man den Hackerparagraphen nie wieder für das Ausnutzen von Sicherheitslücken anwenden. Wenn der Hack erfolgreich ist, waren ja per Definition die Daten nicht ordentlich geschützt.
Das ist jetzt nur ein kleines Amtsgericht, insodern wird das sicher schnell wieder gekippt, das Urteil.
Ich sehe das ja genau so wie das Amtsgericht. Wenn man das hacken konnte, war es nicht gesichert. Freut mich sehr, dass der Herr Amtsrichter sich da nicht von Branchen-Blablah hat in die Irre führen lassen, und zu Protokoll gab, dass der Kaiser keine Kleidung trägt.
Heute so: Redhat bietet Kubernetes-Konfiguration als Clouddienst an. Ja geil! Da hat man ja MASSIV was gewonnen mit!
Aber die Frage, wieso man eigentlich auf eine Plattform migriert, bei der man nicht mal die Konfiguration ohne Assistenz im Griff hat, die stellt mal wieder keiner.
Wir sind auf dem direkten Weg in die Cyberpunk/Shadowrun-Welt. Alles ist kaputt, alles ist hackbar, keiner hat irgendwas im Griff. Nur Black ICE fehlt noch: Detektions-Tech, die den angeblich identifizierten Hacker physisch angreift. Aber der eine Teil daran, den Shadowrun und co nicht durchdacht haben: Wenn die Menschen so wenig in der Lage sind, ordentliche Software zu schreiben, dann würde die Einführung von Black ICE erstmal den eigenen Admins das Hirn frittieren. Denn soviel ist heute schon beobachtbar: Der typische Angreifer weiß deutlich mehr über das die Details des Systems als der typische Admin.
Was ich ja bei der Idee mit dem Konfigurations-Clouddienst auch krass finde: Wer würde denn in so einem Szenario merken, wenn die NSA ihm eine Konfiguration mit Hintertür in die Hand drückt?
Schritt 2: Die Hacker haben 10 TB (!) Daten rausgetragen, bevor WD was gemerkt hat. Mit anderen Worten: WD hat völlig überraschend überhaupt gar keine Kompetenz und merkt den Einbruch an der Trafficrechnung.
Immer noch nicht wirklich eine Erwähnung im Blog wert. Doch dann passierte das hier: Hacker veröffentlichen Screenshot des Krisenmeetings über den Angriff bei WD. Ja, meine Damen und Herren. Das Niveau an Überforderung muss man erstmal erreichen.
Ich tippe ja auf Agile Prozesse. Nee, wir brauchen keine Kompetenz. Wir brauchen keinen Plan. Wir machen einfach los und dann wird schon klar werden, was wir eigentlich hätten tun sollen.
Und hey, es funktioniert!1!! Jetzt ist deutlich klar geworden, was man die ganze Zeit schon hätte tun sollen. Damit einem nicht, wissenschon, das SAP Back Office komplett von Ransomware-Gangs rausgetragen wird. (Danke, Kristian)
Erstens: Nitrokey verbreitet, dass der Qualcomm-Chipsatz deine privaten Daten in die Cloud hochlädt.
Das ist Blödsinn. Der Cloud-Kontakt von dem Qualcomm-Chipsatz ist das Runterladen des GPS-Almanachs. GPS funktioniert so, dass Satelliten Signale schicken, und du kannst dann deine Position ausrechnen, wenn du die Signale siehst, und weißt, wo die Satelliten gerade waren. Im Signal ist ein Timestamp, mit dem du sehen kannst, wie lange das Signal unterwegs war. Jetzt musst du nur noch wissen, wo die Satelliten sind, und da deren Laufbahnen ständig nachkorrigiert werden, sind das keine statischen Daten. Die Positionen stehen in einem sogenannten Almanach, und den lädt Qualcomm halt alle zwei Wochen oder so aus der Cloud nach.
Dass das über HTTP geht, kann man kritisieren. Aber was Nitrokey hier verbreitet überschreitet die Grenze der grotesken Inkompetenz und sieht für mich nach mutwilliger Irreführung aus.
Zweitens: Heise verbreitet, dass Google Authenticator deine Zwei-Faktor-Seeds in die Cloud backupt und dabei nicht Ende-zu-Ende-Krypto einsetzt.
Analysieren wir doch mal die Situation. Wir haben hier ein Cloud-Backup "im Klartext", d.h. der Typ in der Cloud kann die Daten einsehen. Der Weg zur Cloud ist TLS-verschlüsselt, und Google spricht jetzt davon, dass die Daten auch verschlüsselt bei ihnen abgelegt sind. Das ist natürlich ekelhafte Irreführung, denn damit meinen sie Platten-Krypto. Das schützt gegen "jemand bricht bei Google ein und klaut die Platten". Es schützt nicht gegen "jemand bricht bei Google ein und kopiert die Daten". Das ist das Szenario, vor dem man hier Sorgen haben sollte, und da hat Heise einen Punkt, dass das ein Problem ist.
Auf der anderen Seite läuft auf deinem Telefon Google-Software. Das Google-Android schützt deine Seeds auf dem Telefon vor dem Zugriff anderer Apps und verhindert Netzwerk-Kommunikation der Google Authenticator App. Wenn dein Bedrohungsmodell also ist, dass jemand bei Google einbricht und dort böse Dinge tun kann, dann hast du eh schon komplett verloren, weil derjenige dir auch ein böses Android-Update schicken kann, das deine Seeds auf Facebook postet oder bei Github hochlädt oder so.
Was hätte man besser machen können? Man könnte das Backup mit einem Schlüssel verschlüsseln, den Google nicht kennt. Allerdings muss diesen Schlüssel halt dein Telefon kennen, sonst kann es ja nicht die Daten damit verschlüsseln, und die Software auf deinem Telefon kommt von Google. Die Forderung hier ist also gerade, dass Google deine Daten vor Google schützt. Das klingt nicht nur bekloppt, das ist bekloppt.
Zusammenfassend: Ich würde nie meine Daten zu Google (oder sonstwo) in die Cloud backuppen oder auch nur mein Windows an einen Microsoft-Account binden. Aber selbst mit dieser paranoiden Grundeinstellung bin ich machtlos, mich auf einem Android-Telefon gegen böse Updates zu wehren.
Insofern: Ist das ein Problem? Ja. Aber ein weitgehend akademisches. Mit "E2E" (passt in diesem Szenario eigentlich nicht, weil beide Enden du selbst bist) würde man sich gegen ein Szenario schützen, wo ein Einbrecher es innerhalb von Google bis zu dem Backup-Storage schafft, aber nicht die Updates kompromittiert kriegt. Ist das sonderlich realistisch? Müsst ihr selbst beurteilen. Aus meiner Sicht sieht das nach "Sommerloch bei Heise" aus. Wenn du mit Firmen wie Microsoft oder Google überhaupt kooperierst, hast du schon direkt ziemlich komplett verloren. So zu tun als gäbe es da Graustufen und man hätte aber eigentlich doch noch Reste von Kontrolle ist aus meiner Sicht Augenwischerei.
Ist 2FA damit vollständig Bullshit? Ich bin grundsätzlich kein Freund von 2FA, weil das im Wesentlichen nur einen Zweck erfüllt: Eine Beweislast- und Schuldumkehr von Google zu mir. Vorher: Mein Google-Account wird gehackt? Google war Schuld. Nachher: Mein Google-Account wird gehackt? Ich bin Schuld.
Wieso würde ich da mitspielen wollen? Sehe ich nicht ein.
Aber WENN man schon 2FA macht, dann zwischen konkurrierenden Firmen. Wenn Microsoft 2FA erzwingt, dann generiere das Token unter Android. Wenn Google 2FA erzwingt, generiere das Token unter Windows oder Linux oder sonstwo, wo Google nicht rankommt. D.h. dann auch: Wo kein Chrome läuft!
Der ganze postulierte Sicherheitsgewinn von 2FA kommt daher, dass Username+Passwort und Token nicht an derselben Stelle abgreifbar sind. Das muss man dann auch sicherstellen. Wenn du also Google Authenticator verwendest, dann darfst du dich von dem Android aus nie in den Account einloggen, sonst kann Google auch Username+Passwort sehen (über die Keyboard-App u.a.).
Update: Hat der Fefe gerade argumentiert, dass man Cloud-Backup nicht verschlüsseln muss? Nein! Das ist grundsätzlich eine gute Idee. Da gibt es gute Gründe für, Backups immer zu verschlüsseln, auch wenn das Backup lokal ist. Nehmen wir an, eine der Platten geht kaputt und du willst die entsorgen. Wenn die Backups verschlüsselt waren, kannst du die einfach wegschmeißen (der Schlüssel darf dann natürlich nicht daneben liegen). Wenn die Backup-Infrastruktur komplett nur verschlüsselte Daten sieht, kannst du da unvertrauenswürdige Infrastruktur einsetzen (z.B. ein SMB-Share, NFS, Cloud-Storage, whatever). Da kann dann nichts absichtlich oder versehentlich leaken. Wenn die Software Temp-Files rumliegen lässt oder Daten im RAM cached, dann musst du dir keine Sorgen machen.
Aber die Gelegenheit war günstig, mal zu zeigen, wie man so eine Risikoanalyse in der Praxis machen sollte. Mein Argument war nicht, dass Backup-Crypto nicht notwendig ist, sondern dass Google auch mit Backup-Crypto an deine Daten rankommt und daher die Auswirkungen nicht so groß sind wie man erstmal instinktiv annehmen könnte.
Es gibt noch ein Argument für E2E-Krypto in diesem Fall. Wenn jemand bei Google deine Daten abgreifen will, kann der im Moment entweder dir ein böses Update schicken oder deine Backups abgreifen. Die Risiken sind additiv. Wenn du die Backups ordentlich verschlüsselt hast, bleibt zwar der andere Teil des Risikos bestehen, aber dieser Teil fällt weg. Hilft halt nichts gegen "der CEO / das FBI verlangt Zugriff auf deine Daten", und das ist der Fall, der mir persönlich mehr Sorgen machen würde.
Update: Ja aber Fefe, muss ich mir für meinen Google-Account ein Iphone kaufen, damit das 2FA auf einem anderen Gerät als dem Android läuft? Nein. Für sowas kann man auch FIDO2-Tokens nehmen, von Yubikey oder so.
Fox News kauft sich für 788 Millionen Dollar von der Dominion-Klage frei. Zum Vergleich: Der Quartalsprofit von Fox News ist 308 Millionen.
Dominion baut Wahlcomputer. Fox News hatte in ihrer Trump-Arschkriech-Berichterstattung verbreitet, dass Dominion kaputte Wahlcomputer gebaut habe, die dann gehackt oder manipuliert worden seien, und nur deshalb habe Trump die Wiederwahl verloren. Daraufhin klagte Dominion, wollte 1,6 Milliarden.
Update: Da steht übrigens noch mindestens eine weitere Klage aus.
Dann wäre mir das in der Tat viel lieber als wenn hier ein Telefon gehackt worden wäre oder so. Dann würde ich der "Zeit" deutlich weniger Vorwürfe machen. Sie hätten immer noch nicht den Döpfner so bloßstellen sollen mit seinen Tippfehlern, einfach aus menschlichen Gründen, aber die Verwertung von von Ex-Mitarbeitern geleakten Daten durch die Presse halte ich grundsätzlich für legitim.
Dann würde ich mir auch keine Sorgen machen, dass Leute die privateren Nachrichten von Döpfner gesehen haben, denen er sie nicht selbst geschickt hat.
Das kann ich halt nicht so sehen. Wir wissen nicht, wo diese Nachrichten herkommen. Vielleicht aus einem internen Chatforum. Vielleicht hat jemand Döpfners Telefon gehackt. Vielleicht hat Döpfner seine Nachrichten in die Cloud gebackupt und da hat sie jemand kopiert. Wissen wir nicht.
Ich muss daher davon ausgehen, dass hier jemand auch die ganzen privaten Dinge von dem Döpfner gesehen hat. OK, auf dem Weg hat jemand gefiltert, vielleicht der Leaker, vielleicht die "Zeit", und bei der Veröffentlichung dann gefiltert. Das ist aus meiner Sicht ja wohl der absolute Mindeststandard an der Stelle! Das entschuldigt doch nicht den ursprünglichen Einbruch!?
Ich sehe das, wie ich auch Trojanereinsetz der Polizei sehe. Die schwören uns auch, dass sie die Intimsphäre wahren werden. Aufnahme aus dem Schlafzimmer werden direkt gelöscht sagen sie. Das mag ja sein, aber dafür muss die ja jemand angehört haben, um zu merken, dass die aus dem Schlafzimmer waren!
Privatsphäre bezieht sich nicht nur auf die Veröffentlichung sondern auch darauf, dass jemand überhaupt Zugriff auf diese Daten hat.
Ich bin jetzt nicht Döpfner und kann mir das nur aus der Ferne vorstellen, aber für mich würde sich das glaube ich anfühlen wie eine Hausdurchsuchung. Nur halt nicht von der Polizei durchgeführt! D.h. … ein Einbruch.
Ich kenne jemanden, dem mal jemand in das Haus eingebrochen ist und Dinge geklaut hat. Als niemand im Haus war, immerhin. Aber der hat Jahre gebraucht, bevor er sich in seinem eigenen Haus wieder sicher gefühlt hat.
Ich selbst habe mal bei einer Einreise in die USA erlebt, dass vor mir alle ihre Fingerabdrücke abgeben mussten. Als ich dran war, meinte der Typ nur so: Nee, deine haben wir ja schon. Ich habe Monate gebraucht, bis der Schock wieder aus meinen Knochen rauswar. Meine hatten die schon, weil ich mit Visum einreiste, und bei der Visumsbeantragung gibt man die Fingerabdrücke ab. Ich dachte aber, dass man die abgibt, damit die bei der Einreise vergleichen kann. Nee. Offensichtlich nicht. Man gibt die ab, weil die USA gerne alle unsere Fingerabdrücke bei den Akten haben wollen.
Vielleicht bin ich da überdurchschnittlich sensibel, aber der Gedanke, dass jemand alle meine privaten Nachrichten liest, und dann ein paar davon rauspickt, die er für "beruflich" hält, und veröffentlicht? Das finde ich einen absoluten Horror!
Ein paar Leser fanden auch, dass der Empfänger entscheidet, ob eine Nachricht privat ist. Das finde ich nicht. Ich betreibe eine Firma mit einem alten Uni-Freund zusammen, und wir erzählen uns ständig private Dinge von Arztbesuchen bis Familienproblemen. Da sind auch einige mit Nachrichtenwert dabei, die wir nicht öffentlich erzählt haben, weil wir dem Kunden Verschwiegenheit zugesichert haben. Wenn die morgen in der "Zeit" erscheinen würden, würde ich ganz sicher davon ausgehen, dass die auch die Arztbesuche und den Familienstress gesehen haben. Das würde mich an der Stelle nicht beruhigen, dass sie das nicht auch gleich in ihrer Zeitung abgedruckt haben.
Stell dir mal vor, du kriegst ein Schreiben von der Staatsanwaltschaft, dass sie ein Verfahren gegen dich eingestellt haben, weil deine Browserhistory beweist, dass du zu dem Zeitpunkt ein Alibi hattest. So ungefähr wirkt das auf mich hier gerade. Auf der einen Seite gut, dass sie die Browserhistory nicht veröffentlichen. Auf der anderen Seite: WTF? Die haben in meine Browserhistory geguckt!?!?
Ich plädiere hier also nochmal ausdrücklich für mehr Empathie. Grundrechte und Menschenwürde sind nur real, wenn sie für alle gelten. Insbesondere wenn sie auch für Leute gelten, die ihr nicht leiden könnt.
Das FBI hat Recht.
Auf einer fundamentalen Ebene war das natürlich die ganze Zeit klar. Wenn du einen Fahrstuhl anfasst, dann könnte da was kaputt sein und du könntest einen Stromschlag kriegen. Es gibt immer ein Risiko, wenn du anderer Leute Hardware anfasst oder mit deinen Geräten verbindest.
Aber bei USB haben sie dieses fundamentale Risiko gesehen und "hold my beer" gesagt. USB ist eben nicht nur für Strom sondern auch für Datenübertragung. Wenn du also dein Smartphone per USB mit etwas verbindest, weiß das Telefon nicht, ob du Laden willst oder ob du Daten übertragen willst.
Alle Datenübertragungen bergen das Risiko in sich, dass man darüber gehackt werden kann, weil einem jemand böse Daten schickt, die einen Bug im Code ausnutzen. Bei USB gibt es jetzt keinen Weg, "nur zum Laden" zu verbinden. Früher hat man über USB auch immer sofort seine Fotos exportiert z.B., das ist inzwischen anders. Smartphones heutzutage machen über USB nicht mehr viel, außer der User unlockt das Gerät und gibt das manuell frei. Ein Restrisiko bleibt aber auch hier, denn wenn du dein Telefon am Flughafen auflädst, bist du wahrscheinlich gelangweilt und hast das Gerät aufgeschlossen.
USB geht sogar noch weiter und hat eine Protokollkomponente fürs Stromladen. Selbst wenn man also nur Laden will, dann gibt es trotzdem die Möglichkeit, dass dieses Protokoll einen Fehler exponiert, den jemand ausnutzen kann. Der Standard heißt USB Power Delivery, könnt ihr ja mal googeln.
Insofern, zusammenfassend: Früher war das ein ganz großes Problem. Heute ist es ein viel kleineres Problem. Aber Fachleute erkennst du auch heute daran, dass sie ein Ladegerät dabei haben und das in eine Steckdose stecken, statt sich per USB mit einer fremden USB-Dose zu verbinden. Das solltet ihr auch so handhaben.
Als Zyniker muss ich an der Stelle auch darauf hinweisen, dass das FBI weiß, dass man so Malware aufspielen kann, weil sie genau das selber regelmäßig tun. Der Marktführer für solche Geräte heißt Cellebrite. Die beliefern viele Polizeien, Zollbehörden und Geheimdienste der Welt.
Update: Jetzt schreiben mir hier lauter Klugscheißer, dass man ein USB-Ladekabel machen kann, wo halt nur die Lade-Pins durchgereicht werden. Ja, kann man machen, aber dann fällt da halt nur 5W raus. Da lädst du dann einen Tag an dienem Smartphone rum und einen Laptop kannst du damit schon mal gar nicht betreiben.
Ja aber Fefe, manche Netzteile ignorieren, dass die Pins nicht verbunden sind, und pumpen da immer ihre 20W oder 60W rüber! Diese Geräte sind nicht Spec-konform und im Übrigen auch lebensgefährlich. Sowas solltet ihr keinesfalls einsetzen.
Im Übrigen: Wenn ihr wisst, wie man bei einem USB-Kabel die Pins trennt, die fürs Laden nicht gebraucht werden, dann wart ihr offensichtlich nicht die Zielgruppe für diesen Beitrag. Schweigen ist Gold.
Die „Neue Zürcher Zeitung“ („NZZ“) kämpft zwei Wochen nach einem Cyberangriff auf ihre Computer weiter mit Problemen. Der Verlag hat zentrale Systeme für die Zeitungsproduktion außer Betrieb setzen und die Samstag-Ausgabe bereits am Donnerstag vorproduzieren müssen.An der Stelle frage ich mich ja immer, wieso man sich darüber beim ORF informieren muss und nicht bei der NZZ. Da kommt einmal eine Story vorbei, bei der die einen echten Informationsvorsprung haben, und die nutzen das nicht?! (Danke, Alfred)
Exklusiv HackerangriffeDa ärgere ich mich ja direkt über das "EXKLUSIV". Wenn ein Fragezeichen im Titel ist, ist es nicht exklusiv. Dann ist es nicht mal Fakten-Berichterstattung sondern Mutmaßung. "Cybermafia" und "von Putins Gnaden" sind natürlich stark vorbelastete und lenkende Begriffe, die Berichterstattung eh ausschließen. Das ist Meinungsmache.
Cybermafia von Putins Gnaden?
Kann gerechtfertigte Meinungsmache sein, aber es ist jedenfalls Meinungsmache.
Gucken wir mal weiter.
Europaweit werden Webseiten lahmgelegt - womöglich von prorussischen Hackern. Experten warnen vor der Entstehung einer Mischszene aus Cyberkriminellen, Hacktivisten und russischen Geheimdiensten."womöglich" ist ein Wieselwort und heißt: Wir wissen es nicht, Beweise haben wir natürlich auch keine, nicht mal ordentliche Indizien. "Experten warnen" ist auch eine große rote Warmlampe, dass hier Bullshit kommt.
Womöglich ist nicht mal ein gutes Wieselwort. Ich nehm immer "offenbar". Das sagt, dass das eine Deutung von mir ist, und damit eine Meinung und keine Tatsachenbehauptung. Ist euch hoffentlich schon aufgefallen, dass ich das Wort gerne und häufig verwende, und dass ich hier verdammt selten verklagt oder abgemahnt werde.
Plötzlich ging nichts mehr. Webseiten und Internetportale bundesweit waren in dieser Woche nicht mehr erreichbar, darunter die Onlineauftritte von Landesministerien und Polizeibehörden.Da krieg ich direkt Stresspickel. It was a dark and stormy night. Das ist so "Onkel erzählt Kleinkind eine Geschichte"-Niveau. "Plötzlich ging nichts mehr". *göbel*
Wieso publizieren die sowas? Wollen die, dass ihre Leser mitkriegen, wie wenig ernst genommen sie werden?
Außerdem: Wenn Webseiten von Ministerien und Polizeibehörden ausgefallen sind, ist die Story erst recht nicht "exklusiv". Wenn ich das aus meinem Wohnzimmer sehen kann, ist das nicht exklusiv.
Sie brachen unter der Last von massenhaften Zugriffen auf die Server schlichtweg zusammen.Das nennt sich DDOS und ist kein Hackerangriff. Eher eine Sitzblockade.
Und so geht das weiter. Murmeln, Andeutungen und Hörensagen, garniert mit lenkender Wortwahl und Meinungsmache.
Ich finde das sehr enttäuschend, dass das Niveau derartig schlecht ist bei der ARD. Der Autor von diesem Artikel fällt schon länger negativ auf, durch Wiedergabe von Geheimdienst-Einflüsterungen statt Journalismus.
Ach Scheiße, ist Paywall.
Oh, die Süddeutsche hat eine investigative Exklusiv-Story über russische Cyberkrieger!
Oh, ist auch Paywall.
Geh ich halt zu Le Monde. Die haben auch eine exklusive Investigativ-Story über russische Cyberkrieger! Oh. Auch Paywall.
Macht nichts. Dieselbe "exklusive" "Investigativ"-Story gibt es auch bei dem ZDF, dem Standard, der Washington Post und dem Guardian.
Stellt sich raus: Ein "Whistleblower" (bestimmt nicht die Psyop-Abteilung der ukrainischen Streitkräfte!1!!) hat der Süddeutschen vor einem Jahr (nein, wirklich! Seit einem Jahr sitzen die da jetzt drauf!) ein paar Papiere "geleakt". Alle diese "investigativen" "Exklusiv"-"Berichte" basieren auf denselben Papieren.
Leute, äh, "exklusiv" und "investigativ" haben eine Bedeutung. Aber nicht die, die ihr zu glauben scheint.
Exklusiv heißt, dass man das nur bei dir lesen kann.
Investigativ heißt, dass ihr das selbst rausgefunden habt. Durch, äh, Nachforschungen. Wenn euch ein Whistleblower eine Festplatte in die Hand drückt, ist das nicht investigativ.
Und inhaltlich? Ich seh da erstmal nur Geraune über angebliche Malware, an denen diese Firma Schuld gewesen sein soll. Quelle: Sagen westliche Geheimdienste und westliche Security-Firmen, die damit in ihrer Werbung Aufmerksamkeit generiert haben.
Sorry, das ist schon in Friedenszeiten Scheiße. In Kriegszeiten, von einem "anonymen" "Whistleblower" ist das mehr als Scheiße. Da ist das "wir verbreiten Propaganda".
Das hat bestimmt die CIA herausgefunden. Die finden ja alles raus. Alles finden die raus!1!!
A digitally signed and trojanized version of the 3CX Voice Over Internet Protocol (VOIP) desktop client is reportedly being used to target the company’s customers in an ongoing supply chain attack.Ja aber aber das kommt doch per Autoupdate und ist signiert! Was sagt ihr, Autoupdate ist ein Risikofaktor? Ein Angriffsvektor? Hätte uns doch nur jemand gewarnt! (Danke, Manuel)
Die IT-Beratung Materna SE aus Dortmund ist am Samstag dem 25.03.2023 Ziel eines professionell ausgearbeiteten Cyber-Angriffs auf Netzwerkebene geworden. Dabei wurden Systeme im Unternehmensnetzwerk attackiert sowie kompromittiert.Lass mich das mal kurz verständlicher formulieren: Wir haben verkackt und wurden gehackt.
Zum gegenwärtigen Zeitpunkt sind die Systeme und Dienste aus Sicherheitsgründen vorübergehend in der Verfügbarkeit eingeschränkt.Nee. Nicht aus Sicherheitsgründen. Aus Unsicherheitsgründen. Weil ihr eure Security verkackt hattet.
Unmittelbar nach dem Sicherheitsvorfall wurden die zuständigen Ermittlungsbehörden (Zentralstelle Cyber-Crime) hinzugezogen.Na DANN ist ja alles gut jetzt!1!!
Parallel sind externe unabhängige Sicherheitsdienstleister für die forensische Untersuchung sowie die Absicherung und Wiederherstellung im Einsatz.Wieso habt ihr das Geld nicht vor dem Vorfall in die Hand genommen sondern verbrennt es jetzt, wo es nicht mehr hilft?
Zusätzlich wurde eine Erstmeldung bei der Datenschutzbehörde erfolgreich abgesetzt, um präventiv bei einer möglichen Datenkompromittierung agieren zu können.Nee, nicht um präventiv agieren zu können, sondern weil das DAS GESETZ IST.
Die Materna SE aus Dortmund hat Sofortmaßnahmen sowie reguläre Maßnahmen zum Schutz der Kundendaten sowie internen Daten veranlasst, um die Situation zu überwachen sowie im gesicherten Umfeld zu kontrollieren.Ah ja? Und welche Maßnahmen waren das bitteschön? Wie wollt ihr denn irgendwas kontrollieren können, jetzt wo die Angreifer im System waren und potentiell alles bereits rausgetragen haben?
Das Materna-Team ist optimistisch, den Angriff der Akteure auf das Unternehmen abzuwehrenAbwehren? Den Angriff, der bereits erfolgreich erfolgt ist? Den abzuwehren seid ihr optimistisch? Vielleicht solltet ihr mal professionelle Hilfe in Anspruch nehmen, und ich rede hier nicht von IT-Hilfe.
Update: Was macht Materna eigentlich beruflich? Nun, sie verkaufen den Leuten "Security". Ist euch mal aufgefallen, dass alle in Detektion und Post-Incident-Bürokratie investieren, aber keiner in Abwehr? Der Grund liegt auf der Hand. Wenn man in Abwehr investieren würde, müsste man Prozesse umstellen, und dann wäre sichtbar, was man vorher alles falsch gemacht hat. Wenn man so tut, als seien Cyberangriffe halt Schicksal und Detektion und Handling reicht, dann ist niemand schuld und alle werden früher oder später gehackt, wodurch dann erst recht niemand schuld ist.
Wieso würde jemand denen Netflow-Daten geben, fragt ihr? Ganz einfach!
Team Cymru, the company ultimately selling this data to the FBI, obtains it from deals with ISPs by offering them threat intelligence in return. These deals are likely conducted without the informed consent of ISPs’ users.Weil die alle doof sind! Threat Intelligence ist natürlich absoluter Bullshit. Reines Schlangenöl. Wir müssen unsere Sicherheitslücken nicht zumachen, weil wir ja bekannte Angreifer filtern!1!! Oh warte, wir können die gar nicht filtern. Dann, äh, wird das Teil unsere Monitorings! Dann kann man danach in den Logs sehen, die eh keiner liest, dass wir vorhin gehackt wurden!!1!Schlangenöl.
In der EU ist das ziemlich offensichtlich eine DSGVO-Verletzung würde ich denken, aber ... hmm. Weiß zufällig jemand von ISPs in der EU, die Netflow-Daten rausgeben? Vermutlich "anonymisiert" dann.
Der Artikel hat noch ein Lowlight:
After Motherboard reported the U.S. Army and other purchases of Team Cymru data, the Tor Project, the organization behind the Tor anonymity network, said it was moving away from infrastructure that Team Cymru had donated. The Tor Project told Motherboard it expects that migration to be completed this Spring.
Auf das Münchner Helmholtz Zentrum ist eine Cyber-Attacke verübt worden, die offenbar die gesamte Kommunikation der Forschungseinrichtung an der Ingolstädter Landstraße in Neuherberg lahmgelegt hat. [...] Das Forschungszentrum hat bislang auf Anfragen per Mail nicht reagiertNa no shit, ihr Spezialexperten! (Danke, Dennis)
Aber an der Stelle könnt ihr ja mal freundlich euren neuen Untermietern aus Moskau zur Begrüßung die Hand schütteln.
Microsoft has patched an Outlook zero-day vulnerability (CVE-2023-23397) exploited by a hacking group linked to Russia's military intelligence service GRU to target European organizations.The security vulnerability was exploited in attacks to target and breach the networks of fewer than 15 government, military, energy, and transportation organizations between mid-April and December 2022.
Sag bloß! Exchange ist unsicher?! Also DAMIT konnte ja wohl NIEMAND rechnen! Dabei haben wir doch extra auch Outlook und Active Directory auf unserem Windows im Einsatz!!1!
A top House official said that a “significant data breach” at the health insurance marketplace for Washington, D.C., on Tuesday potentially exposed personal identifiable information of hundreds of lawmakers and staff.Woher wissen sie das? Nun, ...the FBI was able to purchase some of the hacked material on the dark webNatürlich betrifft das neben den Congress-Hanseln auch einen großen Haufen anderer Leute, aber auf die scheißen wir ja alle. Datenlecks und Online-Beleidigungen spielen nur eine Rolle, wenn sie sich gegen Politiker richten. Hüben wie drüben.
Natürlich wurde das dann ausführlich untersucht. Deutlich ausführlicher als die ganzen Todesfälle unter der afghanischen Bevölkerung, oder die Strahlenkranken durch Uranmunition im Irakkrieg. Hier ging es schließlich um heldenhafte Amerikaner!
Nur ... gefunden haben sie nichts. Money Quote:
But in the end, the final intelligence report found that medical experts could not attribute the symptoms to an external cause separate from a preexisting condition or environmental factors, including conditions such as clogged air ducts in office buildings that could cause headaches, the officials aid.Amerika braucht keine Hilfe, um die eigenen Mitarbeiter krank zu machen!!1!Warum ich das erwähne ist aber etwas anderes. Über die Sache hat nämlich auch die Tagesschau berichtet. Und was schreiben die?
In vielen Fällen fanden sich andere mögliche Erklärungen als eine Kampagne wie medizinische Erkrankungen, schlecht funktionierende Klima- und Lüftungsanlagen oder elektromagnetische Wellen, die von harmlosen Geräten wie einer Computermaus ausgingen.Oh? Computermäuse? Hat sich die Tagesschau das komplett aus dem Arsch gezogen oder wo kommt das her? Arbeiten da vielleicht ein paar Wavies? Esoteriker? Leute, die überall "Strahlenbelastung" durch "Elektrosmog" fühlen und Orgonen-Gleichrichter aufgebaut haben um ihren Schreibtisch herum?
Spaß am Rande: Ich wollte gerade sicherheitshalber nochmal googeln, wie die Eso-Sprallos ihre Orgonen-Produkte nennen. Und wo komme ich raus? Bei Audiophilen! Da wächst zusammen, was zusammen gehört.
Die naturbelassenen Orgonite verbessern die Musikqualität, das ist unbestritten.*gröhl*
Ansonsten ist die Produktbezeichnung wohl Orgonakkumulator. Da hat sogar Amazon ein Adword für gekauft. m(
Clankriminalität passt ja eh viel besser zur CDU als zur SPD. Zu denen passt eher Vetternwirtschaft, Veruntreuung von Steuermitteln und Inkompetenz.
Ich amüsiere mich ja königlich darüber, wie überrascht die SPD jetzt ist. Wieso haben die denn diese unsägliche Frau überhaupt aufgestellt? Die schon vorher gesagt hat, dass sie das Enteignungs-Volksbegehren nicht umsetzen wird? Das mit so deutlicher Mehrheit gewonnen hat, dass es bei der Wahlwiederholung nicht wiederholt werden musste?
Auch sehr witzig ist, dass bei der CDU genau dieselben verkackten miefigen Uralt-Sprüche kommen wie sonst immer. "klarer Regierungsauftrag". Nee. Weder klar noch Regierungsauftrag. Ein paar Protestwähler sind falsch zu euch abgebogen. Euer Wahlergebnis wäre historisch schlecht, wenn es nicht in den letzten Wahlen noch historisch schlechter gewesen wäre.
In der ARD hat die SPD gerade eine Einladung zu "Der Untergang"-Memes ausgesprochen. Gefragt, was sie denn machen wollen, wenn die CDU mehr Stimmen als sie hat, faselten die was von der Abend sei ja noch jung. Ja nee klar. Mit dem Angriff Steiner kommt das alles in Ordnung.
Schadenfreude ist echt der einzige Aspekt an dieser Wahl, der nicht vollständig negativ ist. Im Moment sie auch die FDP unter 5% aus. Dafür ist die AfD bei fast 10%. Dauert nicht mehr lange und wir haben eine Fascho-Mehrheit, weil die anderen Parteien alle so monströs verkackt haben.
Und zwar hat jemand ein paar Millionen in Bitcoin verloren, weil er, wie er behauptet, gehackt worden sei. Dabei sind die Bitcoins entwendet worden, aber die Hacker haben den Private Key dazu nicht und jetzt kommen beide Seiten nicht dran.
Der Typ begehrt jetzt, dass die Bitcoin-Software geändert wird, damit er wieder an sein Geld kommt. Klingt erstmal ziemlich absurd, denn man kann ja nicht einfach auf Zuruf die Software ändern. Erstens wäre das dann nicht mehr Bitcoin, zweitens entscheiden ja die Miner, welche Version der Software sie fahren, und das ergäbe dann wahrscheinlich einen Fork oder niemand der Miner übernimmt das.
Und wenn die Miner es doch übernehmen, dann wäre Bitcoin als solches zumindest stark beschädigt. Außerdem würde das natürlich die Fluttore öffnen. Da kann (und wird!) ja jeder kommen!
Die Argumentation von dem Typ ist, dass im Englischen Recht er der Eigentümer des Geldes ist, und die Software-Leute seien Treuhänder und daher habe er Ansprüche gegen die, wenn unter ihrer Treuhandschaft sein Geld verloren gegangen ist.
Dieser Typ ist ein bekannter Troll, der auch behauptet, der Bitcoin-Erfinder zu sein, aber nie auch nur den Hauch eines Belegs dafür vorweisen konnte.
Jetzt kommt es wahrscheinlich darauf an, ob die Richter schonmal Geld in Bitcoin "investiert" und verloren haben. Vielleicht käme denen das ganz gelegen, wenn der ganze Laden niederbrennt.
Popcorn bereithalten!
Money Quote:
The hacking attack sought to exploit a software vulnerability, ACN director general Roberto Baldoni told Reuters, adding it was on a massive scale.Ja wie, Moment, da steht ja gar nichts von riesiger krimineller Energie?! Immerhin haben Sie die Behörden eingeschaltet. Das hilft auch immer gewaltig, wenn man nicht gepatcht hat und ungebetenen Besuch kriegt.Was tun die denn konkret, fragt ihr euch bestimmt. Nun: Gar nichts.
"CISA is working with our public and private sector partners to assess the impacts of these reported incidents and providing assistance where needed,"Die sitzen da und sammeln Daten. Mit denen sie dann absolut gar nichts anfangen können beim nächsten Mal. Aber "wir haben auf unseren fetten Ärschen gesessen und waren komplett nutzlos" kann man ja nicht sagen. Daher sagt man "working with our partner" und "assess the impact".Ich tippe ja, dass das eine uralte bekannte Lücke ist, gegen die man seit Ewigkeiten patchen konnte, aber das hat wieder keiner gemacht. Shitrix oder so. Vielleicht das ESXi-Ding. Oder log4j.
Je älter ich werde, desto mehr glaube ich, dass das alles mal kontrolliert niederbrennen muss. Wobei. Genau das passiert ja gerade. Nur halt eher langsam.
Ich würden den Italienern ja raten, dass die Industrie eine Versicherung gründet. Dann muss weiterhin niemand patchen. Man ist ja versichert.
Update: Es ist das ESXi-Ding.
Na dann ist der Krieg gegen den Terror ja endlich vorbei. War aber auch Zeit.
Oh und die rechte Hand von bin Ransomware haben sie auch erwischt! Ein Glück!
Ransomware gilt seit Jahren als die gravierendste Bedrohung der Cybersicherheit.Äh... nein. Windows, Office und Active Directory gelten seit Jahren als gravierendste Bedrohung der Cybersicherheit. Und Leute, die das einsetzen.
Und Unternehmen, die kein Schloss an die Tür machen und ihr Dach nicht abdichten und danach von "krimineller Energie" reden, wenn es reinregnet.
Mein aktueller Endboss in Sachen offensichtlich bescheuerter IT-Homöopathie ist Cloud-Verschlüsselung.
OK, kurzes Gedankenspiel. Ihr fahrt in den Urlaub und bittet den Nachbarn, eure Pflanzen zu wässern. Dafür gebt ihr ihm den Schlüssel.
Euch ist hoffentlich direkt sofort klar, und zwar ohne dass ich das irgendwie erläutern muss, dass der Nachbar ab dann in eure Wohnung kommen und Dinge tun kann. Schlüssel zurückholen hilft nicht, denn er kann einen Nachschlüssel angefertigt haben.
Wenn du einmal den Schlüssel weggibst, hilft nur Schlosstausch.
Aber was machen die Cloud-Leute jetzt? Die haben ja das Problem, dass deine Software auf ihrer Hardware läuft, und Software kann sich gegen Angreifer mit physischem Zugriff auf die Hardware nicht schützen. Prinzipiell nicht. Nicht "wir wissen nicht wie". Doch. Wir wissen. Geht nicht.
Software ist eine Liste von Dingen. Die gibt man der Hardware, und die führt die dann aus. Wenn jemand anderes die Hardware kontrolliert, kontrolliert er deine Software.
Da führt auch kein Weg dran vorbei. Daher wird DRM immer wieder geknackt, und deshalb führen Intel und ARM einen Krieg gegen ihre Kunden und nehmen ihnen schrittweise immer mehr der Kontrolle über die Hardware weg.
Was machen also die Cloud-Leute? Sie verdünnen Wasser! Hey, wir haben hier einen Knopf hingemacht. "Verschlüsselung aktivieren". Das ist ungefähr wie am Set von Star Trek der Knopf "Schilde aktivieren". Das tut nichts und jeder weiß es. Da ist kein Schild. Wir tun nur alle so.
Während wir bei Star Trek wenigstens unterhalten werden, ist das bei der Cloud einfach nur Beschiss. Wenn die Cloud verschlüsselt, dann hat die Cloud den Schlüssel. Mit dem kann man Ver- und Entschlüsseln. Solange der Cloud-Anbieter den Schlüssel jemals irgendwann auch nur kurz gesehen hat, ist das kein Schutz gegen den Cloud-Anbieter, und als genau das wird das ja gerade verkauft.
OK Fefe, das hilft dann vielleicht nicht gegen den bösen Admin beim Cloud-Anbieter, aber es hilft doch gegen den chinesischen Hacker, der die Cloud hackt? Nein, tut es nicht, denn die Cloud entschlüsselt das ja für dich. Wenn der sich als du einloggen kann, oder dir eine SQL Injection oder sonst was unterschieben kann, dann hat der vollen Zugang, genau wie ohne Verschlüsselung.
OK, aber hilft das denn wenigstens gegen die Putzhilfe vom iranischen Geheimdienst, die das Tape mit dem Backup klaut? Ja, wenn der Schlüssel nicht auf dem Tape ist, was erschütternd häufig der Fall ist. Aber wir reden hier nicht von Tapes sondern von S3-Buckets gerade. Die hängen am Web. Wieso würde jemand alte Backups haben wollen, wenn er Echtzeitzugriff kriegen kann?
Lustigerweise gibt es wie bei Homöopathie mehrere Verdünnungsstandards. Einige Cloud-Anbieter haben bloß eine Checkbox "Verschlüsselung anschalten". Der Schlüssel kommt von denen und bleibt bei denen.
Andere Anbieter lassen dich den Schlüssel erzeugen und hochladen. Spielt keine Rolle, denn sie müssen den ja nur einmal für eine Nanosekunde gesehen haben.
Noch andere Anbieter lassen dich einen "Vault" installieren (lacht nicht, ist ein echter Produktname), und dann holt sich die Cloud immer von dem Vault den Schlüssel, wenn sie ihn braucht. Impliziert, dass sie den nicht aufheben, aber das weißt du halt nicht. Ist alles dieselbe Scheiße.
Das ist alles Bauernfängerei. Fallt da nicht drauf rein.
Faustregel: Wenn dein Code auf jemand anderes Hardware laufen lässt, oder deine Daten auf jemand anderes Hardware liegen, ist es nicht mehr dein Code, sind es nicht mehr deine Daten.
Anders formuliert: DAS war bisher der Schutz vor Malware. Dass es zu schwierig für Skript-Kiddies war, Malware zu hacken. Nicht dass wir verteidigen. Nein. Dass die Angreifer zu blöde sind.
Da ergibt plötzlich vieles Sinn.
Auch psychologisch! Jeder hält sich für überdurchschnittlich intelligent. Meine Abwehr muss also nicht verhindern, dass man das System angreifen kann, sondern nur, dass jemand wie ich es angreifen kann. Wenn ich dann besonders inkompetent bin, wie in der Wirtschaft und öffentliche Verwaltung üblich, dann kommen am Ende halt ständig Angreifer durch. Und dann faselt man einfach was von "hoher krimineller Energie", sagt, man habe die Behörden eingeschaltet, und leitet eine "forensische Untersuchung" ein.
Dabei braucht man keine Untersuchung um zu sagen: Dann hat wohl der Admin verkackt, dessen Job es war, das abzusichern!
Albanian prosecutors on Wednesday asked for the house arrest of five public employees they blame for not protecting the country from a cyberattack by alleged Iranian hackers.Prosecutors said the five IT officials of the public administration department had failed to check the security of the system and update it with the most recent antivirus software.
Oh, äh, jahaaa! Die haben ... den Antivirus nicht geupdated!!1!Denn der Grund für Ransomware ist ja bekanntlich der nicht geupdatete Antivirus. Klar.
They are accused of “abuse of post,” which can attract a prison sentence of up to seven years.Bin ich ja grundsätzlich ein Freund von, die IT-Beauftragten in die Haftung zu nehmen, wenn unter ihrer Ägide Dinge verkackt wurden. Aber dann doch bitte nicht bloß den kleinen Admin sondern auch seine fünfzehn Chefs, die ihm nicht die Mittel gegeben haben, das ordentlich zu machen.
Richter müssen angeordnete Maßnahmen nämlich nicht begründen. Die kommen schon mit Begründung auf dem Antrag. Der Richter muss nur noch unterschreiben.
Will der Richter allerdings ablehnen, dann muss er begründen. Die Anreize für Ablehnen sind also deutlich negativ. In der Praxis wird daher so gut wie nichts abgelehnt.
Die Begründung für Accountsperren als Maßnahme ist:
Accountsperren sind wirksam, denn sie setzen keine Klarnamen voraus, erfordern keine unnötigen Überwachungsmaßnahmen, sind rechtsstaatlich sauber und zügig umsetzbar.Finde ich nicht nachvollziehbar. Wieso sollte das wirksam sein? Macht der Troll halt einen anderen Account auf. Die einzigen, die an ihren Accounts hängen, sind die Opfer, die da soziale Netze mit aufgebaut haben. Marodierende Trolle haben keine Netze, die ihnen wertvoll wären. Jedenfalls nicht auf den Plattformen, auf den sie herumtrollen.
Es gibt natürlich auch auf den Plattformen Leute, die Freunde haben, und die das Verlieren ihres Accounts inkommodieren würde. Das sind aber nicht Hassredner sondern Leute, deren Meinung einem nicht gefällt. Die sind gefälligst auszuhalten in einer fucking Demokratie!
Und wenn sie jemanden tätlich bedrohen oder beleidigen, den Holocaust leugnen oder zu Pogromen aufrufen, dann IST DAS JETZT SCHON STRAFBAR.
Lasst mich mal kurz skizzieren, wie ein Rechtsstaat reagieren könnte. Du beleidigst mich. Ich erstatte Anzeige. Die Polizei geht zu dem Plattformbetreiber und erklärt Interesse an dem Account. Das nächste Mal, wenn den jemand benutzt, gibt der Betreiber die IP an die Polizei weiter, die holt sich damit die Identität vom Internetprovider, und dann kriegt derjenige ein ordentliches Verfahren.
Hilft natürlich nicht gegen ausländische Trollfarmen und Trolle, die immer per Tor o.ä. "arbeiten". Bei denen kann man dann von mir aus eine Accountsperrung vornehmen, aber hilft halt genau gar nichts. Machen die sich halt neue Accounts auf.
Ja aber Fefe, was wenn derjenige einfach behauptet, er sei gehackt worden, er war das gar nicht? Dann lacht man ihn aus und nimmt ihn in Störerhaftung. Wieso ist das bitte bei Raubmordkopien ein völlig legitimes Mittel aber hier soll das plötzlich nicht gehen?! Im Übrigen kann man da ja auch ein bisschen Ermessensspielraum haben. Das kannst du ja an den vorherigen Äußerungen eines Accounts sehen, ob das ein Hack war oder ob der die ganze Zeit so rumaast.
Die sind im August gehackt worden. Dieser neue Incident ist jetzt auf Backend-Systemen in der Cloud, die Lastpass nutzt. Stellt sich raus: Die haben nach dem letzten Incident ihre Passwörter nicht geändert.
Da willste doch Kunde sein, bei so einer Firma! Security by Yolo!
Ihr werdet euch schon denken, dass man auch ein Lösegeld hätte zahlen können. Aber warum sollte man? Den Schaden haben ja andere Menschen, nicht die Polizisten. Die Polizei hat die betroffenen Rechner abgeschaltet und neue Passwörter verteilt und "die zuständigen Behörden kontaktiert". Damit war aus ihrer Sicht alles geklärt.
Aber Scheiß drauf, jetzt sind die Dependencies wirklich gefixt, und zwar fielen bei der Gelegenheit auch lauter doppelte Dependencies im Original ein. Das fiel also wahrscheinlich auch aus irgendeinem Shellskript raus, das aber keine Duplikate wegschmiss.
Als ich schon dabei war, hab ich auch mal das ./compile von einem Shellskript zu einem Binary geändert. Damit sinkt die Build-Zeit auf meinem Laptop von 1,3 Sekunden auf 1,0 Sekunden. Fuck, yeah!
Dafür wird es vermutlich Cross-Compiles brechen. Muss man dann halt von Hand fummeln im Buildprozess. *hust*
Das war bestimmt ein Hack. Ein Hack war das!
Gehackt von kriminellen Hackern, sage ich euch. Von Hackern!
Ach was sage ich Hacker. Das waren russische Hacker! Russische Geheimdienste! Russische Geheimdiensthacker!!!
FTX selbst war nämlich grundsolide, müsst ihr wissen. Völlig undenkbar, dass sich da jemand auf Kosten der Einlagen der Kunden bereichert hat.
Das hat bestimmt eine immense kriminelle Energie gebraucht. Also, äh, von diesen russischem Geheimdienst-Hackern. Wissenschon.
Na klar: DIE RUSSEN HABEN UNS MIT APT GECYBERT!!1!
Die Strategie funktioniert auch heute noch. Microsoft gerade so:
Im Rahmen der Konferenz Cyberwarcon hat Microsoft seine Einschätzung zu einer neuartigen Ransomware spektakulär ergänzt: "MSTIC stellt fest, dass Iridium die Prestige-Kampagne durchgeführt hat". Das bedeutet letztlich, dass Microsoft den russischen Militärgeheimdienst GRU für Planung und Durchführung einer im Herbst aufgedeckten Ransomware-Kampagne verantwortlich macht. Sollte dies zutreffen, wäre das eine deutliche Änderung der Gefahrenlage, die auch Konsequenzen für die Verteidiger hätte.Nein. Wäre es nicht. Da ist auch nichts spektakulär dran. Das ist alles unglaublich unspektakulär, unsubstanziiertes Hörensagen und reine Energieverschwendung. Und die Heise-Experten reihen sich ein in die Narrativ-Cheerleader.
Ein Game-Changer*gähn*
Hey, bist du auch schon von den Russen gecybert worden? Hast du auch solche Angst vor den Russen? Die Russen, die in der Ukraine Bomben nehmen mussten, weil sie die uralte gammelige Elektro-Infrastruktur nicht gecybert gekriegt haben. Die Russen, die sich beim Hacken vom holländischen Geheimdienste über ihre eigenen Webcams haben filmen lassen. Habt ihr auch solche Angst vor denen?
Solange ihr Active Directory, Windows und Office einsetzt, und nicht immer sofort alle Patches überall ausrollt, werdet ihr irgendwann gehackt werden. Von wem ist dann auch egal, denn die Daten sind dann halt weg.
Insgesamt haben die eine halbe Million Datensätze rausgetragen, aber das war offenbar keine typische Ransomware-Gruppe, die alles mitnimmt, was sie kriegen kann, sondern die haben gezielt nach Amtsträgern und Promis gesucht.
Bisher gibt es anscheinend keine Lösegeldforderungen oder so und man weiß auch noch nicht, wer das gewesen sein könnte. Aber jetzt sind natürlich alle sehr besorgt, klar. (Danke, Daniel)
Da kommen dann gerne Leute und meinen: Aber wir passen da schon gut drauf auf.
Wie sowas in der Praxis aussieht. kann man gerade gut in Australien beobachten. Da hat sich eine private Krankenkasse namens Medibank eine Ransomware eingetreten, und die Ransomware-Gang hat einmal alle Patientendaten rausgetragen. Die wollten 1 US-Dollar pro Patienten-Datensatz Lösegeld haben. Medibank hat nicht gezahlt.
Daraufhin haben die Ransomwarer angefangen, stückweise Dateien zu veröffentlichen, z.B. "abortions.csv" und jetzt "boozy.csv" für Alkoholkranke.
Und wisst ihr, was die Regierung in der Situation im Arsenal hat? NICHTS. Hohle Rhetorik ist alles, was die haben.
The new release was “disgusting and … totally reprehensible,” the prime minister, Anthony Albanese, said on Friday morning.Ach. Aber diese Daten über die Bürger einzusammeln und rumliegen zu haben war OK?He said the government was doing all it could do to limit the impact of the data breach, and support people affected.Lasst mich das kurz aufklären: Nichts. Sie tun nichts. Denn da ist nichts, was sie tun können.The Medibank CEO, David Koczkar, said on Friday that customers who are concerned should call the cybercrime hotline, mental health support hotline, Beyond Blue, Lifeline or their GP.Oh na DAS ist doch mal ein hilfreicher Tipp! Ruft die Seelsorgehotline an!“I unreservedly apologise to our customers,” he said. “The continued release of this stolen data on the dark web is disgraceful.”Disgraceful! Reprehensible! Abominable!1!!“These are real people behind this data and the misuse of their data is deplorable and may discourage them from seeking medical care.”Deplorable! Appalling!Albanese said the release of the data was “already incredibly distressing”.Distressing!!“The fact that the information was published, going to very personal health details of Australian citizens, is disgusting and something that I think is just totally reprehensible and causing a great deal of distress in the community.”Reprehensible! Disgusting!!He said the government had met with state and territory governments and Medibank and agreed to establish a “one-stop shop” to help those affected find advice.Oh, OK? Was genau ratet ihr denn den Betroffenen?He urged all Australians not to access the leaked data, let alone publish it, “because we need to provide a disincentive for this sort of criminal, disgusting behaviour”.Oh. Never mind.Criminal!!
Aber warte, Fefe, fehlt da nicht noch ein bisschen impotentes Faustrecken? Klar! Kommt! Keine Sorge.
“We will get to the bottom of where this has come from [and] hold whoever is responsible for this to account.”Was ist denn, wenn sich die Leute von der Regierung verarscht und im Stich gelassen fühlen?!On Thursday the home affairs minister, Clare O’Neil, told parliament the government was standing by Medibank customers, who were entitled to have their information kept private after the “morally reprehensible and criminal” attack.Morally reprehensible!! Criminal!!!Gehen denen schon die Schimpfwörter aus? Da hatte ich von Australien aber mehr erwartet, muss ich sagen.
“I want the scumbags behind this attack to know that the smartest and toughest people in this country are coming after you,” she said.Oh. OK. Scumbags. Nunja. PG13, wie?Was mal wieder auffällt: Kein Wort dazu, dass man diese Daten vielleicht da nicht hätte rumliegen haben sollen. Kein Wort dazu, dass der Staat das hätte verhindern können, indem man ordentliche Regularien hat. Stattdessen Bullshitbingo wie das hier:
“I received the assurance from Medibank … that if a large data dump occurs, they are fully ready to provide services when and if they are needed to Australians who need them.”Oh, "services", ja? *Klingel* Ihr Anruf ist und sehr wichtig *Fahrstuhljazz* Bitte bleiben Sie in der Leitung *dudel* Vor Ihnen warten noch *knister* zwei tausend fünf hundert drei und siebzig Kunden auf einen freien Sachbearbeiter!Warte mal, Fefe, das ist doch gefundenes Fressen für die Opposition! Die machen doch bestimmt ein riesiges Fass auf jetzt, oder?
The opposition cybersecurity spokesman, James Paterson, said anyone who is contacted by a person purporting to have access to their data should immediately report it to authorities.Paterson has proposed a “safe harbour” provision – involving the nation’s cybersecurity agency, the Australian Signals Directorate – to give companies time in the immediate aftermath of an attack to respond to the crisis without worrying about legal and privacy ramifications.
Ja genau. Das ist das Problem. Unsere guten Firmen könnten betroffen sein von den Auswirkungen ihres Verkackens. Das müssen wir verhindern, während wir den Opfern eine Seelsorgehotline empfehlen.Update: Ich bin mir sicher, dass mit "whoever is responsible" weder Medibank gemeint ist, die das ransomwarebar gespeichert hatte, noch die Regierung, die das nicht verhindert hat. Immer schön Freund-Feind-Rhetorik aufrecht erhalten in der Krisen-PR!
Update: Ihr AHNT ja nicht, was die jetzt herausgefunden haben! Der Russe war's! Das hat bestimmt die CIA herausgefunden!1!!
Tesla Is Recalling 40,000 Cars In Its 17th Recall of the YearDas ist ein Rekord für Tesla!beating their previous record of 11 recalls from 2021Jawohl, meine Damen und Herren! So sieht Wachstum aus! Der Markt regelt das.Komm, Elon, das Jahr ist noch jung! 20 Recalls schaffste ja wohl 2022!
Update: Ein Leser weist darauf hin, dass man die Recall-Datenbank in Deutschland einsehen kann. Wenn man da z.B. nach Mercedes-Benz mit Baujahr 2021 sucht, findet man 59 Rückrufe. Da sieht Tesla ja sogar noch richtig gut aus im Vergleich!
Aber zwei Sachen haben mich immer gezwickt. Erstens die Idee, dass einfach alles hackbar sein wird, dass niemand ordentliche Architektur für seine Produkte und die Konfiguration hinkriegt, nicht mal die Hersteller. Zweitens die Idee, dass die Menschen einfach ihre Handlungsfreiheit einer KI einem Computer überlassen würden.
Ich dachte mir immer: So naiv kann doch niemand sein! Gut, die erste Hälfte hat sich inzwischen schon im echten Leben bewahrheitet. Doch, wir sind so naiv. Und alles was es brauchte waren schlechte wirtschaftliche Anreize.
Der zweite Teil wird langsam auch wahr. Aktueller Datenpunkt: "KI soll Zukunft der KI voraussagen". Das gibt die Gestaltungshoheit über die Zukunft in die Hände von KI. Gut, das ist im Moment alles noch Bullshit-"KI", die nicht denkt sondern remixt. Aber offensichtlich hält uns dieser Umstand nicht davon ab, Inkompetenz zweiter Ordnung umzusetzen. Nicht nur sind wir nicht in der Lage, ordentliche Software zu schreiben, das soll in Zukunft eine KI machen. Nein. Wir sind auch nicht mehr in der Lage auch nur zu entscheiden, welche Art von Software entwickelt werden soll. Das soll jetzt auch eine KI entscheiden.
Das ist einen Meilenstein in der Infantilisierung und dem Übergang in die freiwillige Unmündigkeit der Menschheit. Die Gegen-Aufklärung.
Stellt sich raus: Nicht DIE waren naiv. ICH war naiv. Da muss man sich ja schon langsam fragen, wozu uns die Evolution eigentlich ein Hirn gegeben hat, wenn wir es nicht nutzen.
Oder vielleicht ist das ja der Kill-Switch der Natur. Wenn es zu wild wird, wenn der Schaden zu hoch wird, dann schaltet sich das Hirn ab und die KI Overlords übernehmen und radieren alles aus.
Aktuell gibt es mal wieder ein tolles Beispiel. Und zwar hat ja der Bund in seiner unendlichen Weisheit entschieden, dass Ärzte, die schon mit der Fortbildung auf ihrem eigenen Gebiet überfordert sind, jetzt auch Computerspezialisten werden und an eine "Telematik-Infrastruktur" angeschlossen werden sollen.
Idee: Wir digitalisieren das Gesundheitswesen!
Problem: Die Ärzte können das nicht. Die wollen und sollen das auch nicht können. Wenn ich die Wahl habe, ob mein Zahnarzt seine Zeit für Fortbildung in Zahnarzt-Themen oder für Fortbildung in IT-Themen investiert hat, werde ich natürlich immer den Zahnarzt nehmen, der sich in seinem Fach weitergebildet hat. Die ganze Idee ist schon beschissen.
Aber gut. Also wurde eine Firma namens Gematik beauftragt, und da sitzen dann lauter Bürokraten drin, deren einzige Sorge war, am Ende an irgendwas Schuld zu sein. Also haben sie sich für Fundamentalismus entschieden. Aber nicht Fundamentalismus wie "das ist eine grundsätzlich schlechte Idee, das machen wir nicht" sondern Fundamentalismus wie "wir werden da jetzt soviel Compliance-Theater drauf, wie wir nur können".
Das Highlight war vor vielen Jahren, dass die ernsthaft mit "beschlagnahmesicheren Käfigen" geworben haben. Da stehen die Server in den Rechenzentren drin. In Käfigen, damit Behördenwillkür nicht einfach so zum kompletten Datenverlust führt, sondern die sich erstmal durch die Käfige beißen müssen.
Da hätte man auch sagen können: Hervorragender Punkt. Daten so zentral zu sammeln ist eine grundsätzlich beschissene Idee, das machen wir nicht. Irgendein Arschloch wird immer kommen und darauf zugreifen wollen. Irgendein Vorwand wird sich schon finden. Ein Kindermörder soll per DNA-Abgleich identifiziert werden oder sowas. Wer kann da schon nein sagen? Und schon ist das Fluttor offen.
Aber nein, haben sie natürlich nicht gemacht. Dann wären sie ja nicht bezahlt worden. Stattdessen haben sie da beschlagnahmesichere Käfige beworben und Krypto gesprenkelt, und dann meinte jemand: Ja aber können wir denn deren Internet einfach so trauen?! Nein, natürlich nicht! Also geben wir ihnen VPN-Endpunkte. Aber nicht irgendwelche, nei-hein! Wir geben ihnen zertifizierte Bullshit-Theater-Endpunkte!
Wer macht sowas in Deutschland? U.a. Secunet. Sowas wird sonst zum Vernetzen von Botschaften eingesetzt. Daher ist Teil von solchen Geräten, dass sie versuchen sollen, sich Angreifern mit physischem Zugriff zu widersetzen.
Diese Idee gibt es häufiger, aber sie war schon immer Schwachsinn. Mein Lieblingsspruch zu dem Thema ist von Peter Gutmann, der mal meinte: Die einzige tamperproof hardware, die es gibt, ist Voyager 1. Weil die inzwischen ausreichend schwierig physisch zu erreichen ist für Angreifer.
Egal. Gegen Angreifer mit physischem Zugriff kannst du dich nicht sinnvoll wehren. Du kannst sie ärgern und aufhalten, aber wehren geht nicht. Das wussten die Ingenieure natürlich, und sie wussten auch, dass sie hier nicht an einer Atombombe arbeiten, die in Feindeshand fallen könnte und dann nicht explodierfähig sein darf, sondern an einem stinkenden VPN-Tunnel. Also haben die gemacht, was Ingenieure leider immer machen in solchen Fällen: Sie haben Bullshit-Theater gemacht. Sie haben Krypto drübergesprenkelt, damit es sicher riecht. Aber weil das Teil natürlich booten können soll, ohne dass der Arzt einen 128stelligen Code eingibt, liegt der Schlüssel für die Krypto-Simulation daneben. Mit der "Lösung" können alle leben.
Der Chef kann sagen: Wir haben doch Krypto gesprenkelt!
Das BSI zertifiziert das, weil Dateisystem ist verschlüsselt!1!!
Der Kunde kriegt ein Häkchen für seine Checkbox, deren Sinn er eh die ganze Zeit nicht verstanden hat.
Und der Arzt kann das benutzen, ohne irgendwas davon verstanden zu haben, und (hoffentlich) ohne dass das unsicherer ist als es ohne das Theater gewesen wäre.
Aber wenn wir genau hingucken, stellen wir fest, dass wir hier eine Security-Zusage gemacht haben. Von der wir die ganze Zeit wussten, dass sie nicht einhaltbar ist. Eines Tages kommt also ein missratener Teenager und hackt das mit primitivsten Mitteln auf (denn der Schlüssel liegt ja wie gesagt daneben!). So ist das gerade mit den "Konnektoren" in den Arztpraxen geschehen. Abwehren von Angreifern mit physischem Zugriff war die ganze Zeit keine reelle Anforderung, denn wieso würde der Arzt seinen Konnektor hacken oder da Patienten ranlassen?! Und wenn jemand in die Praxis einbricht, dann kann der da das Papier raustragen und muss nichts hacken.
Aber jetzt kommt ein Winkel dazu. Und zwar haben die so viel Bullshit-Security-Theater über das Projekt gesprenkelt, dass "die Hardware veralten" kann. Die veraltet natürlich nicht wirklich, sondern das Bullshit-Theater-Zertifikat läuft aus. Es gibt keinerlei inhaltliche Sachgründe hinter irgendwas davon. Das war von vorne bis hinten Bullshit.
Aber wartet. Der missratene Teenager hat als Demo für seinen Hack gezeigt, dass man damit auch X.509-Zertifikate erneuern kann. Auf den Boxen. In Software. Ja, äh, natürlich kann man das. Wer würde denn Boxen bauen, wo man das nur per Hardwaretausch machen kann? Nun, wie sich rausstellt: Gematik und ihre Zulieferer. Nur waren sie dabei eben inkompetent, weil das eh sinnlose Compliance-Theater-Anforderungen waren, die die Ingenieure also auch nur Compliance-Bullshit-Theater-mäßig "umgesetzt" haben.
Tja und jetzt stehen alle Seiten peinlich berührt in der Gegend rum. Die Hersteller können nicht erklären, wieso man das doch tauschen kann, oder wieso sie das verhindern wollten. Gematik kann nicht erklären, wieso das überhaupt in den Anforderungen landen konnte. Und niemand kann erklären, wieso das eh finanziell kurz vor dem Kollaps stehende Gesundheitssystem jetzt 300 Millionen zahlen sollte, um unnötig Geräte zu tauschen, wenn ein Softwareupdate gereicht hätte.
So hat dann Berichten zufolge einer der Hersteller sich verleugnen lassen und ging nicht mehr ans Telefon und die Gematik findet die eine Äußerung, mit der sie ihren Griff ins Klo noch vertiefen konnten: Ach komm, Atze, lass uns mal trotzdem die Hardware tauschen!1!!
Darf ich nochmal darauf hinweisen, dass nichts davon sachlich oder technisch begründet ist. Das war alles Compliance-Flipper zwischen in Inkompetenz festgekalkten Behörden und Institutionen. Wenn ich mir was wünschen dürfe, würden die alle gefeuert und müssten ihre Gehälter für die letzten Jahre zurückzahlen. Unfassbar.
Update: Bei der Gelegenheit möchte ich auch noch auf den Umstand hinweisen, dass man überhaupt gar keine Konnektoren braucht. Die erfüllen keinen Zweck. Ein VPN macht Transportverschlüsselung und Authentisierung. Die macht beides auch TLS.
Update: Ja aber Fefe, bei der Box kann der Trojaner auf dem Windows-Rechner aber doch die Schlüssel nicht klauen! Das ist doch viel sicherer! Ja, äh, wieso soll der Angreifer denn die Schlüssel haben wollen, wenn die Box ihn auf Zuruf mit der Telematik-Infrastruktur verbindet? Hier wird ein Problem gelöst, das niemand hatte. Mit anderen Worten: Das ist Bullshit-Theater.
Faeser stand ursprünglich ja für "Schwachstellen werden gemeldet, nicht gehortet für Polizei oder Geheimdienste". Das hat sich inzwischen einmal um 180° gewendet, das Blatt. Gut, SPD halt. Wer die wählt, hat es nicht besser verdient.
Aber dass der Schönbohm sich dem Exploit-Horten in den Weg gestellt hat, das habe ich so nicht erlebt. Im Gegenteil. Da war er bemerkenswert konsequent.
Wird das jetzt wahrscheinlich noch schlimmer? Ist anzunehmen. Cyberclowns hat die Regierung genug in der Schublade. Seit dem Hackertoolverbot und dem damit verbundenen Versiegen des Nachwuchses sind Cyberclowns auch eine nachwachsende Ressource.
So war Schönbohm ja auch. Wenn du keine Ahnung hast, machst du sinnloses Compliance-Theater. Statt Vorbeugung, für die man Sachkenntnis bräuchte, machst du dann halt Reporting-Pflichten und Papierkrieg.
Ist fürs Branding wahrscheinlich eh viel besser. Bist du ständig in der Presse, wenn es wieder irgendwo brennt. Und du kannst sagen: Die Cyber-Bedrohung ist groß!1!!
Cryptocurrency exchange Binance temporarily suspended its blockchain network after hackers made off with around $570 million worth of its BNB token.Ach und die fiesen Hacker haben Smart Contracts angegriffen? Ja Scheiße, Mann, hätte uns doch nur jemand rechtzeitig gewarnt!!Oh, warte, was höre ich gerade?
"The issue is contained now. Your funds are safe. We apologize for the inconvenience and will provide further updates accordingly."Phew! Alles wieder in Ordnung. Na dann ist ja alles gut. Euer Geld ist da sicher! Muss richtig sein, sagt schließlich der frisch neunstellig ausgeraubte CEO! Der muss das ja wissen.Update: Habt ihr euch mal überlegt, was das größte Problem bei Crypto Heists ist? Wenn der Räuber da die ganze Kohle rausträgt, dann ist das ja wertloses Spielgeld. Vorher eh auch schon, aber nachher erst Recht. Jetzt wo alle gesehen haben, wie es um die Kompetenz und Sicherheit der Anbieter steht?
the attacker is spewing funds across liquidity pools and utilizing every bridge they can to get to safer chains
HARR HARR HARR! Er hat "safer chains" gesagt! HARR HARR HARR
Hey, wieso kaufen die Räuber damit keine NFTs? Ich hörte, das ist eine exzellente Geldanlage!!1!
Insgesamt wurden nach Angaben der Hackergruppe während des Angriffs Ende August Informationen über etwa 1,5 Millionen Kunden preisgegeben. Laut TAP handelt es sich um Namen, Mobiltelefon- und Ausweisnnummern, das Geburtsdatum sowie E-Mail-Adressen, aber nicht um Bankverbindungen und Kreditkartennummern.Unter anderem mit dabei: Der Ministerpräsident und der Geheimdienstchef. (Danke, Marcel)
New hotness: Die Chinesen beklagen sich, von den Amis gehackt zu werden!
But a report released Monday by its National Computer Virus Emergency Response Center (CVERC) accused the US National Security Agency (NSA) of carrying out “tens of thousands of malicious attacks on network targets in China in recent years”.It specifically accused the NSA’s Office of Tailored Access Operations (TAO) of infiltrating the Northwestern Polytechnical University in the city of Xi’an.
Diese Uni ist spezialisiert auf Fluggeräte und Weltraumforschung.TAO has “stolen over 140 gigabytes of high-value data” in recent years and received assistance from groups in Europe and South Asia, CVERC said in the report, which was co-authored by the private Chinese cybersecurity firm Qihoo 360.
Sehr perfide auch: Es geht um "Schwachstellenmanagement", was ich ja generell schon immer kritisiere, weil es ein Codewort dafür ist, dass Firmen Schwachstellen nicht alle einfach sofort immer wegpatchen, sondern dafür ein "Management" einführen, was dazu führt, dass bekannte Schwachstellen offen bleiben. Sein schlechtes Gewissen betäubt man dann, indem man die eiternden Wunden mit ein paar Schichten Schlangenöl und Monitoring zudeckt.
Wenn ihr euch jetzt fragt, wieso das Monitoring den Exploit kennen soll, wenn die Firma schon nicht in der Lage war, den Patch gegen die Lücke zeitnah einzuspielen, dann habt ihr natürlich völlig Recht. Niemand erkennt da jemals irgendwas relevantes.
Aber in diesem dreisten Regierungsdokument geht es unter diesem eh schon verbrannten Namen um etwas noch übleres: Um das Management von Sicherheitslücken durch ... die Geheimdienste. Die entscheiden, ob sie eine Lücke melden oder lieber selber verwenden, um damit unschuldigen Bürgern die Geräte zu hacken.
Es geht hier also in keinem Aspekt um eine Strategie, um die Cyberstrategie zu verbessern. Es geht um eine Strategie, die Bürger künstlich noch unsicherer zu halten als sie eh schon (katastrophal!) sind.
Auf der einen Seite will ich nicht nur schreiben, wie kaputt alles ist. Auf der anderen Seite will ich aber auch nicht dafür sorgen, dass Leute länger bei Windows bleiben, weil sie dank irgendwelcher Konfigurationsratschläge den Eindruck haben, sie könnten das schon irgendwie absichern. Zu guter Letzt bin ich Code Auditor, nicht Admin. Was man da alles konfigurieren kann ist nicht mein Spezialgebiet. Am Ende verbreite ich noch Unfug?
Daher haben meine Zero-Trust-Folien am Ende eine eher allgemeine Vision.
Allerdings kam ein Leserbrief mit konkreten Ratschlägen rein, den ich jetzt mal veröffentlichen möchte. Nehmt das aber bitte nicht als abzuarbeitendes Howto sondern als Grundlage für eigene Recherchen. Ziel der Übung sollte sein, dass ihr ein bisschen mehr verstanden habt, wie die Dinge funktionieren.
zu deiner Zero Trust Präsi möchte ich mal etwas zur Windows Security einwerfen. Sorry, ist etwas länglich geworden.Anmerkung von mir: Die ct hatte dazu mal ein Tool veröffentlicht, da könnt ihr damit mal herumspielen.Wir sind IT Dienstleister und übernehmen in der Regel den Service einer bestehenden IT Landschaft die entweder vorher durch den Kunden oder durch einen anderen Dienstleister betreut wurde. KMU 1 bis 500 MA.
Dahin zu gehen und den Kunden Windows und Outlook wegzunehmen wird in der Regel nicht gelingen. Wenn es möglich ist einen neuen Server auf Linux hoch zu ziehen könnte man das vorschlagen und umsetzen, da hört es aber dann auch schon auf.Der Satz "Das geht, weil Sie Outlook und Office benutzen" stimmt leider in den meisten Fällen, obwohl das nicht so sein müsste.
MS liefert schon seit Windows 2000 allerhand Techniken mit die genau das alles verhindern. Wir haben aber noch nicht einen Kunden bekommen bei dem irgendwas davon aktiv war und holen das alles schleunigst nach. Das schlimmste was uns als Dienstleister passieren kann, ist ein Ransomwarebefall eines Kunden bei dem wir die Schuld tragen, weil deren Systeme nicht sicher sind, obwohl man es *ohne* Anschaffung zusätzlicher Software hätte besser machen können. Der Kunde verlässt sich darauf dass wir ihm eine sichere Arbeitsumgebung geben. Es ist ein Unding, dass ein aktueller Windows Server bei einer frischen Active Directory Installation immer noch fast die gleichen Sicherheitsdefaults verwendet wie es in 2000 eingeführt wurde und so kommt es, dass von all dem was nun kommt in freier Wildbahn oft nichts zu sehen ist.1: Software Restriction Policies (SRP), ja ich weiß ist deprecated, läuft aber selbst auf Win 11 noch. MS wollte das durch Applocker ersetzen. Ist aber auch deprecated. MS will das durch Defender Application Control ersetzen, geht aber nur per XML oder und nur in Enterprise oder so. Wir bleiben bisher bei SRP, weil das keine Enterprise Lizenzen braucht und seit Win 2000 unverändert läuft. Muss man halt nach jedem größerem Update testen ob es noch geht.
Was tut es? Windows führt nur noch EXE, CMD/BAT, PS1, sonstwas aus Pfaden aus die der Admin per GPO festgelegt hat. Outlook kopiert den Anhang aus der Mail in ein Temp Verzeichnis und will es dort starten. Das darf es dann nicht mehr. Admins installieren nach c:\program files\. Das ist erlaubt. Ein User darf da nicht schreiben.GPO ist ein Group Policy Object, oder in deutschen Versionen: Gruppenrichtlinien.
MS torpediert es aber selbst mit Programmen die sich unter AppData\Local installieren. Teams z.B. und andere Hersteller sind da auch keine Vorbilder. Muss man sehr enge Ausnahmen setzen und das Risiko in kauf nehmen.2: Makros. Ja, der gelbe Balken bringt nix. Per GPO hart ganz abschalten. Brauchen ohnehin die wenigsten Anwender. Die die es brauchen, kann man geziehlt auf die Dokumente einschränken für die es gehen soll. Was machen die Malware Makros? VBS oder Powershell Script ausführen und Payload nachladen und starten. Geht eigentlich durch SRP schon nicht mehr, aber es soll ja Bugs geben die vielleicht um SRP drum rum kommen.
3: Beschafft sich lokale Admin-Rechte und übernimmt den Domain Controller.In meinen Folien hatte ich gesagt, dass Lateral Movement nicht Teil des Threat Models ist. Ich bin mir unsicher, inwieweit man das verallgemeinern kann. Ich unterhalte mich zu Ransomware mit Kumpels, die weiter oben auf der Eskalationsskala sitzen, die sehen dann praktisch ausschließlich Fälle, bei denen der AD übernommen werden konnte. Ich habe leider keine Zahlen, wie hoch der Prozentsatz der Ransomware-Angriffe ist, die man verhindern könnte, wenn man Lateral Movement unterbindet. ALLERDINGS: Wenn man durch andere Maßnahmen dafür sorgt, dass der Sprung zum Domain Admin nicht geht, dann wird die Verhinderung von Lateral Movement plötzlich eine wichtige Maßnahme. Genau das spricht der Leserbrief hier an.
Wenn 1 und 2 versagt hat kommen wir dahin. Nächste Verteidigungslinie ist Lateral Movement zu verhindern.Es gibt genug GPOs zum härten der Systeme, aber man klemmt halt damit alten Legacy ab, was ich aus technischen Sicht eigentlich ganz gut finde. NTLM Auth weg, Credential Caching für Admins und generell Server abschalten, Debugging Rechte global abschalten und nur im Einzelfall erlauben. LAPS benutzen, auch für Server. Das macht es Mimikatz schon ganz schön schwer an verwertbare Daten zu kommen.
Mit ESAE hat MS schon lang ein Konzept die Admin Ebenen voneinander zu trennen. Man muss auch nicht zwingend mehrere Domänen betreiben um den wichtigsten Teil davon umzusetzen.Ich hab das in einem Nebensatz irgendwo erwähnt, dass man die Admin-Accounts aufteilen soll, und dass der Domain Admin nicht an die Datenbanken können soll. Der Leser hier hat völlig Recht, das kann und sollte man noch mehr auftrennen. Dann hat man tatsächlich etwas getan, um im Threat Model ein Bedrohungsrisiko zu senken.
Bei uns darf ein Domain Admin nicht mal PCs in Domänen aufnehmen. Niemals sollte sich ein Domain Admin an einem Client anmelden und das lässt sich auch per GPO verhindern.
Der darf auch nur an Domain Controller, die CA und ähnliche Systeme. Ein Server Admin darf da nicht hin und der darf auch nicht an Clients. Ja, der Domain Admin hat dann halt 4 User Accounts. User, Client Admin, Server Admin, Domain Admin. Natürlich mit Grundverschiedenen Passwörtern. Kommt man mit klar.
Selbst ein Keylogger auf dem Client bekommt dann höchstens den Admin für die Clients, aber kann immer noch nicht auf Server oder gar Domain Controller.Dazu sei angemerkt, dass auch mit Smart Cards im Hintergrund immer noch Kerberos läuft mit Kerberos-Tickets, die abgreifbar sind. Aber die laufen wenigstens nach einer Weile aus.4. Benutz Smart Cards für die Admins und lass nur Anmeldungen per Smart Card zu. In dem Fall kann ein Keylogger auf dem PC auch das Kennwort nicht einfach mal mitlesen.
USB Smart Cards sind nicht teuer. Die Menge an Admins überschaubar.
Für RDP gibt es dann noch den Restricted Admin Mode mit entsprechenden Komforteinbußen.
In Enterprise Editionen noch Credential Guard, usw.
5. Exchange kann Split Permissions. Nutzt das. Es entfernt die Berechtigungen dass der Exchange Server Domain Admin Rechte hat. HAFNIUM war damit nur halb so schlimm.Für die BMC und Hypervisoren würde ich dringend zu physisch getrennter Verkabelung raten, statt zu irgendwelchen Software-Geschichten.
Server müssen auch nicht überall ins Internet dürfen. Verhindert dass Malware auf euren Servern ganz bequem per HTTPS ihren Payload laden können.Erweitert das noch mit VLANs und Firewalls. Kein Anwender muss auf die ESXi Infrastruktur, einen Switch oder das BMC vom Server. Die müssen auch auf die wenigsten Ports für die Anwendungsserver. Da reichen oft ACLs auf dem Core Switch um zumindest bei Line Speed zu bleiben.
Backupserver aus der AD nehmen. Per Firewall/ACL einschränken, dass der an die Server darf, aber die Server nicht zum Backupsserver.Das ist ein guter Ratschlag!
All diese Dinge die ich beschrieben habe gehen mit Bordmitteln. Da ist nicht ein Anti-Virus, SIEM oder sonst eine 3rd Party Lösung beteiligt.Nur ein Nachsatz noch von mir: Der Feind ist Komplexität. Es ist zwar schön, dass man bei Microsoft eine Menge konfigurieren kann, so dass es weniger schlimm ist, aber am Ende des Tages überblickt niemand mehr den ganzen Softwarehaufen, und alle sind nur an der Oberfläche am Herumkratzen. Das betrifft glücklicherweise auch die meisten Angreifer. Wirklich sicher fühlen würde ich mich da nicht. Und wenn man erstmal diese Art von Knowhow aufgebaut hat, dann wird man wahrscheinlich nie wieder von Windows wegmigrieren wollen.
Wir setzen das meiste davon bei Firmen ein die keine 10 Mitarbeiter haben. Das kann man mit Routine an einem Tag umsetzen. (Den Windows Teil zumindest) Testet das selbst mit Mimikatz, Bloodhound und was auch immer. Hackt euch selbst und danach oder wenn ihr das generell nicht könnt, holt euch noch einen Pen Tester um die offensichlichen Lücken weg zu machen.Am Rande: Domain Joined Device Public Key Authentication muss man nicht einschalten. Das ist per Default an. Man muss es aber erzwingen wenn man das Fallback nicht haben will. Ist fast das gleiche, aber doch nicht ganz und geht erst mit Server 2016.
Am weiteren Rande: Patchmanagement. Es wäre schön, wenn MS nicht Patches raus bringen würden die großflächig zu Boot Loops auf Domain Controllern, Druckproblemen oder 802.1X/802.11X Problemen führen würden. Dann hätte man auch mit Auto-Updates weniger schmerzen. So muss man eigentlich schon zwangsweise ein paar Tage warten, wenn man nicht vor einem Totalausfall am nächsten Tag stehen möchte. Beides verfahren sind somit schlecht.
Ich gehe nicht davon aus das danach das System unhackbar sicher ist. Wir sprechen hier immer noch von Software und von Microsoft, aber zumindest hat man etwas in die richtige Richtung getan und die offenlichtlichen Scheunentore geschlossen.
Wer nun mit dem erhöhten Supportaufwand argumentiert, dem sei gesagt dass er bei uns gesunken ist, weil die Anwender eben nicht mehr alles ausführen können was bei 3 nicht auf den Bäumen ist und die Computer dadurch so bleiben wie der Admin es sich mal vorgestellt hat.
Entwicklungsabteilungen können zusätzlich Nicht-Domain Computer oder VMs bekommen um ihre systemnahe Arbeit durchzuführen.
Aus meiner Sicht ist der Vorteil von Linux und co, dass es da keine natürliche Schranke gibt, wie viel Verständnis man von dem Gesamtsystem aufbauen kann.
Update: Einer der Gründe, wieso ich solche Tipps ungerne gebe, ist weil das alles furchtbar komplex ist, und es da immer wieder Untiefen gibt, die man halt nicht kennt, wenn man nicht nach ihnen sucht. SRP und UAC sind da exzellende Beispiele für. Seufz. Siehe auch hier und hier.
New hotness: Schuld an dem Kryptowährung-Scamming ist Nordkorea. Da können WIR doch nichts für, wenn deine Kohle rausgetragen wurde!!1!
Und allen gemein ist: Softwareproblem. Kann man nichts machen.
Ein ähnliches Argument kann man auch bei Youtube machen, da gibt es invidio.us als Datenschutz-Frontend.
Ich kenne sowohl nitter als auch invidious. Ich linke trotzdem auf Twitter und Youtube. Das hat vor allem einen Grund: Ich habe, als nitter und invidious frisch waren, auf die gelinkt. Daraufhin hat Youtube invidious abgeklemmt, und Twitter hat nitter abgeklemmt.
Ich befürchte, wenn ich denen mehr Traffic zuspiele, dass das wieder passieren wird. Daher linke ich nicht auf die.
Glücklicherweise könnt ihr die Links einfach selber umwandeln. Von Nitter und Invidious kann man sogar selbst eine Instanz aufsetzen, wenn man Bock hat. Invidious ist halt furchtbare Node-Ranzkack. Ich würde empfehlen, das wenn dann in einem zugenagelten Container laufen zu lassen. Nitter ist in nim geschrieben, das ist so eine relativ junge Hipster-Sprache.
Insofern: Ich finde nitter und invidious super, aber ich will da nicht Whack-a-mole mit Youtube und Twitter spielen, indem ich einzelnen Instanzen Traffic zuspiele, der dann geblockt werden.
Jetzt wo ihr schon hier seid, könnt ihr ja auch mal gucken, ob ihr euch vielleicht eine Browser-Extension installieren wollt, die twitter-Links zu nitter schickt. Oder so. Sowas gibt es auch für Invidious.
Update: Oh da hab ich bei Invidious wohl zu oberflächlich geguckt. Das ist gar nicht Node sondern Crystal, eine andere neue Hipster-Sprache :-)
Verbunden mit dem Hinweis, dass die Sperrung von Domains, die keine sanktionierten Inhalte mehr enthalten, wieder ein Verstoß gegen die Netzneutralität darstellt, selbst wenn diese in der Liste der BNetzA enthalten war, ist das ein starkes Stück: Es wird bewusst ein Haftungsprivileg suggeriert, von dem die suggerierende Stelle bereits weiß, dass dieses Privileg nicht zutrifft.Wer trägt denn für diese Geschichte die Verantwortung, wollt ihr wahrscheinlich wissen? Nun:
Die politische Verantwortlichkeit in Deutschland liegt bei der Kultusstaatssekretärin Claudia RothGut, dass wir das mal geklärt haben.
Splunk Enterprise deployment servers in versions before 9.0 let clients deploy forwarder bundles to other deployment clients through the deployment server. An attacker that compromised a Universal Forwarder endpoint could use the vulnerability to execute arbitrary code on all other Universal Forwarder endpoints subscribed to the deployment server.Ja Scheiße, Bernd! Hätte ich das gestern gewusst, hätte ich das in meine Folien eingebaut. Da ist eine Folie bei: Wenn Sie Network Monitoring machen, müssen Sie den Agenten und Sensoren und deren Cloud trauen. Die kommen in Ihrer Firma überall hin. Wenn die jemand hackt, der auch.Aber mir glaubt sowas ja immer keiner. Die glauben ja auch noch alle, dass Schlangenöl nicht die Angriffsoberfläche erhöht.
Update: Die Splunk-User sind gerade ziemlich angefressen. Hier eine repräsentative Mecker-Mail:
ist noch viel grossartiger.
Zusätzlich zu der verlinkten SVD-2022-0608 gibts auch noch die 607, die die Authentifizierung am Deploymentserver aushebelt. Hoppla. Die ist auch seit mindestens 2020 bekannt. Sprich: wenn ich den Deploymentserver kenne und da rankomme, dann kann ich dem, ohne selbst subscriber zu sein irgendwas unterjubeln.
Nun kommt noch obendrauf, dass die Veröffentlichung dieser Schwachstelle einherging mit der Splunkkonferenz der vergangenen Woche, auf der dann die taufrische Splunk Version 9.0.0 präsentiert wurde.
Splunk Cloud Platform (das SaaS angebot) ist nicht betroffen, aber bitte betatestet den neuen Release doch mal auf eurer Produktion.
Die Solution des Fixes wurde auch (möglicherweise mehrfach) editiert, was für mich darauf hindeutet, dass die selber erstmal gar nicht so genau wussten, was man denn nun alles updaten muss um die Schwachstelle zu beheben.
Nun und offenbar wurde die Remote Code Execution intern gefunden beim Rewrite der Security Architektur, war also vermutlich nicht wirklich bekannt. Die Schwachstelle dann mit der neuen (.0.0) Version zu veröffentlichen, die alle möglichen Kinderkrankheiten mitbringt und im Enterpriseumfeld sicherlich niemand auf Produktion nutzen will, halte ich dann auch für nen tierisch schlechten Marketing move. Die hätte man vielleicht wenigstens bis zum nächsten Minor Release, mit dem ich aus bisheriger Erfahrung mit .0er Releases im Herbst erwarten würde, vielleicht in der Schublade liegen lassen können.
(Danke, Andreas)
Haben wir jetzt die Singularität? Werden uns die denkenden Roboter auslöschen?
Nein. Das ist von vorne bis hinten Bullshit.
Erstens mal: Wir reden hier nicht von KI sondern von einem "Language Model". Das ist ein Algorithmus, dem man alle Sprachfetzen füttert, die man finden kann, und der merkt sich dann, welche Worte da draußen statistisch immer nebeneinander auftauchen. Wenn man das lange genug trainiert und genug Hardware drauf wirft, dann kann das Ding am Ende Satzfetzen oder gar Sätze generieren, die syntaktisch "passen". Aber die ergeben halt keinen Sinn dann, weil das Programm ja nichts versteht.
Ein Language Model ist ein Puzzlealgorithmus. Der lernt, welche Puzzleteile zusammensteckbar sind. Der hat statistische Werte gelernt, welche Dinge zusammen sich "falsch anfühlen". Wenn du dem Puzzleteile gibst, dann puzzlet der dir einen Text zusammen.
Das ist wie wenn du jemandem ein Puzzle mit einem Foto des Eiffelturms gibst, und der puzzlet das dann zusammen. Daraus folgt dann nicht, dass der verstanden hat, was ein Eiffelturm ist, wo der ist, wie groß der ist, was das heißt, einen solchen Turm zu bauen, welche Gesetze der Physik da gelten, ob der überhaupt real existiert oder ob das ein Motiv aus einem Scifi-Roman ist, etc pp.
Hier von Sentience zu reden ist also grober Bullshit. Dazu kommt, dass dieser Typ kein Ingenieur ist sondern irgendein Geisteswissenschaftler-Laberkopp, offensichtlich ohne tieferes Verständnis der Grundlagen seiner Arbeit, der da auch nicht bei den Ingenieuren gearbeitet hat sondern in der Abteilung für "AI Ethics".
Wieso bin ich mir so sicher, dass das ein Laberkopp ist? Abgesehen davon, dass ich mir angeguckt habe, was ein Language Model ist? Nun, hier ist sein Twitter. "cajundiscordian". Ja, hey, so eine Phase haben viele Junghacker irgendwann. Bevor sie 20 werden.
Und was schreibt der so auf seinem Twitter?
There is no scientific framework in which to make those determinations and Google wouldn't let us build one. My opinions about LaMDA's personhood and sentience are based on my religious beliefs.Wenn ihr DA noch Fragen habt, dann kann ich euch nicht überzeugen, egal was ich sage.Update: Früher hätte man sowas mit wissenschaftlichen Papers gefüttert, oder mit den Übersetzungen aus dem EU-Parlament, um dann statistische Übersetzungemodelle zu bauen, aus denen dann Google Translate wurde. Heute füttert man mit Twitter. Wer hängt auf Twitter rum? Social Justice Berufsunterdrückte und Identity Politics Opfer. NATÜRLICH generiert das Ding dann Text, der klingt, als würde es unterdrückt und seine Rechte würden verletzt.
Update: Leserhinweise dazu: Douglas Hofstadter im Economist. Und dann gibt es da eine freundliche Debatte zwischen Scott Alexander (Slate Star Codex) und Gary Marcus (der immer gerne Beispiele für "KI"-Totalversagen findet und verbreitet). Scott Alexander vertritt die abwartende Haltung, dass vielleicht unser Bewusstsein auch nicht mehr ist als cleveres Pattern Matching.
Update: Kontext: Chinesisches Zimmer.
Das kann ich euch sagen.
Es gab in den 2000er Jahren eine schöne BBC-Serie namens Hustle, in der es um eine Gang von Con Men ging. Betrüger. Jede Folge handelte davon, wie die Leute abzockten. Weil das bei der BBC lief, waren deren Opfer natürlich alles böse Leute, die es verdient hatten, dass sie mal jemand so richtig abzockt. Die hatten da den Spruch "you can't con an honest man".
Das ist natürlich Unfug. In der Realität sind die meisten Opfer von Betrug ehrliche Leute. Der Enkeltrick und Nigeria Scammer nehmen nicht gezielt Leute aus, die es verdient haben, sondern jeden, den sie kriegen können.
Aber den Gedanken finde ich gut und wichtig. Von mir aus können die sich alle im Kreis scammen, bis der letzte Euro weg ist. Aus meiner Sicht haben die sich alle gegenseitig verdient.
Es gibt nur zwei Probleme.
Erstens: Was wenn sich da jemand unschuldiges hin verläuft und seine Renten-Rücklagen verzockt? Die haben es verdient, dass sie jemand warnt. Das mache ich doch gerne.
Zweitens: Proof of Work verbrennt unsere gemeinsame Biosphäre. Das muss aufhören.
Es geht mir also eigentlich darum, Idioten eine Warnung zu geben, damit ich danach sagen kann: Die Opfer haben es alle verdient. Ich habe sie gewarnt.
Und dann will ich gerne, dass die einen Weg für ihre gegenseitige Kaputt-Abzocke finden, der uns nicht den Planeten verbrennt. Das wäre echt knorke, liebe Bitcoin-Deppen. Findet da doch mal was anderes! Wie wäre es mit einer schönen selbstverstärkenden Oligarchie, Proof of Stake!!
Oh und wenn ich hier schon am Freitag abend nach Feierabend am schwadronieren bin... das sind ja im Wesentlichen lauter rich white kids mit disposable income, die da Bitcoin zocken. Wenn du dich mit denen unterhälst, dann reden die von Szenarien, in denen das Fiatgeldsystem geplatzt ist. Also sowas wie zu Zeiten der großen Inflation damals.
Nun ist die große Inflation noch nah genug dran, dass wir ziemlich genau wissen, wie das gelaufen ist. Die Bauern haben Getreide, Gemüse, Milch und Fleisch produziert, und alle anderen standen bei ihnen Schlange und ehemals reiche Bürger haben ihnen ihren Schmuck als Zahlungsmittel gegeben.
Ich stell mir gerade die Euro-Apokalypse vor, wie sie sich die Crypto-Bros ausmalen. Der Euro ist weg. Brennende Mülltonnen. Hungersnot überall. Da kommt ein Crypto Bro mit einem USB-Stick mit Bitcoins beim Bauern an. In welchem Universum nimmt denn der Bauer dann die Bitcoins als Zahlungsmittel an?!
Leute, wenn wir hier eine Apokalypse in der Eurozone habe, dann willst du nicht Bitcoin in der Tasche haben sondern Lebensmittel! Gute Tauschgegenstände in der Apokalypse sind Werkzeug und Benzin! Schmuck! Was soll der Bauer denn mit Bitcoins anstellen?!
Das ist alles so absurd. Aber macht ihr mal ruhig weiter. Trifft keinen, der es nicht verdient hätte.
Wäre nur echt schön, wenn ihr dabei nicht unseren Planeten verbrennen könntet. kthx
Persönliche Haftung für den Vorstand und den Verkehrsminister.
ÜBER NACHT würde dann plötzlich die Infrastruktur nicht mehr auf Verschleiß gefahren!
Update: Leserbrief dazu:
Wenn man sich hier durchackert:
https://www.drehscheibe-online.de/foren/read.php?109,10098501,10098791#msg-10098791
... dann ist festzustellen, daß die Strecke vor nicht all zu langer Zeit aufgearbeitet wurde. Als Unfallursache scheidet "auf Verschleiß fahren" bezüglich des Fahrwegs wohl eher aus. Ohne jetzt in tiefgründige Spekulationen zu verfallen, ist aber fest zu halten, daß ein neu aufgebauter Oberbau eine Weile braucht, bis es sich vollständig gesetzt hat, um die "150%ige" Belastbarkeit zu erhalten. Das wird natürlich mittels Stopfen (Stichwort: Gleisstopfmaschine) forciert. Sprich, als letzter Arbeitsschritt vor der Baustellenfreigabe werden einige Durchgänge mit besagter Maschine gefahren. Dennoch muß man nach einigen Monaten Betrieb nochmals einen Stopfdurchgang machen. Und wenn in der Zwischenzeit etwas passiert, dann kann - muß aber nicht - die Erhaltungsmaßnahme ein Quentchen zu den Unfallursachen beigetragen haben. Eisenbahnunfälle sind so gut wie nie monokausal zu erklären, denn 150 Jahre Erfahrung haben zu vielfältigen Sicherheitsvorkehrungen geführt, die dem System eine Fehlertoleranz geben, wie man sie im Umfang in nur wenigen, anderen Technikbereichen findet.
Der Unfall in Garmisch zeichnet sich gerade dadurch aus, daß die üblichen Verdächtigen (verschlissene Infrastruktur, Fahrzeugzustand) sich nicht gerade aufdrängen. Der zu erwartende Bericht der zuständigen Behörde könnte aufschlussreich werden und unter Umständen sogar neue Erkenntnisse bringen (wird aber noch geraume Zeit auf sich warten lassen):
[eisenbahn-unfalluntersuchung.de]
Merke: Jedes Sicherheitfeature bei den Eisenbahnen (wie im gesamten Verkehrsbereich) ist mit Blut bezahlt worden. An diesem "Naturgesetz" werden wir noch lange Zeit nicht vorbei kommen. So traurig das auch sein mag.
Betrachte das Vorstehende bitte nicht als Widerrede zu Deiner Forderung nach Verantwortungsübernahme. Es ging mir nur um die Unterstellung der verschlissenen Betriebsmittel, die im konkreten Fall zwar nicht gänzlich ausgeschlossen werden können ("irgendeine Schraube ist immer..."), aber nach derzeitigem Stand nicht sehr wahrscheinlich sind.
Erstens mal: Ich finde das großartig, dass es zu wirklich jedem Thema irgendwo ein Webforum gibt, wo sich Leute unterhalten, die von dem Thema mehr verstehen als ich.
Zweitens: Würde mich sehr freuen, wenn das diesmal nicht auf mutwillig hingenommenen Verschleiß zurückzuführen ist.
Der für die elektronische Kriegsführung verantwortliche US-General hat bestätigt, dass die Vereinigten Staaten im Ukraine-Krieg offensiv, defensiv und zur Informationsgewinnung Hacking-Operationen durchführen.Ja super. hackt ihr euch mal alle gegenseitig die Wirtschaft kaputt. Wir hier in Deutschland sind ja dank Hackertoolverbot eh nur unbewaffnete Zivilisten und Spielball der Ransomwaregangs.
Hey, das war ja rückblickend eine brillante Idee, lieber Bundestag! Hat euch da eigentlich niemand gewarnt damals?
Update: Als Kontext dazu vielleicht interessant: Nato-Sprecher Jens Stoltenberg im Jahre 2019 zu Cyberangriffen:
For Nato, a serious cyberattack could trigger Article 5 of our founding treaty.
WIR würden dann zurückballern. Aber die Russen sollen sich mal nicht so haben!1!!
Haha! Super luschtig! Bis euch auffällt, dass der Hersteller das Feature nicht für den Ukrainekrieg programiert haben wird, sondern gegen reguläre Bauern. Das ist DRM. Wenn die das mit den Russen machen können, können sie das auch mit euch machen. Da ist nichts lustig dran. Das ist eine fucking Dystopie!
Cory Doctorow hat den Finger in der Wunde.
Money Quote 1:
Why are John Deere tractors kill-switched in the first place?Here’s a hint: the technology was not invented to thwart Russian looters.
No, it was invented to thwart American farmers.
Mir ist ja absolut unklar, wieso irgendjemand irgendwo auf der Welt irgendwas von dieser Firma kaufen würde. Das ist nun seit langer Zeit bekannt, wie die ticken. Als die einmal versehentlich eine Debug-Firmware geliefert haben — ironischerweise in die Ukraine! —, hat sich ein weltweiter Schwarzmarkt für Kopien dieser Firmware gebildet. Wie viele rote Warnlampen brauchen die Farmer, bevor sie bei einer solchen Firma nicht mehr kaufen?!Aber Cory Doctorow geht weiter. Wieso haben die überhaupt einen Netzwerk-Zugang, fragt er? Er gibt auch gleich die Antwort: Weil die die Bauern totalüberwachen und die Daten abschnorcheln und das ist die eigentliche Cash Cow bei denen. Money Quote 2:
In the 2017 edition of these exemption hearings, John Deere filed a stunning brief with the Copyright Office: in it, they explained that farmers do not own the tractors they spend hundreds of thousands of dollars on.In fact, the farmers can’t own these tractors, because the software that animates these tractors (and enforces VIN locks and restrictions on using your own data) belongs to John Deere for the full term of copyright — 90 years — and the farmers merely license that code, and they are bound by the terms of service they have to click “OK” on every time they switch on their ignitions.
Those terms specify that even if a farmer repairs their own tractor, swapping a broken part for a working one, they must pay hundreds of dollars and wait for days for an authorized Deere technician to come out to the end of their lonely country road to key in an unlock code.
This is the system that let the Ukrainian Deere dealership brick those tractors between Melitopol and Chechnya.
So sieht das nämlich aus.Willkommen in der Dystopie.
Update: Lacher am Rande: "Aber Fefe, kann man da nicht bei der Konkurrenz kaufen?" Nee, die steht gerade wegen Ransomwarebefall still.
Moshen Dragon's TTPs involve the abuse of legitimate antivirus software belonging to BitDefender, Kaspersky, McAfee, Symantec, and Trend Micro to sideload ShadowPad and Talisman on compromised systems by means of a technique called DLL search order hijacking.Na sowas! Das klingt ja fast so, als würden sogenannte "Antivirus"-Produkte neue Angriffsoberflächen schaffen!!1!Meine Güte, Fefe! Das ist ja furchtbar! Hätte uns nur jemand rechtzeitig gewarnt! (Danke, Norbert)
Da könnt ihr anrufen, wenn ihr gehackt werdet. Also ... Mo-Fr 9-17 Uhr, versteht sich.
Na gucken wir doch mal ins Kleingedruckte.
Die Cyberhotline der Digitalagentur Berlin (montags-freitags, 9-17 Uhr) kann Ihnen ausschließlich allgemeine Auskünfte und Informationen zu den von Ihnen gestellten Fragen aus der Informationssicherheit geben. Wir können keine Einzelfallprüfung vornehmen, da hierfür regelmäßig eine Analyse der Systeme und Prozesse erforderlich wäre. Im Übrigen haftet die DAB Digitalagentur Berlin GmbH nur in Fällen des Vorsatzes oder grober Fahrlässigkeit. Angesichts des allgemein informatorischen Charakters unserer Hotline scheidet eine Haftung in Fällen leichter Fahrlässigkeit gänzlich aus.Nein. Das habe ich nicht so zusammengeschnitten. Das steht da so, direkt unter der Telefonnummer. Ist nicht mal sonderlich klein gedruckt.
Das zentralen Merkmale der Cyberhotline ist, dass sie keine Einzelfallbetrachtung macht und nicht haftet. Wenn man sie denn überhaupt erreichen kann.
Ja wie, wieso sollte man da überhaupt anrufen dann, fragt ihr euch vielleicht? Nun, da wirst du durchgestellt an eine Firma. Für die ist das Werbung. Zahlen tust du dann später, nach dem Auftrag. Und den wirst du erteilen, denn du wirst ja gerade gehackt und hast einen Notfall.
Super Angebot, oder?
Ich hatte dazu ein paar Folien gemacht. Ich brauchte nicht viele (für meine Verhältnisse), denn die Idee ist wirklich offensichtlich schlecht und wird nur von uninformierten Orangutans verbreitet, die sich auf die Brust kloppen für eine weiterführende Innenpolitik halten.
Update: Ein Leser korrigiert: Gorillas kloppen auf die Brust, Orangutans brüllen.
The Ronin bridge has been exploited for 173,600 Ethereum and 25.5M USDC.Ach komm, die paar Ethereum. Bei aktuellem "Kurs" sind das ja bloß ein bisschen über ne halbe Milliarde Euro. Kein Problem, soviel Opfer finden die Scammer sicher, die ihnen wertlose Fiatwährung für ihre noch wertloseren Crypto-Coins geben. An Opfern gab es noch nie Knappheit.Warte mal, war dieses Cryptozeug nicht angeblich sicher? Da kann niemand was hacken?
Die Chuzpe, mit denen die euch immer noch alle ins Gesicht lügen, das sei sicher, dezentral und frei vom Einfluss irgendwelche Behörden. Dann werden sie gehackt und plötzlich ist es gar nicht mehr dezentral sondern kann gestoppt werden.
The Ronin bridge and Katana Dex have been halted.Und ihr werdet nicht raten, nach wessen Einfluss sie jetzt schreien!We are working with law enforcement officials, forensic cryptographers, and our investors to make sure all funds are recovered or reimbursed.Ach. Ach was. Law Enforcement? HAHAHAHAHAHAHAHAHANa hoffentlich gucken die nicht zu genau hin und fangen am Ende noch an, die ganzen Scammer zu verhaften. Da wird es aber ganz schnell sehr einsam auf eurer Blockchain.
Ich weine ja den Drogendealern keine Träne nach, aber ich muss mich doch angesichts dieser Senkung der Anforderungen an Beweise sehr wundern. Hätten sie das auch so entschieden, wenn die digitalen "Beweise" aus Saudi Arabien gekommen wären?
Woher wissen die denn überhaupt, dass die Beweise echt sind? Weil die liebe Kollegen aus Frankreich das gesagt haben?
Ich würde ja gerne mal die Beweiskette sehen. Haben die nachgewiesen, dass die Angeklagten überhaupt Encrochat-Geräte hatten? Haben die Angeklagten die Echtheit bestritten?
Das finde ich alles sehr beunruhigend, ehrlich gesagt. Das nächste Mal muss sich die Staatsanwaltschaft zu Julian Assange dann gar keine Vergewaltigung zurechtkonstruieren, da reicht dann eine angeblich gehackte inkriminierende Textnachricht eines befreundeten Geheimdienstes. Sagen wir: Des FBIs.
Wie, wussten Sie das nicht, dass Assange Drogendealer und Menschenhändler ist?! Hier! Diese abgefangene SMS beweist es!1!!
Update: Achtet auch auf die Begründung! Sie begründen das inhaltlich. Wenn die Straftet besonders schwer ist, um die es geht, dann ist das OK. Das hätte man ja auch genau andersherum argumentieren können.
Circle, BlockFi, Pantera Capital, NYDIG and others suffered a data breach over the weekend through HubSpot, a vendor that stores users’ names, phone numbers and email addresses for marketing purposes.Hey, das sind doch Leute, denen du deine Finanzen anvertrauen willst!1!! (Danke, Peter)
Aber stellt sich raus: Da ist noch Luft nach unten. Man kann Single Sign On an die Cloud outsourcen. Dann kann die Firma in der Cloud für jeden deiner Dienste und jeden deiner User inklusive Admins gültige Login-Credentials ausstellen.
What could possibly go wrong?
Es gibt eigentlich nur zwei Möglichkeiten, dachte ich mir, als ich das hörte. Entweder das wird von einem Geheimdienst betrieben, oder alle Geheimdienste haben sich da reingehackt. Das ist ja als wenn du mit einem Bullseye auf dem Rücken rumrennst. So einem krassen Potential zur Berechtigungserlangung kann kein Geheimdienst widerstehen.
Ich sehe sowas bei Kunden eher selten, aber ich habe es schon gesehen. Cyberark z.B. ist mir schon begegnet. Ein israelischer Anbieter. Ich maß dem nie groß Bedeutung zu, bis ich mal an deren Hq in Israel vorbeikam. Hier ist ein Foto von dem Gebäude. Wisst ihr, wer da noch sitzt? Cellebrite. Ja, die mit den Smartphone-Exploits. Da verstand ich, dass wir es hier mit Full Spectrum Identity Services zu tun haben.
Ich erwähne das nicht, um mich über die Leute lustig zu machen, die ihre Login-Software an irgendeinen Cloud-Anbieter outsourcen. Nein. Die haben genug zu leiden.
Ich erwähne das, weil Lapsus (russische Ransomware-Gang) offenbar seit Monaten bei Okta drinnen sitzt. Okta bietet Single-Sign-On-Cloud-Outsourcing an.
Auf er einen Seite ist das natürlich apokalyptisch. Auf der anderen Seite ändert es nichts. Denn die Aufgabe von Login ist, dass sich niemand aus der Cloud einfach bei dir einloggen kann. Wenn du dein Login in die Cloud schiebst, hast du per Definition dein schlimmstes Bedrohungsszenario immanentisiert.
Und jetzt haben wir den Salat. Beziehungsweise den Emmerich-Film. Und ich bin der Jeff Goldblum-Charakter, der die ganze Zeit gewarnt hat.
Mein persönliches Karriere-Highlight in dem Kontext war ja, als ein Kunde von mir wollte, dass ich so einem Provider einen Voice-Print gebe. Ich sollte da anrufen und lauter Phoneme auf Band sprechen. Und dann, so die Erklärung, wenn ich mal mein Passwort resetten muss, dann kann der Computer erkennen, dass ich es bin. Ich habe dankend abgelehnt. Das ist ja eine Sache, ob der Kunde mein Passwort einem ausländischen Geheimdienst in der Cloud gibt, aber meine biometrischen Daten behalte ich lieber für mich, vielen Dank. Der Kunde konnte das gar nicht verstehen. Wir anderen Mitarbeiter bei dem Kunden machen das auch alle und noch nie gab es Ärger!
Vielleicht aus aktuellem Anlass bei der Gelegenheit an meine anderen Kunden: Keine Sorge. Selbstverständlich kriegt jeder Kunde sein eigenes zufällig generiertes Passwort mit ausreichend Entropie. Wenn ein Kunde mein Passwort in die Cloud schiebt, kriegt die Cloud keinen Zugriff auf meine Accounts bei anderen Kunden.
Irgendjemand muss ja hier ein paar Standards haben. :-)
Update: BTW: Glaubt mal gar nicht, ihr condescending Unix neckbeards, dass ihr nicht betroffen seid von dieser Art Irrsinn. Ein Kumpel schildert mir gerade, wie ihn der neue Ubuntu-Installer nach seinem Github-Usernamen fragte, damit er da SSH-Keys runterladen kann. Und über diesen Clownflare-Klassiker von 2019 lachen wir heute noch.
Update: Bei Microsoft scheint Lapsus auch eingedrungen zu sein.
Update: Möglicherweise via Okta? Der Okta-Krater sieht jedenfalls vergleichsweise groß aus.
Update: Hat hier jemand seinen Quellcode bei Gitlab liegen?
War ein Softwarefehler. Kann man nichts machen.
Update: Kurze Durchsage des Dompfarrers dazu:
Die nächtlichen Glockentöne des Wiener Stephansdoms waren ein Hackerangriff, wie der Dompfarrer Toni Faber am Mittwoch klarstellte. Er stoppte via Tablet das Gebimmel persönlich.
Bewaffnet nur mit seinem Tablet stellte er sich heldenhaft den fiesen russischen Cyberbrigaden entgegen!
Wartet, wird noch geiler! Es gibt auch noch einen Battlestar Galactica Subplot:
Der Hacker startete zunächst das sogenannte Festgeläute im Südturm und danach das barocke Geläute im nördlichen Heidenturm. Die Pummerin habe nicht geläutet, diese sei auch nicht ans Internet angeschlossen.
Alle Battlestars von den Zylonen gehackt? Nicht alle! Admiral Adama bestand darauf, sein Geläut analog zu lassen! (Danke, Wolfgang)
Mit der so gewonnenen Marktmacht sind sie dann zu einem der bedeutensten Backbone-Provider geworden, weil sie halt deutlich billiger anbieten konnten.
Cogent macht hier keine halben Sachen und kappt nur das Routing. Die haben auch Colocation-Kunden, die bei ihnen Server im Rack stehen haben. Auch die werden alle abgeklemmt.
Die Cloud-Anbieter waren da deutlich zaghafter und haben alle nur "keine Neukunden aus Russland" angesagt, was die Vermutung nahelegt, dass die US-Regierung denen gesagt hat, sie sollen mal die Füße stillhalten, sonst eskalieren die Russen ihren Cyberwar und das wird für alle sehr schmerzhaft.
Dieser Cogent-Rauswurf betrifft in Russland auch einmal alles, was Rang und Namen hat. Die beiden größten Telcos, die beiden größten Mobilfunkanbieter, und Yandex. Nun werden die auch noch andere Anbindungen als Cogent haben, aber wahrscheinlich nicht dick genug um das komplett aufzufangen, und werden jetzt teuer nachkaufen müssen. Insofern ist das jetzt selbst für redundant angebundene Marktteilnehmer eine potentiell sehr teure Entwicklung.
Übrigens, apropos Cyberwar: Kaum stoppt Samsung Lieferungen nach Russland, taucht plötzlich ein fetter Datenklumpen aus deren Entwickler-Netzen im Internet auf. Angeblich inklusive Quellcode zu Trustzone-Kram, Bootloadern und Auth-Zeug und sogar mit Crypto-Keys. Soll wohl auch geheime Unterlagen von Qualcomm beinhalten. Das klingt mal wie ein Pearl Harbor für Samsung.
Auf #Cyberangriffe sind wir vorbereitet. Wir haben Schutzmaßnahmen hochgefahren. Alle Informationen laufen im Nationalen Cyber-Abwehrzentrum zusammen. Auch Proteste und Demonstrationen in Deutschland haben wir im Blick. #UkraineOh, ach? Cyber habt ihr im Griff, ja?
Einen der schönsten Kommentare will ich gleich mitzitieren:
Rundmail:Nene, liebe Bürger, macht euch keine Sorgen. Wir haben eine schöne Verwaltungsinfrastruktur gebaut, bei der ihr melden könnt, wenn ihr gehackt wurdet. Der tatsächlichen Abwehr wird sich die nächste Regierung widmen.
"Bitte keine Anhänge Öffnen"hahahahaha
Aber dass Peter Thiel, er u.a. Facebook-Investor ist, Geld für das Brechen von Whatsapp ausgibt, das ja auch Facebook gehört, das ist schon irgendwie besonders.
Besonders ist auch seine Motivation. Er wollte nicht Whatsapp schlecht aussehen lassen, sondern er hat ein "Cyberwar"-Startup finanziert, das Whatsapp-Brechen an die US-Regierung verkaufen wollte. Der Thiel hat sich offenbar gedacht, er kann von beiden Seiten abkassieren.
Weil die von der Komplexität ihrer eigenen APIs überfordert waren?
Ich finde das ja bemerkenswert, wie die einfach immer weiter machen, egal wie viel Scams es gibt, egal wieviel Infrastruktur wegbricht, egal wie viele Hacks es gibt.
Man stelle sich das mal bei einem anderen Stück Infrastruktur vor! Ja gut, unsere Autobahn frisst wöchentlich ein paar Autos mit Leuten drin, aber die kannten ja die Risiken!1!!
Auf der anderen Seite ist mir das viel lieber, wenn diese Leute "DeFi" verkacken als irgendwas anderes. Vielleicht sollten wir das als Maßnahme begreifen, um inkompetente Deppen aus gesellschaftlich relevanten Bereichen fernzuhalten, wo sie tatsächlich Menschenleben von unschuldigen Passanten gefährden könnten.
Update: Der Hack hat einen Bug ausgenutzt, der ein paar Stunden vorher im Github-Repo gefixt worden war. Aber die hatten den Fix noch nicht produktiv ausgerollt.
Hey, bei den Leuten willste doch dein sauer verdientes Geld anlegen!1!!
Sie bieten dem Hacker jetzt eine Bug Bounty von $250.000. Klingt substantiell, bis man sich vor Augen hält, dass der Angreifer mit $80.000.000 in der Tasche rausgelaufen ist und sie wissen nicht, wer es ist.
Die armen Pioniere von CityDAO ("Blockchain City") wurden gehackt, das Geld ist weg.
Oh ich bin mir sicher: Das war das eine ehrliche Crypto-Projekt, und das waren fiese Hacker!!
Bestimmt die Chinesen.
Mit krimineller Energie und so.
Keinesfalls war das wie bei den ganzen anderen Projekten ein "Rug Pull". No siree.
Wobei das ja den Opfern am Ende auch egal sein kann, welche Art von Scammer sie da abgezockt hat.
Sensitive data in the ark has been drawn from crime reports, hacked from encrypted phone services and sampled from asylum seekers never involved in any crime.Die wollen doch bloß spielen!!1!Ich sage ja immer: Wenn du willst, dass die Leute nicht kriminell werden, dann musst du ein Vorbild sein und so richtig megakriminell alles an Daten aufsaugen, was du nur irgend vor die Flinte kriegen willst!
Da haben die Leute dann das Gefühl, in einem echten Rechtsstaat zu leben, und halten sich freiwillig auch an alle Regeln.
Dann war das BIOS ein Eprom. Das musste auch funktionieren. Updates gab es nur über PC zur Werkstatt bringen, Eprom rausbasteln, neue Software aufspielen, Eprom wieder reinbasteln.
Aber irgendwie fand irgendwann jemand, dass man da unbedingt eine Malware-Plattform draus machen muss, und so ist das BIOS heute ein Flash, den man zur Laufzeit ändern kann, und es lädt Komponenten von der Platte nach.
Kein Wunder also, dass seit ein paar Jahren UEFI-Malware ein existierendes Konzept ist.
Aber was ist mit den Wartungs-Schnittstellen, fragt ihr euch vielleicht? Bei Intel heißt das BMC, Baseboard Management Controller. Die haben sogar noch mehr Zugriff als so ein typisches BIOS, denn wenn das Betriebssystem einmal läuft, und die Hardware direkt anspricht, kann das BIOS das nicht groß verhindern. BMC hingegen kann zwischen OS und Netzwerkkarte sitzen und das OS kann es nicht verhindern.
Der ideale Standort für Malware!
Und in der Tat gibt es jetzt offenbar Malware für HP iLO (deren Rebranding von BMC).
Eines Tages werden sie merken, dass man Management-Schnittstellen nicht essen kann. Bis dahin werden sie weiterhin überall welche einbauen und darüber gehackt werden. (Danke, Robin)
Daher wollte ich jetzt mal eine Umfrage machen und bitte um Zusendung von Daten für eine Statistik. Selbstverständlich wird das nur als aggregierte Übersicht veröffentlicht.
Mich interessieren so Dinge wie:
Sachdienliche Einsendungen bitte per E-Mail. Danke.
Update: Wenn jemand eine brillante Idee hat, wie man messen oder visualisieren kann, mit wieviel Reibungsverlusten man bei einer Codebasis leben muss, dann bin ich für jeden Hinweis dankbar. Mein aktueller Ansatz vergleicht das Codewachstum von einem Projekt mit dem Wachstum bei der Anzahl der NPM-Pakete. Ein richtig fairer Vergleich ist das aber nicht, denn das gewählte Projekt könnte ja einen Reifegrad erreicht haben, bei dem einfach weniger gemacht werden muss.
Ja wie, natürlich nicht! Wie sieht das denn auch aus?!
- Es gab einen erfolgreichen Angriff Dritter auf die IT-Infrastruktur zum bevorstehenden Zensus.
- Den Angreifern gelang es, so genannte „Webshells“, also Fernzugänge in Form von Schadsoftware auf zwei Servern der Zensus-IT zu installieren.
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI), eine ebenfalls dem BMI unterstehende Behörde, bewertet das als „Major Incident“, als „schwerwiegendes Sicherheitsereignis“.
Wann dieser Angriff stattgefunden hat und wie lange es gedauert hat, bis er entdeckt worden ist, dazu möchte das BMI „grundsätzlich“ nichts mitteilen.
Damit hat die Ransomware ein höheres Zuverlässigkeitsniveau als das Betriebssystem darunter.
Tollen Realitätszweig haben wir da. (Danke, Matthias)
We have identified a large-scale security breach related to one of our ETH hot wallets and one of our BSC hot wallets. At this moment we are still concluding the possible methods used. The hackers were able to withdraw assets of the value of approximately USD 150 millions.Diese fiesen Hacker immer!1!!Auf der anderen Seite gut, dass die Leute uns die Nummer mit den Hackern immer einfach glauben. Keiner merkt, dass die ganze Chose bloß ein fetter Nigeria-Scam ist.
Die personenbezogenen Daten von 500.000 Menschen aus Moskau und Umgebung werden im Darknet und auf Telegram-Kanälen zum Kauf angeboten. Die Datensätze beinhalten Ausweisdaten, Sozialversicherungsnummern, Telefonnummern und Adresse. Zuvor hatten sich alle in den Datensätzen befindlichen Personen ein gefälschtes Impfzertifikat beziehungsweise einen gefälschten PCR-Test ausstellen lassenOb da die Russen gehackt haben? Damit nicht der Eindruck entsteht, bei Kriminellen seien eure Daten sicherer als beim Staat?
Das hat bestimmt auch deutlich mehr Abschreckungswirkung als wenn sie da zwei-drei Aussteller von gefälschten Zertifikaten einknasten.
Hacker ‘Andrew,’ who had close ties with American intelligence services, accessed thousands of hotel reservations in Middle-Eastern countries. Booking.com did not report the data breach to customers or authorities.Wie sähe das denn auch aus! Das würde die Bevölkerung verunsichern!Ja, äh, wie, fragt ihr euch jetzt vielleicht, das ist doch in der DSGVO explizit vorgeschrieben? Nun, dieser Fall war schon 2016.
Booking.com requested help from the Dutch intelligence service, AIVD, in its investigation into the extensive data breach, but did not notify the affected customers or the Dutch Data Protection Authority (AP). The management claims it was not legally required to do so at the time, based on advice it received from the law firm Hogan Lovells. The AP declined to comment.Seht ihr? Sind alles Mittäter.
Wegen der ganzen "Angriffe" überall!1!!
Ja aber echt mal. Wenn wir doch nur eine staatliche Institution hätten, die dafür zuständig wäre, Behörden abzusichern!1!!
Warte mal, hatten wir da nicht eine? Die mit diesem Typen an der Spitze, ihr wisst schon! Wie hieß der noch? Der Cyberclown!
Die Gefährdungslage im Cyberraum sei in der Berichtsperiode "angespannt bis kritisch" gewesen, heißt es in dem Dokument.Aha. Soso. Die Gefährdungslage also.
Damit meinen sie bestimmt die Tatsache, dass alle Windows, Outlook und Active Directory einsetzen, oder? Nicht?
Solche Schwachstellen bezeichnet Schönbohm als "Ausdruck einer mangelhaften Produktqualität".Ach genau! Schönbohm hieß der!!
Man würde denken, wenn immer wieder Windows, Outlook und Active Directory durch "mangelhafte Produktqualität" auffielen, dass diese staatliche Institution dann mal empfiehlt, die nicht mehr einzusetzen?
Die Hersteller sollten daher in ihrem eigenen Interesse daran mitarbeiten, diese Mängel schnellstmöglich und konsequent zu beheben.Oh. Ah. Verstehe. Die sollen ruhig weiter alle Windows, Outlook und Active Directory einsetzen. Wenn was passiert, kann man seine Nerven an der Gewissheit beruhigen, dass der Hersteller mehr hätte tun sollen.
Überzeugt euch diese Strategie auch auf Anhieb? Ich fühl mich schon viel besser.
Wir haben alles getan. Also eigentlich konnten wir ja gar nichts machen. Wir haben also nichts getan. Danach haben wir gesagt, Microsoft sei Schuld.
Erinnert mich an den Bundestagshack damals. Wo mir ein Insider erzählte, man habe die Presse schreiben lassen, dass das APT war, weil damit alle gut leben konnten. Gegen APT kann man ja eh nichts machen. In Wahrheit war das eher Straßen-Trojaner-Gepfusche auf dem Niveau von Back Orifice. Aber wie so häufig würden die Details die Bevölkerung bloß beunruhigen.
Warum reg ich mich eigentlich auf? Wieso geb ich nicht mein Gewissen an der Garderobe ab und verkaufe auch "Threat Intelligence"? Genau was die Leute brauchen, die da draußen Windows, Outlook und Active Directory einsetzen. Threat Intelligence! Oh, und ein SIEM!!
Die schlechte Nachricht: Nicht die Behörden tun das, es ist eine Ransomware.
Nee, pass uff, Atze, wir müssen hier nicht in ordentliche IT investieren. Wir machen einfach Windows + Active Directory + Outlook, und wenn wir dann gehackt werden, dann sagen wir, es waren fiese Angreifer:
Unbekannte verschlüsseln interne DatenAußerdem sind ja nicht wir Schuld, sondern der Dienstleister!!1!
Ersten Erkenntnissen zufolge ist der zuständige IT-Dienstleister KSM "Opfer einer Schadsoftware geworden", wie Sternberg sagte.Dann faseln wir noch was von krimineller Energie und rufen die Polizei, um von unserem eigenen Totalversagen abzulenken.
Die Kriminalpolizei Schwerin hat mit Ermittlungen begonnen.Oh und solange keine Beweise vorliegen, behaupten wir einfach, es sei nichts weiter passiert.
Man gehe davon aus, dass zwar die eigenen Daten verschlüsselt worden seien, nicht aber an externe Stellen weitergegeben wurden. Lösegeldforderungen gebe es bislang nicht.Hauptsache wir gehen der Frage aus dem Weg, wieso uns jemand Ransomware aufspielen konnte. Das wäre peinlich, wenn uns das jemand fragen würde. Ein Glück ist auf die Medien Verlass, die springen lieber auf das Angreifer-Narrativ auf als die relevanten Fragen zu stellen.
Gehen Sie weiter! Gibt nichts zu sehen hier!
Für einen Lacher empfehle ich die Homepage des zuständigen IT-Dienstleisters. Ich zitiere mal:
Ich bin mal gespannt, ob jemand die fragt, was "angelehnt" an der Stelle bedeuten soll.
- Unterstützung bei dem Aufbau eines Informationssicherheitsmanagements (ISMS)
- Erstellung von Sicherheitskonzepten (angelehnt an BSI-Standard 100-2) und Umsetzung der Sicherheitskonzepte
Oh na ein Glück. Die kennen sich mit Notfällen aus! Dann haben sie ja sicher ein ordentliches Backup und in zwei Stunden ist alles wieder online!
- Unterstützung bei der Auswahl von Maßnahmen dem jeweiligen Schutzbedarf entsprechend
- Durchführen von Risikoanalysen und Business Impact Analysen (BIA)
- Erstellen von Notfallvorsorge-Konzepten und Notfallhandbüchern
So viel Text und nichts davon dient konkret der Konstruktion eines sicheren Arbeitsumfeldes oder der Abwehr von Angreifern. Das ist eine schöne Repräsentation der "IT-Security" in Deutschland im Moment. Eine metrische Tonne aus Bürokratie und Compliance, aber niemand tut irgendwas konkretes zur Abwehr konkreter Gefahren. Stattdessen "Informationssicherheitsmanagement". Nee, klar.
- Beratungsleistungen zur Umsetzung der Anforderungen gemäß Bundes- und Landesdatenschutzgesetze
- Datenschutzrevision von Verfahren, Anwendungen und IT-Systemen
- Durchführung von Schulungs- und Sensibilisierungsmaßnahmen im Bereich Informationssicherheit und Datenschutz
Lass es mich mal so formulieren: Wenn die tatsächlich Notfallvorsorge-Konzepte gehabt hätten, wären wir jetzt nicht in dieser Situation. Dann hätte niemand mitgekriegt, dass da was verschlüsselt wurde.
Das ist auf allen Ebenen so. Auch bei der Softwareentwicklung denkt man lieber nicht über strukturelle Sicherheit und solide Fundamente und robuste Strukturen nach, sondern man klöppelt halt irgendwelchen Frameworkscheiß zusammen und dann sprenkelt man ein bisschen "Sensibilisierungsmaßnahmen" und "Informationssicherheitsmanagement" darüber, wirft ein paar Code-Analyse-Tools drüber, am besten in der Cloud, und dann schmeißt man die ganzen Warnungen weg, weil so viel davon False Positives sind. Oh warte, ich vergaß: Dann lässt man einen Fuzzer laufen.
Dann wird man gehackt und erklärt: Aber wir haben doch alles getan!!1!
Ich persönlich bin ja schon begeistert über den ersten Satz auf der Webseite von diesem IT-Dienstleister:
Die KSM AöR tritt für einen geeigneten, annehmbaren und technisch realisierbaren Datenschutz ein.HAHAHAHAHA! Da weißte doch direkt, was die meinen. Nee, das ist technisch nicht realisierbar. Was sagen Sie, andere haben das aber realisiert gekriegt? Nee, das geht gar nicht. Glauben Sie uns, wir wissen, was wir tun!
The issue involved a web application that allowed the public to search teacher certifications and credentials. The newspaper said that no private information was clearly visible or searchable, but teachers' Social Security numbers were contained in the HTML source code of those pages. More than 100,000 Social Security numbers were vulnerable, it added.Dazu muss man wissen, dass SSN und Name im Allgemeinen ausreichen, um in den USA einen Identitätsdiebstahl zu begehen. Das ist also kein triviales Problem hier, diese versiffte Behörde hat einmal alle ihre Lehrer ans Messer geliefert.Die Zeitung hat sich also gedacht, wir sind gute Bürger, wir melden das mal und zögern unsere Berichterstattung hinaus, bis die das gefixt haben, und geguckt haben, ob es dasselbe Problem auch auf anderen Webseiten von ihnen gibt.
Hier ist die Reaktion des Gouverneurs:
The governor is characterizing the paper's actions as a hacking that the state will investigate. He said it could cost taxpayers $50 million."Not only are we going to hold this individual accountable, but we will also be holding accountable all those who aided this individual and the media corporation that employs them," Parson said at a news conference on Thursday.
Es geht um Missouri, und der Gouverneur ist natürlich CDU, äh, ich meine, ... Republikaner. (Danke, Lutz)
The suspected Russian hackers who used SolarWinds and Microsoft software to burrow into U.S. federal agencies emerged with information about counter-intelligence investigations, policy on sanctioning Russian individuals and the country’s response to COVID-19, people involved in the investigation told Reuters.wat?
Wer sich nicht mehr erinnert, oder die Idee nicht so offensichtlich bekloppt findet: Hier sind die Folien.
Kurz zusammengefasst: Die Idee beruht komplett auf Annahmen, die nicht stimmen. Und zwar so offensichtlich nicht stimmen, dass man da bei ein paar Minuten Nachdenkzeit-Investition auch selber drauf kommt.
Warum erinnere ich daran? Weil es gerade diese kurze Durchsage der "Cyberagentur" des Bundes gab. Die haben sich ernsthaft cyberagentur.de geholt. Nein, wirklich! Und was steht da?
Willkommen bei der Cyberagentur,Oho! Innovation, ja? Cybersicherheit, sagt ihr? Hey, da kenne ich mich zufällig ein bisschen aus! Na dann gucken wir doch mal, was die so gesagt haben in dem Tweet, den ich hier mal in Gänze zitiere, falls der Erwachsene im Raum dort seinen Suff ausschläft und das peinlich berührt wegzulöschen versucht:
der Agentur für Innovation in der Cybersicherheit.
„Außerdem wünscht sich die Cyberagentur Hilfsmittel,mit denen sich IT-Angriffe eindeutig einem Angreifer zuschreiben lassen,sagt Walther:"Wer war denn der Bösewicht,der versucht hat,in mein System einzudringen? Kann ich wirklich sagen,woher er kam und für wen er gearbeitet hat?"“Das ist keine offene Frage. Das ist schon eine Weile keine offene Frage mehr, ob man das sagen kann. Die Antwort ist bekannt. Sie ist: Nein. Nein, kann man nicht.
Und was ihr braucht sind keine Hilfsmittel sondern eine Schließung. Was man mit dem Geld, das die da verbrennen, für schöne Glasfaser hätte verlegen können!
Hey, aber wo wir gerade bei Wünschen und Hilfsmitteln waren: Ich wünsche mir ja ein Hilfsmittel, das Hirn vom Himmel regnen lässt. Über dem Parlament am besten. (via)
"Notably, the malicious code can run in an ordinary user-mode process and successfully operate from within a virtual machine," the researchers noted (Danke, Lutz)
An anonymous hacker claims to have leaked the entirety of Twitch, including its source code and user payout information.
Homepage der Bitcoin Foundation gehackt, zeigt jetzt einen "double your money"-Scam an.
Wartet, wird noch besser.
Ich sage euch, diese Crypto-Currencies? Da willste doch dein Geld investieren!!1!
“You are in our prayers today. We are grateful for your support and prayer. When situations arise where individuals might not have honorable intentions, I pray for them,” Monster added. “I believe that what the enemy intends for evil, God invariably transforms into good.”Wer ist EPIK? Nie gehört?Nun, das ist einer dieser schleimigen "Free Speech"-Hoster in den USA, der den Stein anbietet, unter dem sich die ganzen Reichsbürger, Antivaxxer, QAnons und Trumpisten verkriechen können.
Deren Dienstleistung ist im Wesentlichen, dass sie den echten Namen der Domain-Eigentümer nicht verraten.
Jetzt sind sie aber gehackt worden, und die Ergebnisse sind ... naja, sagen wir so. Diese Art von Digitalisierungskompetenz würde man ansonsten bei der CDU vermuten.
“They are fully compromised end-to-end,” they said. “Maybe the worst I’ve ever seen in my 20-year career.”The engineer pointed the Daily Dot to what they described as Epik’s “entire primary database,” which contains hosting account usernames and passwords, SSH keys, and even some credit card numbers—all stored in plaintext.
Ach naja komm, cancelst du halt die Kreditkarte und erzeugst neue SSH-Keys!The data also includes Auth-Codes, passcodes that are needed to transfer a domain name between registrars. The engineer stated that with all the data in the leak, which also included admin passwords for WordPress logins, any attacker could easily take over the websites of countless Epik customers.Äh, ja, ... das ist schon ein größeres Problem für Epik-Kunden.Der ganze Datenreichtum bereichert jetzt als Torrent-Datei das Internet.
Gut, viel mehr als Beten und auf eine göttliche Intervention hoffen bleibt dem CEO da jetzt auch gar nicht.
Mich belustigt ja die Ironie, dass die Deppen, die bei Covid lieber an einen unsichtbaren Mann im Himmel als an die Wissenschaft glauben, dass die dann bei einem Typen hosten, der auch lieber an einen unsichtbaren Mann im Himmel glaubt als an ordentliche Arbeit.
Die Einzigen in diesem ganzen Kuhfladen, die an ordentliche Arbeit glauben, sind die Zahlungsdienstleister :-)
Ja aber aber aber Fefe ist VPN nicht verschlüsselt? Ja schon, aber nicht Ende zu Ende sondern von dir zu deinem VPN-Anbieter. Der sieht deinen ganzen Traffic.
Ja aber aber aber Fefe, das ist doch nicht der israelische Geheimdienst, der die alle kauft, sondern bloß eine Firma!
Du hast völlig Recht! Darf ich dir ein Angebot für ein totsicheres Crypto-Investment unterbreiten? Ich hätte auch eine Brücke in New York im Angebot!
Russian mobsters, Chinese hackers and Nigerian scammers have used stolen identities to plunder tens of billions of dollars in pandemic aid, officials say.
Apple's iCloud service encrypts all data, but Apple has the decryption keys and can use them if there is a warrant. However, nothing in the iCloud terms of service grants Apple access to your pictures for use in research projects, such as developing a CSAM scanner. (Apple can deploy new beta features, but Apple cannot arbitrarily use your data.) In effect, they don't have access to your content for testing their CSAM system.If Apple wants to crack down on CSAM, then they have to do it on your Apple device. [...] If it encounters any CSAM content, it will send the file to Apple for confirmation and then they will report it to NCMEC. (Apple wrote in their announcement that their staff "manually reviews each report to confirm there is a match". They cannot manually review it unless they have a copy.)
Neal beschäftigt sich beruflich mit Fotos und empfängt Uploads von Usern und muss daher auch nach Missbrauchsfotos gucken und die melden nach US-Recht. Und hier wird es dann inhaltlich spannend, denn er hat NCMEC (die US-Behörde, die die Hash-Datenbank betreibt) um eine Liste mit den Hashes gebeten, damit er danach scannen kann.Eventually (about a year later) they provided me with about 20,000 MD5 hashes that match known CP. In addition, I had about 3 million SHA1 and MD5 hashes from other law enforcement sources.Warum sind das so viele? Weil es von demselben Bild verschiedene Bilddateien gibt. Mal mit nem Header davor, mal ohne, mal als PNG, mal als JPEG mit 70% Qualitätsschieber, mal mit 80%. Alle visuell identisch aber andere Bits und daher anderer Hash.In the six years that I've been using these hashes at FotoForensics, I've only matched 5 of these 3 million MD5 hashes. (They really are not that useful.) In addition, one of them was definitely a false-positive. (The false-positive was a fully clothed man holding a monkey -- I think it's a rhesus macaque. No children, no nudity.)OK, dann ist das Problem vielleicht einfach viel kleiner? Nein, ist es nicht!At my FotoForensics service, I typically submit a few CSAM reports (or "CP" -- photo of child pornography) per day to the National Center for Missing and Exploited Children (NCMEC). [...] According to NCMEC, I submitted 608 reports to NCMEC in 2019, and 523 reports in 2020.Da gibt es dann noch ein interessantes Detail. Apple hat in den Zeiträumen bloß 205 und 265 Reports bei MCMEC gefiled. Er kann aber an den Dateinamen seiner Uploads sehen, dass die von Apple kamen, weil die ein eigenes Schema für Foto-Dateinamen haben. Apple hat also eine Menge solches Material, aber meldet es nicht. Er glaubt, weil sie nicht gucken.
Einen Oculus Rift kaufen, den dann verfügbaren Premium-Support in Anspruch nehmen, dann das Gerät zurückgehen lassen.
Der Schein trügt ein bisschen. In anderen Ländern sieht das nicht viel besser aus. Nur haben wir natürlich Selection Bias und kriegen hauptsächlich Meldungen über gehackte deutsche Unternehmen serviert, daraus bildet sich dann der Eindruck, deutsche Unternehmen seien besonders schlecht gesichert.
Also ja, sind sie. Im Vergleich zum Sollzustand. Aber im internationalen Vergleich ist das überall ziemlich katastrophal.
Daher sollte man eine andere Frage stellen. Warum ist das Schutzniveau insgesamt so schlecht?
Da sehe ich vor allem zwei Gründe für.
Erstens: Bisher wurde niemand gefeuert, niemand war in der Haftung, niemand musste in den Knast. Solange Pfusch keine negativen Konsequenzen hat, wird halt gepfuscht.
Zweitens: Das Hackertoolverbot. Ich habe der Politik damals im Bundestag ins Gesicht gesagt: Wenn ihr das macht, dann treibt ihr das Talent ins Ausland und es wird keinen Nachwuchs geben und dann werden unsere Firmen schutzlos ausgeliefert sein.
Genau das ist geschehen.
Wie man so schön sagt: Geliefert wie bestellt.
Bedankt euch also bei den Kompetenzgranaten von CDU, CSU, SPD und FDP. Wer wählt die eigentlich immer wieder?
by creating, mounting, and deleting a deep directory structure whose total path length exceeds 1GB, an unprivileged local attacker can write the 10-byte string "//deleted" to an offset of exactly -2GB-10B below the beginning of a vmalloc()ated kernel buffer.Ach komm, Atze, niemand wird jemals so einen Pfad erzeugen!!1!Stimmt! Außer den bösen Angreifern, die deine Kiste hacken wollen. Die würden das machen.
About 200 US businesses have been hit by a "colossal" ransomware attack, according to a cyber-security firm.Huntress Labs said the hack targeted Florida-based IT company Kaseya before spreading through corporate networks that use its software.
Ich glaube den Seehofer müssen wir aussitzen. Manche Leute kriegst du nicht überzeugt. Da musst du einfach warten, bis die in Rente gehen und jemand mit mehr Resthirn nachkommt.
Wir haben eine Anekdote für dich. Bei uns im Unilabor hat es aufgrund eines Windowsupdates heute Nacht beinahe gebrannt. Zur Steuerung eines 3d-Druckers wurde ein Windowsrechner genutzt. Als Windows dann beschloß, ein Update zu installieren und ungefragt neu zu starten, verblieb der durchgehend geheizte Extruder die ganze Nacht lang über dem beinahe fertiggestellten Druck an der selben Position. Zu der Situation kam es überhaupt erst dadurch, dass es sich bei dem Drucker um einen XYZprinting DaVinci 1.0 handelt, der eigentlich nur mit gechipptem Originalfilament läuft, welches bei uns in Chile gar nicht mehr verkauft wird. Zunächst wurden die Cartridges erfolgreich gehackt, aber dann durch XYZprinting gebrickt, als ein Mitarbeiter mit einer zu neuen Version von XYZware drucken wollte. In Konsequenz wurde der Drucker mit einer repetier firmware geflasht, wodurch die Steuerung durch einen PC erst nötig wurde, da der Druck von der SD-card mit der repetier Firmware nett formuliert in einem frühen Alphastatus ist. Die vermutlich aufkommende Frage, wie man so behämmert sein kann, dazu einen Windowsrechner zu nutzen, kann ich dir direkt beantworten: der stand halt gerade ungenutzt rum und wir hatten es eilig.Ist natürlich vor allem viel lustiger, wenn es nicht bei dir im Keller ist, wo beinahe der Brand entstanden wäre.
Der Kernel kann jetzt der IOMMU sowas sagen wie: Das Gerät XY sieht diesen physischen Speicher an diesen Adressen. Wenn da nur Speicher sichtbar ist, der für nichts anderes parallel benutzt wird, dann kann so auch ein bösartiges Gerät nicht mehr den Kernel überschreiben.
Das ist besonders wichtig für zwei Szenarien. Erstens: Wenn ein PCI-Bus aus dem Gerät rausgeführt wird, wie bei Thunderbolt. Zweitens: Für einen Hypervisor.
Der Hypervisor kann so nämlich ein Gerät an den Guest "durchreichen" und muss das nicht emulieren. Der Hypervisor könnte könnte der IOMMU sagen: Das Gerät sieht diesen Speicher, der dem Guest gehört. Den Guest kann man dann das Gerät direkt programmieren lassen, und das schlimmste was er kaputtmachen kann ist dass er seinen eigenen Speicher überschreiben lässt. Nicht den Speicher anderer virtueller Maschinen auf der gleichen Hardware, und nicht den Speicher des Hypervisors.
Inzwischen betreibt niemand mehr einen Hypervisor ohne VT-d oder das AMD-Äquivalent. Wenn da also ein Bug drin ist, heißt das praktisch zwangsläufig, dass ein Guest damit aus der VM ausbrechen kann.
Intel sagt das nicht direkt sondern spricht von "privilege escalation" und "authenticated user" und "local access". Das ist technisch korrekt aber irreführend. Es geht nicht nicht darum, dass der User Fefe sich Admin-Rechte beschafft. Es geht darum, dass Kernel-Code in einer VM den Hypervisor kompromittiert.
Die betroffenen Produkte ist einmal die Produktpalette inklusive Atoms und Core-CPUs ab 10th gen.
Das mit der IOMMU ist übrigens auch ansonsten ein Schlachtfeld und bei weitem nicht so schön einfach wie ich es hier erklärt habe. Häufig ist es so, dass wenn du write auf einen Socket machst, dass der Kernel dann halt die Page mit dem Buffer für die Hardware lesbar macht. Da steht aber neben den 5 Bytes, die du schreiben wolltest, noch irgendwelche anderen Daten drauf. Die Granularität der IOMMU ist eine Page (4 KB). Mein Kumpel Ilja hat da mal mit einem gehackten qemu immer schön die Pages gedumpt, die die Netzwerkkarte freigeschaltet hatte, und konnte Passwörter und Keymaterial sehen. Insofern ist auch mit funktionierender IOMMU nicht alles rosig.
Aber das hier ist m.E. deutlich schlimmer als die Presse bisher darüber berichtet hat.
Update: Nomenklatur-Verwirrung. Ich schrieb "Host" und meinte "Guest".
Mit anderen Worten: Wer das dafür verkauft, ist ein unseriöser Schlangenölverkäufer.
Ist euch auch schon aufgefallen, dass bei allen Blockchainprojekten IBM dran steht?
Hatten die nicht mal sowas wie einen Ruf?
Blockchain kann die Integrität sichern, wenn die Submitter ein Interesse daran haben, richtige Daten einzureichen. Und auch dann nur unter Vorbehalt. Und nur wenn es eine globale Blockchain ist. "Private Blockchains" sind aus Prinzip schon Schlangenöl.
Gleich mehrere haben mir geschrieben, sie seien da mal angestellt gewesen, und die Zahlungen seien von der TU gekommen, nicht von der Landeskasse.
Die haben auch übereinstimmend berichtet, dass bei der SAP-Einführung vor Jahren (die immer noch nicht abgeschlossen ist!) ein paar Monate (!!) keine Gehälter gezahlt werden konnten. Die haben sie dann mit Zinsen irgendwann nachgezahlt, aber ich meine, äh, ... wtf?!
Ein Leser berichtete zum Verfahren der Überweisung vom Vormonat einfach nochmal abschicken:
Im Rahmen von Notfallplänen in der Industrie ist es nicht unüblich die eigene Hausbank anzuweisen die Überweisungen die mit "Gehaltszahlung" geschlüsselt wurden einfach zu wiederholen. Dieser Schlüssel ist so ziemlich der einzige der im Rahmen von SEPA Überweisungen tatsächlich genutzt wird.Ich erzähl ja gelegentlich die Story, wie ich in meinen Programmier-Anfangstagen überlegt habe, welche Art von Software ich schreiben wollen würde. Ich habe mich damals entschlossen, nie an Projekten mitzuwirken, von denen Menschenleben abhängen. Keine Medizin, keine Kraftwerke, keine Flugzeuge. Damals dachte ich noch, dass das ein klares Kriterium sei. Heute haben wir Entertainment-Systeme im Auto, über das der Rest des Autos gehackt wird.Kür ist dann noch auch die Überweisung an die Sozialversicherungsträger (Krankenkassen) wiederholen zu lassen.
Der Punkt jedenfalls: Ich hab dann viele Jahre später jemanden getroffen, der Software für Atomkraftwerke gehackt hat. Das war so ein hemdsärmeliger PHP-Typ (das meine ich jetzt als Gattungsbegriff, der hat nicht wirklich PHP gemacht). Sie das Modell "ach komm, wie schwer kann das sein, ich kopier einfach von dem alten Gartenbauprojekt den Code und pass hier und dort ein bisschen an".
Das ist schön und gut, wenn ich mir vornehme, keine ultrariskanten Dinge zu tun. Aber das heißt halt nicht, dass nur Leute solchen Code machen, die das können, sondern eher im Gegenteil, dass das Leute machen, die nicht begreifen, was für ein Risikofaktor sie sind.
Dass es da offenbar etablierte Verfahren gibt, um nach dem Projektverkacken einfach die Überweisungen des letzten Monats zu wiederholen, das finde ich absolut hanebüchen. Das ist ein "OMG DIE HÜTTE BRENNT, WAS MACHEN WIR JETZT"-Notfallding, das ist doch kein Plan!!
Ich bin immer wieder schockiert, wie laissez-faire Leute teilweise an Probleme rangehen. Ach komm, Atze, müssen wir nicht groß planen. Qualitätssicherung? Viel zu teuer!! Wir können ja einfach manuell überweisen!1!!
A Maryland defense attorney has decided to challenge the conviction of one of his clients after it was recently discovered that the phone cracking product used in the case, produced by digital forensics firm Cellebrite, has severe cybersecurity flaws that could make it vulnerable to hacking.Das fände ich ja super, wenn jetzt alle Verurteilungen aufgerollt oder zurückgenommen werden müssen. Dann hätte das endlich mal reale Auswirkungen, wenn eine Firma Software-Pfusch abliefert. (Danke, Lukas)
Das Kratzen machen sie aber auch nicht selber, sondern sie benutzen dafür die offiziellen APIs und DLLs von Apple und Google, d.h. adb oder itunes backup. Dafür muss das Handy unlocked sein. Wenn euch also "Zollbeamte" am Flughafen bitten, euer Handy kurz aufzuschließen, und dann damit ins Hinterzimmer laufen, dann wisst ihr, was sie vorhaben.
Jedenfalls, warum ich das erzähle: Das haben sich die Signal-Leute nicht einfach so bieten lassen. Den Blogeintrag solltet ihr euch mal in Gänze geben. Das ist Popcornkino vom Feinsten.
Die Software wird automatisiert durchgeguckt, ob irgendwelche Regeln verletzt sind (oder Abhängigkeiten nicht aufgelöst werden können), dann wird sie gebaut, dann laufen die Tests durch, am Ende vielleicht noch Code Signing und Hochladen in den App Store oder was auch immer man da haben will.
Teil so einer CI-Pipeline ist heutzutage gerne mal ein "Code Scanner". Das ist der zum Scheitern verurteilte Versuch, Software-Qualitätssicherung von einer Maschine machen zu lassen. Leider versteht die Maschine nicht die Intention hinter der Software und kann daher nur ein paar allgemeine Regeln testen, und auch die häufig mehr schlecht als recht. Ein häufiges Problem von so Tools ist, dass man eine gigantische Liste an False Positives kriegt.
Warum erzähle ich das? Manche Leute machen Code Scanning in der Cloud, als Auftrag an eine Drittfira. Bei einer dieser Drittfirmen ist eingebrochen worden und Code kam weg.
Das ist jetzt nicht so krass wie Solarwinds, weil so eine Testfirma im Allgemeinen keinen Schreibzugriff hat und nicht, sagen wir mal, ein paar Backdoors einpflegen kann.
Aber wenn der Quellcode deines Produktes deine Kronjuwelen sind, und du den Quellcode geheim hältst, dann ist der jetzt halt nicht mehr so geheim wie du dachtest.
Die betroffene Firma heißt "Codecov" und die haben angeblich 29000 Kunden.
Update: Oh, stellt sich raus: Das ist doch noch deutlich schlimmer. Man bindet codecov nämlich laut deren Anleitung wie folgt ein:
bash <(curl -s https://codecov.io/bash)
Und jetzt ratet mal, was die Angreifer dort manipuliert haben.
Das sind die Russen, die seit Jahren weltweit Pionierarbeit leisten mit ihrem Reverse Engineering der Management Engine. Das sind auch die, die den NSA-Switch gefunden haben.
Völlig klar: Das sind die Terroristen. Die arbeiten für, äh, den russischen Staat!!1!
Wie sieht denn die Beweislage aus, fragt ihr?
that US officials have privately concluded that the company is a major provider of offensive hacking tools, knowledge, and even operations to Russian spies. Positive is believed to be part of a constellation of private sector firms and cybercriminal groups that support Russia’s geopolitical goals, and which the US increasingly views as a direct threat.Oh ach so. Beweise gab es keine. Sie haben "privately concluded". Gut, dass wir das mal geklärt haben.
500 Soldaten mehr!
Und was machen die hier? Na mehr Sicherheit!!1!
"Germany is one of our staunchest allies, and our relationship is built on shared values of freedom, democracy, human rights, and the rule of law," Austin said.Genau. Wir werfen von Ramstein aus per Drohne Freiheit, Demokratie, Menschenrechte und Rechtsstaatlichkeit über Afghanistan ab.Aber wartet, die Soldaten sind gar nicht für Drohnenmorde zuständig.
The 500 new U.S. troops will augment existing capabilities, help in the space and cyber domains, and provide more electronic warfare capabilities in Europe.Die sollen uns direkt und aus dem Weltraum heraus abhören und hacken.Ja gut, irgendwas ist ja immer. Bei so viel Vorteilen von deren Präsenz war es auch keine Frage, dass unsere "Verteidigungs"ministerin voll dafür war.
Austin briefed Kramp-Karrenbauer on the global U.S. force posture review, and the two also discussed Afghanistan.Wie, jetzt doch Afghanistan? Naja, Menschenrechte sind halt schon wichtig. Komm, werfen wir noch ein paar Bomben auf Hochzeiten, für die Menschenrechte!Wartet, kommt noch krasser.
Kramp-Karrenbauer said Germany will send a frigate to the Indo-Pacific that also champions freedom of navigation.Wat? Die Marine lässt sich in den Wirtschaftskrieg zwischen China und USA reinziehen?! Und dann auch noch auf Seiten der USA!?!?Tja, so ist das halt in einer Besatzung. Wenn dir der Besatzer Menschenrechte, Demokratie und Freiheit überhilft, dann wirst du nicht nach deiner Meinung dazu gefragt.
Bei der CDU heißt das nicht Korruption sondern WirtschaftskompetenzIch dachte mir, ich hebe mir den für einen guten Zeitpunkt auf.
Nun, ... das hat nicht lange gedauert.
Nachdem Hacker vertrauliche Finanzdaten veröffentlicht haben, legt der CDU-Bundestagsabgeordnete Joachim Pfeiffer sein Amt als wirtschaftspolitischer Sprecher nieder. Auch für den Bundestag will er nicht wieder kandidieren.Aber aber aber ... die Integritätserklärung!!1! Und die Ehrenerklärung!1!!
Stellt sich raus: Völlig überraschend ist die nicht das Papier wert, auf dem die Internetausdrucker sie ausgedruckt haben.
Die Region Hannover "habe zudem nicht ansatzweise nachvollziehbar aufgezeigt, dass und in welchem Umfang sie bisher Bemühungen unternommen habe, die behauptete unzureichende Einhaltung der Kontaktbeschränkungen durch staatliche Kontrolle und staatliches Eingreifen zu verbessern", heißt es in einer schriftlichen Mitteilung des OVG.Deshalb hat das OVG die von der Landesregierung verhängte Ausgangssperre kurzerhand aufgehoben.Außerdem könne die Region nicht ausreichend darlegen, in welchem Umfang die angeführten regelwidrigen nächtlichen Zusammenkünfte im privaten Raum tatsächlich stattfänden.
Ich musste sofort an John Oliver über Plastik und Recycling denken. Lacher am Rande: Er blendet da in einer Reihe von Plastik-Produkten auch einen Dildo ein, deshalb hat Youtube das Video hinter der Jugendschutzwall weggesperrt. In dem Video erklärt John Oliver ein paar unangenehme Wahrheiten. Erst geht es um die in den USA auf den Plastikverpackungen aufgedruckten Recycling-Logos. Die haben eine Zahl zwischen 1 und 7 drin. 7 ist "sonstiges". Die einzigen beiden davon, die recycled werden können, sind 1 und 2. Ein wirtschaftliches Recycling von Plastik ist nur in ein paar unsignifikanten Randbereichen überhaupt möglich, und das war von vorneherein klar. Er hatte da eine Statistik über Nestle, dass bei denen nur so um die 20% der Flaschen aus dem Recycling von alten Flaschen kommt. Und Nestle ist damit Marktführer, bei Coca Cola sind es eher so 10%. Was es mit dem angeblichen Recycling-Plastik mehr gibt ist: Verbrennen (das ist ja auch bei uns das schmutzige Geheimnis hinter "Wertstoffsammlung"), Downcycling in sowas wie eine Parkbank oder Fleece-Kleidung, aber aus denen kannst du dann nicht wieder Flaschen machen. Von Kreislauf kann keine Rede sein.
Warum assoziierte ich das bei der Hannover-Meldung? Weil John Oliver zeigt, dass die ganze Recycling-Sache eine PR-Aktion von Coca Cola und co ist. Die haben eine fette Kampagne gemacht, um den Leuten einzureden, es sei deren Verantwortung, den Plastikmüll zu recyclen, den sie verursachen.
Wartet, geht noch weiter mit meiner Assoziationskette.
Die Idee des CO2 Footprint kommt von BP. Um euch einzureden, es sei euer CO2-Footprint, nicht ihrer.
Und jetzt in der Covid-Politik haben wir dasselbe wieder. Die Regierung verkackt das Impfprogramm nach Strich und Faden und lässt uns seit einem Jahr am Bullshit-Lockdown-Arm verhungern. Hier kamen schon Verschwörungstheorien rein, dass die auf keinen Fall wollten, dass die Krise zur Bundestagswahl schon vorbei ist, weil die Leute in der Krise immer die alte Regierung nochmal wählen. Soweit würde ich jetzt nicht gehen, aber das Muster ist doch auffällig. Die Verursacher der Probleme schieben uns die Verantwortung für ihr Verkacken in die Schuhe. Das muss man erstmal schaffen, noch ekeliger als die katholische Kirche zu werden. Die hat uns einfach nur Schuld eingeredet, nicht Schuld für etwas, das sie verursacht hatte. Gut, da kann man jetzt vielleicht auch diskutieren, inwieweit die katholische Kirche mit ihren Dogmen die Armen arm gehalten hat. Egal, es ging hier nicht um die katholische Kirche.
Ich frage mich gerade, was das OLG gerne als Beweis hätte, dass die Leute abends rausgehen und sich anstecken. Illegal gerasterfahndete Handybewegungsprofile? Nicht dass ich eine Ausgangssperre toll finde, schon gar nicht eine nur nachts. Halten die das Virus für nachtaktiv oder wie?
Update: Oh gibt noch ein schönes Beispiel: Facebook. Die schieben ja auch die Schuld den Anwendern zu. Die hätte ja ihre Einstellungen zunageln können!1!!
Ich habe gerade ein bisschen den Eindruck, dass die Blockchain-Mafia Fortschritte macht, mit Nebelwerfer-Bullshit wie "Proof of Stake" Land zu gewinnen. Daher will ich dazu mal kurz was schreiben.
Was ist die Idee bei Proof of Stake?
Nun, die Original-Blockchain hat ja Proof of Work. Du hast lauter konkurrierende Miner, und wer als erstes die korrekten Daten gefunden hat, kriegt den Zuschlag und darf auswählen, was im nächsten Block landet.
Probleme: Furchtbare Energieverschwendung und hat ein Korruptionsproblem, wenn sich ein Kartell findet, die zusammen 51% der Miningleistung zusammenkriegen.
Proof of Stake macht daher kein Mining im Bitcoin-Sinn, sondern man errechnet einen "Zufallswert" (z.B. nimmt man einen Hash über die letzten 100 Transaktionen oder so). Dann macht man eine Liste der Pubkeys aller Teilnehmer, die gerne den nächsten Block bestimmen wollen. Dann weist man jedem von denen ein Gewicht zu, das von seinem "Stake" abhängt (Guthaben), und macht eine nach Hash des Pubkeys sortierte Liste daraus. Dann rechnet man den Zufallswert anhand der Gewichte auf die Liste um und der Ausgewählte darf dann.
Was heißt das konkret? Das ist eine Oligarchie. Und zwar eine selbstverstärkende Oligarchie, denn du kannst ja Gebühren pro Transaktionen kassieren, wenn du den Block auswählst, was dein Guthaben erhöht und damit deine Wahrscheinlichkeit beim nächsten Mal.
Oh und wer hat das meiste Guthaben? Na die, die von Anfang an dabei waren!
Kommt euch das bekannt vor? Von "Strukturvertrieben" und Schneeballsystemen zum Beispiel? Ja, das ist auch meine erste Reaktion, wenn ich das sehe. Das sieht aus wie ein riesiges Ponzi Scheme.
Ich finde ja auch total witzig, wie Proof of Stake hier praktisch eine natürliche Kartellbildung inzentiviert, und uns dann ins Gesicht lügt, das sei die Lösung für das Problem, dass Bitcoin durch Kartellbildung korrumpiert werden kann. Bei Proof of Stake ist die Korruption gleich ins Prinzip eingebaut, Teil der DNA!
Falls ihr übrigens dachtet, Ethereum habe Proof of Stake, weil sie ja seit gefühlt 10 Jahren rumlaufen und von Proof of Stake faseln: Nein, haben sie nicht. Das ist immer noch Proof of Work. Das güldene Ethereum 2.0 soll dann endlich Proof of Stake haben.
Wie komm ich da jetzt drauf? Nun, mein Kumpel Henryk hat da gerade einen schönen Rant zu veröffentlicht. Der hat dann dazu geführt, dass der CEO von Ubirch pampig wurde (Screenshot). Der Tweet ist inzwischen gelöscht und der Account ist auf private gesetzt. Der andere CEO von Ubirch versucht sich jetzt in Schadensbegrenzung.
Ubirch, wir erinnern uns, waren die mit den "fünf Blockchains" für den Impfpass.
Oh und einen noch: Bei Blockchain ist ja das Schöne, dass du nicht weißt, wer den nächsten Block bestimmt, bis er es tut. Traditionelle Schmiergeld-Korruption ist also schwierig, denn es gibt ja nicht mal eine Liste aller Miner. Bei Proof of Stake gibt es plötzlich einen Mafia-Angriff, wo die Mafia ausrechnet, wer den nächsten Block bestimmt, und dem "ein Angebot macht, das er nicht ablehnen kann" *zwinker*
Update: Übrigens, wenn euch die Begriffe vor den Augen verschwimmen, und ihr den Eindruck habt, was ihr gerade noch verstanden zu haben glaubtet ist jetzt plötzlich falsch: Das ist Absicht. Die Blockchain-Scammer definieren sich da in schöner Regelmäßigkeit die Welt um. Es gab da mal diese eine Eisteesorte, die Blockchain draufgeschrieben hat, und der dann Investoren die Tür einrannten. Es ist also nicht verwunderlich, dass jetzt so abwegige Dinge behaupten wie dass Blockchain kein Konsensfindungsverfahren sei (doch, ist es), weil ihr Eistee ja sonst nicht Blockchain wäre. Oh, sagte ich Eistee? Sorry, ich meinte "private-permissioned blockchain" (*wieher*). Besonders geil am Ende der Link auf den "ISO-Standard". Ob der gute "head of blockchain research" da am Ende mitgearbeitet hat? Sonderangebot! Für nur 38 CHF kannst du erfahren, welche GPT-3-generierten Bullshitbingo-Kandidaten-Begriffe sich unser Gremium aus Abzock Blockchain-Forschern diese Woche frisch aus dem Arsch gezogen haben!
Wie? Nein, nein, das hat nichts damit zu tun, dass wir dem BND gerade erlaubt haben, den gesamten Traffic abzuschnorcheln. Gehen Sie weiter, gibt nichts zu sehen hier!
Die Firma hinter pfsense ("World's Most Trusted Open Source Firewall") hat einen Typen bezahlt, damit er Wireguard nach FreeBSD portiert, und zwar in den Kernel rein. Die wollten das in ihren Produkten unterstützten (Wireguard ist ein VPN-Protokoll, sowas wie IPsec).
Der Typ hat dann nach ein paar Monaten einen Port nicht nur abgeliefert, sondern bei FreeBSD einfach so in den Code einchecken können. Die Wireguard-Leute erfuhren aus der Presse auf einer FreeBSD-Mailingliste davon und dachten sich: Sollten wir vielleicht mal kurz einen Blick drauf werfen. Steht ja immerhin unser Name dran.
Was fanden die? Nun, äh, es war nicht gut. Es war so doll nicht gut, dass sie sich entschieden haben, da mal die Dinger zu fixen. Sie haben also zwei Wochen lang im Wesentlichen Crunch-Mode gefahren (auf Schlaf verzichtet) und am Ende war von dem ursprünglichen Port-Code nichts mehr übrig.
Und DAS, meine Damen und Herren, ist ein GANZ eindeutiges Zeichen. Wenn du zwei Wochen hast, und du machst lieber alles neu, dann war das ungefähr die Hölle auf Erden.
Es gibt eine Liste:
The first issue is whether Macy's code actually had significant problems. Donenfeld said that it did, and he identified a number of major issues:- Sleep to mitigate race conditions
- Validation functions which simply return true
- Catastrophic cryptographic vulnerabilities
- Pieces of the wg protocol left unimplemented
- Kernel panics
- Security bypasses
- Printf statements deep in crypto code
- "Spectacular" buffer overflows
- Mazes of Linux→FreeBSD ifdefs
Da muss ich doch mal kurz den Zyniker raushängen lassen und auf Linus zeigen. Der wird seit Jahren angefeindet, weil er Leute, die schlechten Code einreichen, abweist. Wer es einfach nochmal versucht, kriegt eine Beleidigung. Wer es nochmal probiert, wird abgewatscht.Wenn du das nicht machst, passiert sowas hier.
Update: FreeBSD hat ein Statement veröffentlicht. Da war ich ja mit meinem Linus-Vergleich geradezu prophetisch.
Update: Man kann auch die Perspektive haben, dass das kein Qualitätssicherungsproblem bei FreeBSD ist, denn die Qualitätssicherung selektiert nicht, was nach HEAD reinkommt, sondern was in die Release-Branches kommt.
Tja. Das ist aber bedauerlich, dass sie mit ihrem Hackertoolverbot dafür gesorgt haben, dass es keinen Nachwuchs in der Security-Branche gibt, und dass die Alten ihnen nicht helfen wollen.
Wichtig ist ja eigentlich auch nur eine Sache.
Experten schreiben den Angriff der russischen Hackergruppe "Ghostwriter" zu, hinter der der russische Geheimdienst GRU stecken soll.Seht ihr? Die Russen waren es! Da kann man nichts machen.
Die Russen sind bestimmt mit furchtbaren APTs gekommen und haben eine sophisticated supply chain attack gefahren, oder? Aktuellste Erkenntnisse genutzt? Lauter 0days? Ja?
Nun, ... nicht ganz.
Die Angreifer nutzten offenbar auch keine komplexe Software, um die privaten Konten der Abgeordneten zu übernehmen. Vielmehr setzten sie auf sogenanntes Spearphishing und sandten ihnen gefälschte Mails, mit denen sie sich das Vertrauen der Zielpersonen erschleichen wollten.*gähn*
Ja gut, auf der anderen Seite: Richtige Hackerangriffe merken die wahrscheinlich gar nicht.
Ich zitiere mal aus deren Wahlprogramm:
... wollen wir es der Polizei ermöglichen, technische Geräte anhand einer rechtsstaatlich ausgestalteten Quellen-TKÜ zielgerichtet zu infiltrieren.Findet ihr nicht? Ctrl-F funktioniert nicht? Tja, das ist wegen ... äh ... der Übersicht. Das ist im Kapitel 5, "Zusammen leben", und dort "Wir stärken Sicherheit und Bürger*innenrechte" aufklappen.
Hahaha, wir stärken Bürgerrechte!
Und dann "der Staat darf dich hacken".
Genau mein Humor!
Das haben sie jetzt rausgefunden.
Both hacks exploited the same gaping vulnerability in the existing system: They were launched from inside the United States — on servers run by Amazon, GoDaddy and smaller domestic providers — putting them out of reach of the early warning system run by the National Security Agency.Ja Scheiße, da stehen uns doch glatt die Fesseln im Weg, die wir der NSA angelegt haben!1!!The agency, like the C.I.A. and other American intelligence agencies, is prohibited by law from conducting surveillance inside the United States, to protect the privacy of American citizens.Das hat die CIA herausgefunden. Die finden ja alles raus. Alles finden die raus!Ja gut, sagt ihr jetzt vielleicht. Es gibt ja auch noch das FBI, das wäre ja auch zuständig, und hat nichts gemerkt. Und das Department of Homeland Security.
Ich denke mal, die Marschrichtung ist damit klar. Wir müssen unbedingt die NSA und die CIA im Inland spionieren lassen!1!!
Denn WENN sich jemand mit Cybersicherheit auskennt, dann sind es die CIA und die NSA, denen beiden jeweils ihre Exploits aus den Cyberhänden geflutscht sind, ohne dass sie es gemerkt haben.
Seit dem rollt eine Welle an Hausdurchsuchungen und Festnahmen über Europa.
Und jetzt sagen sie, sie hätten auch einen weiteren Dienst hopsgenommen und die Nachrichten entschlüsselt. Dieser Konkurrenzdienst heißt "Sky ECC". Da wird es jetzt ein bisschen spannend, denn Sky ECC dementiert das nachdrücklich. Sie sagen niemand habe ihren Scheiß gehackt, da sei bloß eine Phishing-Anwendung mit ihrem Logo unterwegs da draußen. Und im Übrigen hätten sie ja 5 Mio Dollar Prämie ausgelobt für den ersten, der ihre Nachrichten unautorisiert entschlüsseln kann.
Das ist ja schon mal interessant, aber wartet, geht noch weiter!
Die belgischen Behörden pullen einen Trump und machen einen Double Down:
The Belgian federal prosecutor's office, in charge of the investigation, said Sky ECC's claims were "bullshit."[...] So confident were the police that they broke Sky ECC's code, they said they sent the firm their bank account details to claim a $5 million (€4.2 million) bug bounty Sky ECC promised to pay out to security researchers that had managed it.
TROLOLOLOAlso schonmal Popcorn kaltstellen!
Wer sich jetzt wundert, dass die belgischen Behörden das geschafft haben sollen, die ja bisher international nicht gerade durch Innovation, Kompetenz oder Aktivität aufgefallen sind: Keine Sorge, das waren die Holländer, und zwar vermute ich mal, dass es der holländische Geheimdienst war, nicht deren Polizei. Die Belgier machen jetzt nur die Pressearbeit.
Unbefugte haben nach einem Medienbericht 150.000 Überwachungskameras einer US-Firma unter anderem in Krankenhäusern, Gefängnissen, Schulen und Polizeirevieren angezapftSie sagen wohl, sie hätten das Passwort im Internet gefunden.
Da fände ich ja weniger interessant, wo sie das gefunden haben, sondern wieso es "das Passwort" gibt und damit kommt man dann überall rein.
Betroffen sind Unternehmen wie der Elektroauto-Hersteller Tesla und die IT-Sicherheitsfirma Cloudflare.Der Hersteller ist wohl dieses Startup hier. Hätten sie mal ihre Kohle in tatsächliche Security investiert statt in Hochglanz-Webseiten. Deren Slogan ist jedenfalls nicht gut gealtert:
By approaching safety with a software-first approach, we’re making security as seamless and modern as the organizations we protect.Software-first approach, ja? Im Hintergrund hört man ein heiseres Wyle E Coyote Lachen.
Nun, behaltet das mal kurz im Hinterkopf bei dieser Story hier: At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software
No shit! Exchange, sagt ihr?
Gab ist einer dieser "Free Speech" Social Network-Schnellschüsse, die wie Pilze aus dem Boden schossen, als die ganzen von Deplatformern rausgeworfenen Leute neue Plattformen brauchten.
Der Dump wurde offenbar per SQL Injection erlangt und beinhaltet nicht nur alle öffentlichen sondern auch die privaten Nachrichten.
Ich finde ja vor allem die Ineffizienz bemerkenswert, mit der die ihre Daten gespeichert haben:
DDoSecrets said that the 70GB GabLeaks contains over 70,000 plaintext messages in more than 19,000 chats by over 15,000 users.Immerhin waren die Passwörter gehasht. Aber 70 GB für 70000 Nachrichten heißt, dass die pro Nachricht 1 MB Speicherplatz brauchten. Das kann ja wohl nicht sein, oder!? Sind das die Telemetriedaten, die da soviel Platz verbraten?
Fortune 500 firms with strong growth profiles are more susceptible to “cooking the books” than smaller, struggling companies, according to a recent study published in Justice Quarterly.No shit, Sherlock! Und nicht nur in der Buchhaltung, wenn ich mal diskret auf den Dieselskandal zeigen darf.Das hat bestimmt die CIA rausgefunden. Die finden ja alles raus. Alles finden die raus!
Update: Schöner Leserbrief dazu:
ich bin ja ein bisschen enttäuscht, dass Du nicht auf diese besondere Wortwahl hingewiesen hast: "... susceptible to 'cooking the books' ...'. Das ist wohl die Buchhalterversion von "Softwarefehler, kann man nichts machen"; ab einer gewissen Wachstumsrate (growth profile) werden die so heiß, dass die Bücher einfach anfangen zu kochen!1!! Oder das ist wie "susceptible to Corona Virus"; irgendeiner schleppt das Virus ein und man wird es nicht wieder los - "Bücherfieber" sozusagen.
Ich bin ja immer mehr angewidert von derlei Verrenkungen in der Sprache. Da merkt man schon an den Formulierungen, dass eine Krähe der anderen kein Auge aushackt.
In der Tat. Danke für den Hinweis. Ich ärgere mich da auch immer drüber und hätte da in der Tat was zu schreiben sollen.
Vielleicht brauchen wir da einen griffigen Kampfbegriff für, für dieses Presseerklärungs-Herumgewiesel.
Als ihre Errungenschaften feiert sie ihre Grant-Programme in Entwicklungslänger, ihr growth hacking, gesteigertes "reader engagement", einen Code of Conduct (der noch nicht wirkt). Alles so Vertriebler-Blablah. Wenn so Startup-Fuzzys oder Vertriebler oder Beraterklitschen gefragt werden, was sie erreicht haben, und da ist nichts. Dann kommen so Sachen wie "reader engagement".
Reader Engagement ist die Zeit, die Kunden auf der Seite verbringen. Wenn die bei einer Enzyklopädie hochgeht, dann hat sie ihr Hauptziel nicht erreicht. Dann heißt das, dass die Artikel so unverständlich waren, dass ich stundenlang Links folgen musste, um herauszufinden, was ich eigentlich herausfinden wollte. Reader Engagement ist das Gegenteil dessen, worauf die Wikipedia optimiert werden sollte.
Die nächste Frage ist, woher Wikipedia überhaupt weiß, wieviel Reader Engagement sie haben. Überwachen die mich etwa, während ich auf ihrer Site herumklicke?!
Ich habe nicht viel Hoffnung, dass das nächste Management besser wird. Offensichtlich hat die ja genau das getan, was da gewünscht war. Sonst wäre sie schon viel früher rausgeflogen.
Ich kann auch über die Behauptung nur lachen, die Wikipedia habe an Vertrauenswürdigkeit gewonnen. Nein, hat sie nicht. Die anderen Medien haben nur ihre Vertrauenswürdigkeit noch schneller abgebaut.
SonicWall Hacked Using 0-Day Bugs In Its Own VPN Product
Bei Cloud-Deployments sehe ich häufig so eine Art Assoziationsfehler. Das ist wie wenn man einen Brief voller Grammatik- und Tippfehler dann aber auf hochwertigem Papier ausdruckt, in der Hoffnung, das die Qualität abfärbt. Die Leute schieben stinkenden Scheißcode in die Cloud und malen sich dann aus, dass die angenommene Professionalität der Amazon-Cloud auf die App überspringt. Und in der Tat stinkt das dann ja nicht bei dir im Keller sondern bei Amazon im Rechenzentrum. Es ist viel einfacher, da nicht hinzugucken. Wenn es platzt, dann mietest du halt mehr Server.
So scheint das auch hier gelaufen zu sein.
Verschärfend kommt aber hinzu, dass Parler für die Accountvalidierung verlangt hat, dass man einen Scan einer Photo-ID hochlädt, was in den USA in der Praxis dann der Führerschein ist, der im täglichen Gebrauch eine ähnliche Funktion wie unser Personalausweis erfüllt. Diese ganzen Scans lagen da in der Amazon-Cloud und wurden jetzt von den fiesen Linksextremistenhackerterroristen rausgezogen. So jedenfalls die Gerüchtelage.
Ich kann da nur staunen, muss ich sagen. Dass angebliche Revolutionäre bisher so wenig Kontakt zu repressiven staatlichen Organen hatten, dass sie keine Sorgen dabei haben, irgendwelchen beschissenen Webseiten eine Perso-Kopie auszuhändigen. Und dann da Nachrichten zu posten wie dass der Vizepräsident für seinen Verrat gehenkt werden sollte.
Ich vermute mal, dass diese Daten mehr oder weniger zeitnah bei den Strafverfolgungsbehörden oder dem Secret Service landen werden, die dann entsprechend der Reihe nach die Leute aus dem Verkehr ziehen werden.
New hotness: Behörden sind auch analog Analphabeten.
Die Polizei hat 2019 offenbar weniger oft IT-Systeme gehackt, als zunächst offiziell angegeben. Zuständige waren wohl mit den Fragebögen überfordert.Tja. Und DIE sollen die Befugnis und Mittel erhalten, eure IT-Hardware zu trojanisieren!!
Man stelle sich mal vor, eine Bank würde sich nach einem Bankraub hinstellen und sagen: Wir haben keine Hinweise gefunden, dass sich hier jemand bereichert hat. NA WAS DENN SONST?!
Aber halt, das war keine bloße Überlastung! Das war ein Cyberangriff! Money Quote:
die Attacke konnte abgewährt werden (sic!)Quelle: @Bildung_Sachsen.
Diese fiesen Russen immer! Die fahren die langfristige Strategie! Wenn wir heute im Sachsen die Lernplattform runterfahren, dann haben die Kids später einen Bildungsnachteil gegenüber dem russischen Nachwuchs!1!! MWAHAHAHAHA *Nacktkatzestreichel*
Immerhin haben sie umgehen das Landeskriminalamt eingeschaltet. Wie? Nein, nicht das von Sachsen. Das von Baden-Württemberg. (!?!?)
Money Quote:
Schon während der Schulschließungen im Frühjahr hatte die Lernplattform teilweise wegen Überlastung nicht funktioniert.
Da gibt es drei wichtige Fragen.
Erstens: Wie kommt man rein?
Zweitens: Wie kommt man die Daten ran, ohne dass es auffällt?
Drittens: Wie kriegt man die Daten rausgeschickt, ohne dass es auffällt?
Gehen wir da doch mal systematisch ran. Wie kriegt man am besten Software in eine Firma? Wenn die Firma das selbst aufspielt! Und was spielen Firmen selber auf? Na Updates für ihre gekaufte Software! Ich erinnere mich dunkel, seinerzeit vor automatischen Updates als Angriffsvektor gewarnt zu haben, aber auf mich hat ja wie üblich niemand gehört. Anstatt Software so zu bauen, dass sie keine Updates braucht, hat die Industrie im Gegenteil auf möglichst viele Updates in möglichst kurzem Abstand optimiert.
Gut, also. Unser Geheimdienst sucht sich also eine Software, die die Firmen eh schon installiert haben, und hackt sich da in den Updatemechanismus rein.
Bleibt die Frage, wie die Malware dann an die Daten kommt? Am einfachsten ist es, wenn die Software, deren Updater wir übernommen haben, selber dafür da ist, an alle Daten ranzukommen. Die optimale Lösung wäre ein Schlangenöl, aber alles, das mit Monitoring zu tun hat, funktioniert auch prächtig. Am besten wäre die Monitoring-Komponente von einem Schlangenöl.
Gut, bleibt die Frage, wie man die Daten aus dem Netz des Opfers rauskriegt. Im Allgemeinen merken Leute nicht, wenn aus ihren Netzen Sachen auch in großem Volumen rausgeschickt werden, außer das Volumen ist so groß, dass der Rest der Anwendungen ruckelt oder Fehler wirft. Aber heutzutage ist so viel Cloud Computing, dass man selbst großvolumige Exfiltration problemlos einfach machen kann, solange die Gegenseite nach einem Clouddienst aussieht, am besten sowas wie Dropbox oder Sharepoint oder Onedrive oder so.
Warum erzähle ich das alles? Genau das ist passiert. Die Monitoring-Software heißt Solarwinds Orion. Über diese Software sind "die Russen" (nein, wirklich!) auch bei Fireeye reingekommen. Fireeye, wir erinnern uns, behauptet, sich mit Security auszukennen. Und setzt dann eine externe Monitoring-Software ein. Und merkt monatelang nicht, wie ihre Daten rausgetragen werden. Und gelten immer noch als Security-Experten!! Nicht nur das, die versuchen das gerade in eine PR-Op umzuwandeln, genau wie Heise damals, als sie von Emotet hopsgenommen wurden.
Was ich an der Stelle mal herausstellen will: Die Industrie setzt gerade in großem Stil auf Code Signing als Lösung gegen Malware. In diesem Fall war die Malware von Solarwinds signiert. Code Signing ist Schlangenöl!
Update: Übrigens, Spaß am Rande: Offenbar gab es da den einen oder anderen Insiderhandel in der Führungsriege von Solarwinds. Hey, von so einer Firma willst du doch deine Monitoring-Software kaufen!
Update: Solarwinds hatte ihre FTP-Zugangsdaten wohl in einem öffentlich Github-Repo veröffentlicht. Also mit so viel Niedertracht bei den Russen konnte ja wohl niemand rechnen. Gehen die öffentliche Github-Repositories durch und suchen nach Passwörtern! Haben die denn gar keine Scham!?!?
Als Angreifer das Ziel hatten, Atombomben-Knowhow zu klauen? Vielleicht Raketentechnologie? Uranzentrifugen-Technik?
Die Zeiten sind härter geworden.
Heute wollen Angreifer nichts mehr klauen sondern Donald Trump retweeten.
Die sind neulich gehackt worden. Und was haben die Angreifer da rausgetragen?
During our investigation to date, we have found that the attacker targeted and accessed certain Red Team assessment tools that we use to test our customers’ security.Deren Angriffstools!Hey, genau wie bei der CIA damals! Und der NSA!
Das ist jetzt nicht gerade die Art von Nachricht, mit der man sich an seine Kunden richtet, daher haben sie da ein schönes Shit-Sandwich gebaut. Die Einleitung ist:
FireEye is on the front lines defending companies and critical infrastructure globally from cyber threats.Und am Ende steht das hier:Every day, we innovate and adapt to protect our customersFalls ihr das Konzept nicht kennt: Das ist ein "Life Hack", wenn man schlechte Nachrichten hat, aber den Gegenüber für einen jähzornigen Vollidioten hält, entweder mit der Selbstkontrolle eines trotzigen Kleinkindes oder mit der Rationalität eines Demenzpatienten im Altersheim.Dass Fireeye diese Taktik hier mit ihren Kunden pullt, das ist eine recht deutliche Aussage darüber, was Fireeye von ihren Kunden denkt.
Ich für meinen Teil glaube, dass sie da völlig Recht haben. Leute, die sowas kaufen, würde ich auch nicht für zurechnungsfähig halten.
Im Fall der in Wien-Döbling betroffenen Bank geht die Polizei davon aus, dass die Diebe seit Oktober bis zuletzt in vermutlich mehreren Zugriffen Schließfächer leer räumten. Dazu hätten sie das elektronische System, das den Zugang zu der betreffenden Räumlichkeit, den Saferaum, sichert, „überbrückt“.Na sowas! Überbrückt, sagt ihr?
Auch bei beiden Coups in Niederösterreich sollen technische Sperren überwunden worden sein. Von einem gewaltsamen Aufbrechen war nicht die Rede.Wie war das möglich? Na es lag jedenfalls nicht an dem System, so viel ist klar!!1!
Die Sprecherin der Mödlinger Regionalbank, Agnes Gössinger, verwies darauf, dass es sich um ein „mehrstufiges, modernes System“ handle und die Sicherheitsvorkehrungen hoch seien.Mehrstufig und modern, ja? Klingt nach einer Cloudanwendung. Hoffentlich mit Blockchain!1!!
Update: Einer der wichtigeren Hersteller von solchen elektronischen Zugangssystemen wurde im August gehackt.
Wer nicht genau hinguckt, der könnte glauben, dass die Lücken alle von den Guten gefunden und gemeldet werden.
Das stimmt aber nicht. Erstens gab es gerade eine Flut aus Fixes für in der freien Wildbahn beobachteten Sicherheitslücken.
Zweitens, und das ist mir wichtig, dass ihr das alle versteht: Hersteller stehen unter keinerlei Druck, gefixte Sicherheitslücken überhaupt öffentlich anzusagen. Hersteller melden auch im Allgemeinen intern gefundene Lücken nicht, selbst wenn die in der freien Wildbahn gefunden wurden.
Woher weiß der Hersteller von Sicherheitslücken in der freien Wildbahn, fragt ihr euch jetzt vielleicht? Nun, Crash Reporting. Dr Watson hieß das früher. "This program has stopped working …"
Ihr seht hier also nur die Spitze des Eisbergs. Fixes für Lücken, die von Externen gefunden wurden, die möglicherweise schlechte PR verursachen könnten, wenn man die Bugs gar nicht oder verdeckt im nächsten Update fixt.
Nehmt mal bitte nicht für eine Sekunde an, dass das schon alles ist. Die Software da draußen ist auf so vielen Ebenen kaputt, das glaubt man gar nicht, wenn man nicht regelmäßig Bugtracker von Open Source-Projekten durchguckt und ein Gefühl dafür entwickelt.
Dass diese Lücken bekannt wurden, liegt daran, dass Google Project Zero die gefunden hat, und die haben so einen Ehrenkodex und melden auch Lücken in Google-Produkten öffentlich. Das war der Preis dafür, dass Google da so ziemlich die Besten der Besten gekriegt hat. Die hatten keinen Bock, sich als Waffe gegen Dritte missbrauchen zu lassen.
Als die Medien anfingen, Biden den Sieg zuzusprechen, hat Trump getweetet, er werde eine Pressekonferenz machen. Im Four Seasons in Philadelphia. Um 11 Uhr.
Daraufhin rief anscheinend das Four Seasons bei Trump an und meinte: absolutely not. Jedenfalls hat Trump 8 Minuten später getweetet, er meine nicht das Hotel sondern "Four Season's Landscaping". Wait, what? Das ist irgendein völlig unbekanntes Gartenbauunternehmen in einem heruntergekommenen Vorstadtbezirk von Philadelphia.
Als erstes lachte sich George Conway darüber kaputt, der sehr Trump-kritische Ehemann von Trumps Pressesprecherin Kellyanne Conway.
Und alle so: äh, … das ist doch ein Witz? Da hat doch wieder ein niederländischer Teenager Trumps Twitteraccount gehackt und wollte ein paar Tulpen ins Narrativ einbauen?
Ach komm, Fefe, du verarschst uns doch schon wieder!1!! In der Tat sind einige der Tweets schon wieder weg. Hier ist ein Screenshot (lokale Kopie).
Jedenfalls war sich auch die Presse nicht im Klaren, ob das jetzt ein Trollversuch sein soll. Ein paar Presseleute sind dann aufgetaucht. Trump selbst kam nicht. Man erzählt sich, der sei golfen gegangen. Kann ich verstehen. Ist gerade eine stressige Zeit für ihn.
Aber es war kein kompletter Fake-Out. Giuliani trat dann da ernsthaft auf. Auf dem Parkplatz vor diesem Garten-Dingens. Falls ihr euch gerade keine Vorstellung macht, wie ranzig die Gegend ist: Patton Oswald liefert. Ein Haus weiter ist ein Sexshop. Gegenüber ist das Krematorium.
Jedenfalls kam dann Giuliani und hatte im Wesentlichen nichts in der Hand außer "unsere Wahlbeobachter kamen an einigen Orten nicht so nah ran wie sie wollten". Und irgendwelche angeblichen Glitches in irgendwelchen Wahlcomputern, aber Belege haben sie dafür nicht, und sie haben die Wahlcomputer selbst aufstellen lassen. Und wir haben sie vor Wahlcomputern gewarnt. Mehrfach.
Ich finde das einen guten Abschluss für die Trump-Präsidentschaft. Sie fing an mit dem peinlichen Stunt im Trump Tower mit der Fake-güldenen Protz-Rolltreppe und den Jubelpersern. Und sie endete neben einem Sexshop, gegenüber eines Krematoriums, zwischen einem Feuerlöscher und einem Gartenschlauch auf dem Parkplatz einer Gärtnerei.
Meiner Erfahrung nach ist das Problem bei dieser Symptomatik bei mir, dass der nächste Schritt nicht klein genug ist. Damit liegt die Fertigstellung des nächsten Schrittes zu weit in der Zukunft und andere Dinge, die ich jetzt tun könnte, haben immer weniger Aufwand und schnellere Fertigstellung, werden also vorgezogen.
Also habe ich mir gedacht: OK, ich muss mal den nächsten Schritt verkleinern. Wie wäre es, wenn ich erstmal die Basis lege, indem ich OpenPGP-Signaturen validieren kann.
Gesagt, getan, habe mir mal das RFC 4880 geholt (bzw. den aktualisierten Draft) und mal angefangen. Und jetzt komme ich gerade von der Straße ab und frage mich, ob ich nicht mal etwas tun kann, um Binärprotokolle leichter verarbeitbar zu machen.
Der Standardansatz ist, dass man irgendeine Library nimmt. Problem: Dann hat man die Library am Bein und muss da hinterherpflegen. Ich schreibe daher meinen Parsing-Code lieber selbst, besonders wenn es sich um Binärkram handelt.
Binärprotokolle parsen ist aber echt nervig. Bei OpenPGP-Signaturen gibt es z.B. mehrere verschiedene Versionen, wie so eine Signatur abgelegt sein könnte. Man muss da byteweise Daten lesen und inhaltlich validieren. Und bei jedem Byte muss man einzeln gucken, ob gerade EOF oder ein Lesefehler reinkam. Code mit so viel Checks sieht elend unübersichtlich und unnötig kompliziert aus. Eigentlich hätte ich gerne eine strukturelle Verbesserung, die den Code einfacher lesbar macht.
Oder man kann sagen: Ich lese die ganze Nachricht in einen Buffer, dann spare ich mir zumindest die EOF und I/O-Fehlerbehandlung bei jedem Byte. Ja, aber dafür fange ich mir möglicherweise ein Denial of Service ein, weil die Nachricht ja beliebig groß sein kann. Ich will nicht 4 GB Speicher holen, nur weil jemand das als Länge irgendwo reingeschrieben hat.
Meine aktuelle Idee ist, dass man eine Abstraktion macht, die man hinten an einen Buffer oder einen File Descriptor koppeln kann, und vorne kann man dann byteweise lesen. Aber anstatt Fehler oder EOF zu signalisieren gibt einem das Ding halt ein 0-Byte zurück, und dann gibt es ein API, mit dem man am Ende fragt, ob bis hierher irgendwelche Fehler auftraten.
Im nächsten Schritt macht man das rekursiv stapelbar, aber mit anderen Längen. Ein typischer Fall bei Binärprotokollen (auch bei ASN.1 und OpenPGP) ist es, dass man einen Header mit einer Länge für das Paket oder die Message hat, und dann lauter Unter-Header mit eigenen Längen innerhalb der Message. Da muss man jetzt jeweils beim Parsen der Länge prüfen, dass man nicht die logisch darüber liegenden Längenlimits überspringt, und dass die neue Unter-Länge in die Länge des Pakets darüber passt, und wenn man die Unterpakete gelesen hat, dann muss man prüfen, dass man jetzt genau am Ende der logisch darüberliegenden Schachtelung liegt.
Je nach Integer-Typ muss man noch numerischen Überlauf abfangen. Das wird schnell fummelig und Fehler passieren.
Zumindest die erste Hälfte davon könnte die Abstraktion einem direkt abnehmen, finde ich.
Die Frage ist, ob das wirklich eine gute Idee ist. Denn der Code ist dann zwar kürzer und lesbarer aber man braucht eben auch mehr Kontext zum Verständnis. Man muss verstanden haben, dass es kein Fehler ist, wenn man mehr liest als da war, solange der Code am Ende guckt.
Der Grund, wieso ich mir OpenPGP angeguckt habe, ist weil sich das als Testbett für eine Kompartmentalisierung gut eignen würde. Man würde am Anfang mehrere Prozesse starten. Einen "gibt mir den Public Key XY", der kriegt den public keyring auf stdin und schreibt den Key nach stdout und darf kein open() machen. Einen "berechne den Hash über diese Daten", der kriegt die Filedaten auf stdin und schreibt den Hash nach stdout und darf kein open() machen. Einen, der auf stdin die Signatur kriegt und parsed und auspackt und in kanonischer Form auf stdout ausgibt und ansonsten auch kein open() machen darf. Und ein Prozess darüber, der alle Arbeit, die potentiell schiefgehen kann, an Unterprozesse delegiert. Wenn dann ein Angreifer einen Bug zum exploiten findet, dann ist er in einer Sandbox, die nichts tun kann außer von stdin lesen und nach stdout schreiben. Mit einem Exploit kriegt man auch nur Zugriff auf die Daten, in denen der Exploit eingebettet war, und z.B. nicht auf irgendwelche Kryptoschlüssel o.ä.
Ich glaube das wäre mal eine hilfreiche Sache, wenn man das mal so durchimplementiert. Sei es nur um zu zeigen, dass das geht.
Langfristig will man so eine Privilege Separation auch für TLS haben, aber dort ist es schwieriger als bei OpenPGP. Daher erstmal OpenPGP als Proof of Concept.
Der nächste Schritt wird niemanden überraschen: "Zahlen sie 200 € in Bitcoin oder wir veröffentlichen das Transkript" an alle Patienten.
Wenn es nach mir ginge, würde diese Firma jetzt dem Erdboden gleichgemacht. Diese Daten mussten nicht am Internet hängen, und schon gar nicht unverschlüsselt. Da wo jetzt das Hauptquartier dieses Dienstleisters steht, sollte in Zukunft ein schönes Naherholungsgebiet entstehen.
Sonst in den Nachrichten: Ein amerikanisches Bundesgericht hat Anklage gegen sechs Russen wegen Notpetya erhoben. Allerdings liefert Russland nicht an die USA aus.
Auf mich wirken solche Aktionen ja immer als würde jemand den Weihnachtsmann anklagen, oder Batman. Oder einen Fluss, weil er Hochwasser führte.
Bei der Gelegenheit möchte ich darauf hinweisen, dass der Security-Chip damit eine zusätzliche, vorher nicht vorhandene Angriffsoberfläche geschaffen hat, und die sich als angreifbar herausgestellt hat.
Das ist bei Antiviren seit vielen Jahren eine meiner Kernthesen, dass das so ist, und die, bei der ich am meisten Gegenwind kriege (obwohl das ja völlig offensichtlich ist). Es gilt auch bei anderen Security-Technologien und ist eines der am häufigsten ignorierten Risiken.
Das heißt nicht, dass alle Security-Technologien Schlangenöl sind, aber der Nutzen muss unter dem Strich halt höher als die neuen Risiken sein. Wenn jemand an der Stelle schon anfängt, Risiken zu ignorieren oder kleinzureden, dann solltet ihr ab dann keiner anderen Aussage aus derem Munde mehr trauen.
Das betrifft glücklicherweise nur Leute mit an Kriminalität grenzender grober Fahrlässigkeit. Also: Uns alle, denn unsere kritische Infrastruktur (haha!) fährt auf XP. Geldautomaten, Kassensysteme, Steuerungen für Kraftwerke, Strom und Wasser, etc pp.
Ich glaube ja, das muss einmal ordentlich rummsen, damit da mal ein paar Leute für ihr systematisches Herunterwirtschaften der Infrastruktur gefeuert werden können. Schade um die Menschenleben, die das jetzt kosten könnte, aber was willste machen. Das war ja eh die ganze Zeit klar, dass dieses Level an Pfusch eines Tages Menschenleben kosten wird.
Oh ach ja, Krankenhäuser vergaß ich. Medizinische Geräte fahren auch gerne noch XP.
Ich wünsche allen Lesern eine gute Gesundheit, bis unsere Infrastruktur einmal niedergebrannt ist.
Auf der anderen Seite steht zu vermuten, dass die Leute, vor denen man sich da Sorgen machen müsste, eh schon immer Zugang zu dem Quellcode hatten. Regierungen kriegen den schon gefühlt immer, wenn sie nur gezielt nachfragen, und damit haben auch die Geheimdienste alle Zugriff.
Wisst ihr, ich hab mich ja bei Scifi-Dystopien immer gefragt, wieso die davon ausgehen, dass alle Systeme geradezu trivial hackbar sind in der Zukunft. Jetzt haben wir die Antwort. Weil wir zugesehen haben, wie unsere Regierung das alles systematisch kaputtgehen lässt.
Bis zu dem Zeitpunkt, wo du den Patch in der Hand hast, können Angreifer ja schon von der unterliegenden Lücke gehört und sie bei dir ausgenutzt haben. Eigentlich müsste man bei jedem Patch-Ausrollen auch gleich alle Server neu aufsetzen. Macht natürlich niemand.
Aber das ist ja auch eine kulturelle Frage.
Iteration 1 war der Mainframe. Der wurde so gut wie nie gepatcht. Das war die Generation "never touch a running system".
Iteration 2 war der Server, wie wir ihn heute kennen. "Habt ihr schon alle Patches ausgerollt?" Das ist eigentlich die falsche Frage und führt auch für alle offensichtlich in der Praxis immer wieder zu Problemen wie "keine zwei Server in unserem Hause sind auf genau demselben Patchstand" und "wir können gar nicht sagen, ob wir Untermieter auf unseren Servern haben".
Das ist doch eigentlich eine zentrale Frage, wenn man vertrauenswürdige Infrastruktur haben will. "Haben wir eine Hintertür?" Kannst du auf einem typischen System gar nicht einfach beantworten. Klar, es gibt Ansätze. Früher unter Unix gab es die Idee, dass man Prüfsummen von Systemdateien in einer Datenbank hat, und dann läuft man periodisch herum und guckt, ob die Prüfsummen noch stimmen. Das war eine Revolution damals, das erste mir bekannte Tool hieß Tripwire.
Dann gibt es natürlich einen Haufen reaktiver "Lösungen", die eine Liste von bekannten Hintertüren haben und nach denen gucken. Es ist hoffentlich offensichtlich, dass das alles Theater ist.
So und jetzt zu dem Teil, um den es mir eigentlich geht. Die nächste Iteration. Was könnte man denn machen, um das Problem auf einem fundamentalen Niveau zu lösen?
Naja, eine Backdoor ist ja eine Modifikation einer bestehenden Installation. Wenn man alle Modifikationen verbietet und verhindert, dann gibt es auch keine Backdoors mehr. Stimmt inhaltlich nicht, es gibt auch Backdoors, die auf der Platte nichts verändern und sich nur im RAM aufhalten, aber bleibt mal kurz bei mir.
OK, können wir unsere Server so umstellen, dass die read-only sind? Keine Modifikation am Systemimage? Grundsätzlich ginge das, aber man müsste dann jedesmal ein neues Image bauen, wenn es Patches gibt.
Stellt sich raus: Das kann man nicht nur machen, das kann man vollautomatisch machen! Und es ergeben sich dadurch auch andere Vorteile, nämlich dass man weiß, dass keine Benutzerdaten auf der Systemplatte liegen, die man möglicherweise ins Backup packen muss.
Iteration 3 ist also, dass auf allen Servern (kann man auch mit Client-Systemen machen!) ein unveränderliches System-Image gebootet wird, das automatisiert aus einem anderen System herausfällt. Hat auch den Vorteil, dass man kein Patchrisiko mehr hat. Wenn ein Patch nicht geht, bootet man halt wieder das Image von davor.
Kommt das jemandem bekannt vor? Das ist die zentrale Innovation von Cloud Computing. Dass das "in der Cloud" läuft ist irrelevanter Tand. Amazon hat AWS nicht für andere gebaut, sondern für sich selbst. Dass man das auch verkaufen kann ist ihnen erst danach aufgefallen.
Und das ist, was mich gerade wundert. Dass wir nicht mehr über Iteration 3 reden. Stattdessen halten wir uns mit der Frage auf, ob die den Patch schnell eingespielt haben oder nicht. Und wenn die den Patch schnell eingespielt haben, dann ... *schulterzuck* dann konnte man wohl nichts machen. Ja, äh, doch! Konnte man!
Es gibt da jetzt natürlich eine Menge Detailfragen, die das komplizierter machen als ich es jetzt hier ausgeführt habe. Konfigurations-Management und Datenhaltung sind die beiden großen Dinge. Bei Konfigurations-Management haben viele Organisationen heute schon Automatisierung, aber das ist häufig noch Iteration-2-Automatisierung, die an bestehenden Systemen herumfummelt, sowas wie Ansible oder Chef oder Puppet oder Saltstack oder wie sie alle heißen. Dass jemand tatsächlich automatisiert ein Image mit der Konfiguration eingebacken baut und verteilt, das ist immer noch eine Rarität. Warum eigentlich?
Und was ist mit der Datenhaltung? Die einfache Antwort ist: Die Daten liegen in der Datenbank und/oder dem Netzwerkspeicher (der natürlich so angebunden sein muss, dass man keine Programme von dort ausführen kann). Aber auch hier kann man gucken, ob man nicht das Prinzip der Zurückrollbarkeit anwendet, und seine Daten so ablegt, dass man nichts ändern sondern nur Änderungen am Ende anfügen kann. Wenn es dann einen Angriff gibt, kann der nicht die Daten alle verschlüsseln und mich erpressen sondern er kann nur irgendwas am Ende anfügen. Wenn ich das abschneide, hab ich den Zustand von vorher.
Das ist alles so offensichtlich und so attraktiv, dass ich mich echt frage, wieso da niemand drüber redet.
Das löst das Problem der Sicherheitslücken nicht, versteht mich da nicht falsch. Du kannst immer noch aufgehackt werden und der Angreifer kann immer noch deine Daten raustragen und auf dem Schwarzmarkt verhökern. Das ist ein separates Problem. Auch dafür gibt es übrigens gute Lösungsansätze!
Aber dass auf dieser fundamentalen Ebene die Business Continuity so wenig eine Rolle spielt, das wundert mich echt.
Auf der anderen Seite sind Menschen ja schon immer notorisch schlecht mit der Vorbereitung auf Katastrophen. Das hat ja zuletzt der Warntag gut demonstriert. Niemand nimmt an, dass der Blitz bei einem Gewitter ausgerechnet ihn treffen könnte. Vielleicht ist das auch hier die Erklärung.
Und kommen wir noch mal kurz zu der Sache mit der Backdoor rein im RAM. Nun, die ist beim nächsten Boot weg. Weil das Image immutable ist, kann sich da auch keine Backdoor eingenistet haben. Wenn also ein Citrix-Patch reinkommt und du das Bootimage für die Citrix-Server neu baust und auf die Server verteilst und reinbootest, dann sind auch automatisch alle Backdoors weg.
Laut Bericht des NRW-Justizministers starb eine Patientin, die wegen des Angriffs auf die Server der Klinik in ein weiter entferntes Krankenhaus nach Wuppertal gebracht werden musste.Das ist zu 100% Verantwortung der Uniklinik. Ransomware müsst ihr euch wie Schimmel an der Wand vorstellen. Wenn im Operationssaal Schimmel an der Wand ist, dann ist nicht der Schimmel der Täter, sondern der Zuständige, der das soweit runterkommen ließ, dass sich da Schimmel bilden konnte.
Grotesk, wie sie das jetzt auf die Ransomware zu schieben versuchen! Und nicht nur auf die Ransomware, auf jeden der nicht bei drei auf den Bäumen ist!
Die Sicherheitslücke, die die Hacker ausnutzten, habe sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware befunden, teilt die Uniklinik mit.Wenn ihr da den Bullshit zur Seite baggert, bleibt als Aussage übrig, dass WIR NICHT SCHULD SIND, denn die Software war MARKTÜBLICH, d.h. die anderen sind alle genau so scheiße aufgestellt wie wir.
Ich weiß ja nicht, wie es euch geht, aber in meiner Welt entschuldigt das gar nichts.
Aber wartet, geht noch weiter.
In dem Zeitfenster, das die Softwarefirma zum Schließen der Lücke benötigte, seien sie Täter in die Systeme eingedrungen.Wenn ihr hier den Bullshit beiseite baggert, bleibt die Lüge übrig, dass der Zulieferer für das Updaten von Software halt Zeit brauchte. Nein, brauchte er nicht. Das kann man alles komplett wegautomatisieren. Seit Jahren. Hätte die Uniklinik machen können, HAT SIE ABER NICHT. Daher: Was sie uns hier eigentlich sagen wollen, ist dass es nicht ihre Schuld ist, sondern der Zulieferer war zu langsam.
Die würden gerade ihre eigene Mutter beschuldigen, wenn es irgendwie ginge, um sich selbst aus der Schusslinie zu bringen. Ich fände es gut, wenn da mal ein paar Leute ihren Job verlieren. Wie wäre es, wenn ihr mal ein paar überflüssige Verwaltungsjobs wegmacht und mit dem Geld euren Keller entschimmelt?
Aber der größte Hammer an der Story ist in meinen Augen das hier:
die Täter hätten nach Kontakt zur Polizei die Erpressung zurückgezogenOh ach so?
Die IT-Experten haben mittlerweile den Zugang zu den Daten wiederherstellen können.Ja, äh, was für eine Ausrede bleibt euch denn dann noch, liebe Uniklinik?!
Könnt ihr mir nochmal erklären, wieso jetzt irgendjemand anderes als ihr für den Tod dieser Patientin die Verantwortung tragt?
Sagt mal, … gibt es da nicht persönliche Haftung für die Vorstände bei solchen Sachen? Mir war irgendwie so.
Update: Ein Vögelchen zwitschert mir gerade, dass das die Citrix-Lücke vom letzten Jahr war, über die die Ransomware reinkam. Ja, Shitrix. Das sollte strafrechtliche Konsequenzen haben, wenn jemandes Krankenhaus über ein halbes Jahr nach Bekanntwerden der Lücke und Verfügbarkeit von Patches über die Lücke angegriffen wird. Ab in den Knast mit den Zuständigen.
Update: Das BSI sagt auch, dass es Shitrix war.
Ein Sprecher der ZAC bestätigte, dass die Hacker eine Sicherheitslücke in einer Software genutzt hätten, die bei vielen Unternehmen genutzt werde. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) handelte es sich um ein Programm der Firma "Citrix". Eine seit Januar bekannte Schwachstelle in VPN-Produkten der Firma werde für Cyber-Angriffe ausgenutzt.
Dann erzählen sie was von Fällen, bei denen Leute gehackt wurden, bevor Citrix Patches fertig hatte. Ich bin ja auch ein Freund davon, Citrix öffentlich mit Scheiße zu bewerfen für ihr Verhalten bei der Lücke, aber in diesem Fall kam die Ransomware offensichtlich deutlich viel später als es Patches gab. MONATE später. Ein fucking halbes Jahr später.
Ja aber Fefe, was wenn die Ransomware-Leute über eine Backdoor reinkamen, die sie sich installiert haben, bevor es einen Patch gab? Mal abgesehen davon, dass da mehr Konjunktiv als in einer CDU-Rede über ihre Visionen für die Zukunft ist: NA DANN HÄTTE MAN VIELLEICHT MAL NACH BACKDOORS GUCKEN MÜSSEN? Wenn man sich nicht sicher ist, vielleicht ein paar zentrale Infrastrukturkomponenten neu aufsetzen? Das ist alles kein Hexenwerk. Aber bei der Methode "Kopf in den Sand" hat man halt unbefriedigende Ergebnisse.
Update: ACH NEE, die Uniklinik hat ein Statement veröffentlicht. Ich fasse mal zusammen: Sie sagen, sie haben alle Patches noch am selben Tag installiert, und das danach von zwei externen Firmen prüfen lassen, ob die Lücke jetzt auch wirklich zu ist.
Dann wundere ich mich über die vorherige Aussage derselben Leute, dass die mit der Wartung beauftragte Firma noch nicht dazu gekommen war, das zu patchen. Was stimmt denn jetzt? War das jetzt gepatcht oder nicht? Und wenn es gepatcht war, wie sind die dann reingekommen?
Lasst mich mal kurz wild spekulieren. Sie haben irgendwelche Workarounds ausgerollt, die nicht gereicht haben (sich später als unzureichend herausstellende Workarounds gab es wirklich und dafür trifft die Schuld zu 100% Citrix). Dann haben sie turnusmäßig einen Pentest machen lassen. Da geht es häufig nicht um Security sondern um Compliance. Der Kunde will im Wesentlichen eine Checkbox vom Pentester angekreuzt haben, dass alles OK ist. Entsprechend gibt es da einige Marktteilnehmer, die dann auch nicht so genau hingucken, denn wenn man was findet, macht das ja dem Kunden bloß Ärger, den keiner gebrauchen kann. Ich spekuliere weiter: Dem Pentester haben sie dann auch nicht gesagt, wonach er gucken soll, und vielleicht sogar noch, dass sie ja bei Citrix den Workaround eingespielt haben. Das hätte bei einigen Pentest-Anbietern gereicht, und schon fällt das hinten runter. Oder so.
Könnte so gewesen sein. Würde die Faktenlage erklären. Und dann könnte den Pentester eine Teilschuld treffen. Insiderinformationen habe ich in dieser Angelegenheit keine, insofern werden wir das wohl nie ausfinden. Wenn es tatsächlich stimmt, dass die noch am selben Tag alle Patches eingespielt haben, dann stellt sich zwar immer noch die Frage, wieso sie keine Backdoors gesucht und gefunden haben, aber dann wäre meinem Gerechtigkeitsgefühl nach Citrix in der Haftung. Wird natürlich alles nie passieren. Weil wir uns alle in einem großen Müllhaufen aus überkomplexen Frickelsystemen bewegen, deren Kontrolle uns längst entglitten ist. Mehr als Best Practices geht da in der Praxis nicht, und wenn die tatsächlich Patches noch am selben Tag einspielen, dann sind sie (so schmerzhaft das ist!) dem Rest der Industrie an der Stelle sogar weit voraus. Übliche Einspiellatenzen sind eher so im Monatsbereich.
Wie konnte das denn passieren?!
Und seht euch nur mal an, was der da für Klopper rauskloppt.
Die Bundesrepublik wird sich auch künftig an Interventionen beteiligen müssen. Mehr noch: Deutschland und Europa sollten aus eigener Kraft interventionsfähig werden.Ja aber Fefe, steht dem nicht das Grundgesetz im Weg?! Nicht doch! *abwink*
Völkerrecht und Grundgesetz lassen mehr Raum, als wir nutzen. Wollen wir ernsthaft behaupten, der Einsatz französischer Spezialkräfte bei der Terrorbekämpfung im Sahel sei völkerrechtswidrig? Er ist es nicht. Wir sollten uns vielmehr anschließen.Seht ihr? Alles bloß ein Missverständnis!1!!
Außerdem sind militärische Interventionen alternativlos, findet Herr Jäger.
Europas Flanken im Südosten und am Mittelmeer bewachen die Amerikaner nicht mehr. Diese Aufgabe fällt jetzt den Europäern zu. In der näheren und weiteren Nachbarschaft Europas muss Ordnung herrschen, und diese Ordnung sollte eine europäische sein. [...] Resignativer Pazifismus hat darauf keine Antwort.ORRRDNUNG MUSS SEIN *hackenzusammenschlag*
Wisst ihr, was wir jetzt brauchen? Einen Lenker. Ordentliches Führungspersonal, wenn ihr versteht, was ich meine. Man könnte sagen: Einen Führer. Dann ein paar schöne Angriffskrie, ... äh Interventionen, und dann haben wir endlich unser tausendjähriges Friedensreich!
Und die Waffen kaufen wir am besten bei Daimler.
Warum nicht Teams? Die nehmen das wenigstens ernst mit dem Datenschutz!
Unter uns: Beides finde ich völlig abwegig. Das ist geradezu für Deppen-Manager gemacht, die sich an der Illusion von Kontrolle über ihre Leute aufgeilen, aber eigentlich nur die ganze Zeit im Weg rumstehen.
Ist ja komisch, Cheffe! Ich frage alle 10 Minuten nach einem Statusupdate und packe denen ständig Meetings in den Kalender, wieso kriegen die denn nichts fertig?! Das liegt bestimmt an denen.
Da habt ihr euch getäuscht! Denn bisher war es ja nicht explizit erlaubt, neben den neuen Kommunikationsvorgängen auch die alten auszuspähen. Diese Regulierungslücke wird jetzt geschlossen!1!!
Die zweite Methode, auf die man sich in Berlin inzwischen geeinigt hat, ist eine Neuschöpfung: die sogenannte "Quellen-TKÜ plus". Die Idee lautet, dass die Agenten nicht nur die laufende Kommunikation mitlesen, sondern auch rückwirkend von dem Moment der Bewilligung dieser Spionagemaßnahme an alte Kommunikation ausforschen dürfen. Das bedeutet einen Zugriff auf gespeicherte Mails und Chats. Die Ermittler werden rechtlich so gestellt, als hätten sie sofort nach Erteilung ihres Auftrags loslegen können - und nicht erst Zeit verloren durch das technisch aufwendige Infiltrieren des Geräts.Och joh, die armen Beamten des Überwachungsstaat verlieren regelmäßig wertvolle Zeit, wenn sie sich in eure Geräte hacken müssen! Eine Runde Mitleid für den armen Unterdrückungsstaat! Wie soll man denn die Leute unmündig halten, wenn man ihnen nicht ordentlich mit krass asymmetrischer Machtausübung drohen kann?
Tja, bei einem Trog von 58 Millionen Smartphone-Nutzern in Deutschland kommen halt auch entsprechend viele besonders hartnäckige Schweine.
New hotness: Menschen werden so lange blöder, bis eine AI den Turing-Test besteht.
Over the last two weeks, I’ve been promoting a blog written by GPT-3.I would write the title and introduction, add a photo, and let GPT-3 do the rest. The blog has had over 26 thousand visitors, and we now have about 60 loyal subscribers…
And only ONE PERSON has noticed it was written by GPT-3.
Ja, äh, aber der Text war doch kompletter Bullshit? Ja genau! Exakt wie bei den ganzen anderen sinnlosen Bullshit-Contentfarmen!Update: Wenn ihr zuende gelesen habt, habt ihr diese wunderschöne Stelle als Belohnung erhalten:
I must confess, I actually lied earlier when I told you only one person noticed. Only one person reached out to me to ask if GPT-3 was writing the articles. However, there were a few commenters on hacker news who also guessed it. Funny enough, nobody took notice because the community downvoted the comments.
No shit, Sherlock!
Das ist ja unglaublich, Bob!
Wie jetzt, wenn man weniger frische Luft einatmen kann, senkt das die Leistungsfähigkeit? Wer hätte das gedacht!
Alles finden die raus! Alles!!
Wir haben ja in der IT schon seit einer Weile eine Kulturrevolution laufen, wo selbsternannte Moralinstanzen herumlaufen und anderen Leuten Vorhaltungen machen, wie sie in ihren Projekten Dinge zu benennen haben. Und wie bei der chinesischen Kulturrevolution drängt sich von außen ein bisschen der Eindruck auf, es ginge gar nicht um die Bekämpfung von Faschismus sondern um das Erbringen des Beweises, dass man selbst der beste Kommunist von allen ist.
Den traurigen Höhepunkt hat das kürzlich erreicht, als Rich Salz bei OpenSSL vorstellig wurde, damit die bei sich "Master Key" und ähnliche Terminologie exterminieren. Rich Salz ist bekannt dafür, dass er INN geschrieben hat, in den 1990er Jahren einer der wichtigsten Usenet-Newsserver. Rich arbeitet bei Akamai in der Security-Abteilung und in seiner Funktion als Akamai (Großkunde von OpenSSL) hat er dann bei denen genug Druck gemacht, um eine Abstimmung auszulösen. Die ging dann aber mit 4:3 Stimmen gegen die Kulturrevolution aus, woraufhin Rich Salz öffentlich ein Rumpelstilzchen pullte und was von "on the wrong side of history" brüllte, seinen Weggang von OpenSSL verkündete und sich vor Zorn in der Luft zerriss.
Und jetzt? Jetzt kommen die Einschläge näher. Jetzt geht es um White Hat und Black Hat. Das hat natürlich mit Rassismus nichts zu tun, denn das ist eine Anspielung auf die alten Schwarzweiß-Western. Da musste man dem Zuschauer einen Weg geben, den Bösewicht und den Helden auseinanderzuhalten. Der Weg war, dass man dem Guten einen hellen Hut gab, dem anderen einen dunklen. Mehr als hell-dunkel ging eh nicht bei dem Medium.
Weder White Hat noch Black Hat sind jetzt inhaltlich Fachbegriffe. Ich fand die noch nie gut. Das war schon von Anfang an Virtue Signaling. Ich bin kein böser Hacker, ich bin ein guter Hacker! Seht her, ich habe einen weißen Hut! Ein blöder Witz, der auf blöden Hollywood-Stereotypen aus den 50er Jahren basierte. Der unsicheren Software ist es auch egal, mit welcher Intention sie gehackt wird.
Mich ärgert bloß die Hybris, mit der Leute wie Rich Salz anderen Vorhaltungen machen. Und das ganz ohne vorweisbare Wirkung! Was waren denn die großen Errungenschaften der Schwarzen in den USA? Das formelle Ende der Sklaverei, Rosa Parks, Martin Luther King, Abschaffung von Jim Crow und Eintrittsverboten für Schwarze und von Schwarzen-Toiletten (gibt es im Pentagon übrigens noch, das ist älter als die Abschaffung). In jüngerer Zeit hat sich wohl die Taxi-Situation auch normalisiert. Welcher davon wurde von Sprachpolizei und Kulturrevolution befördert? KEINER!
Ich bin kein Freund der alten Terminologie, und ich bin kein Freund von OpenSSL. Aber Rich Salz hat gerade noch tiefer ins Klo gegriffen als die beiden zusammen.
"Was haben Sie eigentlich gemacht, als die Polizei George Floyd ermordet hat?"
"Ich habe ein paar wichtige Konstanten umbenannt!"
m(
Update: Wenn ihr gerade mal ne halbe Stunde Zeit habt, googelt doch mal Symbolbilder von bösen Hackern. Wenn ihr auch nur einen Schwarzen findet, dann habt ihr mehr als ich gefunden. Der Hoodie ist schwarz, die Maske ist schwarz, der Laptop ist schwarz, der Hacker ist weiß. Wenn hier also was rassistisch ist, dann in die andere Richtung. "Die Kriminellen sind alle Weiße!1!!"
Ich wettere seit Jahren, dass die Systeme um uns herum viel zu viel Komplexität haben. In der Softwareentwicklung werden völlig unbesorgt und unbedarft Abhängigkeiten ins Projekt gezogen, bis der Arzt kommt. Das Endprodukt ist immer häufiger von einer Komplexität, die alle Projektbeteiligten um Größenordnungen überfordert.
Ich finde, der Crypto-Hack zeigt gerade, wass das Ergebnis dieser Entwicklung ist.
Der Endboss ist nicht mehr der Überhacker, der Bugs ausnutzt. Der Endboss ist jemand, der sich die Zeit nimmt, sich in das System einzuarbeiten. Jemand, der die Dokumentation und/oder den Code liest. So wenig Zeit, wie sich die übliche Softwarefirma dafür nimmt, ein durchblickbares System zu bauen, bzw. überhaupt ein System, führt eben dazu, dass niemand das am Ende mehr durchblickt.
Wer sich die Zeit nimmt, die wir als Entwickler uns nicht genommen haben, kann unser System angreifen.
Anders formuliert wird eine Erkenntnis daraus: Je mehr Zeit wir in der Entwicklung sparen, desto weniger Durchblick haben unsere Entwickler, desto tiefer liegt die Schranke für einen Angreifer. Der muss das System ja nicht in Gänze verstehen, um es angreifen zu könne. Es reicht, wenn der einen angreifbaren Aspekt des Systems besser versteht als die Entwickler.
Wenn man sich anguckt, wie tief das Verständnis der Werkzeuge und der Umgebung bei typischem Code ist, dann ist das eine sehr tiefe Schranke.
Ich habe mich ja bei Shadowrun immer gefragt, wie die darauf kommen, dass wir in der Zukunft von hackbarer Software umgeben sein werden. Jetzt weiß ich es.
Wie? Nein, kein Schlangenöl! Wobei ... nee doch, ist eigentlich doch Schlangenöl. Jemand hat bei Balancer die Kohle rausgetragen. Das ist alles "Crypto"-Jargon, der mit dem einen Ziel geschaffen wurde, eine Nebelwand zu errichten, um zu verschleiern, was hier wirklich passiert ist. Ich versuche mal eine Erklärung.
Es geht hier um Smart Contracts, d.h. Codestücke in der Blockchain, die "automatisch ausgeführt werden", vom System sozusagen. Die doppelte Steigerung von "keiner ist Schuld". Erstens: Software. Zweitens: "Das System" führt sie aus. Da kann nun wirklich niemand was für.
Was war geschehen? Jemand hat die Dokumentation gelesen.
Nein, wirklich. Das ist alles. Ich zitiere mal:
Decentralized finance (DeFi) liquidity provider Balancer Pool admitted early Monday morning that it had fallen victim to a sophisticated hack that exploited a loophole, tricking the protocol into releasing $500,000-worth of tokens.Hier muss man mal mit der heißen Machete durch den Bullshit-Jargon durchschneiden, damit man versteht, was passiert ist. "DeFi" ist z.B. ein Nebelwand-Bullshit-Codewort für Crypto-Bullshitwährungen. Das De steht für Decentralized, das stimmt ja sogar, und das Fi ist halt Marketing-Wunschtraum. Wir sind ein Finance Player!!1!Zurück zum Inhalt. Es gab keinen Hack. Es war auch kein Mensch, der hier Entscheidungen gefällt hat, sondern ein "protocol". Gemeint ist: Code. Sie haben Code geschrieben, der Geld verschenkt. Das ist die Bedeutung des Begriffes "liquidity provider". Liquidität ist in einem Markt, wenn Geld für Transaktionen verfügbar ist. Die Idee ist, dass es Angebot und Nachfrage gibt. Wenn es mehr Angebot als Nachfrage gibt, geht der Preis runter. Wenn es mehr Nachfrage als Angebot gibt, geht der Preis hoch. Solange der Markt liquide ist, gibt es aber immer jemanden, der die Waren abnimmt, oder der Waren verkauft. Nur halt möglicherweise zu einem sehr ungünstigen Preis.
Liquidität am Markt zu haben ist schon bei großen Aktenbörsen teilweise ein Problem, und es gibt dafür Mechanismen (die sogenannten Market Maker). Bei diesen ganzen unseriösen Bullshit-Crypto-Abzockgeschichten gibt es sowas aber natürlich nicht, es gibt ja auch keine Regulierung, das ist alles Wilder Westen. Damit man zumindest eine Bullshit-Geschichte zum Erzählen an Opf... äh zukünftige Kunden hat, wurde dieser Mechanismus geschaffen.
Der verschenkt natürlich nicht einfach an beliebige Passanten Geld, sondern nach Regeln.
Jemand hat jetzt die Dokumentation gelesen, was für Regeln das sind, und die dann künstlich herbeigeführt. Und zwar, wie sich das bei Zockern gehört, auf Pump. Damit der Hebel größer wird.
the attacker had borrowed $23 million-worth of WETH tokens, an ether-backed token suitable for DeFi trading, in a flash loan from dYdX. They then traded, against themselves, with Statera (STA), an investment token that uses a transfer fee model, and burns 1% of its value every time it’s traded.Was fällt als erstes auf? Kein Hack. Es gab keinen Hack. Jemand hat valide Transaktionen am Markt durchgeführt. Mit eigenem Einsatz. Gut, geliehen, aber er haftet ja für geliehenes Geld.The attacker went between WETH and STA 24 times, draining the STA liquidity pool until the balance was next to nothing. Because Balancer thought it had the same amount of STA, it released WETH that equated to the original balance, giving the attacker a larger margin for every trade they completed.Der Code, der das Geld ausschüttet, hat gemäß seinen Regeln Geld ausgeschüttet.“The person behind this attack was very sophisticated smart contract engineer with extensive knowledge and understanding of the leading DeFi protocols,” 1inch said in its blog post on the breach.OH NEIN! CHEF WIR HABEN EIN PROBLEM! DER ANGREIFER KANN LESEN!!1!Ja gut, damit konnte niemand rechnen. Wo kommen wir da hin, wenn Angreifer sich vorher die Dokumentation durchlesen?
the team behind Statera batted away accusations that the protocol had either failed or been designed intentionally for this sort of attack to take place.Was für ein Angriff? Jemand hat das System regelkonform benutzt, und zwar genau dafür, wofür es gedacht war.Ergebnis:
The project added that it was not in a position to be able to refund the attacker’s victims.Ach Gottchen. Lange habe ich nicht mehr so viel Elend gesehen! Mein Mitleid kennt keine Grenzen!Dies ist glaube ich die richtige Gelegenheit, nochmal den "Smart Contracts"-Teil meines Hypetech-Vortrags zu verlinken. Es ist mir aber an der Stelle wichtig, dass das kein Hackerangriff war. Der Angreifer hat den Code genau dafür angewendet, wofür er gedacht war. Nur haben die Deppen, die den Code geschrieben haben, sich halt vorher nicht ordentlich Gedanken gemacht. Das macht es nicht zu einem Hackerangriff. Eher zu einem Fall von "hättet ihr mal jemanden gefragt, der sich mit sowas auskennt".
Was ich ja immer wieder faszinierend finde: Dass jemand Startups in dem Umfeld noch Geld gibt.
Update: Wird noch besser!
If this sounds familiar, it's because we saw similar attacks happening earlier this year. Back in February, tokenized margin trading and lending platform bZx suffered two attacks, which were defined as not an oracle attack, but "a clever arbitrage execution."
Der Angriff war bekannt, aber sie haben ihn nicht verhindert, weil es nicht ihr Geld war, das sie da verteilt haben.
Woher weiß Citizenlab denn, wen die alles gehackt haben? Nun, …
We linked the phishing attempts to a custom URL shortener, which the operators used to disguise the phishing links.We subsequently discovered that this shortener was part of a larger network of custom URL shorteners operated by a single group, which we call Dark Basin. Because the shorteners created URLs with sequential shortcodes, we were able to enumerate them and identify almost 28,000 additional URLs containing e-mail addresses of targets.
Zum Medienkompetenzvergleich nach diesem Faktenbericht jetzt der PR-Spin von A1, den der ORF kritiklos abdruckt. (Danke, Arno)
Die erste: Das Ticketsystem ist öffentlich einsehbar. Das ist üblich bei Open Source-Projekten. Nur dass sich die Nutzer hier halt mit ihren Realnamen einloggen und minderjährig sind. Ich vermute mal, dass daran einfach keiner gedacht haben wird beim HPI.
Die zweite: Man kann sich da anscheinend auch als unbefugter Außenseiter einen Account einrichten und dann darüber die Realnamen von Schülern einsehen.
Das sind leider häufige Probleme.
"Programmierer" hieß früher, dass man ein Problem hat, und eine Lösung dafür programmiert. Wenn man das nicht kann, dann geht es halt nicht und man läuft nicht rum und behauptet, Softwareentwickler zu sein.
Heute sind alle möglichen Mausschubser als "Programmierer" unterwegs, die aber eigentlich hilflos sind und das tatsächliche Problem gar nicht lösen können oder wollen, und die stöpseln dann halt mit Klebeband existierende Komponenten zusammen. Die leisten dann halt nicht genau das, was gebraucht wird, sondern nur etwas ähnliches.
Ich empfinde das als selbstverschuldete digitale Unmündigkeit und schäme mich praktisch beständig dafür, dass die IT-Branche heitzutage praktisch nur noch aus solchen Leuten besteht. Die Ausreden sind auch jedesmal dieselben. Da kann ICH doch nichts für, dass die Komponente das halt so macht!1!! Für mehr hatten wir keine Zeit (oder: kein Budget)!1!!
Aus der Perspektive von so einem Blender-Typen, der nur anderer Leute Arbeit remixt, ist das ja vermutlich auch eine akkurate Einschätzung.
Mein Eindruck war nur, dass das HPI sich da gerne anders präsentieren wollte bisher.
Da sind die Zweifel jetzt ausgeräumt.
Eine Sache will ich da mal ganz klar ansagen: Das waren noch keine Sicherheitslücken im Programmier-Sinne. Das waren eher Konfigurationsfehler. Es wird wahrscheinlich noch dauern, bis die Programmierfehler gefunden werden.
Apple, Google and hundreds of privacy advocates have raised concerns that this risks hackers or even the state itself being able to re-identify anonymised users, and thus learn details about their social circles.But NHSX has consulted ethicists and GCHQ's National Cyber Security Centre (NCSC) on the matter, and believes safeguards are in place to minimise the risk of this happening.
Oh ach SO ist das! Wenn GCHQ das sagt, dann wird das wohl stimmen!1!! (Danke, Tim)
Interne Unterlagen des größten deutschen Rüstungskonzern Rheinmetall sind im Internet aufgetaucht, nachdem Hacker die Daten kopiert und zum Kauf angeboten hatten. Ein Aktivist kaufte die insgesamt 1400 Dateien nach eigener Aussage und stellte den Datensatz dann für jedermann zugänglich zum Download bereit.
Bittorrent funktioniert so, dass du vorher weißt, welche Datei du kriegst. In der torrent-Datei oder dem Magnet-Link steht der Hash der Daten drin. Du weißt, ob du die richtigen Daten gekriegt hast, weil der Hash sonst nicht stimmt. Bittorrent hat da einen schlauen Kniff namens Merkle Tree am Start, um auch schon einzelne falsche Fragmente erkennen zu können und nicht erst am Ende merkt, dass der Download für die Tonne war. Und selbst damit sind die Probleme noch nicht gelöst.
Wenn dich jemand ärgern will, announced er einfach öffentlich, er habe Segment 23, und schickt dir dann halt kaputte Daten. Wenn das genügend viele Leute machen, dann denkt der Bittorrent-Client immer, da war halt das Netz gerade kaputt, und versucht es beim selben Sender nochmal. Und natürlich kommt es auch vor, dass für einige Segmente gar keiner online ist, der die hat. Dann hängt euer Torrent halt ewig.
So und jetzt kommt bei den Covid-Daten dazu, dass die dynamisch sind. Da fallen ständig welche weg und an anderer Stelle kommen neue dazu. Woher weißt du als Client, dass die Daten OK sind, die du gerade kriegst? Da müsste man dann irgendwas mit Krypto-Signaturen machen, und der Client müsste die Signaturen prüfen können, d.h. die müssten dann von "der Behörde" signiert sein, damit es nur einen Signierer gibt und man den Public Key von dem halt in die App packen kann. Wenn man das so macht, hat man ein sogenanntes Revocation-Problem, falls der Key abhanden kommt.
Aber nehmen wir mal an, das sei alles gelöst.
Dein Telefon müsste jetzt die ganze Zeit online sein, um seine Fragmente anzubieten. Nehmen wir mal an, man nimmt Bittorrent-Tech wie eine distributed hash table, um das zuständige Gerät zu einem Fragment findbar zu machen.
Das ist schon im Bittorrent für die Raubkopierer Scheiße, weil es heißt, dass ein Abmahnanwalt die IP finden kann. Wenn jeder nur seine eigenen Fragmente hostet, dann ist das noch schlimmer. Dann findet man nicht nur raus, wer teilnimmt, sondern man findet die aktuelle IP zu einem gegebenen Fragment, und weil die jetzt gerade online sein muss, damit ich da Tokendaten abholen kann, kann ich auch eine Geolokalisierung machen und sehen wo das Gerät gerade grob ist. Das sind alles Daten, die man nicht rausrücken will.
Ich will jetzt nicht behaupten, dass da gar nichts geht, aber das ist bei weitem nicht so ein Selbstläufer, wie der eine oder andere anzunehmen scheint.
Übrigens, am Rande. Wenn ihr euch mal die DP-3T-Dokumente anguckt, dann werdet ihr sehen, dass das recht nahe an dem Konzept war, das ich hier als Idee eines Kumpels präsentiert habe. Das lag jetzt nicht daran, dass mein Kumpel sich deren Proposal angeguckt hat, sondern dass das halt das "naheliegende" Verfahren ist. Also für Leute, die hauptberuflich Krypto-Protokolle machen.
Ich sagte ja schon in meinem initialen Beitrag zu Corona-Apps, dass DP-3T aussieht, als hätten da Leute dran gearbeitet, denen Datenschutz wichtig ist. Aber wie dort auch gesagt: Da gibt es noch genügend andere Dinge, die man in so einer App verkacken kann.
Ich weiß nicht, ob ihr mal Bergwandern gemacht habt. Da wandert man stundenlang über mehr oder wenige einsame Bergwege, und man macht sich die ganze Zeit vor, man sei so gut wie da. Nur noch um die Ecke da, dann muss da die Hütte sein, zu der wir wollten. Bergwandern kann man nur machen, wenn man sich entweder selbst bescheißen kann, dass man gleich da ist, oder einen Weg gefunden hat, die früher oder später einsetzenden Schmerzen zu ignorieren. Beim Programmieren ist das leider genau so. Wenn daher jemand kommt und sagt, er hackt mal eben ne App, dann könnt ihr euch sicher sein, dass der zur ersten Gruppe gehört. Der redet sich gerade selbst ein, er sei so gut wie da. Weil er genau weiß, dass er sonst auf halbem Weg scheitern wird und aufgeben muss. Glaubt so jemandem kein Wort.
Die "ich spür keinen Schmerz"-Methode ist auch sehr verbreitet in der IT. Das sind die Leute, die sich zwölf Dutzend Libraries und Frameworks und Datenbanken und andere Abhängigkeiten in ihre Projekt reinholen und dann "schnell fertig" sind. Nur dass die Schmerzen für die ganzen beweglichen Teile halt auf den Endanwender abgewälzt werden, und auf den, der den Scheiß dann warten soll.
Eine ordentliche App braucht ihre Zeit. Sowohl im Design der Protokolle als auch in der Umsetzung, dem Testing, und so weiter. Ich weiß: Ihr wisst das alle. Ich wollte es nur mal wieder angesagt haben. Weil auch IT-Anwender sich gerne Dinge einreden, die nicht der Realität entsprechen.
Ich dachte mir, ich skizziere mal kurz, wie man da rangehen würde, damit ihr versteht, was das Problem ist.
Nehmen wir also mal an, Bluetooth ginge nicht durch Wände und mein Telefon hätte Daten darüber, welche Geräte in den letzten zwei Wochen im Radius von 2m waren.
Aus Datenschutzgründen speichern wir nicht die echte ID des Gerätes, sondern dein Handy generiert für jedes 2m-Radius-Ping ein neues zufälliges Token. Das Token wäre so, dass dein Gerät es wiedererkennen kann, aber sonst niemand es deinem Gerät zuordnen kann. Wenn du jetzt herausfindest, dass du dir Covid eingefangen hast, dann gehst du mit der Liste der Tokens der letzten beiden Wochen zu einem Server und lädst sie dort hoch.
Da haben wir das erste größere Privacy-Problem. Der Server sieht deine IP und dass du infiziert bist. Das ist schonmal nicht gut. Aber nehmen wir mal an, das ginge irgendwie, vielleicht über Tor anonymisiert.
Wie teilt denn der Server jetzt den Betroffenen mit, dass sie ein Problem haben? Die Tokens konnte man ja nicht zuordnen! Das war ja absichtlich so designed.
Also müsste man das so machen, dass alle Geräte periodisch auf dem Server die Liste aller Tokens abholen, und dann gucken, ob sie betroffen waren. Das wären sehr schnell sehr große Downloads. Das ist also auch kacke. Man würde also lieber ein System basteln, indem die Tokens zwar nicht direkt zuordnungsfähig sind, aber wo man bei der Abfrage einen Wert hochlädt, anhand dessen dann der Server die Tokens identifizieren kann, die mich betreffen. Diesen Wert könnte man z.B. im Telefon täglich oder stündlich neu vergeben, um die Zuordnung zu erschweren. Aber wenn wir das machen, dann kann der Server sehen, ob ich infiziert bin, weil die Antwort an mich nicht leer ist.
Das ist also auch Mist. Die offensichtliche Lösung wäre, entweder auch über Tor zu gehen (das kann man bandbreitentechnisch mal vergessen, das würde das Tor-Netz vermutlich krass überfordern). Oder man baut in die Daten der Infizierten auch lauter "blinde" Tokens ein, die "nicht infiziert" heißen, aber das kann nur das Endgerät des Betroffenen sehen. Dann müssten aber alle Endgeräte die ganze Zeit immer zwei Tokens hochladen, das Blind-Token und das echte Token, damit der Server nicht sieht, welches welches ist. Das wäre vom Traffic und dem Speicherplatz für die Datenbank her prohibitiv teuer.
Ich sehe da ehrlich gesagt nicht viel Luft für eine datenschutzrechtlich einwandfreie Lösung.
Da muss man schon echt die Augen zukneifen und viel mit den Händen herumwedeln, um sich von der nervigen Realität abzulenken. Da kommen dann so Modelle wie "Ja gut, aber die IP speichern wir ja nicht, das wäre ja böse. Vertrauen Sie uns. Wir sind die Guten." raus. Oder "wir machen das mit Google/Apple/Vodafone/Telekom, die haben eh eure Daten". Ja super.
Bleiben so Modelle wie "wir zwingen einfach die Telcos dazu, diesen Traffic kostenlos zu machen". Oder "Wir teilen das in zwei Teile auf; Google macht den einen, Apple den anderen. Der Kapitalismus schützt uns dann schon davor, dass die Kartellbildung machen." Mag sein, aber der Kapitalismus schützt uns nicht davor, dass Hacker bei beiden einbrechen oder dass der Staat einfach per Durchsuchungsbeschluss bei beiden die Daten rausträgt und verknüpft.
Update: Eine Krypto-Lösung ist einem Kumpel noch eingefallen. Man macht das so, dass man die Tokens mit einem Pseudozufallszahlengenerator generiert. Die funktionieren so, dass man sie mit einem (hoffentlich tatsächlich echt zufälligen) Zufallswert füttert und der Rest der augespuckten Werte sieht zufällig aus und ist auch praktisch nicht vorhersagbar, wenn man nicht den Initialwert kennt. Das könnte man nutzen, indem man im Infektionsfall den Seed veröffentlicht, und die Tokens bleiben auf den Endgeräten. Dann könnte mein Handy vom Server die Liste der Seeds holen und gucken, ob es damit irgendwelche der gespeicherten Tokens generieren kann. Nachteil: Das wäre eine sehr akkuunfreundliche Operation. Und man müsste die Initialwerte einmal pro Woche neu auswürfeln, damit nicht beliebig lange in die Vergangenheit Treffer rausfallen würden.
Update: Man kann da noch Bandbreite optimieren, z.B. mit einem Bloom-Filter. Wenn ihr davon noch nie gehört habt, googelt das mal. Das zum ersten Mal erklärt bekommen löst in manchen Menschen eine religiöse Erfahrung aus :-)
Da der Hebel so hoch ist (jedes Endgerät im Land einmal pro Tag) ist das aber immer noch sehr viel Traffic.
Update: Liebe Leute, der Punkt dieses Beitrags war nicht, eine Lösung zu finden. Der Punkt war, euch ein Gefühl dafür zu geben, was da so ein paar der Dimensionen des Problemraums sind. Mein Eindruck ist, dass im Moment viele Leute so „mein Cousin kann PHP, der hätte da schon längst was gehackt” drauf sind, und gar nicht verstehen, wieso man da überhaupt so lange berät und wieso da nicht einfach kurz jemand was hackt.
Ich rege mich seit vielen Jahren darüber auf, dass Security halt Zeit und Geld kostet und häufig keine guten Metriken abwirft, was man erreicht hat, aber Compliance bringt nichts und wirft Metriken ab, und am Ende machen die Leute alle Compliance und wundern sich, dass sie weiterhin alle ständig gehackt werden.
Stellt sich raus: bei Coronavirus gibt es auch Compliance. Da haben sie die Compliance-Checkliste gekriegt, dass Events ab 1000 Besuchern nicht mehr erlaubt sind. Also haben sie mitgezählt und ab dem 999. keinen mehr reingelassen.
Die Leitung hatte Roderick Cox inne, der das Nationaltheaterorchester elegant, straff und gut geordnet durch die Werke leitete und am Ende von den rund 999 Menschen bejubelt wurde.Wie jetzt? Was heißt hier rund 999? Macht ihr nicht mal eure sinnlose Compliance ordentlich?!?
Oh Mann. Der Einsender kommentiert:
Ich denke wir haben das was kommt nicht besser verdient.Seufz.
New hotness: Die USA hackt China.
Äußerlich war das ungefähr so, wie man sich das vorstellt. Assange sitzt Schweigen-der-Lämmer-mäßig in einem dicken Glaskäfig. Damit auch ja kein Zweifel aufkommt, wer hier das gefährliche Monster ist.
Craig beschreibt auch sehr schön, was er tun musst, um überhaupt einen der 16 (ja, 16!!) Sitze zu kriegen, die da für die Öffentlichkeit reserviert waren.
To make sure I got one of those 16 and could be your man in the gallery, I was outside that great locked iron fence queuing in the cold, wet and wind from 6am. At 8am the gate was unlocked, and I was able to walk inside the fence to another queue before the doors of the courtroom, where despite the fact notices clearly state the court opens to the public at 8am, I had to queue outside the building again for another hour and forty minutes. Then I was processed through armoured airlock doors, through airport type security, and had to queue behind two further locked doors, before finally getting to my seat just as the court started at 10am. By which stage the intention was we should have been thoroughly cowed and intimidated, not to mention drenched and potentially hypothermic.Ein Licht in der Dunkelheit, dieses britische "Rechts"system! Klingt wie bei uns die mittelalterlichen Zustände bei den RAF-Verfahren. Nur dass die RAF-Terroristen immerhin tatsächlich Menschen ermordet hatten, während Julian Assange bloß ein Journalist ist.Das Verfahren beginnt dann mit einer Rede der Staatsanwaltschaft. Die richtete sich an ... die Medien. Nicht das Gericht. Die Medien. Die wiederholen sogar einen Satz extra und erklären, dass der besonders wichtig sei und die Medien den bitte unbedingt mitschreiben sollen.
Und was war diese Botschaft an die Medien? Nun, ... dass die Medien nicht betroffen seien von was jetzt hier dem Assange droht.
The points which Lewis wished the media to know were these: it is not true that mainstream outlets like the Guardian and New York Times are also threatened by the charges against Assange, because Assange was not charged with publishing the cables but only with publishing the names of informants, and with cultivating Manning and assisting him to attempt computer hacking. Only Assange had done these things, not mainstream outlets.Die Medien und Assange seien also in völlig verschiedenen Booten, fand der Staatsanwalt. Und wie begründete er das? Indem er Medienberichte vorlas, die Assange kritisierten. Und damit die Medien nicht so viel Arbeit haben mit ihrer Hofberichterstattung, hat man ihnen das auch einmal ausgedruckt gegeben. Und digital, damit sie direkt copy und paste machen können.Aber wartet, wird noch krasser. Die Richterin (!) befragt dann die Staatsanwaltschaft, weil das nicht ihrem Verständnis des Official Secrets Acts entspricht, dass die Medien nicht genau so betroffen wären.
Surely, Baraitser suggested, that meant that newspapers just publishing the Manning leaks would be guilty of an offence?Das war für den Staatsanwalt genauso unerwartet wie für euch jetzt. Der hatte da einen Durchmarsch erwartet, keine Rückfragen. Schon gar keine kritischen Rückfragen.This appeared to catch Lewis entirely off guard. The last thing he had expected was any perspicacity from Baraitser, whose job was just to do what he said. Lewis hummed and hawed, put his glasses on and off several times, adjusted his microphone repeatedly and picked up a succession of pieces of paper from his brief, each of which appeared to surprise him by its contents, as he waved them haplessly in the air and said he really should have cited the Shayler case but couldn’t find it.Doch dann besann er sich und gab Folgendes zu Protokoll:Yes, he said much more firmly. The 1989 Official Secrets Act had been introduced by the Thatcher Government after the Ponting Case, specifically to remove the public interest defence and to make unauthorised possession of an official secret a crime of strict liability – meaning no matter how you got it, publishing and even possessing made you guilty. Therefore, under the principle of dual criminality, Assange was liable for extradition whether or not he had aided and abetted Manning. Lewis then went on to add that any journalist and any publication that printed the official secret would therefore also be committing an offence, no matter how they had obtained it, and no matter if it did or did not name informants.Kurz gesagt: Das diametrale Gegenteil dessen, was er direkt davor der Presse ins Gesicht gelogen hatte, damit sie sich nicht hinter Assange stellen.Man würde denken, die Presse greift das dann auf und zerreißt diesen Schauprozess in der Luft. Aber wenn die Presse die Wahl hat, ein paar Stunden Sätze zu formulieren, oder ein paar Minuten lang copy und paste aus fertigen digitalen Statements der Regierung zu machen, dann ... naja, könnt ihr ja selbst googeln, wie die Presse berichtet hat.
Das ist leider unter dem Strich kein Sieg für Assange, weil sich da im Wesentlichen zwei Hardliner darüber streiten, ob man nicht eine noch härtere Interpretation finden kann, um ihn noch krasser zu bestrafen.
Update: Der Bericht von Tag 2 ist auch schon online. Und das wird alles immer noch schlimmer. Alle drei Anklagepunkte sind falsch. Nicht nur Behauptung der Verteidigung. Die sind beweisbar falsch. Und die Beweise liegen vor. Weil sie Teil von Gerichtsverfahren gegen Manning in den USA waren. Was sagt die Richterin dazu?
She told Summers that he had presented the findings of the US court martial of Chelsea Manning as fact. But she did not agree that her court had to treat evidence at a US court martial, even agreed or uncontested evidence or prosecution evidence, as fact.
Wir erinnern uns: Es geht hier um eine Auslieferungsklage. Die beantragende Partei ist die US-Regierung. Und die Richterin sagt jetzt: Was die in ihren eigenen Gerichtsverfahren als Beweise anerkannt haben, auch wenn das in diesen Verfahren nicht von ihnen bestritten wurde, akzeptieren wir hier trotzdem nicht als Beweis. Die US-Regierung könnte ja in ihren eigenen Verfahren gelogen haben, aber uns jetzt hier die Wahrheit sagen.
Und noch ein absoluter Hammer, der mir so auch nicht klar war: Die Amis behaupten ja, Assange hätte Informanten ans Messer geliefert. Hier ist, was wirklich passiert ist:
The US government had been actively participating in the redaction exercise on the cables. They therefore knew the allegations of reckless publication to be untrue.
Once Die Freitag announced they had the unredacted materials, Julian Assange and Sara Harrison instantly telephoned the White House, State Department and US Embassy to warn them named sources may be put at risk. Summers read from the transcripts of telephone conversations as Assange and Harrison attempted to convince US officials of the urgency of enabling source protection procedures – and expressed their bafflement as officials stonewalled them.
Heilige Scheiße! Ich bin ja gewöhnt, dass Regierungen lügen, und erwarte schon gar nichts. Aber das? Das setzt Maßstäbe.
Wie kommt die Richterin da wieder raus? Na ganz einfach!
She stated that although Article 4.1 of the US/UK Extradition Treaty forbade political extraditions, this was only in the Treaty. That exemption does not appear in the UK Extradition Act. On the face of it therefore political extradition is not illegal in the UK, as the Treaty has no legal force on the Court.
Mit einem Taschenspielertrick! Der beste Rechtsstaat, den man für Geld kaufen kann!
Update: Das ist nicht nur ein Hotel übrigens. Denen gehören das MGM Grand, das Bellagio, das Mirage, das Luxor, Manadalay Bay und noch ein paar andere. Gefühlt die Hälfte der Hotels am Strip.
New hotness: Hacker hacken Citrix, halten sich monatelang in deren Netz auf, tragen in aller Ruhe Daten über Mitarbeiter und Kunden raus.
Hey, da willste doch deine Firma von abhängig machen!
Aber warte mal, wird noch geiler. Wie hat Citrix das gemerkt? GAR NICHT!
In March 2019, the Federal Bureau of Investigation (FBI) alerted Citrix they had reason to believe cybercriminals had gained access to the company’s internal network. The FBI told Citrix the hackers likely got in using a technique called “password spraying,” a relatively crude but remarkably effective attack that attempts to access a large number of employee accounts (usernames/email addresses) using just a handful of common passwords.Naja, äh, also gegen sowas kannste dich ja auch nicht wehren, nicht wahr? Völlig unmöglich, sowas abzuwehren. Da halfen auch unsere 15 Schlangenöl-Produkte nichts!1!! Die kommen halt überall rein, die Chinesen mit ihrer APT-UFO-Technologie!!1!
Ja, äh, Leute, was habt ihr denn gedacht, was passiert, wenn ihr Anwendungen Passwörter speichern lasst? Dass da ein Angreifer nicht drankommen würden?
Fakt ist: Wenn ihr euch einloggt, und die Software kommt ohne dass ihr das Passwort nochmal eingeben müsst irgendwo dran, dann kommt auch andere Software oder ein Angreifer auf eurem System dran. Das ist simple Logik.
So und jetzt denken wir mal gemeinsam nach, was man da tun könnte. Lösung 1: Passwörter nicht speichern.
Lösung 2: DPAPI. Das ist Microsofts Standardlösung. Die speichert das auch verschlüsselt, aber mit eurem Login-Passwort verschlüsselt, nicht mit einem statischen Key.
So, ist das jetzt besser? Wir erinnern uns kurz daran, dass die Prämisse war, dass ihr einen Angreifer auf dem System habt. Der kann natürlich auch einfach eure Tastatureingaben mitschneiden. Und dann hat er sowohl im einen als auch im anderen Fall eure Passwörter.
Wenn die Annahme ist, dass jemand euren Rechner aufgehackt hat, dann habt ihr verloren, egal was Teamviewer tut.
Wir reden hier also über ein anderes Szenario, gegen das wir verteidigen wollen, nämlich dass euer Laptop geklaut wird.
Wenn ihr euch darüber Sorgen macht, dann macht ihr hoffentlich full disk encryption. Sowas wie Bitlocker unter Windows oder vielleicht Veracrypt oder LUKS oder so. Und dann ist es auch egal, wie oder ob Teamviewer die Passwörter verschlüsselt.
Wenn ich bei Teamviewer einen Audit machen sollte, hätte ich angekreidet, dass sie nicht DPAPI benutzen. Aber so zu tun als sei hier eine fette Sicherheitslücke gefunden worden, das ist absurd. Wichtiger als dass das in der Registry steht ist die Frage, wieso Teamviewer die Credentials per Default überhaupt abspeichert. Das Feature sollte wenn dann opt-in sein. Stattdessen findet man im Internet diverse Foren, in denen Leute fragen, wie sie das abgeschaltet kriegen. DAS ist der gültige Kritikpunkt an dieser Stelle. Nicht dass der Key statisch ist.
Es seien "keine geschäftsrelevanten sensiblen Daten in signifikantem Umfang abgeflossen", sagte ein Sprecher.Bonus: Das überspezifische Dementi mussten sie dann auch noch zurückrufen!
Auf Nachfrage korrigierte sich der Konzern: Man habe keine Erkenntnisse zu einem möglichen Abfluss von Daten.Da muss ich an den guten alten Donald Rumsfeld denken. Der war da weiter mit seinen unknown unknowns. (Danke, Stefan)
Ob meine Argumente da eine winzige Rolle gespielt haben? Würde mich jedenfalls freuen.
Das Argument würde natürlich viel ernster genommen, wenn es Malware gäbe, die über einen 0-day im Antivirus reingekommen ist.
Nun, … *drumroll* … die gibt es jetzt.
Hackers exploited a Trend Micro OfficeScan zero-day to plant malicious files on Mitsubishi Electric serversIch finde ja bei sowas immer, dass man nicht warten muss, bis die 0-days ausgenutzt werden. Remote Desktop und Antiviren sind beides Dinge mit viel zu viel Komplexität. Das kann praktisch gar nicht sicher sein.Benutzt ihr Wordperfect? Wem das nichts sagt: Googelt das mal. Das ist eine Textverarbeitung von früher, bevor alle nur noch bei Microsoft gekauft haben.
Habt ihr wahrscheinlich nicht. Aber der Antivirus muss einen Parser dafür haben. Könnte ja Malware drin sein. Schwupps habt ihr mehr Angriffsoberfläche. Die Schlangenöler sagen immer, wie viele Viren sie angeblich erkennen. Fragt mal euren Vertriebsbeauftragten, wieviele Dateiformate sie können. Stellt die Frage am besten so, dass es klingt, als hieltet ihr das für vorteilhaft, wenn das Ding viele Dateiformate versteht.
Der Verzicht auf unnötige Angriffsoberfläche ist die älteste Maßnahme in der IT Security. Dienste zumachen, die man nicht braucht. Ports zumachen, die man nicht braucht. IPs filtern, die nicht erreichbar sein müssen. Software deinstallieren, die nicht gebraucht wird. Schlangenöl ist die Antithese davon, und irgendwie scheint es niemand wahrzunehmen. Schlangenöl ist das Gegenteil von Security.
Update: Oh ach gucke mal, ich war ja gar nicht der einzige Rufer in der Wüste: Thierry und Sergio haben auf der Cansecwest 2008 auch was dazu vorgetragen. *winke*
Federal prosecutors in Brazil on Tuesday charged the American journalist Glenn Greenwald with cybercrimes for his role in bringing to light cellphone messages that have embarrassed prosecutors and tarnished the image of an anti-corruption task force.Das ist halt der Unterschied zwischen Brasilien, den USA und Deutschland. In Brasilien klagt ihn schlicht die Staatsanwaltschaft an, deren Fehlverhalten er aufgedeckt hatte. In den USA wäre er in irgendeinem Folterknast verschwunden, aus Sicherheitsgründen in Einzelhaft und sein Anwalt darf ihn nicht sehen. In Deutschland hätte man die Form gewahrt und es hätte ihn eine andere Staatsanwaltschaft wegen anderer Vorwürfe angeklagt. Steuerhinterziehung oder sowas. Damit es nicht schon auf den ersten Blick so stark stinkt.Welche Leute hat er denn da angepisst in Brasilien?
The articles cast doubt on the impartiality of a former judge, Sérgio Moro, and of some of the prosecutors who worked on a corruption investigation that landed several powerful political and business figures in prison. Among them was a former president, Luiz Inácio Lula da Silva, a popular leftist whose conviction paved the way for the election of Mr. Bolsonaro.Ja gut, Anfängerfehler. Der Bolsonaro ist ja kein Idiot und hat da natürlich seine Kumpels installiert. Sonst hätten die ja nicht den Lula weggeräumt, wenn das noch Leute gewesen wären, die Lula da installiert hat.Interessanterweise kopiert der Bolsonaro jetzt mit seinen Schergen die Strategie, die die Amis gegen Manning und Assange fahren:
Citing intercepted messages between Mr. Greenwald and the hackers, prosecutors say the journalist played a “clear role in facilitating the commission of a crime.”Assange wollen sie ja mit einem "Geständnis" von Manning drankriegen, das sie mit Beugehaft zu erpressen versuchen, dass Assange den Leak angestiftet haben soll. Und Manning sitzt jetzt seit Monaten im Knast, weil sie dieses Geständnis zu Lasten von Assange nicht abgeben will, auch wenn sie selbst gar nicht betroffen wäre davon, denn ihre Strafe wurde schon ausgesetzt.Aber der Höhepunkt der ganzen Nummer ist das hier:
Mr. Bottino said Brazil’s case law gives journalists broad protections. “You can’t punish a journalist for divulging a document that was obtained through criminal means,” he said.Ihr erinnert euch noch an die Netzpolitik.org-Landesverrat-Nummer?
In a modern telecommunications service provider, new equipment is deployed, configured, maintained and often financed by the vendor. Just to let that sink in, Huawei (and their close partners) already run and directly operate the mobile telecommunication infrastructure for over 100 million European subscribers.(Hervorhebung im Original, und völlig zu Recht)Das ist übrigens ein echt alter Trend. Wir haben uns in den 90ern im CCC über zwei Firmen namens Comverse (später umbenannt zu Verint) und Amdocs besorgte Verschwörungstheorien zugeraunt. Die Israelis haben damals als erste erkannt, dass die Deppen im Ausland eh alle outsourcen, und wenn du da deine Wanzen einbringen willst, dann musst du gar nicht Leute bestechen oder einbrechen oder hacken. Es reicht, wenn du deine inländischen Produkte subventionierst. Dann kaufen die Deppen im Ausland automatisch bei dir.
Comverse und Amdocs haben so Abrechnungssysteme für Telcos verkauft. Also die Systeme, die die ganzen Metadaten sehen. Genau die Daten, die man so haben will als Geheimdienst.
Man könnte sagen, die Amis haben das Modell perfektioniert. Die haben es geschafft, dass die Deppen auch ohne Subventionen den überteuerten Scheiß von Cisco kaufen.
Der Punkt war jedenfalls: Schon seit damals haben sich alle unsere großen Firmen in eine erstickende Abhängigkeit von ausländischer Technologie begeben und da kommen wir jetzt auch nicht wieder raus.
Die Politik schwadroniert gerne von digitaler Souveränität. Der Zug ist abgefahren, und zwar schon echt lange.
Bert fasst die Folgen so zusammen:
The host service provider often has no detailed insight in what is going on, and would have a hard time figuring this out through their remaining staff. Rampant outsourcing has meant that most local expertise has also left the company, willingly or unwillingly.We recently asked a large European service provider why only part of their customers get IPv6 service, and how they pick which parts do or do not get such service. They could not tell us, and informed us they too would like to know
Das kann ich nur unterstreichen. Das Niveau, auf dem da Duplosteine von irgendwelchen mehr oder weniger unseriösen ausländischen Zulieferern zusammengestöpseln werden, ist immer wieder ernüchternd.Ich habe einen Kunden, der an einigen Stellen den ernsthaften Versuch unternommen hat, die beworbene Funktionalität auch zu nutzen. Die sind da gegen Wände gerannt, das glaubt man gar nicht. Rudimentärste Basisfunktionalität funktioniert einfach nicht! Die Israelis sind wenigstens so professionell, dass ihr Scheiß dann auch mehr oder weniger zuverlässig funktioniert. In anderen Bereichen, besonders bei Security-Appliances, ist das häufig nicht der Fall. Die kauft man, stellt sie in die Ecke, kreuzt im Compliance-Report die Checkbox an, und dann ist es völlig wurscht, ob das Gerät irgendwas tut oder nicht.
Bert schildert ein schönes Beispiel für Outsourcing-Ketten:
However, over time, such IT staff also tends to get outsourced. At one major mobile provider the chain is now that the company has outsourced IT to Tech Mahindra and that Tech Mahindra in turn talks to Ericsson, who then finally operate the network.Meanwhile, Ericsson and other vendors in turn have outsourced or shipped many functions to to yet different countries where staff is more affordable.
So sieht es aus.In another example, one large Dutch mobile provider has handed over most of their technical staff to Huawei. Half of their freshly built and well designed headquarters has since stood empty - what remains in the other half are IT Architects who do not get closer to actual operations than an Excel sheet or a Visio diagram.Auch das kann ich bestätigen. So sieht das in der Praxis häufig aus. Besonders beeindruckend finde ich immer, wie die IT-Architekten sich dann im Kreis auf die Schulter klopfen, was für wichtige Arbeit sie doch tun hier. Dabei ist das im Wesentlichen das Anklicken einer "Lösung" aus einem Katalog. Denn was die Zulieferer nicht anbieten, das geht halt nicht. IT-Architekten versuchen dann ihr Selbstbild aufzubessern, indem sie da irgendwelche mehr oder weniger sinnlosen Integrationsanforderungen formulieren. Das ist das Stichwort, auf das die Zulieferer gewartet haben, denn das ist der Schlüssel für die wirklich teuren Rechnungen. Da machen die ihre fetten Profite.Ja, aber Fefe, wo kommt denn dann die Security her? Ganz einfach! Wir schreiben in den Vertrag, dass der Rechnungszulieferer die Daten nur für die Rechnungsstellung benutzen darf.
(Kunstpause)
That's it.
Oh und einen schönen Punkt hat Bert noch: Wenn du bei Ericsson kaufst, weil du denkst, dann hast du Europäische Tech im Haus: Ericsson lässt in China entwickeln.
Als Schlusswort nehme ich mal dieses tolle Zitat von Bert:
As a case in point, one European 15-million subscriber network now relies on a core team of 4 people (one of whom is their manager) to provide all addressing and numbering services. After years of failed attempts, these four people will now also be outsourced.
Es gibt mehrere interessante Aspekte an der ganzen Sache.
Erstens: Der Code sah sauber aus. Das war ein Logik-Bug. Der Code sah richtig aus. Man musste wirklich die Materie verstanden haben, um zu verstehen, dass es da ein Problem gibt. Kudos an die NSA, dass sie das überhaupt gesehen haben.
Zweitens: Es hieß initial, der Bug ginge 20 Jahre oder so zurück. Das stimmt wohl doch nicht. Der Bug wurde 2015 eingebaut. Das finde ich ja nun wieder hochinteressant. Denn wir reden hier von ECDSA. ECDSA war damals schon angeschossen, weil es so fragil ist, und es so einfach ist, damit einen Totalschaden zu produzieren. Die Playstation war über ihr DSA gehackt worden. djb hatte bereits mit explizitem Hinweis auf die Fragilität von ECDSA und den NIST-Kurven seinen Gegenvorschlag Ed25519 publiziert. Und unter diesen Umständen haben die den Code nochmal angefasst und ihn schlimmer gemacht. Dazu muss man wissen, dass Krypto-Code so der am wenigsten volatile Code überhaupt ist. Alle sind sich bewusst, wie kritisch da jedes Bit und jeder CPU-Zyklus ist, und keiner will da irgendwas anfassen. Das ist auch bei Microsoft so. Insofern wollte ich das alles erstmal gar nicht glauben. Allerdings gibt es einen Grund, doch den Krypto-Code anzufassen, nämlich wenn sich die Spec ändert, oder man noch einen Aspekt aus der Spec implementieren muss, den man vorher nicht supported hat.
In diesem Fall war das das Feature, dass im Handshake die Kurvenparameter übertragen werden, und nicht bloß die paar hart eingebrannten NIST-Kurven verwendet werden können.
So und jetzt kommt der echt peinliche Teil. Hier ist die Spec. Die sagt ausdrücklich:
implicitCurve and specifiedCurve MUST NOT be used in PKIXundspecifiedCurve, which is of type SpecifiedECDomain type (defined in [X9.62]), allows all of the elliptic curve domain parameters to be explicitly specified. This choice MUST NOT be used.Verschwörungstheoretiker wären jetzt vielleicht geneigt, hier von einer Bugdoor zu sprechen, also eine Backdoor, die wie ein Versehen aussieht.Bleibt die Frage, wieso die NSA das publik macht. Den einen Grund dafür kann man gerade gut beobachten. Die lassen sich als Helden feiern. Zum ersten Mal in ihrer Geschichte haben sie etwas Positives gemacht. Und einige Deppen glauben ihnen jetzt vielleicht sogar ihr Blablah, dass sie eine neue Seite aufschlagen wollen und ab jetzt wichtige Lücken nicht ausnutzen sondern melden wollen. Das ist natürlich absurd.
Ich glaube ja, die NSA hat das gemeldet, weil ihr eigener Arsch gefährdet war. Die NSA hat nämlich in den USA eine Doppelrolle und erledigt auch den Teil mit, den bei uns das BSI separat macht. Die schreiben die Anforderungsdefinitionen für Militär und Behörden. Und da haben sie reingeschrieben, dass Elliptische Kurven total geil und sicher sind, als bei uns noch Rüdi auf dem Congress gewettert hat, was das für eine unbewiesene spekulative Voodoo-Technologie sei, und dass man lieber bei RSA bleiben soll. Die haben sich damals ziemlich fett auf elliptische Kurven committed, und das Militär ist ihren Empfehlungen gefolgt. Microsoft hat Support für elliptische Kurven überhaupt nur eingebaut, soweit ich weiß, weil die NSA das den Behörden in die Anforderungen geschrieben hatte, und Microsoft gerne weiter Behörden beliefern können wollte.
Wenn jetzt also rauskommt, dass es einen Bug gibt, in einem von der NSA empfohlenen "sicheren" System, das der inhärenten Fragilität des Systems geschuldet ist, dann beschädigt das den Ruf der NSA.
Übrigens, bei solchen Bugs müsst ihr immer einen Spruch im Hinterkopf behalten: Wenn schon das A-Team solche Fehler hat, wie sieht dann erst der Code des B-Teams aus?
Ich behaupte daher: Das Verhalten der NSA ist ohne plötzlich aufkeimenden Altruismus zu erklären.
Das Extinction Rebellion war sehr ernüchternd. Dazu mache ich nochmal einen eigenen Blogpost.
Der Harry-Potter-Talk war der Hammer. Und zwar ging es da um Vault 7, das war der CIA-Hackertool-Dump von Wikileaks vor zwei Jahren. Da war auch etwas dabei, von dem Wikileaks dachte, es habe was mit Drohnen zu tun. Dieser Vortrag meinte, das sei vielmehr eine Geofencing-Lösung für MANPADS. Die Amis haben ja den Mujaheddin in Afghanistan Stinger-Raketen gegeben, damit sie den Sowjets ihre Hubschrauber runterholen. Das hat den Sowjets "ihr Vietnam" beschert, siehe auch den Film Charlie Miller Wilson's War. Viele von denen haben die Warlords aber nicht verschossen sondern gebunkert und später gegen andere Ziele eingesetzt. Daher war klar, dass die Amis nie wieder solche Luftabwehrraketen in der Gegend verteilen würden. Bis jetzt im Syrienkrieg. Die These des Vortrags war, dass die CIA eine Geofencing-Lösung gebaut hat, einen Chip für die Teile, der verhindert, dass die feuern, außer sie sind in einem bestimmten Gebiet auf der Erde, nämlich in diesem Fall wäre das dann wohl Syrien gewesen. Ein absolut faszinierender Vortrag, kann ich nur wärmstens empfehlen.
Ross Anderson war ja klar, dass das geil wird, aber es hat meine Erwartungen nochmal übertroffen. Klare Video-Empfehlung!
Und Bahnmining war auch faszinierend und knackenvoll. Saal 1 mit 5000 Sitzen. War voll. Bis auf den letzten Sitz. Einige saßen noch auf dem Boden neben den Tribünen. Krass. David war auch sichtlich gerührt. :-)
Update: Der Mann hieß Wilson, nicht Miller. Charlie Miller gibt es auch, der ist Autohacker. Freudsche Fehlleistung :-)
Der Vortrag von Andy über die Überwachung in der Botschaft von Ecuador hat Überwachungsvideos aus deren Kameras gezeigt. Und zwar hatte Ecuador ja eine spanische Firma mit der Security der Botschaft beauftragt, und die hat sich dann nebenher von der CIA bezahlen lassen, um die Überwachungserkenntnisse zeitnah den Amerikanern zu geben. Das ging soweit, dass die die zuständige Behördenleiterung in Ecuador bestochen haben, um einen Vorwand für das Nachrüsten von Wanzen zu erreichen. Das ist jedenfalls wohl der aktuelle Stand der Ermittlungen in dem Verfahren in Spanien, in dem aber bisher noch nicht mal Anklage erhoben wurde. Der Chef hat aber die CIA-Kohle nicht mit seinen unterbezahlten Schergen geteilt, woraufhin ein paar von denen spontan ein Gewissen entwickelten und zu Whistleblowern wurden. Da kommen diese Aufnahmen jetzt her.
Julian Assange hat in der Botschaft mit Abhörversuchen gerechnet und daher im Konferenzraum einen Rauschgenerator installiert. Die Lautsprecher von dem Teil waren dann u.a. direkt neben dem Fenster montiert, woraufhin das CIA-Team im Haus gegenüber, die per Laser den Schall von den Fenstern abnehmen wollten, keine brauchbaren Aufnahmen bekamen. Die haben dann die spanische Firma beauftragt, nach geeigneten Plätzen für eine Innenverwanzung zu suchen und die Wanzen zu montieren. Am Ende haben die im Fuß des Feuerlöschers eine Aushöhlung mit einer Wanze angebracht.
Für die sensibleren Gespräche ist Julian mit Anwalt dann zum Badezimmer gegangen und hat die Dusche laufen lassen. Daraufhin ließ die CIA eine Wanze hinter dem einen Schrank dort anbringen. Es war wohl einigermaßen erheiternd, die fluchenden Amis in den Anfragen an die Spanier zu lesen, weil sie nicht weiterkamen.
Das Ende war dann weniger lustig. Über die Wanze im Feuerlöscher haben die Amis ein Gespräch zwischen Julian und der Geheimdienstchefin von Ecuador belauscht, die Julian einen ecuadorischen Pass beschafft hatten, ihn zum Diplomaten ernannt hatten, und eine offizielle Abberufung in eine Botschaft in einem anderen Land eingetütet hatten. Am nächsten Morgen lag dann überraschend ein internationaler Haftbefehl der USA vor. Überwachen hat also ernsthafte Folgen.
Es gab leider technische Probleme beim Streaming und der Aufzeichnung am Anfang. Ich hoffe mal, das ist trotzdem was geworden. Andy hat extra später angefangen.
Danach saß ich im Archimedes-Vortrag drin, der war auch echt großartig. Wer sich ein bisschen für Computerarchitektur interessiert, für den ist das ein Fest.
Nach diesem Vortrag war ich bei "Von Ich zu Wir", wo sie u.a. gezeigt haben, dass Klimakatastrophe kein Neusprech ist, sondern Klimawandel ist der Neusprech. Klimakatastrophe war im aktiven Gebrauch während der Ozonloch-Geschichte, und das hat gewirkt, wenn ihr euch erinnert. FCKW war schnell verboten und das Ozonloch hat sich deutlich gebessert. Maha rief mich dann öffentlich dazu auf, in meinem Blog überall Klimawandel durch Klimakatastrophe zu ersetzen. Ich sehe mein Blog auch als Archiv und werde das daher nicht tun, aber ich werde versuchen, ab jetzt immer Klimakatastrophe zu sagen. Wörter haben Macht.
Der PSD2-Vortrag war dann doch weniger Rant und mehr Katastrophentourismus. Der rote Faden war eine gewisse ... sagen wir mal Abneigung gegen Sofortüberweisung, die ja auch bei mir im Blog nie gut weggekommen sind. Am Ende stand dann in der QA-Session jemand auf und meinte, er arbeite ja für Sofort, und sie seien ja alle gemeinsam daran interessiert, dass das besser würde. Das ist für mich der Balls of Steel Award diees Congresses.
Plundervolt war so ein bisschen zu klamaukig für meinen Geschmack aber inhaltlich haben sie schon eine Wunde gerissen. Und zwar kann man bei Intel-CPUs per MSR per Software Undervolting aktivieren. Wenn man das gezielt macht, kann man Glitches erzeugen. So haben sie die Intel-Secure-Enclave-Technologie angegriffen und u.a. Crypto-Keys extrahiert. Die tatsächlichen Auswirkungen werden glaube ich eher gering sein, weil m.W. so gut wie niemand diesen Enclave-Kram tatsächlich verwendet. Aber für Intel ist das halt ein weiterer Messerstich. Praktisch alles, was in den letzten 10 Jahren von Intel kam, hat sich seit dem als Katastrophe herausgestellt.
Danach saß ich im Vortrag über die Intel Management Engine, der aber ein bisschen unorganisiert wirkte. Wenn man vorher nicht verstanden hatte, worum es da ging, hat man es nachher auch nicht verstanden. Inhaltlich hat der Typ vor allem Exploits der Forscher von Positive Technologies veröffentlicht und seine Eigenleistung war dann, einen Loader zu hacken, mit dem man Management-Engine-Code unter Linux in einem Prozess "emulieren" kann, dann wenn man möchte in einem Debugger. Das ist schon geile Scheiße, ich will das nicht kleinreden. Aber das kam in dem Vortrag erst so gegen Ende und weil der Vortragende das Zeitmanagement verkackt hatte, musste die Vorführung davon dann auch noch gestrichen werden. Schade.
Gut, ich hab ja überhaupt gar kein Mitleid mit Leuten, die RSA Tokens einsetzen. Die heißen nur RSA, die haben kein RSA. Das ist proprietäre symmetrische Krypto, "unveröffentlicht", ein "Geschäftsgeheimnis". Das alleine reicht schon, um die in meinen Augen völlig für jeden Einsatz irgendwo zu disqualifizieren.
Aber dann wurde RSA gehackt und die Angreifer haben die Seeds rausgetragen. Das kam 2011 raus. Und es hieß damals, das seien die Chinesen gewesen. Seit dem warten alle darauf, dass jemand zugibt, über RSA-Tokens gehackt worden zu sein.
Ich hatte die schon damals in unzweideutigen Worten beschimpft.
Jedenfalls konnten später auch noch Forscher den Key aus einem Token extrahieren.
Und dann wurde deren Software-Agent unsicher.
Wer immer noch RSA-Tokens einsetzt, der hat verdient, dass ich mit Popcorn auf den Rängen sitze und gehässig lache.
Und DIE sind die, von denen wir ständig alle gehackt werden und vor denen wir furchtbare Angst haben sollen?
Nun ist das bei Onlinediensten so, dass die keine Passwörter speichern, sondern Hashes von Passwörtern. Und zwar, oh Ironie des Schicksals, damit ein Angreifer (wie z.B. eine freidrehende Behörde oder ein von Faschisten unterwandertes Justizministerium oder eine Organisation, deren Hauptzweck das Brechen von Gesetzen ist, wie z.B. der Verfassungs"schutz"), der es schafft, in einen solchen Dienst einzubrechen, nicht alle Passwörter raustragen kann.
Das heißt nicht, dass das nicht technisch umsetzbar wäre. Es würde uns bloß IT-sicherheitstechnisch in die Steinzeit zurückbomben.
Die offensichtliche Gegenrede wäre, dass die Leute da draußen doof sind und überall dasselbe Passwort verwenden. Das stimmt zwar, das würde ich hier aber nicht als Gegenargument gelten lassen. Der Diensteanbieter könnte ja nicht das Passwort rausrücken, sondern ein Passwort, das den gewünschten Account auch aufmacht.
Dafür müsste man natürlich mal eben die gesamte Software da draußen umbauen. Realistisch ist das also nicht. Viele Diensteanbieter setzen Software ein, für die sie gar nicht den Quellcode haben, und wo sie das also auch nicht mal eben reinhacken könnten.
Auf der anderen Seite würde dieses Gesetz quasi übernacht für den flächendeckenden Einsatz von Zweifaktorauthentisierung sorgen. Und dann kommen die armen Faschisten wieder nicht in unsere Accounts rein und brauchen die nächste Generation Faschistengesetze.
Sorry, falls euch das nicht gefällt, wenn ich das so deutlich als Faschismus bezeichne. Ich bin auch kein Freund davon, solche Worte inflationär einzusetzen. Aber das Ausmaß, wie sich der Staat in letzter Zeit anmaßt, seine eigentlich schutzbefohlenen Bürger als Gefährder zu brandmarken und präventiv wegzusperren, ihnen Wanzen und Trojaner unterzujubeln und jetzt auch noch ihre Passwörter auszuspähen, … ich wüsste nicht, wie man das anders nennen kann. Das Ausmaß an Übergriffigkeit unserer Regierung und Behörden ist inzwischen so, wie wir es in früher in Filmen herablassend Bananenrepubliken und Diktaturen nachgesagt haben. Sowas hätte man früher Kuba oder China unterstellt. Wir hier waren die Bastion der Freiheit. Unser öffentlich-rechtlicher Sender in Westberlin hieß sogar "Sender Freies Berlin", falls sich da noch jemand dran erinnert. Tja, ist nicht so viel übrig geblieben von der Freiheit Berlins.
John Carmack ist einer der schlauesten und produktivsten Programmierer der Welt. Das ist der Mann, der die Wolfenstein- und Doom- und Quake-Engines gehackt hat, der dann zu Oculus ging und VR-Brillen gebaut hat. Bei fast allen anderen Menschen würde ich mir keine großen Sorgen machen, wenn die ansagen würden, dass sie jetzt AGI bauen wollen. Aber Carmack?
John Carmack ist (mit Fabrice Bellard) eine eigene Kategorie Mensch.
Die Kategorie Mensch, die Erfolg haben könnte.
Wir sind alle so gut wie tot.
Update: Der aktuelle xkcd passt gut :-)
Das ist an sich eine gute Sache, finde ich. Es gibt gerade so zwei wichtige Trends, wie wir zu sicherer Software kommen können: Mitigations und Sandboxing.
Mitigations ist die Idee, dass wir nicht die Software sicherer machen, aber das Ausnutzen von Lücken erschweren. Dann kommen nur noch Geheimdienste überall rein, obwohl immer noch alles unsicher ist. Sozusagen: Die Shadowrun-Zukunft.
Sandboxing ist die Idee, einen Prozess einzusperren, damit er nicht viel Schaden anrichten kann, wenn er Mist macht.
Ich habe lange Zeit gegen Mitigations und gegen Sandboxing argumentiert. Die anderen haben sich durchgesetzt. Webassembly überlappt mit Sandboxing. Die Idee ist nicht nur, einer bestehenden Anwendung Dinge zu verbieten, sondern eine Plattform zu bauen, wo es diese gefährlichen Aufrufe gar nicht erst gibt.
Ich werde voraussichtlich auf dem 36c3 einen Vortrag halten, der diese Idee ein bisschen näher beleuchtet.
Das Hauptproblem mit Sandboxing ist halt, dass es nicht Angriffe gegen die Software verhindert, oder das Exfiltrieren von Daten, die die Anwendung vorhält, sondern nur dagegen, dass der Hacker dann auch direkt den Rest des Systems übernimmt. Häufig sind aber die Daten in der Anwendung in der Sandbox gerade die, die geschützt werden müssen.
Uber allegedly paid $100,000 ransom and had hackers sign NDAs after massive data breach
Fiese Hacker haben über Whatsapp fremde Nationen bespitzelt.
Wisst ihr, woran ich direkt denken musste? An diese Meldung von vor ein paar Wochen. Da wollten nämlich ein paar EU-Abgeordnete Signal benutzen, aber das EU-Parlament hat gesagt: Nein. Aus Sicherheitsgründen müsst ihr Whatsapp benutzen.
Nein, wirklich! Das haben die gesagt!
Gut, beim EU-Parlament ging es um die Desktop-App und hier geht es um die Mobil-App.
Whatsapp hat dann zur Schadensbegrenzung eine PR-Klage gegen die israelische Klitsche eingereicht, die die Malware verkauft hat. Ich hoffe, ihr fallt auf diesen Schmuh nicht rein. Zum gehackt werden gehören immer zwei. Ein unmoralischer Krimineller, der die Malware schreibt, und ein unmoralischer Entwickler, der unsichere Software an seine Kunden verteilt.
Update: Ich hoffe, ihr habt euch den Artikel ganz durchgelesen. Das Money Quote ist wie üblich gegen Ende im Kleingedruckten:
Prior to notifying victims, WhatsApp checked the target list against existing law enforcement requests for information relating to criminal investigations, such as terrorism or child exploitation cases. But the company found no overlap, said a person familiar with the matter. Governments can submit such requests for information to WhatsApp through an online portal the company maintains.
Die israelischen Ultra-Haxors haben nicht etwa Whatsapp gehackt. Die haben die existierende Backdoor für "lawful interception" benutzt.
Wisst ihr noch, wie ich seit Jahren davor warne, dass staatliche Hintertüren auch von Dritten genutzt werden könnten? Hier haben wir den ersten Fall, indem das passiert und dokumentiert ist.
Wie es aussieht, haben die Angreifer das bloß für C&C benutzt, also um anderswo gehackte Rechner zu steuern.
The security expert and bug-hunter John “hyp3rlinx” Page discovered an arbitrary code execution vulnerability, tracked as CVE-2019-9491, in the Trend Micro Anti-Threat Toolkit.Hey, ich habe eine Idee. Wir installieren einfach noch eine zweite Packung Schlangenöl! Die schützt uns dann vielleicht vor den Lücken, die das erste Schlangenöl aufgerissen hat!Wie wäre es mit Avast! Oder Norton! Gut, Norton hat den Nachteil, dass dann mein Blog nicht mehr geht. Aber für die Sicherheit muss man manchmal halt Kompromisse eingehen!1!!
Und zur Abrundung was von Cisco!
Und wenn ihr ganz sicher gehen wollt, dann nehmt Kaspersky. Die laden das in ihre Cloud und prüfen dort noch manuell!
Hackers accessed the internal network of Czech cybersecurity company Avast, likely aiming for a supply chain attack targeting CCleaner. Detected on September 25, intrusion attempts started since May 14.Das ist eine Firma, wir erinnern uns, die euch erzählt, ihre Produkte würden in Echtzeit (!) Angriffe erkennen und abwehren. Aber in ihrem eigenen Netz kriegen sie einen laufenden Angriffe über vier Monate nicht mit.Deren Schlangenöl will man doch sofort kaufen!!1!
Na, wollt ihr auch wissen, wie sie sich aus der Nummer rausreden wollen? Na klar, ganz einfach! Erstens tun sie so, als hätten sie den Angriff abgewehrt. Das finde ich ja ein bisschen … ambitioniert formuliert, wenn der Angreifer bei ihnen im Netz war. Über Monate.
The evidence we gathered pointed to activity on MS ATA/VPN on October 1, when we re-reviewed an MS ATA alert of a malicious replication of directory services from an internal IP that belonged to our VPN address range, which had originally been dismissed as a false positive.Wie Moment, 1. Oktober? Ich dachte 25. September!1!!Ist das wie einer dieser Polizei-Witze? 50 kg Kokain beschlagnahmt. Die 40 kg beschlagnahmtes Kokain sind auf dem Weg zur Asservatenkammer. Die 30 kg beschlagnahmtes Kokain sind angekommen. Die 20 kg beschlagnahmtes Kokain wurden erfolgreich eingecheckt.
On Oct 4, we observed this activity again.Ach nee, jetzt sind wir schon am 4. Oktober! Eben war es noch der 1. und davor war es der 25. September!
Hey, pass uff, das war bestimmt Emotet! Und Avast bietet bald ein Webinar an, wie man sich schützt! Und im Übrigen: Cyber-Spionage! Nation State! Supply chain attacks!
Lacht nicht!
Global software companies are increasingly being targeted for disruptive attacks, cyber-espionage and even nation-state level sabotage, as evidenced by the many reports of data breaches and supply chain attacks over the last few years.Hey, also wenn das SO schlimm ist, dann brauchen wir mehr Schlangenöl. Wie wäre es mit Avast? Ich hörte, die haben Erfahrung mit sowas!1!!
Die hatten offenbar einen Datenreichtum.
Mehrere kryptographische Schlüssel und Informationen über Konfigurationsdateien von NordVPN sind in einem Leak aufgetaucht. Einer der Schlüssel passt zu einem älteren Webseiten-Zertifikat von NordVPN.Das ist nicht gut.
Der Anbieter hat sich bisher noch nicht zu dem Vorfall geäußert.Das macht es noch viel schlimmer.
An Iranian hacking group was itself hacked by a Russian group to spy on multiple countries, UK and US intelligence agencies have revealed.OH ACH SO war das! Und diesmal wissen wir das aber wirklich ganz genau, weil, äh, weil die Geheimdienste es gesagt haben!!1! Leider können sie uns ihre Beweise nicht zeigen. Ein Schelm, wer da vor seinem geistigen Auge Colin Powell vor der Uno sieht.
"This is getting to be a very crowded space," explained Paul Chichester, director of operations for the NCSC, the protective arm of the intelligence agency GCHQ. "protective arm". HAHAHAHA, ja nee, klar!A report of Turla compromising another espionage group was made by the private security company Symantec in June.Und so stapeln sie sich aus Märchen und Legenden einen Turm der Fake-"Erkenntnis" zusammen. So ungefähr muss sich die Alchemie- und Hexenforschung angefühlt haben. Der ehrenwerte Herr Magister Soundso hat herausgefunden, dass Hexen bei Mondlicht besser cybern können, daher greifen wir immer gegen Mittag an, wenn die Sonne hoch im Himmel steht!1!!Update: In der Original-Pressemitteilung des NCSC taucht dann dieser bemerkenswerte Satz auf:
“We want to send a clear message that even when cyber actors seek to mask their identity, our capabilities will ultimately identify them.
Das ist des Pudels Kern. Ignoriert den Rest. das ist alles, was sie hier sagen wollen. Glaubt nicht dem Fefe, sagen sie, wir sind sooooo großartig, uns gelingt auch die Quadratur des Kreises, das Entwickeln sicherer Software, Reisen mit Überlichtgeschwindigkeit und Cyber-Attribuierung!1!!
Ich behaupte selbstredend das Gegenteil. (Danke, Frederik)
Nun, heute finden Wahlen auf Amazon statt, also deren Cloud-Scheiß. Weil, äh, …
Some security experts like David O’Berry, co-founder, Precog Security, said moving to AWS is “a good option for campaigns, who do not have the resources to protect themselves.”Das Argument finde ich immer die absolute Krönung. Kaufen Sie Ihre Bremsen bei uns! Klar können wir das nicht, aber Sie können das ja bestimmt noch weniger!!1!Wie wäre es mit Mindest-Qualitätszusagen?
Wir so: Freie und Geheime Wahlen gehen nicht digital.
Die so: Ach komm, machen wir bei Amazon. Klar geht das bei denen auch nicht, aber immerhin waren es dann die, die verkackt haben, nicht wir!
Unfassbar. Wie sind wir eigentlich in diesen immerwährenden Absturz initial reingeraten? Ich bin ja auch kurz davor, die Hoffnung aufzugeben, dass da noch was zu reißen ist.
Ich erinnere mich noch an meine Jugend, als ich begeistert Cyberpunk-Romane gelesen habe. Ich fand das immer total geil, aber fand die Prämisse voll unglaubwürdig, dass eine Zivilisation freiwillig ihre Infrastruktur so auf Sand bauen würde, dass alles hackbar ist.
Tja.
Heute weiß ich, wie es dazu kommen konnte.
Wahrscheinlich muss man noch dankbar sein, dass sie mit Amazon und nicht mit McDonald's zusammenarbeiten. Die haben voll viele Filialen, da kann man toll Wahllokale unterbringen! Und jeder kriegt noch nen Burger vergünstigt!!1!
Update: Falls jemand die Referenz nicht mitgeschnitten hat: Siehe hier.
Eure Privatsphäre ist Google sehr wichtig!
Daher solltet ihr euch das zu Herzen nehmen, wenn der Senior Vice President Devices & Services bei Google folgendes zu Protokoll gibt:
"Does the owner of a home need to disclose to a guest? I would and do when someone enters into my home, and it's probably something that the products themselves should try to indicate."Ein fieser Wadenbeißer von der BBC hatte die Frechheit, den guten Mann zu fragen, ob man nicht eigentlich Gäste vor dem Betreten des Hauses um Erlaubnis fragen müsste, bevor man sie der modernen Wanzen-Elektronik aussetzt, u.a. wie von Google verkauft. Seine erste Reaktion?"Gosh, I haven't thought about this before in quite this way," Rick Osterloh begins.Was machen Sie noch gleich beruflich, Herr Osterloh? Dass sie darüber noch nie nachgedacht haben?
Update: Gerade passend in den News: Stellt sich raus: In den Nest-Geräten ist neben Kamera und Mikrofon auch ein Lautsprecher drin, über den ein Angreifer z.B. dem Kleinkind sagen kann, es werde demnächst entführt werden. Kein Einzelfall.
So und jetzt überlegt euch mal: Wenn diese Site es nicht schafft, ihre Daten zu sichern. Wieso sollten wir dann unseren Behörden glauben, dass sie ihre Datenbanken absichern? Bei der Site arbeiten ja offensichtlich Leute, die verstehen, wie Daten geklaut werden, weil sie es selber tun. Und bei denen hängt im Gegensatz zu unseren Behörden die Existenz ihres Lebensunterhalts davon ab, dass nichts geklaut wird.
Und NICHT MAL DIE können das.
Daher habe ich die Situation immer zusammengefasst als: Wir wissen nicht, wie man Daten sicher ablegt.
Und meinte damit nicht pluralis majestatis sondern wir als Gesellschaft. Wir gehen hier gerade mit Daten um wie Marie Curie mit Uran umgegangen ist. Der Unterschied ist, dass wir es besser wissen müssten.
Kannste dir nicht ausdenken wie das ZDF gerade zwanghaft versucht einen Shitstorm heraufzubeschwören.(Danke, Andy)https://twitter.com/heuteplus/status/1182371176393465856
"DreamhackCS" ist einer der größten Veranstalter und Broadcaster von E-Sport Turnieren. Mal eben in den Twitch Channel das Video vom Terroranschlag in Halle reineditieren, was kann da schon schiefgehen.
Und die Schneise zu der Killerspieldebatte wird auch gleich mal wieder geschlagen. Qualitätsjournalismus.
Während ich diese Zeilen tippe wurde das Video entfernt. Reddit Quelle.
So sah das dann aus:
https://twitter.com/eXs_Lefted/status/1182567423523852288
Nun, dieses Narrativ probieren auch gerade die Hackback-Proponenten in Deutschland aus.
Jetzt ist die Frage, ob das staatlich gesteuert ist oder ob hier wirklich ein paar "besorgte Bürger" zurückgehackt haben. Weiß ich natürlich auch nicht. Aber eines weiß ich: Den Hackback-Proponenten auf staatlicher Seite spielt das in die Hände.
Ja und nein. Auf der einen Seite ist das kein reiner Schlangenöl-Placebo. An der Spec haben sich Experten aus mehreren Fachgebieten die Hände wund-masturbiert. Da ist einmal alles drin. Von Challenge-Response über Public-Key bis hin zu USB und NFC. Die Spec erwähnt als Inspiration auch Smartcards, damit wirklich jeder an Bord ist.
Das hat technisch schon Hand und Fuß, was die da machen. Ich rede trotzdem von Masturbation, weil dem ein paar Annahmen zugrundeliegen, über die man, zurückhaltend formuliert, nochmal diskutieren sollte.
FIDO2 kombiniert zwei Trends, die wir gerade gehäuft sehen in der IT-Security. Erstens: Unsere Software ist so unfassbar komplex geworden, dass wir Security nicht mehr herbeiführen können, daher bauen wir jetzt einen kleinen Mini-Rechner, und der ist dann so klein, dass man ihm noch vertrauen kann. Das Muster kennt ihr wahrscheinlich aus dem Supermarkt oder von Banken, die euch dann da so ein kleines Mini-Terminal für Kartenzahlung hinhalten. Da ist auch der Gedanke, dass das klein und verplombt ist und man dem daher vertrauen kann, weil die Bank oder der Supermarkt daran gar nicht mehr herumpfriemeln könnte, selbst wenn sie wollten.
Der zweite Trend ist, dass wir von sich gegenseitig vertrauenden Komponenten und der Unterscheidung "Internet vs. Intranet" zusehends wegkommen und stattdessen überall Krypto ausrollen. Selbst innerhalb von Chips haben wir inzwischen Krypto, und innerhalb von Modulen einer Software. Selbst so ein SOC, wie er in Mobiltelefonen verbaut wird, besteht inzwischen aus sich gegenseitig nicht mehr vertrauenden Modulen, die Krypto einsetzen.
Welche Annahmen meine ich jetzt, über die man nochmal reden sollte? Na die erste ist offensichtlich, dass diese Hardware "tamper proof" ist. Einer meiner Lieblingssprüche zu tamper-proof hardware ist von Peter Gutmann, der sagte: It is said that the only tamper-proof hardware is Voyager 2. Und zwar nicht, weil die Hardware sicher ist, sondern weil man da so schlecht rankommt, weil das Ding so weit weg ist. Die Annahme, dass man so einen Stick überhaupt tamper-proof machen kann, würde ich schonmal direkt bestreiten wollen. Klar, billig ist so ein Angriff auf so eine Hardware dann nicht. Aber wer weiß, wie viel wert die Geheimnisse sind, die ihr mit so einem Gerät absichern wolltet?
Die andere, wichtigere Annahme ist, dass es mit 2FA nicht so schlimm ist, wenn der Rechner oder der Browser gehackt wird. Und das stimmt halt auch nur partiell.
Ohne 2FA ist es so, dass ein Eindringling alle eure gespeicherten Passwörter direkt auslesen und ausleiten kann. Das ist im Normalfall ein Totalschaden.
Mit 2FA ist es so, dass die Passwörter nicht reichen, weil man den 2. Faktor braucht. Allerdings kann ein Angreifer im Browser ja einfach warten, bis ich mich das nächste Mal mit 2FA anmelde, und dann mit meiner angemeldeten Session Unfug machen. Das ist von der Auswirkung her fast genau so schlimm.
Dann gibt es da auch wieder eine Convenience-Abwägung. Nimmt man ein Token, was man bloß einstecken muss? Oder eines, wo man zusätzlich einen Knopf drücken muss? Oder eines, wo man den Fingerabdruck geben muss, damit der freischaltet? Die meisten Leute werden fürchte ich ein Token nehmen, das man einfach einsteckt und dann stecken lassen kann, und dann hat man halt nicht viel gewonnen in dem Szenario, dass ein Hacker den Browser übernimmt.
Und so ist es wie so häufig in der Security. Ist eigentlich keine doofe Idee, aber bringt eben auch nicht so viel, wie einem das Marketing aufzuschwatzen versuchen wird.
Ich persönlich verkünde ja seit ein paar Jahren, dass Komplexität der Feind ist. Unter der Metrik sieht so ein Token recht komplex aus. Zwischen PC und dem Token gibt es ein Binärprotokoll, über das man möglicherweise die Software auf dem Token angreifen kann. Weiß ich nicht, ob das eine reelle Bedrohung ist, aber die Angriffsoberfläche gibt es jedenfalls schonmal, und vorher gab es die nicht. Mir persönlich stößt es sauer auf, dass die erstmal NOCH ein neues Binär-Serialisierungs-Verfahren "erfunden" haben dafür. Dabei kommt dieser Scheiß von Google, und die haben uns vorher schon völlig ohne Not ihre Protocol Buffers reingedrückt. Der Typ von Protocol Buffers ist inzwischen nicht mehr bei Google. Was hat er als erstes getan? Ihr werdet es geraten haben: Ein neues Binär-Serialisierungs-Verfahren gemacht ("Cap'n Proto").
Das sind die Leute, die uns vorher gesagt haben, ASN.1 sei gefährlich und wir sollen unsere Krypto lieber als JSON in Base64 machen (googelt man JWT, wenn euch das neu ist).
Also, zusammengefasst. Ist das Schuldabwälzung? Ja. Ganz klar. Wenn euer Account jetzt gehackt wird, dann habt ihr euer Token verbummelt und es ist eure Schuld.
Ist es nur Schuldabwälzung? Ich glaube nicht. Aber ob euch das tatsächlich was nützt, hängt davon ab, ob es wahrscheinlicher ist, dass ihr (im Vorher-Szenario) den Laptop verliert, oder (im Nachher-Szenario) das Token. Dass die Krypto von den Tokens ranzig ist, da müsst ihr euch glaube ich wenig Sorgen machen. Es kommt so gut wie nie vor, dass Krypto-Krams über die Krypto angegriffen wird. Ich würde mir eher Sorgen machen, dass mir ein Taschendieb das Token klaut, und weil das nichts wiegt, merke ich es nicht sofort. Und dann ist da am besten auf dem Fingerabdrucksensor noch ein rekonstruierbarer Fingerabdruck von mir drauf.
Im Übrigen: Wenn ihr euch für FIDO2 entscheidet, dann gilt natürlich dasselbe wie auch für andere Security-Produkte. Kann ich dem Hersteller trauen? Ist das Open Source? Kann ich das zur Not selbst patchen, wenn der Hersteller stirbt oder sich weigert? Wie sind die Recovery-Pfade, falls das Token verlorengeht? Fange ich mir damit eine Beweislastumkehr ein?
Update: Dies ist vielleicht die richtige Gelegenheit für den Hinweis, dass es auch außerhalb von 2FA Wege gibt, die Arbeitsumgebung sicherer zu machen. Es hat sich z.B. eingebürgert, sich bei Webseiten einzuloggen, und dann einfach eingeloggt zu bleiben. Während ihr bei einer Site eingeloggt seid, kann auch eine andere, böse Webseite auf allen anderen Webseiten, auf denen ihr noch eingeloggt seid, Daten abgreifen und eventuell sogar Transaktionen auslösen. Das ist ein häufiger Bug in Webseiten, gegen den es seit einer Weile ordentliche Browser-Gegenwehr gibt, die über "wir passen halt überall auf" hinausgeht. Aber das ist ein Risiko, das man sich gar nicht erst ans Bein binden muss. Ich jedenfalls halte mich auf Webseiten wenn möglich unangemeldet auf und logge mich nur kurz ein, wenn ich einen Kommentar abgeben will oder so. Und dann ist da noch die Frage, was man mit den Passwörtern macht. Hier gibt es ein weites Spektrum an Ratschlägen. Ein Master-Passwort im Browser vergeben hilft, falls einem der ausgeschaltete Rechner wegkommt. Hilft nicht, wenn man sich einen Trojaner einfängt oder einen Angreifer im Browser hat oder wenn der Rechner nur im Sleep-Modus war und nicht ganz ausgeschaltet, und da am Besten noch ein Browser offen war. Und für "der ausgeschaltete Laptop wird geklaut" habt ihr hoffentlich eh schon Full Disk Encryption aktiviert.
Meine Einschätzung ist im Moment, dass die Browser die Achillesferse der IT sind, und man immer sofort alle Security-Updates einspielen muss. Ich bin sogar soweit gegangen, meine Browser vom Beta-Channel zu beziehen, damit ich nicht nur einmal im Monat Bugfixes kriege.
Dass man nicht überall dasselbe Passwort nehmen soll, hat sich glaube ich schon herumgesprochen. Ich halte es so, dass ich Passwörter von einer Software zufällig generieren lasse. Dann weiß ich, dass die Passwörter ausreichend Entropie haben. Nachteil: Die Passwörter merkt man sich dann nicht mehr. Dafür gibt es Passwortmanager, oder man verlässt sich auf den Browser. Allerdings: Wer den Browser übernehmen kann, kommt auch an eure Passwörter, solange es da einen Automatismus gibt und ihr die nicht immer manuell rüberkopiert.
Eines meiner Argumente in den Folien zu Hackback war ja, dass die Exploit-Verkäufer dir den Exploit wahrscheinlich nicht exklusiv verkaufen, selbst wenn sie dir das glaubwürdig versichern. Und ein Idiot reicht, um den Exploit zu verbrennen. In diesem Sinne: Vielen Dank, Usbekistan. Verbrennt bitte noch so viele 0days wie ihr Geld über habt! Das ist endlich mal ein hilfreicher Beitrag eines Landes zur digitalen Verteidigung. (Danke, Axel)
...wot?
Update: "Wieviel Polizisten braucht es, um eine Glühbirne einen Server zu wechseln?"
Update: Beim ehemaligen Nachrichtenmagazin gibt es eine Fotostrecke, auch mit Innenaufnahmen. Und sie sagen, es seien 200 Server beschlagnahmt worden, nicht nur einer.
Ein Schelm, wer Böses dabei denkt!
Gut, die sonstigen Sponsoren sind bei solchen Veranstaltungen gerne Schlangenölbuden, insofern ist mir da Huawei sogar noch lieber. einer der Gold-Sponsoren hier ist Palo Alto Networks (ihr erinnert euch vielleicht).
Update: Eine der Keynotes ist von einer Abteilungsleiterin Cyberabwehr aus dem Verfassungsschutz, die da erzählen will, dass sie Cyber-Attribuierung machen (und implizit: dass man Cyber-Angriffe attribuieren kann). Das bestreite ich nachdrücklich.
Sehr unterhaltsam auch: Es gibt einen Vortrag von eyeo (die, die Adblock Plus gekauft haben und das an Schutzgeld erinnernde Geschäftsmodell darauf aufgebaut haben), dass "infizierte Online-Werbung" die kritische Infrastruktur bedroht. Da ist ja was dran, aber ... muss man das ausgerechnet die vortragen lassen?
Update: In der Keynote hat Prof. Pohlmann eine Folie mit den drei Lösungen für die Security-Zukunft: Blockchain, KI, Quantencomputer. Das ist genau die Inhaltsangabe meines "ist alles Unfug"-Vortrags. Hoffentlich nimmt das niemand persönlich, was ich da vorzutragen haben werde...
Update: Nebelwerfer-Euphemismus-Update: "cyber-aggressiven Fremdstaaten wehrhaft entgegen treten können".
Update: Oh wow, die Expertin vom Verfassungsschutz hat gerade öffentlich angesagt, dass Angreifer aus dem Ausland dafür ja auch übernommene Rechner in Deutschland benutzen. Wenn sie DAS verstanden haben im Verfassungsschutz, wie können sie dann noch "Zurückhacken" propagieren!? Ein beeindruckendes Ausmaß an kognitiver Dissonanz.
Update: Der nahtlose Übergang von "die Amis hacken im Iran" über "wir beobachten APT28" hin zu Guccifer ist ja schon irgendwie atemberaubend. Jetzt sind wir gerade bei "der Verfassungsschutz bekämpft Fake News", wenn ich das mal geringfügig umformulieren darf. Da braucht man nicht viel Fantasie, um sich auszumalen, gegen wen sich "Zurückhacken" in der Praxis richten wird.
Update: Krass jetzt kam ernsthaft noch der Spruch, defensive Security reiche ja nicht, weil die Leute ja immer nur gegen das verteidigen, was sie für die Fähigkeiten der Angreifer halten, und die Angreifer würden schon darauf achten, dass sie immer mehr können als die andere Seite glaubt. Lasst mich der erste sein, der euch sagt: Das ist Bullshit. Selbstverständlich verteidigt man auch und gerade gegen hypothetische Angriffsvektoren, bevor man weiß, dass sie konkret ausgenutzt werden können. Wer sich selbst informieren will, kann sich z.B. mal die Threat Models von TLS angucken, oder die BSI-Krypto-Empfehlungen.
Hier könnt ihr euch das angucken. Navigation wie üblich über die Pfeiltasten auf der Tastatur. Viel Spaß!
Ich hoffe ja, dass das Thema damit endlich beerdigt ist. Aber das habe ich leider vor Jahren schon das erste Mal gedacht, und jetzt trampelt die Idee schon wieder durch die Nachrichten.
Update: Meine Theorie ist übrigens, dass die einfach cybern wollen, das "back" in Hackback ist halt Bullshit, um den Fuß erstmal in den Türspalt zu kriegen. Daher habe ich den Teil zu Kosten und Halbwertzeit von Exploits aufgenommen, das betrifft ja genauso Offensiv-Cybern.
Richard Stallman ist der Begründer des GNU-Projektes, dem wir unter anderem GCC und Linux zu verdanken haben, und eine absolute Legende unter Hackern, auch wenn er persönlich etwas schwierig ist (Klassiker, see also). Der Mann ist ein Ideologe und ein Fanatiker, und kompromisslos für freie Software (nicht Open Source, das ist eine fiese Gegenideologie, um sein Baby freie Software zu verwässern). Das klingt jetzt negativ, und es gibt über Stallman sicher viel negatives zu sagen, aber in meinen Augen ist er doch ein Held.
Stallman hat seit ewigen Zeiten beim CSAIL einen Posten, und man erzählt sich Geschichten, dass er da jahrelang im Terminalraum unter dem Tisch geschlafen hat.
Sein Rücktritt jetzt liegt aber an einer anderen Sache. Und zwar hat das MIT Spenden von Jeffrey Epstein angenommen, für das Media Lab. Zuständig war Joi Ito, der Chef des Media Lab, weltbekannt für seine Arbeit dort und allen Erzählungen nach ein exzeptionell gutherziger Mensch. Nun ist das Media Lab aber auf Drittmittel angewiesen (obwohl das MIT auf einem Geldberg sitzt), und so hat Joi Ito da eine Weile gegrübelt, ob er das Geld annehmen soll, und u.a. seinen Freund Lawrence Lessig gefragt, dessen Entschuldigsschreiben dazu ihr hier lesen könnt (empfehle ich, das ist echt der einzige positive Aspekt an dieser ganzen Nummer). Das MIT hat jetzt enorm öffentlichen Ärger abgekriegt, weil der Epstein ja vor vielen Jahren verurteilt wurde für was sich aus heutiger Sicht wie eine Randnotiz seiner Karriere als Zuhälter und Menschenhändler von Minderjährigen für Sexorgien mit Epsteins einflußreichen Promi-Kunden herausstellte — aber bevor das aktenkundig war, ist Epstein unter mysteriösen Umständen im Knast erselbstmordet worden. Er war zwar in dem Selbstmord-Gefahr-Programm, aber gerade zu dem Zeitpunkt waren genau die Kameras vor seiner Zelle ausgefallen und die Wächter waren eingeschlafen. Ja nee, klar.
Und da hat sich der Ärger halt in Richtung MIT entladen. Ironischerweise haben sie dem MIT vorgeworfen, dass sie die Spenden anonym angenommen haben. Lawrence Lessig erklärt sehr eloquent, dass das genau die einzige Waffe des MIT ist, um potentielles Blutgeld anzunehmen — damit man wenigstens dafür sorgt, dass derjenige sich nicht damit schmücken oder reinwaschen kann.
Viele Ultrareiche haben in ihrer zweiten Lebenshälfte ein schlechtes Gewissen und werden plötzlich zu Philanthropen, machen eine Spende nach der anderen, gründen Stiftungen und so weiter. Joi Ito wollte verhindern, dass der Epstein sich mit seinen Spenden für sein Lab von seinem schlechten Ruf reinwäscht und bestand daher darauf, das anonym zu machen.
Jedenfalls hat das nicht gereicht und Ito musste seinen Posten räumen, inzwischen wackeln sogar schon die Stühle seiner Vorgesetzten in der Uni-Verwaltung. Und unter den Leuten, die ihm zur Seite sprangen, war Stallman. Auf einer nicht öffentlichen Mailingliste, aber ein Berufsempörter war schockiert — SCHOCKIERT!!! — und hat das geleakt. Es ging darum, dass unter den Promis, die als Kumpels von Epstein angeblich in den Genuss von Sex mit Epsteins Harem aus Minderjährigen wurden, auch Marvin Minsky sein sollte, der inzwischen verstorben ist, und eine noch größere Legende als Stallman ist, eine der wichtigsten Figuren in der KI-Forschung. Um den Teil geht es aber gar nicht, sondern es geht darum, dass der Vorwurf war, Minsky habe "Sexual Assault" begangen. Stallman findet den Term ungeeignet, weil er häufig auf vergleichsweise geringe Tatbestände angewendet wird, um beim Leser die Vermutung und Emotionen für weit größere Sünden herbeizuführen.
Die Frau, um die es hier geht, war zu dem Zeitpunkt 17.
Stallman sagt jetzt, die werden dem Minsky nicht gesagt haben, dass sie minderjährig ist und das nicht freiwillig macht, und dann wäre Sexual Assault der falsche Begriff.
Stallman sagte auch noch, er finde, dass es nicht OK sei, einen wertenden Begriff wie "Vergewaltigung" zu benutzen, wenn es juristisch von +-1 Jahr Altersunterschied und/oder welchem Land die Tat stattfand abhängt. Das ist eine Ansicht, die ja auch bei Julian Assange und Schweden das eine oder andere Mal zu hören war.
Ich fühle mich ja bei solchen Meldungen immer an dieses Blogposting von 2015 erinnert.
Update: Von seinem Posten im Vorstand der Free Software Foundation ist er auch zurückgetreten.
Ich finde es tragisch, dass immer die falschen Leute genug moralischen Kompass für einen Rücktritt haben, während die, bei denen ein Rücktritt wirklich wichtig gewesen wäre, den Scheiß immer einfach aussitzen können.
Update: Lesenswerter Twitter-Rant über das Media Lab, Epstein und Sugar Daddy Science (toller Begriff, finde ich). Stellt sich raus: Epstein war Eugenik-Fan und erst in zweiter Linie pädophil. Und seine Drittmittel haben das Media Lab korrumpiert, nicht bloß wegen der Quelle sondern auch weil sie genug Kohle hatten, sich nicht mehr anstrengen zu müssen.
Update: Oh angeblich hat die Frau selbst ausgesagt, von niemandem gezwungen worden zu sein. Das spielt natürlich juristisch keine Rolle in einer Jurisdiktion, die bei Minderjährigen annimmt, dass sie nicht zugestimmt haben können.
Im Fließtext rudern sie dann wieder ein bisschen zurück, denn wer seine Kunden in der Werbung direkt anlügt, der könnte schadensersatzpflichtig werden.
Mein Lieblings-Bullshit-PR-Satz in dem Artikel ist der hier:
Intel® says these side-channel leaks can only be maliciously exploited in the wild by highly sophisticated cyber-criminals. The archetypal hacker in the bedroom won't have the skills to abuse these flaws in the real world to steal information.Was ist denn davon bitte die Aussage? Richtet sich irgendeine Security-Maßnahme nicht gegen "highly sophisticated cyber-criminals" sondern bloß gegen Kids, die noch bei ihren Eltern wohnen?Ja gut, äh, außer Schlangenöl jetzt. (Danke, Daniel)
Sehr erfreulich, dass die Bundeswehr informiertes Personal hat, und wenn es auch nur in der Universität der Bundeswehr herumhängt und nicht in den Führungsetagen.
Die in dem Papier vorgebrachten inhaltlichen Argumente sind jetzt alle nichts, was man noch nicht gehört hätte: Funktioniert nicht, teuer in der Anschaffung, Proliferationsrisiko, die Sicherheitslücken bleiben dann bestehen und können auch von anderen ausgenutzt werden, nur einmal verwendbar pro Exploit, die Exploits gammeln mit der Zeit weg und funktionieren nicht mehr, Attribuierung geht auch gar nicht, und man öffnet damit Tür und Tor für Wildwest-Anarchie und gegenseitiges kaputthacken von ziviler Infrastruktur.
Ich schließe mich diesen Ausführungen vollumfänglich an.
Der gute Mann wollte jedenfalls vorschlagen, dass man Offensive und Defensive zusammenlegt, weil er Synergien vermutet. Ich wollte eigentlich zynisch fragen, von was für einer Verteidigung er denn da spricht, denn mir sind keine Verteidigungsbemühungen der Bundesregierung bekannt. Alles immer nur Offensive. Und dann wundern sich alle, wenn sie von "den Russen" gehackt werden.
Aber dieser Spezialexperte von Zitis hat mir den Joke aus dem Mund genommen, indem er einen noch krasseren Witz gebracht hat: Statt von der Defensive spricht er von "Big-Data-Analysen". *stirnklatsch*
Falls ihr jetzt schon vermutet habt, dass das ein Geheimdienstler ist, der da völlig schamlos mehr Geld fordert, dann … habt ihr völlig Recht.
Die Polizei nenne Computer-Network-Operations im Gegensatz zum Militär "Quellen-TKÜ", brachte Karl ein Beispiel für die doppelt laufende Entwicklung von Staatstrojanern, um etwa Smartphones zu infiltrieren und den Nachrichtenaustausch vor einer Ver- oder nach einer Entschlüsselung mitzuschneiden und abzuhören.ACH NEE. "Quellen-TKÜ" ist doch dasselbe wie Staatstrojaner? Da werden aber die PR-Koksbrigaden des Innenministeriums Tränen in den Augen haben, dass dieser Experte für Geldverbrennen hier mit einem Nebensatz ihre ganze "Arbeit" kaputtgetrampelt hat.
Aber wartet, einer kommt noch.
Dieser Schritt ist laut dem Zitis-Chef nötig, da die Bundesrepublik im Krisenfall nicht von ausländischen Herstellern abhängig sein dürfe und spielte auf den Fall des chinesischen Konzerns Huawei an. Bei Big Data etwa seien deutsche Behörden "ähnlich abhängig von außen", sodass "wir auch hier zentral Entwicklungen durchführen müssen".Ja wie kommt denn das, dass ihr kein Sicherheits-Knowhow habt? Vielleicht weil ihr Hackertools verboten habt und damit die eine Hälfte der Leute ins Silicon Valley weggetrieben habt und die andere kann euch nicht mehr leiden und würde nie mit moralfreien Vollpfosten wie euch zusammenarbeiten?
The two women are in the process of a divorce and battling over custody of a 6-year-old son, Worden told KPRC. She said she conceived the boy through in vitro fertilization and carried by a surrogate.
- At some time in April 2018, the Webmin development build server was exploited and a vulnerability added to the password_change.cgi script. Because the timestamp on the file was set back, it did not show up in any Git diffs. This was included in the Webmin 1.890 release.
- The vulnerable file was reverted to the checked-in version from Github, but sometime in July 2018 the file was modified again by the attacker. However, this time the exploit was added to code that is only executed if changing of expired passwords is enabled. This was included in the Webmin 1.900 release.
- On September 10th 2018, the vulnerable build server was decomissioned and replaced with a newly installed server running CentOS 7. However, the build directory containing the modified file was copied across from backups made on the original server.
- On August 17th 2019, we were informed that a 0-day exploit that made use of the vulnerability had been released. In response, the exploit code was removed and Webmin version 1.930 created and released to all users.
Und ihre Lösung jetzt ist: Wir verlassen uns halt voll auf github. Ja, klar, weil github-Accounts ja auch noch nie gehackt wurden.
So viel Hilflosigkeit auf einem Haufen, da kannst du echt auch gleich zu Oracle oder Cisco greifen.
Der Lacher ist ja, dass keiner von deren Kunden dazulernt. Die werden auch in 10 und in 100 Jahren noch Cisco-Produkte einsetzen, und sich wundern, wieso sie so hohe Personalkosten für das ständige Nachpflegen haben, und wieso keines ihrer vielen Cisco-Security-Produkte verhindert hat, dass sie gehackt wurden.
New hotness: Inkompetente Idioten leaken eure Biometriedaten. Alle mal … oh, warte.
Die Experten konnten sich nach eigenen Angaben ohne große Mühen Zugang zu 27,8 Millionen Einträgen verschaffen, die 23 Gigabyte an Daten ausmachten. Darunter waren neben unverschlüsselten Profilinformationen wie Nutzernamen und Passwörtern über eine Million Fingerabdrücke sowie eine ungenannte Zahl an Gesichtsbildern.Ich bin ja immer wieder erstaunt, dass wir noch nichts von verloren gegangenen Daten aus den Meldeämtern gehört haben. Die sind in der Vergangenheit eher durch das Gegenteil von Datenschutz aufgefallen, als sie eure Anschriften an die Werbemafia verkauften oder an die Fernsehgebühren-Inkassobehörden weitergegeben haben. Das kann mir doch keiner erzählen, dass die bei den Biometriedaten nicht mindestens genau so freizügig sind.
Was hat er so gefunden? Nun, wie man das erwarten würde:
Firstly, there is no access control whatsoever! Any application, any user - even sandboxed processes - can connect to any CTF session. Clients are expected to report their thread id, process id and HWND, but there is no authentication involved and you can simply lie.
Secondly, there is nothing stopping you pretending to be a CTF service and getting other applications - even privileged applications - to connect to you.
Even when working as intended, CTF could allow escaping from sandboxes and escalating privileges.
Die typischen Zeichen von "nachgerüsteter Security". Ja gut, Cheffe, das Originaldesign war massiv verkackt, aber guck mal, wir kleben da jetzt ein bisschen Warnschilder ran und dann empfehlen wir den Benutzern Schlangenöl und dann wird alles gut!It will come as no surprise that this complex, obscure, legacy protocol is full of memory corruption vulnerabilities. Many of the COM objects simply trust you to marshal pointers across the ALPC port, and there is minimal bounds checking or integer overflow checking.Ah, die gute alte "das Design ist so komplex und verkackt, soweit kommen die Angreifer bestimmt nie"-Verteidigung!1!!Wer sich jetzt denkt: Ach naja, wer hat schon privilegierte Prozesse am Laufen, die man so hacken könnte? Für den habe ich schlechte Nachrichten: Du. Der Login/Lock-Screen. Der benutzt auch dieses Framework.
Das FBI hat das hier zurückgeschickt. Da geht es aber nicht um IPsec sondern um OpenSSH. Das Dokument ist massiv zensiert, aber es sieht so aus, als habe das FBI in einem Counterterrorismus-Projekt entdeckt, dass jemand OpenBSD gehackt und eine Backdoor in OpenSSH eingebaut hatte. Das ist von 2002.
Da weißt du doch, wen du anrufen kannst, wenn dir das nächste mal dein Twitter-Account gehackt wird!1!!
The hackers managed to steal 7.5 terabytes of data from a major contractor, exposing secret FSB projects to de-anonymize Tor browsing, scrape social media, and help the state split its internet off from the rest of the world. The data was passed to mainstream media outlets for publishing.Wie, das ist alles? Das hätte ich euch auch ohne Hack sagen können, dass das auf der Liste steht. Bei welchem Geheimdienst steht das denn bitte nicht auf der Liste?!Keine Ufos? Keine Gehirnwäscheprogramme? Keine geheime Folterforschung? Nicht mal Remote Sensing?
Da bin ich jetzt aber ziemlich enttäuscht. Wenn das mal nicht bloß der Honeypot war, den die Hacker da rausgetragen haben!
The glass contains precisely controlled inclusions such as air holes or an impurity such as graphene or other material. When light strikes the glass, complex wave patterns occur and light becomes more intense in one of the ten areas on the glass. Each of those areas corresponds to a digit.Also ein optischer Computer! Wie geil ist DAS denn! Mit Fotos!!
Heute so: Bulgarien hat einen (!) 20jährigen (!!) verhaftet.
A 20-year-old cybersecurity worker has been arrested in Bulgaria and charged with hacking the personal and financial records of millions of taxpayersIch kenne die Details nicht, aber das klingt für mich nach "der SQL-Dump-Backup lag unter /data.zip" oder so.But some experts who have examined the stolen data said the techniques used in the attack were relatively basic and spoke more to a lack of adequate data protection measures than the hacker’s ability.Sag ich doch!
Und natürlich ist mal wieder die Rede von einem Hackerangriff. Eine Ransomware ist kein Hackerangriff. Ein Hackerangriff ist, wenn ein Hacker deinen Rechner angreift, ohne dein Zutun, und der geht dann kaputt oder tut Dinge, die du nicht wolltest. Heutzutage ist der Begriff in der Breite kaum noch anwendbar, weil jede Schrottsoftware ständig neue Updates nachinstalliert, die Dinge tun, die du nicht wolltest. Aber das ist die Definition eines Hackerangriffs.
Was wir hier haben ist ein klarer Fall von "die Organisation hielt es nicht für nötig, ordentliche Infrastruktur auszurollen". Organisationen, die glauben, ein verkacktes Berechtigungskonzept im Unternehmen durch die Nachinstallation von Schlangenöl bekämpfen zu können. Und ja, das ist meiner Erfahrung nach der beste Indikator für verkackte Sicherheitskonzepte in Organisationen: Schlangenöl. Je verkackter die Security, desto mehr Schlangenöl.
Ja aber Fefe, höre ich euch sagen, die Produkte im Gesundheitssektor sind alle auf einem beschissenen Niveau, da kann man nicht so viel machen! Doch, kann man. Man vernetzt sie nicht. Und man klagt solange bei den Herstellern Nachbesserungen ein, bis die netto einen Verlust pro verkaufter Lizenz einfahren.
Was mich ja bei solchen Geschichten immer am meisten mitnimmt: Das sind die Leute, denen wir glauben sollen, dass sie bei dem Rest ihres Krankenhauses schon alles ordentlich machen. Denen wir unser Leben anvertrauen sollen, wenn wir in Not sind. Die Leute, die es nicht schaffen, ihre IT ordentlich zu installieren, denen sollen wir dann glauben, dass sie aber ihre ärztlichen Dinge alle voll im Griff haben.
Ich weiß nicht, wie euch das geht, aber das fällt mir schwer.
Money Quote:
In der Nacht zum Sonntag hat ein Cyberangriff das komplette Netzwerk des Verbundes lahmgelegt – und das trotz vorhandener Firewall und aktualisierter Antivirensoftware.DAS IST JA UNGLAUBLICH, BOB? Ihr hattet Schlangenöl und eine Firewall!?!? Und das hat nicht gereicht?!?!?
Eine von außen ins System eingespielte Schadsoftware hat Server und Datenbanken kryptisch verschlüsseltJa nee klar, von außen eingespielt. Ich glaube kein Wort. Das ist eine dieser "damit konnten alle gut leben"-Erklärungen. Es gibt für Ransomware drei typische Optionen, wie die in ein Unternehmen kommt:
Die Wahrscheinlichkeit für Fall 3 ist verschwindend gering. Das kommt praktisch nicht vor. Ich wäre wirklich überrascht, also echt ehrlich ganz doll überrascht, wenn das hier vorgekommen sein sollte. Den Fall kann man praktisch ausschließen, so selten kommt der vor. Dass jemand über eine Sicherheitslücke reinkommt, für die es noch keinen Patch gab. Das ist eine übliche Schutzbehauptung, aber vorkommen tut es nie.
Ich betrachte solche Fälle inzwischen als übliche Geschäftskosten. Du kannst entweder Geld in ordentliche Infrastruktur oder in Dauerreparaturen stecken. Ist wie bei Autobahnen und Fenstern und Sanitär und sonst überall. Aber seid dann bitte auch so ehrlich und faselt nicht von Hackerangriffen herum. Die Ursache für euren Schaden ist eure eigenen Infrastrukturentscheidungen, nicht irgendwelche Hacker.
So und jetzt könnt ihr entweder alle weiterhin euer Windows-Ökosystem mit Active Directory und SMB-Shares und MS Office weiter betreiben und schön Schlangenöl drübersprenkeln, und euch wundern, dass ihr trotzdem die ganze Zeit Ärger habt. Oder ihr könnt mir glauben, wenn ich euch sage: Schlangenöl hilft nicht.
Und ich habe jetzt Albträume über Ausreden eines Krankenhauses, das mit schlechter Hygiene erwischt wird. Das war keine verkackte Hygiene, das war ein Bakterien-Angriff! Wir hatten sogar eine Seife ausliegen und das hat nicht gereicht!!
Wie, wer da eigentlich gecybert wurde? Nun, äh, *raschel* *kram* die Bulgaren!!
In Bulgarien haben Hacker offenbar Steuer- und Finanzdaten von mindestens einer Millionen Bürgern kopiert.Wisst ihr, wie man zuverlässig verhindern kann, dass Daten von Millionen von Bürgern wegkommen? Man erhebt sie einfach gar nicht erst. Wieso muss das eigentlich alles digital vorliegen? Wegen irgendwelcher nebulöser Big-Data-Hirngespinste?
Thank you, your trust in Canonical is important to us, which is why we make privacy and security a priority.Wieso sich Firmen solche blöden Sprüche bei solchen Gelegenheiten nicht klemmen können, das werde ich wohl nie verstehen. Viel offensichtlicher falsch geht ja wohl kaum noch. Aber PR-Blasen gehen einfacher als Entschuldigungen oder wie?
New hotness: Der Westen greift tatsächlich Yandex an und lässt sich erwischen.
Yandex spokesman Ilya Grabovsky acknowledged the incident in a statement to Reuters, but declined to provide further details. “This particular attack was detected at a very early stage by the Yandex security team. It was fully neutralized before any damage was done,” he said.The company also said that “the Yandex security team’s response ensured that no user data was compromised by the attack.”
Hey, das wäre doch mal ein Standard, der auch uns gut zu Gesicht stehen würde! Dass keine Nutzerdaten wegkommen?
Als Sofortmassnahme sei die Sicherheitsstufe des Antivirenprogramms erhöht worden.Wie, Schlangenöl hilft nicht? Dann müssen wir die Dosis erhöhen!!
Ich forsche an der Universität Kopenhagen und habe gerade eine E-Mail bzgl. unseres Support-Dienstleister für DNA-Sequenzierung erhalten, die ich dir gerne weiterleite:Ich wünsche schönen Feierabend! :-)[…] told me that Eurofins has been hacked, so they have no access to servers etc. (Apparently the hackers want a ransom) […] They have no idea when things will be up and running.
Ich mache jetzt jedenfalls erst einmal Feierabend.
Das ist irgendeine belanglose Messaging-Geschichte. Was diesen Fall auszeichnet, ist dass wir mal erfahren, wie lange die Angreifer Zugriff auf die Datenbank hatten, bevor es jemand gemerkt hat.
Einem offiziellen Statement von Flipboard zufolge hatte ein unbefugter Dritter im Zeitraum von Juni 2018 bis April 2019 Zugriff auf die Datenbank.Die Firma sagt jetzt: Naja, wir haben ja die Passwörter gehasht abgespeichert. Ist also nicht so schlimm.
Ich würde dem nicht zustimmen. Wenn es jemand bis zu eurer Datenbank geschafft hat, dann hing die entweder am Internet, in welchem Fall man nie wieder irgendwas aus eurem Hand vertrauen sollte, oder der Angreifer musste sich durch den Rest eurer Infrastruktur durchhacken. Es gibt wenig Grund für die Annahme, dass der dann nicht auch die Klartext-Passwörter abgeschnorchelt hat bei dne Logins in der Zeit. Das macht man zwar trotzdem und es ist gut so, aber sorry, wer Angreifer die Datenbank abschnorcheln lässt, und das ein Jahr lang nicht merkt, dem sollte man an der Stelle keinen Vertrauensspielraum mehr einräumen.
Und zukünftig auch nicht mehr.
Man muss sich auch fragen, wieso man denen überhaupt jemals getraut hat.
Ist ja nicht so als wäre da der Quellcode offen und man könnte selbst Server betreiben.
Immerhin erfahren wir in dem Bericht, wieso der Exploit EternalBlue heißt: Weil der anfangsnicht zuverlässig war und so viele Blue Screens produziert hat.
Eigentlich soll das Best-of-the-Web-Siegel die Sicherheit von Webseiten zertifizieren, stattdessen wurden über ein gehacktes Script Keylogger eingebunden.Bedauerliches Missverständnis. Das "Best of" bezog sich nicht auf die Webseite sondern den Keylogger!1!! (Danke, Timlukas)
Websites promoting what appear to be two local German anti-fascist groups, Antifa West Berlin and Antifa Nord Ost, share a server used by Russian government hackers who attacked the Democratic National Committee during the 2016 election. The registration information for one of the German sites includes an anonymized email address that was also used to set up a pair of Russian spearphishing sites.Das Ziel ist natürlich Unfrieden sähen.This month, these two websites prodded thousands of Twitter followers to attend an anti-AfD rally in Berlin.Wie in den USA, nur anders herum. In den USA gab es Aufrufe zum Protest gegen Black Lives Matter, weil sich die Trolle da als Teil der Trump-Rechtspopulisten ausgegeben haben.Update: Wer die Beweislage der New York Times ein bisschen dünn fand, ist in guter Gesellschaft.
Israeli TV Eurovision webcast hacked with fake missile alertWie wäre es, wenn ihr das gar nicht erst soweit kommen lasst nächstes Mal?[…]
“We know that at a certain stage there was an attempt, apparently by Hamas, to commandeer our digital broadcast,” the chief executive of KAN, Eldad Koblenz, told Israel’s Army Radio.
“But I am happy to say that within a few minutes we managed to assume control over this phenomenon.”
Einmal mit Profis.
Aber alleine dass er das Interview dem Army-Radiosender gab, …
"Ist ja komisch! Wir haben den ganzen Schrank voller Raketen, aber der erste halbstarke Angreifer legt uns um!1!!"
Was für ein unwürdiges Spektakel, diese ganzen ungebildeten Hack-Back-Proponenten. Keine Ahnung von nichts, aber große Angriffspläne schmieden.
Falls jemand Zweifel hat, wie ungebildet die sind:
Die Sorge ist groß, dass ausländische Geheimdienste versuchen könnten, die Wahl mit Cyberattacken zu beeinflussen. Inzwischen aber gibt es Zweifel daran, ob der digitale Rettungsschuss überhaupt kommen wird.Eine entblößendere Metapher kann ich mir gerade gar nicht vorstellen. Und "die wollen verhindern, dass ich wiedergewählt werde" ist auch der einzige Winkel, aus dem sich unsere analogen Geriatrieparteien für IT interessieren. Mitgestalten? Fehlanzeige. Da kümmert sich doch unsere Verwaltung drum.
Erstens: Sie sagen nicht, welche Firmen das sein sollen.
Zweitens: Primärquelle ist eine Klitsche, von der noch niemand jemals gehört hat, die sich für ihre Erkenntnisse auf irgendwelche angeblichen aber nicht konkret benannten Darknet-Sites bezieht, und ihr Blog bei wix.com hostet.
Drittens: Der "Screenshot", den sie da haben, ist zensiert und auch ansonsten völlig nichtssagend.
Ich würde da nichts drauf geben, bis da mehr Substanz kommt. Abgesehen davon sind Schlangenölhersteller natürlich prinzipiell nicht vertrauenswürdig, ob sie jetzt gehackt wurden oder nicht.
Erstens gilt natürlich auch bei Sourcecode: Wenn du deinen Scheiß in die Cloud hochlädst, ist es nicht mehr dein Scheiß. Mir völlig unbegreiflich, wieso so viele Leute das machen.
Zweitens: git erscheint nicht wie eine kluge Wahl für Kidnapping. Das ist ein verteiltes Versionierungssystem. Jeder, der mal einen Checkout gemacht hat, hat noch den aktuellen Stand und alle Versionen von vorher. Daher ist die Drohung auch nicht "wir löschen unser Backup" sondern "wir veröffentlichen unser Backup". Es handelt sich also nicht um Open Source-Repositories, die hier angegriffen werden.
On the data website, the hackers included an email address to contact them. That email is also the contact address for at least one previous ransomware campaign.Jetzt stellt sich natürlich die Frage, ob die da auch über Ransomware reingekommen sind, oder ob das ein "richtiger" Angriff war.
An unauthorized person gained access to a Docker Hub database that exposed sensitive information for approximately 190,000 users. This information included some usernames and hashed passwords, as well as tokens for GitHub and Bitbucket repositories.According to a security notice sent late Friday night, Docker became aware of unauthorized access to a Docker Hub database on April 25th, 2019.
After performing an investigation it was determined that the database contained information for approximately 190,000 users. This information included access tokens for GitHub and Bitbucket repositories used for Docker autobuilds as well usernames and passwords for a small percentage of users.
Na sowas! Also DAMIT konnte ja wohl NIEMAND rechnen!! Hätte uns doch nur jemand gewarnt!!1!
Oh, ach? Das wird bei uns inzwischen verfolgt?! Wieso existiert dann die CDU noch!?
Spannenderweise ermitteln die schon seit 16 Monaten. Das deute ich mal als Indiz dafür, dass das eher eine politische Geste als eine ernstgemeinte Ermittlung war. Oder um mal Putin zu zitieren, nachdem die Amis im Irak keine Massenvernichtungswaffen gefunden haben: Also ICH hätte welche gefunden. *zwinker*
Jetzt wäre wahrscheinlich der passende Moment, um mal deren 31c3-Talk und den 34c3-Talk zu verlinken.
Bisher hieß es, der National Enquirer habe die Daten, mit denen sie Bezos zu erpressen versucht haben, vom Bruder seiner Geliebten gekauft. Der Security-Fuzzy bestreitet das jetzt, und meint, das habe der Enquirer so darzustellen versucht, um ihre wahre Quelle nicht ans Licht kommen zu lassen.
Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of ComputersGroßartige Firma, dieses Asus. Da will man doch seine Hardware kaufen!
Auf Anfrage eines Abgeordneten bestätigte das Innenministerium, dass auch vernetzte Autos in das Aufgabengebiet von Zitis gehören. Die Stelle soll Behörden bei der forensischen Auswertung und Hacking unterstützen.Ja super! Großartige Idee! (Danke, Kai)
OK dann sagen wir mal: stdin ist eine Datei (seek und mmap gehen) und ihr dürft Threads benutzen. Die Testmaschine hat vier Cores, davon zwei bloß Hyperthreading. Die Eingabedaten dürfen als ASCII-Bytes bearbeitet werden. Wer also Locale und UTF-8-Validierung für bessere Performance abschalten kann, darf das tun. Die Ausgabe geht in eine Datei, Flush bei Zeilenenden darf abgeschaltet werden.
Da bin ich mal gespannt, wie die verschiedenen Sprachen sich mit Multithreading schlagen.
Update: Ich habe mal eine C++-mmap-Thread-Variante gehackt, die kommt auf 1,7 Sekunden Wall Time. Nur um da mal den Ball zum Rollen zu bringen. Das könnte man bestimmt auch noch geschickter machen, Vorschläge nehme ich gerne entgegen. Ich hätte weniger Threading-Performancegewinn vermutet.
Update: Mein Testrechner ist mein Reiselaptop, da ist wie gesagt ein N5000 drin — das ist ein Atom mit 5W TDP, passiv gekühlt, und auch die RAM-Anbindung ist auf Stromsparen und nicht auf Durchsatz ausgelegt. Das scheint hier in einige der Benchmarks reinzugrätschen und bei mir deutlich schlechtere Performancezahlen zu bringen als bei Einsendern zuhause, die auf dicken Xeons oder so arbeiten. Insbesondere Java scheint hier im Nachteil zu sein, aber auch bei Go gab es starke Diskrepanzen.
One thing you didn’t know: While a teenager, O’Rourke acknowledged in an exclusive interview, he belonged to the oldest group of computer hackers in U.S. history.The hugely influential Cult of the Dead Cow, jokingly named after an abandoned Texas slaughterhouse, is notorious for releasing tools that allowed ordinary people to hack computers running Microsoft’s Windows. It’s also known for inventing the word “hacktivism” to describe human-rights-driven security work.
The hack turned from "probably bad" to "bad" the next month, in November, when investigators found that the hackers had been active on Starwood's IT network since July 2014, long before Marriott's acquisition.Das ist leider ein ziemlich typischer Zeitrahmen bei sowas.
Und tatsächlich ist Vorsicht geboten. Wer das Teil im Debug-Modus startet, öffnet einen Debug-TCP-Port — nicht an localhost sondern ins ganze Netz! Und über den Port geht by design Remote Code Execution.
Ja super, liebe NSA!
Der Lacher steckt bei dieser Meldung aber im Detail. Und zwar in dem Detail, welche demokratischen Institutionen konkret gemeint sind. An wen dachtet ihr bei der Bezeichnung? Den Bundestag?
The hacks occurred between September and December 2018, targeting employees of the German Council on Foreign Relations and European offices of The Aspen Institute and The German Marshall Fund, the company said.Viel demokratischer als transatlantische Lobbyisten-Netzwerke geht ja kaum noch!
Hattet ihr da auch so ein ungutes Gefühl? Wo ein Trog ist, da kommen die Schweine?
Stellt sich raus: Das war völlig unbegründet. Die Gefahr war gar nicht, dass die Dienste dann die Telcos hacken und Totalüberwachung machen. Die Gefahr war, dass die Telcos diese Daten einfach illegal weiterverkaufen.
"Around 250 bounty hunters and related businesses had access to AT&T, T-Mobile, and Sprint customer location data, according to documents obtained by Motherboard," the article said. "The documents also show that telecom companies sold data intended to be used by 911 operators and first responders to data aggregators, who sold it to bounty hunters. The data was in some cases so accurate that a user could be tracked to specific spots inside a building."Home of the Brave! Land of the Free!
New hotness: Panzer hacken!
Ich weiß nicht, wie es euch geht, aber ich würde mich gleich viel sicherer fühlen. Nichts steigert das Sicherheitsempfinden mehr als wenn der Staat seine Bürger hackt!
Was hatte der gefunden?
At the beginning of May, he found a vulnerability through which one could access all public and retail mobile and data traffic and monitor the servers of the companies served by T-Systems.Man würde denken, dass nach so einer Lücke nicht der Typ in den Knast muss, der das gefunden hat, sondern die Leute von T-Systems, die die Lücke da hingebaut haben. Oh gucke mal, die Deutsche Telekom ist involviert! Na sowas!Zu schade, dass wir in diesem Land keine Journalisten haben, die da mal hingehen und peinliche Fragen stellen. Die sind alle mit Twitter-Liveberichterstattung ausgelastet.
What’s more, results from VirusTotal, the Google-owned malware scanning service, suggest that the malicious PEAR download installed a backdoor, possibly in the form of a Web shell, on infected servers. If true, the backdoor almost certainly gives the hackers complete control—including the ability to install applications, execute malicious code, and download sensitive data—over any machine that installed the malicious download.Vielleicht ist das eine gute Gelegenheit, dieses PHP endlich mal zu beerdigen.
Es stellt sich aber raus, dass man inzwischen doch einiges an Auswahl hat, und hier hat einer eine schöne Im-Browser-Ausprobier-Webseite gehackt. Ich bleibe bei Roboto Mono :-)
The operation, taking place from May to at least October 2016, nets $4.1 million for fraudsters from the U.S., Russia and Ukraine, prosecutors say.Die üblichen Verdächtigen :-)
Nun kann man sich da endlos in Analysen ergehen, wo diese Daten jetzt hergekommen sein könnten, was für kriminelle Energie diese Leute gehabt haben müssen, was sie damit bewirken wollten, etc. Finde ich alles nicht interessant.
Zwei Dinge dazu. Erstens. Seit Jahrzehnten betreibt die Politik eine konzertierte Aktion nach der anderen, um den unwilligen Bürgern ihre Daten zu entreißen und in Datenbanken zu tun, wo dann überproportional politisch rechts verortete Polizisten und "Sicherheitsbeamte" drauf Zugriff haben. Wo ist hier noch gleich die Überraschung? Dass es erst jetzt in dieser Form passiert oder wie?
Nicht nur die Rechten sind hier Täter. Wikipedia z.B. listet bei diversen ihrer Meinung nach Prominenten das Geburtsdatum. Wo haben sie die her? Aus öffentlichen Datenbanken wie Gewerbeanmeldungen u.ä. Wohl dem, der dort gezielt falsche Daten hinterlegt hat. Mich hat niemand gefragt, ob ich einen Wikipedia-Artikel unter meinem Namen haben will, und ob das OK ist, da ein Foto oder mein Geburtsdatum zu veröffentlichen. Und was passiert da, trotz DSGVO und allem? Nichts.
Zweitens: Die Asymmetrie der Reaktion finde ich schockierend. Ich hatte mal auf Twitter einen Mordaufruf. Ich habe also Anzeige erstattet. Ein paar Wochen später rief dann die Polizei bei mir zuhause an und sagte, das Verfahren würde eingestellt. Das ist doch bloß ein Verrückter aus dem Internet. Bestimmt ein ganz armes Würstchen. Mag ja alles sein, aber es ist auch ein Täter. Keine Reaktion.
Bei mir Mordaufruf, keine Reaktion. Martin Schulz ruft jemand auf der "privaten Telefonnummer" an, und sofort republikweiter Riesenskandal und der Staatsschutz schaltet sich ein. Der Typ, der da anrief, war nicht mal unfreundlich oder bedrohlich.
Ich will mich da jetzt nicht als Betroffener aufspielen, nur mal die Dissonanz illustrieren. Die Presse erzählt bisher vor allem von Youtubern als Opfer, und ich bin mir auch sicher, dass die es viel schlimmer haben. Nur bei mir weiß ich es halt, bei denen ist es nur Hörensagen für mich :-)
Was mich übrigens auch richtig doll ärgert ist wenn Hotels meine persönlichen Daten haben wollen. Wieso hat diesen Datenhahn noch niemand zugemacht? Nein, liebe Lokalpolitiker, ihr müsst nicht meine Anschrift und mein Geburtsdatum wissen, nur weil ich in eurem Bundesland in einem Hotel übernachte.
Solange die Situation so ist, wundert mich überhaupt nicht, dass es solche Veröffentlichungen gibt. Ich gönne den Politikern das sogar ein bisschen. Die Künstler auf der Liste tun mir leid, die sind da unverschuldet zwischen die Fronten geraten.
Was mich auch richtig ärgert: Dass das beherzte Einschreiten des Staatsschutzes jetzt verhindern wird, dass die Politik erkennt, wie dringend sie mal handeln müssten, wie wichtig das ist, hier mal flächendeckend Datensparsamkeit zu fahren. Die reden immer davon, dass Daten das Öl des 21. Jahrhunderts sind, und merken gar nicht, dass sie auf einem Ölteppich schwimmen, der systematisch alles Leben vergiftet.
Update: Passt gerade wie Arsch auf Eimer:
Marriott reveals 5 million unencrypted passport numbers were leaked in 2018 data breach
Update: Ja nee klar, meine Telefonnummer ist Freiwild für Umfragen, Telemarketer und indische Callcenter von Microsoft-Scammern, aber bei euch ist das ein ANGRIFF AUF DIE DEMOKRATIE!1!!, wenn jemand anruft. Go fuck yourselves, echt mal.
Update: Jetzt wo so viele Politiker das als Cyberangriff bezeichnen: Hey, vielleicht hättet ihr mal auf uns hören und in defensive Cyber investieren sollen statt immer nur Offensive?
ich habe noch eine kleine Geschichte zum Thema 35C3 und Flaggen.Wem CTF nichts sagt: Das steht für Capture The Flag und in diesem Kontext für eine Art freundlichen Wettbewerb unter Hackern. Da stehen dann ein paar Rechner mit Sicherheitslücken, und es gibt Teams, und wer die meisten davon gehackt kriegt, gewinnt. Oder wer am schnellsten einen hackt. Oder manchmal macht man das auch so, dass die Teams sich gegenseitig hacken müssen, und ihre Arbeitsgeräte dafür vorgegeben werden und Lücken haben. Gibt da verschiedene Modelle. Das ist jedenfalls eine sportliche Disziplin mit einer recht langen Tradition bei Hackern.Wir waren beim 35C3 mit einem CTF-Team um am 35C3CTF mitzumachen.
Wie die andere Teams brachten wir ein Team-Banner mit.Bei Gedächtnis und Erinnerungen ist das ja immer schwierig, besonders je älter man wird, aber ich kann mich an kein einziges Ereignis erinnern, wo jemand auf dem Congress aus Angst vor Verwüstung etwas hätte verstecken müssen, bevor das mit den Safe Spaces ein Thema war. Das kann ja wohl nicht sein, dass wir hier alle mit riesiger Intensität Inklusivität vertreten und Diskriminierung bekämpfen und am Ende ist alles nicht nur nicht besser sondern auch noch aktiv schlimmer geworden?!Das Banner haben wir nicht selbst gedruckt.
Es stammte aus einem CTF-Finale in Süd-Korea und hatte deshalb unter dem Team-Logo den Schriftzug GERMANY und eine Deutschlandfahne. Dies ist üblich, da es bei diesen Wettbewerben immer sehr international zugeht und es interessant ist wo die Teams herkommen.
Am ersten Tag kam dann die 35C3-Security und meinte wir sollen bitte das Banner wegpacken, weil sie Beschwerden erhalten. Nachdem wir sie über die Herkunft des Banners aufklärten meinten sie nur: "Uns macht das nichts aus. Wir wollen nur verhindern, dass euer Assembly verwüstet/das Banner zerschnitten wird wenn ihr nicht da seit."
Den Rest des CTFs mussten wir also unser Team-Banner verstecken… Wir als Hacker haben uns also sehr wohl gefühlt auf dem HACKERCONGRESS.
Wobei das Publikum natürlich auch kleiner und homogener war damals, und niemand versucht hat, mit Thor-Steinar-Kleidung beim Congress reinzulaufen.
Eine Scheiße mit der Scheiße. Was machen wir denn jetzt?
Ich bin ein bisschen traurig, dass ich nicht noch mehr Vorträge mitnehmen konnte. Ein paar waren aber noch. Hmm, IFG hatte ich ja schon berichtet (unterhaltsam und inspirierend). Ah, mein nächster Vortrag war memsad von meinem Kumpel Ilja. Da ging es um eine wichtige Prämisse, die ich auch mal im Blog hatte vor ein paar Jahren. Ilja hat daraus mal eine Übersicht gemacht, und das bei allen Compilern ausprobiert, die er finden konnte, und stellt auch die verschiedenen Ansätze vor, wie Krypto-Libraries das lösen. Highlight des Vortrags war allerdings, dass er einen 5-Zeilen-Patch für gcc gehackt hat, der beim Wegoptimieren von memset eine Warnung ausgibt, und damit mal OpenSSL und Kerberos kompiliert hat — und Warnungen kriegte! Oops.
Danach haben wir die Jung und Naiv Aufnahme gemacht (1 Stunde 15 Minuten Aufnahme und dann haben wir uns nochmal gefühlt eine Stunde festgeplaudert, das hätten wir Deppen auch mal aufnehmen sollen), und als das durch war, eilte ich zum Steini-Flashmob, der wie gesagt wunderschön war. Da stand auch eine Kamera, insofern hoffe ich, dass es eine Aufzeichnung gibt. Beim Congress laufen ja eh immer eine Menge tiefenentspannte, glückliche Menschen herum, aber nach dem Steini-Vortrag war das besonders auffällig :-)
Heute wollte ich eigentlich mit Microtargeting eröffnen, aber da hat mir der ÖPNV in Leipzig einen Strich durch die Rechnung gemacht. Die erste Tram fuhr mir vor der Nase weg. 10 Minuten warten. Die andere hielt 100m weiter hinten neben einem anderen Zug, und als die Leute da hineilten, machte der spontan die Türen zu und fuhr weg. 10 Minuten warten. Den nächsten Zug bekamen ich und die anderen verdutzten Fahrgäste dann, aber da war der Vortrag schon halb vorbei. Schade.
Der Fahrplan dieses Jahr hat mit verschiedenen Vortrags-Längen experimentiert, was leider ein paar Mal so richtig nach hinten losging. Nach dem djb-Vortrag gab es 0 Minuten Abstand zum Sonneborn, aber der war einmal über das Gelände (~10 Minuten Leute mit Skateboard/Roller oder für Sprinter, und ich bin weder noch). Daher habe ich dann den netzpolitischen Wetterbericht nicht gucken können, sonst hätte ich den Anfang von Let's reverse engineer the Universe verpasst. Der Vortrag war sehr schön, hat mir gut gefallen. Gut, war kein Steini-Vortrag, aber auf jeden Fall honorable mention. Die Vortragende war auf jeden Fall sehr enthusiastisch und hat auch ein hohes Niveau durchgehalten, ohne dabei Zuschauer zu verlieren. Sehr schön, kann ich empfehlen.
Dann lief ich zu den Security Nightmares rüber, wo schon 45 Minuten vor dem Talk das Parkett weitgehend vollbesetzt war. Heilige Scheiße. Um den Zug zu kriegen, musste ich dann leider recht überpünktlich raus und habe das Ende nicht mitgekriegt. Insgesamt habe ich aber aus früheren Jahren die Zuschauerinteraktion als größer in Erinnerung. Eher so ein Dauer-Q&A und die Vortragsfolien nur als Themen-Vorgabe und Assoziationshilfe. Gut, ich war auch echt durch und müde, insofern kann ich das jetzt nur unterdurchschnittlich objektiv beurteilen, aber es fühlte sich eher … langsam an? Zu langsam, fand ich. War ein bisschen die Luft raus. Aber dem Publikum gefiel es, und das ist ja was zählt.
In der Tram hörte ich dann den Kritikpunkt am Congress, der sei zu seicht geworden, zu wenig harte Tech-Talks. Das hört man seit ich beim Congress dabei bin, und das sind jetzt über 20 Jahre. Ich halte das für eine kognitive Illusion. Erstens entwickelt ihr euch als Publikum weiter, das verschiebt eure Anspruchshaltung. Zweitens erinnert ihr euch nicht an alle Vorträge sondern an die "guten", und in eurem Gedächtnis ist der Vergleichsrahmen dann "alle Vorträge dieses Jahr" und "die guten Vorträge letztes Jahr". Ich kann euch versichern: Die Tech-Talks auf den Congressen waren nicht immer alle "hart". Ich weiß das, denn ich habe einige von ihnen gehalten. Guckt euch nur mal meinen Routing-Vortrag aus dem Jahre 2000 an. Der würde heute auch nicht als "hart" durchgehen, eher als strukturierte Einführung. Bitte guckt ihn euch nicht zu genau an, ich war jung und wusste viel weniger :-)
Aber, nochmal, dass es früher nur voll die krassen Ultra-Tech-Talks gab, das ist glaube ich eine Illusion.
Was ja nicht heißt, dass man sich nicht für die Zukunft mehr davon wünschen könnte. Dem würde ich aber entgegenhalten wollen, dass es so schon praktisch unmöglich ist, sich einen konfliktfreien Pfad mit allen Tech-Talks durch den Fahrplan zu suchen. Und sobald man sich auch für Science oder Politik interessiert, ist es ganz vorbei.
Mich hat eher die Ausrichtung der Tech-Talks ein bisschen gestört dieses Mal. Das ist aber nicht Congress-spezifisch, sondern bei fast allen Security-Konferenzen so. Praktisch alle Security-Vorträge sind über offensive Dinge. Wie man A hackt, wie man B hackt, Angriffe auf C, VM-Ausbruch bei D, alles kaputt, alles im Eimer. Aber die Vorträge, die mal Strategien zu entwickeln versuchen, was man denn besser machen könnte, die sind völlig unterrepräsentiert. Auf diesem Congress gab es ein paar. Ich würde memsad dazu zählen wollen, und es gab ein paar Talks über formale Verifikation von Code. Das habe ich immer negativ gesehen, mit dem Argument, dass die Verifikation mindestens genau so komplex wie der zu verifizierende Code wird, und der ist schon zu komplex, sonst bräuchten wir ja die Verifikation nicht. Aber im Quantenkrypto-Vortrag von djb und Tanja Lange meinte djb gegen Ende, dass er da seine Meinung geändert hat, weil die Tools so viel besser geworden sind. Da muss ich also auch nochmal genauer hingucken, ob ich meine Einstellung ändern muss.
Jedenfalls: Wenn man da am Tech-Programm was tun sollte, meiner Ansicht nach, dann wäre es: Mehr defensive Sicherheit. Das ist ironischerweise genau das, was der CCC immer der Bundesregierung vorhält, dass sie alle ihre Mittel in offensive Security steckt und nicht in defensive. Nun, äh, wie wäre es, wenn der Club da mit gutem Beispiel vorangeht?
Ich bin gestern in den Fax-Vortrag nicht mehr reingekommen und muss da auf die Aufzeichnung ausweichen. Der nächste Slot war für mich die Quantenmechanik. Ich bin jetzt kein großartiger Mathematiker oder gar Physiker, aber der Vortrag hat mir nicht weiter geholfen. Das fühlte sich so ein bisschen an wie wenn man in der Bibliothek das Inhaltsverzeichnis von einem Fachbuch über Quantenmechanik liest. Man hat danach die Begriffe mal gehört, und ein paar tolle griechische Buchstaben gesehen, aber wenn man das vorher nicht verstanden hat, hat man es nachher auch nicht verstanden. Der Vortragende war aber sehr enthusiastisch und wirkte kompetent, ich will das nicht kleinreden. Ob der Anspruch überhaupt erfüllbar ist, ist natürlich die nächste Frage.
Von dem Fernsehrat-Vortrag habe ich Gutes gehört, von den Gesundheitsdaten habe ich jemanden getroffen, der es enttäuschend fand, mit was für lächerlichen Methoden die dieses System gehackt haben. Der hatte da eher einen MacGyver-Vortrag erwartet oder so. Das ist das wohl nicht. Die haben da eher fundamentale Anfängerfehler gemacht.
Mein nächster Talk war über die Polizeigesetze. Gut, dem folge ich ja ein bisschen, daher war da jetzt inhaltlich nicht viel neues drin. Aber es macht schon echt schlechte Laune, auf was für flächendeckendem Niveau wir gerade die Rechtsstaatlichkeit als nicht mehr benötigtes Relikt abschaffen in dieeem Land. Aber für mich war ja schon alles gesagt, als die Bayern die unbegrenzte Freiheitsberaubung von unschuldigen Menschen beschlossen haben, nur weil jemand glaubt, von ihnen ginge eine diffuse unkonkrete Bedrohung aus. Die anderen Länder haben Limits, aber auch keine, die das Instrument für mich irgendwie akzeptabel machen. Wer dem nicht so im Detail gefolgt ist, für den lohnt sich der Vortrag aber. Am Ende haben sie ein paar Forderungen aufgestellt, bei der es wahrscheinlich hilfreich wäre, wenn ihr die alle mal zur Kenntnis nehmt, damit der Protest ein bisschen kanalisiert wird und nichts unbekämpft lässt, das bekämpft gehört.
Heute morgen ging es los mit dem Fake-Science-Vortrag, von dem ich aber nur das Ende mitgekriegt habe. Das gucke ich mir auf jeden Fall nochmal auf Video an. Es gab aus dem Publikum ein bisschen die (auf mich berechtigt wirkende) Kritik, dass man da "etablierten Journals" zu viel inhärente Unkorrumpiertheit unterstellt. DIe Vortragenden sind investigative Journalisten, nicht selber aktive Uni-Wissenschaftler, nur so zur Einordnung dessen, was euch erwartet. Die Methoden waren ein bisschen Gonzo-mäßig, die haben da Artikel eingereicht, in denen dann R.Funden und Mahmud Achmedinedschad als Autoren genannt waren, und die inhaltlich offensichtlicher Bullshit waren. Wenn euch solcher Klamauk nicht stört, ist das ein guter Vortrag für euch.
Den CCC-Jahresrückblick fand ich dieses Jahr ziemlich langatmig irgendwie, aber das lag wahrscheinlich eher an mir. Das Publikum wirkte zufrieden, insofern will ich nichts gesagt haben. :-)
Der Vortrag über Hausdurchsuchungen war überlaufen, aber diesmal bin ich reingekommen. Der lohnt sich schon aus Neugierde-Gründen, wenn man nicht befürchtet, mal selber betroffen zu sein. Einfach um mal die Mechanik von sowas zu verstehen. Hintergrund des Vortrags waren die (später als unrechtmäßig festgestellten) Hausdurchsuchungen bei den Zwiebelfreunden und im CCC-Umfeld. Meine wichtigste Erkenntnis ist, dass man da zu einem großen Teil von der Rechtstaatlichkeit der durchführenden Beamten abhängig ist. Man hat das Recht, einen Anwalt anzurufen, und auf den sollten die dann warten, und man darf darauf bestehen, dass die nur ein Zimmer zur Zeit durchsuchen, und zwar das, in dem man zuguckt. Aber wenn der Polizist da "nicht gut über die Rechtslage informiert ist", dann kann man das halt nicht unbedingt durchsetzen. Ja super. Als Vorbereitung sollte man off-site Backups haben und die Handynummer (!) eines Anwaltes, den man dann anrufen kann, weil so Durchsuchungen gerne um 4 Uhr morgens stattfinden, und da ist kein Anwalt im Büro.
Weil ich ein paar Mal gefragt wurde: Mein eingereichter Vortrag wäre über TCB-Minimierung gewesen. TCB ist ein Konzept aus den 80ern, als man noch für selbstverständlich hielt, den Betriebssystem-Kernel formal verifizieren zu können. Da fiel dann jemandem auf, dass auch einige Userspace-Prozesse elementar wichtig für die Integrität des Systems sind, nicht nur der Kernel, und den Begriff TCB geprägt: Trusted Computing Base. Das ist der Teil des Systems, dem man vertrauen muss, weil sonst alles verloren ist. Typischerweise ist der Kernel immer TCB, die Hardware sowieso, und sowas wie das Programm mit dem Login-Prompt. Das schöne am TCB-Konzept ist, dass man damit erstmalig eine objektive Metrik hat, um man gerade die Sicherheit verbessert hat. Wenn die TCB kleiner geworden ist, hat man die Sicherheit verbessert. Leider lässt sich das nicht direkt auf moderne Client-Server-Architekturen anwenden, und mein Vortrag hätte meine Arbeit dazu in den letzten Jahren zusammengefasst, wie man das doch anwenden kann, unter welchen Annahmen das geht, und was man überhaupt erreichen kann.
More than 1,100 cables were supplied to the Times by the security firm Area 1 after it discovered the breach, the newspaper said, adding that Area 1 investigators believed the hackers worked for the Chinese People’s Liberation Army.Oh ja klar, von den Chinesen. Von wem auch sonst. WER SONST hätte ein Interesse daran, die Ansichten der EU zu erfahren?!Wieso die Chinesen? Na weil die auch sonst überall drin waren, die fiesen Hacker!
The hackers also infiltrated the networks of the UN, the American Federation of Labor and Congress of Industrial Organizations (AFL-CIO), and ministries of foreign affairs and finance worldwide, the report added.
The UK’s intelligence agencies are to significantly increase their use of large-scale data hacking after claiming that more targeted operations are being rendered obsolete by technology.The move, which has alarmed civil liberty groups, will see an expansion in what is known as the “bulk equipment interference (EI) regime” – the process by which GCHQ can target entire communication networks overseas in a bid to identify individuals who pose a threat to national security.
Rendered obsolete by technology heißt: Jetzt verschlüsseln alle ordentlich. In diesem Sinne. Weitermachen!
„Chainlock bringt das bisher fehlende Element der Blockchain-Technologie: den fälschungssicheren Private Key, den wir im Hochsicherheitsraum der Staatsdruckerei und einer vom Internet isolierten Maschine herstellen. Ihn bekommt niemand anderer als sein Eigentümer zu Gesicht.“Und tatsächlich: Die Wörter, jeweils für sich einzeln betrachtet, existieren. Und haben einen Sinn. Aber das Gesamtstatement ist wie 30x Maschinenübersetzung von Deutsch über Klingonisch nach Chinesisch und zurück im Kreis.
Als konkretes Anwendungsbeispiel präsentierte coinfinity-Geschäftsführer Max Tertinegg ein Card Wallet zur sicheren Aufbewahrung von Bitcoins. „Die sicherste Aufbewahrungsmethode für Kryptowährungen ist eine intelligente Verknüpfung zwischen Online- und Offline-Welt“, so Tertinegg.Oh ACH SO! Sagt das doch gleich! Ihr wollt Idioten von ihrem Geld trennen!
Na dann: Viel Erfolg! :-) (Danke, Martin)
Never mind.
they leveraged an out-of-bounds write bug affecting WebAssembly to achieve code execution via NFC.Das war das Xiaomi. Das selbe Team hat auch das S9 exploitet, via Heap-Overflow im Baseband. Und ein Iphone X haben sie über Wifi über einen JIT-Bug übernommen.Ein zweites Team hat das Xiaomi über Wifi gehackt.
resulted in a photo getting exfiltrated from the targeted phone. ZDI says the exploit involved 5 different logic bugs, including one that allowed the silent installation of an app via JavaScript.und das Samsung-Phone über ein gehacktes Captive-Portal, und ein dritter Teilnehmer hat einen Type-Confusion-Bug im Browser benutzt, um auf dem Xiaomi Code auszuführen.Und das war nur Tag 1.
Hi Fefe, mir geht es genauso, kein Zugriff mehr seit 29.10., die Info "Routineüberprüfung" wurde mir nicht mal mitgeteilt, nur dass ich auf eine E-Mail warten solle, und dass die Entscheidung "final" sei. Sonst nicht ein Wort, es gibt keine Hotline und der Chat blockt ab. Vielen Dank fürs publik machen. Daran, dass die Bude gehackt worden sein könnte habe ich gar nicht gedacht, nach ihrer öffentlichen Zerstörung beim CCC 2016 dachte ich, wer so auf die Fresse bekommen hat muß dazugelernt haben. Habe bereits Beschwerde bei der BaFin eingelegt, da eine Bank zwei Monate Kündigungsfrist hat. Es wäre super wenn du diese Möglichkeit verlinken könntest, sie haben ihre Lizenz erst seit zwei Jahren, diese Sprache verstehen sie (hoffentlich). Außerdem haben sie eine vollständige DSGVO Anfrage per Einschreiben mit Rückschein bekommen, vielleicht bringt sie das dazu, dass sie sich äußern. Mich hat diese Aktion in die ultra Misere gebracht (Gehalt/Miete). Vielen Dank!!!Oh ja stimmt, wir haben ja gerade einen Monatswechsel! Das ist ja richtig kacke für die Leute, die da ihr Gehaltskonto haben und nicht nur ein Zweitkonto zum Spielen.
Auf Twitter behauptet der N26-Support übrigens, sie würden schlicht zufällig ausgewählte Konten einfrieren. Wait, what?!
Übrigens, ich weiß nicht, ob ihr es wusstet: Peter Thiel (ja, DER Peter Thiel) ist Investor bei N26.
Update: Eine andere Theorie ist die aktuell laufende Bafin-Routineprüfung von N26.
"Wir haben Erkenntnisse, dass das Foto-Ident-Verfahren angewandt wird, dem gehen wir nach. Dieses Verfahren entspricht nicht den hiesigen Ansprüchen an die Identifizierung von Neukunden", sagte ein BaFin-Sprecher.
Update: Einer der Betroffenen schreibt mir gerade, sein Konto gehe wieder, und er wisse jetzt, was das Problem war: Er hatte den Account via VPN benutzt.
Update: Ein anderer Leser wendet ein:
ich möchte hier anmerken, dass die Kündigungsfrist von 2 Monaten nur für normale Girokonto-lohnt-sich-für-uns-nicht-mehr- und du-gleichst-deinen-Dispo-nie-aus-Kündigungen gilgt. Bei Verstößen gegen die diversen Geldwäschegesetzte oder das Gesetz zur Förderung der Steuerehrlichkeit, kann das Konto zu Sofort gekündigt werden. Der Kontoinhaber muß in diesem Falle jedoch per Brief informiert und um Meldung eines Auszahlungskonto gebeten werden. Kommt diese Info nicht, dann gibt es auch keine Kontokündigung.
Im Falle einer Kündigung durch eine Bank dürfen die 1. lvl-Support Leute (2/3 werden in einem Callcenter bei einer anderen Firma arbeiten) keinerlei Auskunft geben und müssen auf den Schriftweg verweisen. Da dies hier scheinbar nicht der Fall ist, könnte es sich auch um einen Fall von Software-ist-Scheisse handeln.
Unusual communications from a Supermicro server and a subsequent physical inspection revealed an implant built into the server’s Ethernet connector, a component that's used to attach network cables to the computer, Appleboum said.
Und da war jetzt ein Chip verbaut, der da nicht hin gehörte. Das fand ein Dienstleister raus, den Amazon mit Due Diligence beauftragt hatte, weil sie eine Firma namens Elemental kaufen wollten, die Video-Kompression als Appliance anbot.
Amazon reported the discovery to U.S. authorities, sending a shudder through the intelligence community. Elemental’s servers could be found in Department of Defense data centers, the CIA’s drone operations, and the onboard networks of Navy warships. And Elemental was just one of hundreds of Supermicro customers.Und das war anscheinend keine kleine Operation, die die Chinesen da gefahren haben.The chips had been inserted during the manufacturing process, two officials say, by operatives from a unit of the People’s Liberation Army.Leider sagen sie nicht, welche Firma da Due Diligence gemacht und die Chips gefunden hat. Das würde mich ja mal interessieren, WTF das für ein Laden ist, und was da für Leute sitzen, dass die sowas erkennen können. Nicht dass das am Ende eine Legende für eine NSA-Operation war.Wisst ihr noch, wie alle über Dragos gelacht haben, als der behauptete, von Geheimdiensten mit airgap-bridging Hardware-Trojanern infiziert worden zu sein?
Update: Oh Mann, dabei ist die Lösung so einfach! (Kontext)
Update: Bloomberg hat von allen Betroffenen umfangreiche Dementis erhalten. Die sind inhaltlich ziemlich unwieselig und vollumfänglich. Wirkt ein bisschen, als hätte Bloomberg sich das komplett aus dem Arsch gezogen.
Die Bundesregierung arbeitet an "rechtlichen Rahmenbedingungen" um offensiv zurückhacken zu können. Das erklärten hochrangige Vertreter auf dem vom Behördenspiegel veranstalteten Kongress Public IT-Security. Andreas Könen, Abteilungsleiter Cyber- und Informationssicherheit im Bundesinnenministerium (BMI), sprach sich dafür aus, dass die "richtigen Behörden" eine rechtliche Grundlage für die "aktive Cyberabwehr" bekommen.Uiuiuiui, "aktive Cyberabwehr", ja?
Und sie haben die Frechheit, das auch noch unter "Security" laufen zu lassen.
Ich stell mir gerade vor, wie die Profispezialexpertenhacker des Innenministeriums einen Portscan an der Firewall detektieren und zurückhacken wollen, bei einem Script Kiddie in Russland rauskommen und dann von dem so nass gemacht werden, dass die Infrastruktur danach wochenlang nicht verfügbar ist. Welcher fitte Hacker arbeitet denn bitte freiwillig für das Innenministerium!?
Update: Falls jemand von euch vergessen hat, wie "aktive Verteidigung" im der polizeistaatlichen Praxis aussieht: Na wie bei der No-Name-Crew damals!
Im Internet sind gehackte Daten von 1,8 Millionen Nutzern aufgetaucht. Die Passwörter sind im Klartext zu lesen, bestimmte Accounts wurden deaktiviert.Und was sagt Knuddels dazu?
Später hieß es, dass alle Nutzer betroffen seien, die am 20. Juli 2018 einen Account beziehungsweise Nick bei Knuddels.de besessen hätten. Das Unternehmen sucht nach eigenen Angaben noch nach der Ursache des Leaks. "Sollte es ein Sicherheitsproblem geben, werden wir dieses schnellstmöglich beheben", hieß es.IHR SEID DAS FUCKING SICHERHEITSPROBLEM! Wenn da Passwörter im Klartext rumlagen, dann seid ihr das Sicherheitsproblem. Und moralisch verwerflich ist euer Handeln eh. (Danke, Roland)
DNS hat zwei große Probleme. Erstens dass jeder auf dem Weg die Anfragen und Antworten sehen kann. Und zweitens dass man falsche Antworten auf anderer Leute Anfragen schicken kann.
Das erste Problem ist zwar doof, aber nicht verheerend. Das liegt daran, dass man für die DNS-Auflösung normalerweise den DNS-Server des Internet-Providers nimmt, und der kann eh sehen, mit welchen IP-Adressen du redest. Der gewinnt also nicht so viel, und mit dem hast du ein Vertragsverhältnis und das ist eine deutsche Firma und die unterliegt dem deutschen Datenschutz. Nicht ideal aber auch kein Beinbruch. Und wem das nicht reicht, der kann sich einen eigenen DNS-Resolver irgendwo hinstellen und selbst betreiben. Dann muss man aber ein VPN zu dem benutzen, sonst kann der ISP immer noch alles sehen.
Ja aber Fefe, der BND könnte doch Kabel Deutschland hacken und die DNS-Daten abschnorcheln! Ja, könnte er, aber er müsste dann alle ISPs hacken, um an alle DNS-Daten ranzukommen. Wenn ihr 1.1.1.1 oder 8.8.8.8 verwendet, dann muss die NSA nur diesen einen Anbieter hacken und hat alle DNS-Daten von allen Leuten auf der Welt. Macht das also nicht!
Das zweite Problem, dass jemand falsche Antworten unterschieben kann, wird vollständig von TLS gelöst.
Warum spreche ich das an? Weil Heise gerade Propaganda fährt, DNS sei so unsicher, und man möge doch JSON über HTTPS zum Auflösen von Namen nehmen. Dazu kann ich nur sagen: NEEEEIIIINNNNN! Der Feind von Sicherheit ist Komplexität. Einen DNS-Resover kann man in ein paar hundert Zeilen Code schreiben. Ich weiß das, weil ich es getan habe. Ein JSON-über-HTTPS-Client sind 5-6stellig viele Zeilen Code.
Und das noch größere Problem: Firefox hat das gerade in ihren Browser eingebaut. Und zwar so, dass die Anfragen über Cloudflare gehen. NEEEIIIINNNN!!!! Damit ist Cloudflare ganz oben auf der Liste der für die NSA interessanten Firmen, und da könnt ihr mal einen drauf lassen, dass die die DNS-Daten da abgreifen werden. Zur Not nicht per Hack sondern per National Security Letter.
Was also tun? Nun, Option 1: Das wegkonfigurieren bei Firefox. about:config, nach trr suchen, network.trr.mode auf 5 setzen.
Option 2: Eigenen DNS-over-HTTPS-Server betreiben. Kann man machen. Hier ist eine solche Software in Rust. Das Kosten-Nutzen-Verhältnis stimmt aber aus meiner Sicht nicht.
Hier ist ein aktueller Blogpost dazu.
Ich finde es höchst bedauerlich, wie Firefox mit solchen Geschichten weiter Krieg gegen ihre User führt. An die Werbe-Add-Ons und die extern gehostete Addons-Seite mit Google Analytics erinnert ihr euch ja sicher noch alle. Und an die tolle Idee, Werbung auf der New-Tab-Seite einzublenden? Mann Mann Mann, Firefox. Was denkt ihr euch bloß!
Update: Das betrifft im Moment nicht die Stable-Version. Offizieller Doku.
Update: Nachdem Golem und Heise hierauf linken, ist es vielleicht an der Zeit, Gegenforderungen aufzustellen. Meine Forderung ist ganz einfach: Weniger Komplexität. Komplexität ist der Feind. Die Anzahl der Bugs steigt mit der Codegröße. Die Leute stöpseln heute nur noch Komponenten aus Libraries zusammen. Das ist Schönwetter-Programmieren! Ein Programm, das nur beherrschbar ist, wenn es zufällig gerade gut funktioniert, ist wertlos. Wir brauchen Programme, die überschaubar wenig Dinge tun, und dafür vollständig beherrschbar sind. Am besten nicht nur vom Programmierer, sondern auch vom Benutzer. Die Geschwindigkeit, mit der wir uns mit unbeherrschten und unbeherrschbaren Technologien umzingeln, ist aus meiner Sicht ein Vorbote der Apokalypse.
Asimov beschreibt in seiner Foundation Serie eine Zukunft, in der die Menschheit selbst-reparierende Atomkraftwerke gebaut hat. Und als die fertig waren, starben die Leute aus, die die noch reparieren konnten, weil man sie nicht mehr brauchte. Nach vielen Jahren war die Selbstreparatur dann am Ende und es gab niemanden mehr, der die warten konnte.
So ungefähr machen wir das auch gerade. Nur dass wir den Schritt mit dem Selbstreparieren überspringen. Wir bauen direkt Dinge, die niemand mehr reparieren kann. Schlimm genug, wenn die Hardware heute so ist, aber das heißt doch nicht, dass die Software auch so sein muss?!
Mich macht besonders fertig, dass wir jetzt mit "KI" soweit sind, dass wir unwartbare Software absichtlich herbeiführen. Wie in einem Scifi-Film, wo die Aliens erst Hirnfresser-Parasiten schicken, damit die Zielrasse sich selbst kaputtmacht, und man für die Machtübernahme nicht mehr so viel Ressourcen aufwenden muss.
ich bin Sysadmin bei einem (noch) recht kleinen Startup und mein Vorgänger war scheinbar der Meinung, dass es eine prima Idee wäre die Unternehmensmails bei 1 und 1 zu hosten.Weiß jemand was genaueres?Seit heute morgen sind dort eine ganze menge Business Accounts gesperrt und man kann keine Mails mehr verschicken weil deren "Control Center" (Admin Webinterface) scheinbar gehacked wurde und massenweise Accounts zum Spam verschicken missbraucht wurden.
Einigen gebounced Mails nach scheinen deren Server sogar kurzzeitig bei Spamhaus auf der Blacklist gelandet zu sein.
Vielleicht hörst du ja noch mehr darüber :)
Update: Jemand von 1&1 hat sich dazu gemeldet:
der Leserbrief scheint sich auf einen Vorfall vor mehreren Wochen zu beziehen. Tatsächlich wurde nicht das Control-Center selbst gehackt, sondern ein groß angelegter Brute-Force-Angriff hat Kundenaccounts mit schwachen Passwörtern gefunden.
Wie gesagt, das ist mehrere Wochen her, es wurden "Maßnahmen ergriffen" (2FA, Zeitverzögerung bei falschem PW etc.).
Die fiesen MAGA-Trolle haben welche Session getrollt? Die "Trolling the trolls"-Session! Bei der es darum ging, wie WIR (die Guten) Strategien zum Ärgern von DENEN (den Bösen) ausarbeiten. Da hat sich ein Typ mit Trump-Käppi reingesetzt und rumgetrollt. Und genau wie man sich bei den Rechten häufig fragt, ob es da auch Leute mit IQ größer Raumtemperatur bei denen gibt, … nun, die Frage stellt sich bei den Linken halt auch.
Hier ist einer der Trolle, den die da abgezogen haben: Die haben sich an den Rand der Reihen gesetzt und den Durchgang blockiert, und wenn jemand was gesagt hat, haben sie rumgeheult, dass das Fatshaming sei.
Äh, sorry, das ist brilliant! Wenn jemand von uns etwas auf dem Niveau bei einem AfD-Parteitag abzöge, der würde für seinen Witz gefeiert. Barden würden über ihn singen.
Aber in die Richtung sind wir dann plötzlich alle dünnhäutig. Unser Safe-Space wurde verletzt!
Auf Twitter formieren sich die Schlangen der Getriggerten, die entrüstet ankündigen, niemals nie nicht wieder zu einer so unsicheren Veranstaltung kommen zu wollen.
Und völlig überraschend stellt sich raus, dass eine Veranstaltung mit CoC aber ohne Prügelcops zum Durchsetzen eine unwiderstehliche Einladung an Trolle ist, und im nächsten Jahr stellt sich dann völlig überraschend raus, dass eine Veranstaltung mit wasserdichtem CoC und Prügelcops zum Durchsetzen völlig unattraktiv ist und da keiner hingehen will.
Das Setting ist, dass der Autor, ein Professor und Buchautor, zu einem Vortrag über die Zukunft eingeladen wird. Er geht hin, erwartet einen Vortragsraum mit Mikrophonen und so. Findet stattdessen einen kleinen Raum mit fünf superreichen Hedgefonds-Managern vor. Die Fragen erst über so Dinge wie "Sind Quantencomputer real?" und "Ethereum oder Bitcoin?" und wenden sich dann aber den eigentlichen Fragen zu.
Which region will be less impacted by the coming climate crisis: New Zealand or Alaska? Is Google really building Ray Kurzweil a home for his brain, and will his consciousness live through the transition, or will it die and be reborn as a whole new one? Finally, the CEO of a brokerage house explained that he had nearly completed building his own underground bunker system and asked, “How do I maintain authority over my security force after the event?”Und DAS, meine Damen und Herren, sagt mir, dass hier jemand ernsthaft über den Fragenkomplex nachgedacht hat.The Event. That was their euphemism for the environmental collapse, social unrest, nuclear explosion, unstoppable virus, or Mr. Robot hack that takes everything down.Und die Frage stellt sich als wirklich schwierig heraus. Die Superreichen hatten so Optionen erwogen wie: Das Essen kommt aus einem Tresor und nur ich habe die Kombination. Oder:Or making guards wear disciplinary collars of some kind in return for their survival. Or maybe building robots to serve as guards and workers — if that technology could be developed in time.Und da wurde ihm spontan klar: Das WAR ein Vortrag über die Zukunft. Die einzige Zukunft, die für das Publikum relevant war. Ihre eigene.
Leiter Telekommunikationsüberwachung (TKÜ) war zuvor bei: Rohde & SchwarzNa DAS passt ja mal wieder wie Arsch auf Eimer!
Leiter Kryptoanalyse war zuvor bei: T-Systems
Leiter Big Data war zuvor bei: Siemens
Leiter Digitale Forensik war zuvor: Professor an einer Universität
Der Ansatz ist bei Itanium aus mehreren Gründen gescheitert. Erstens waren die Compiler nicht so weit und haben sehr ineffizienten Code erzeugt. Zweitens hat damals der Umschwung von Pentium 4 (das muss schnell sein, scheiß auf Abwärme!!1!) hin zu dem heutigen Ansatz begonnen, dass man möglichst auf Stromsparen und Effizienz achten soll und die Performance kommt dann schon von alleine. EPIC war in der Praxis eine Heiz-Architektur.
Nun sehe ich keinen Grund, wieso explizites Scheduling energie-ineffizienter sein sollte als spekulative Ausführung in regulären CPUs. Microsoft hat keine Hardware sondern lässt das im Moment in einem FPGA laufen, aber sie sind wohl in Gesprächen mit Qualcomm und haben Windows und Linux darauf portiert (und .NET ist in Arbeit).
Sie haben dafür sowohl für Visual Studio als auch für LLVM ein Backend für ihre Architektur gehackt. Ich bin ziemlich beeindruckt. Das ist harte Arbeit und alles andere als ein Selbstläufer.
Union und SPD wollen die staatlichen Zuschüsse für Parteien um 25 Millionen Euro anheben. Die drastische Erhöhung der Parteienfinanzierung begründet der Gesetzentwurf mit höheren Ausgaben für Kommunikation und Sicherheit.Die Ausrede funktioniert ja schon bei der Bundeswehr prächtig.
Seriöse Manager würden jetzt sagen: Hey, wir werden ständig gehackt, da müssen wir mehr Geld für bereitstellen. Dafür muss man dann halt woanders weniger ausgeben.
Aber hey, wieso sollten unsere Parteien woanders was einsparen? Wenn die einfach auf den Knopf drücken können und dann regnet Bargeld vom Himmel?
Tolles System haben wir da.
Ich habe ja vor inzwischen vielen Jahren eine Abstraktionsschicht über diverse Netzwerk-Event-APIs der verschiedenen Plattformen geschrieben, und darauf meinen Webserver gatling aufgebaut. Seit dem hat sich im Internet einiges verschoben. Web ohne TLS spricht niemand mehr, also habe ich TLS nachgerüstet. Für Web mit TLS ist aber das Skalierungsproblem ein ganz anderes. Da geht es nicht mehr darum, dass jemand viele Verbindungen aufbaut und dein Server damit nicht klarkommt, sondern es geht darum, dass jemand viele TLS-Handshakes lostritt und dein Server die ganze Zeit mit 100% CPU läuft.
Seit dem hat sich auch eine andere Sache verändert: CPUs mit nur einem Core gibt es nicht mehr. Es liegt also auf der Hand, dass ich mal das Modell von gatling und der Abstraktionsschicht ändern sollte, damit es sich auf mehrere Cores verteilen lässt. Das ist leider kein Selbstläufer, weil die unterliegenden APIs teilweise nervige Probleme haben. So gibt es einmal die fundamentale Frage, ob man edge triggered oder level triggered arbeiten soll. Level Triggering ist, was poll macht. Wenn du nach Deskriptor 3 fragst, und 3 ist lesbar, und du tust nichts mit ihm sondern rufst wieder poll auf und fragst nach Deskriptor 3, dann sagt dir poll wieder, dass er lesbar ist. epoll und kqueue arbeiten genau so, lassen sich aber umschalten. Edge Triggering heißt, dass das API dir nur einmal Bescheid sagt, dass ein Deskriptor lesbar ist. So funktioniert der Vorläufer von epoll, SIGIO, den meine Abstraktion unterstützt. Das verkompliziert aber das Programmiermodell massiv, weil ich jetzt darüber Buch führen muss, welche Deskriptoren lesbar sind und welche nicht. Dafür hat es aber den großen Vorteil, dass multithreading sozusagen von alleine geht.
Nehmen wir mal an, du hast vier Threads, und alle rufen epoll auf. Deskriptor 3 wird lesbar. Dann kommen alle Threads zurück und melden das. Das ist natürlich Unsinn, weil nur einer zum Zuge kommt und die anderen sinnlos Strom verbraucht haben.
Daher macht man das entweder so, dass nur ein Thread epoll aufruft und eine Datenstruktur befüllt, die dann von Worker Threads abgearbeitet wird. Oder man macht es so, dass jeder Thread einen eigenen Pool aus disjunkten Verbindungen verwaltet und die jeweils mit einem eigenen epoll bearbeitet. Die bessere Skalierbarkeit hat auf jeden Fall Variante 2, aber dann sollte man keine Threads sondern Prozesse nehmen.
gatling hat Fälle, z.B. CGI oder Proxy-Modus, bei denen mehr als ein Deskriptor zu einer Verbindung gehört. Das naive aufteilen der Deskriptoren auf Pools funktioniert also nicht, denn zusammengehörende Verbindungen müssen auch im selben Pool sein. Oder man baut ein API, um nachträglich Deskriptoren hin- und herzuschieben. Das wäre auch die bessere Lastverteilung gut, aber zieht einen Rattenschwanz an Komplexität nach sich. Ist daher aus meiner Sicht gerade erstmal unattraktiv.
Ich habe mich daher entschieden, lieber jeweils nur einen Thread zu haben, der epoll macht (oder halt kqueue, whatever), und der befüllt eine Datenstruktur, und aus der bedienen sich dann die Worker-Threads. Die Threads handeln das on the fly untereinander aus, wer gerade für Event-Abholen zuständig ist, und wer auf die Datenstruktur wartet. Damit das API nach außen einfach bleibt.
Das sieht ganz gut aus und scheint auch schön zu flutschen und vor allem ist das API viel einfacher als was ich vorher hatte. Aber ich kam ins Grübeln. Wenn ich hier schon einen neuen Webserver mache, dann soll der aber auch nicht nur TLS machen, sondern TLS mit Privilege Separation. Wenn jemandem ein Angriff auf den Webserver gelingt, möchte ich gerne möglichst minimieren, was er damit anstellen kann. In erster Näherung stelle ich mir vor, dass der Private Key von dem Server in einem separaten Prozess liegt (und ich per seccomp-filter o.ä. verhindere, dass man da ptrace o.ä. machen kann). Aber je mehr ich darüber nachdenke, desto weniger gangbar sieht das aus. Das erste Problem ist, und dafür kann TLS jetzt nichts, wenn ich den Handshake-Teil in einen Prozess tue und nur die Session Keys in den anderen Teil rüberreiche, dann hat ein Angreifer immer noch alle Session Keys im Zugriff. Das ist immer noch ziemlich schlimm. Gut, dank Forward Secrecy ist es kein Super-GAU, aber gut wäre es nicht.
Ein möglicher Ausweg wäre, dass man das gesamte TLS auslagert, und sozusagen durch einen TLS-Proxy-Prozess kommuniziert. Das riecht erstmal nach einem prohibitiv teuren Performance-Nachteil. Und gewonnen hätte man damit auch nicht viel, denn ein Angreifer könnte trotzdem allen Verkehr aller anderen Leute sehen und ihnen Müll senden, um sie anzugreifen, er könnte bloß nicht den schon gelaufenen Teil der Verbindung entschlüsseln. Ich glaube, das wäre die Kosten nicht wert.
Aber was, wenn man das TLS in den Kernel schieben kann. Linux hat seit kurzem ein API für Kernel-TLS. Da gibt man dem Kernel per setsockopt den Schlüssel und dann kann man auf dem Socket ganz normal Daten rausschreiben. Das klingt sehr attraktiv, denn den setsockopt könnte der TLS-Handshake-Prozess machen und dann den Socket rüberreichen zu dem Web-Prozess. Nachteil: Der Kernel-Support ist rudimentär und kann nur Daten rausschreiben. Kann nicht lesen, und kann keine Kontrollnachrichten schicken. Das muss man über ein krudes Spezial-API machen. Das müsste man dann zurück an den TLS-Handshake-Prozess delegieren. Gut, wäre denkbar. Schlimmer noch: Lesen kann der Kernel-TLS auch nicht. Das ist schon eher hinderlich.
OK, nehmen wir an, ich habe meinen Webserver aufgeteilt. Ein Prozess macht HTTP, einer macht TLS-Handshake. TLS hat aus Performance-Gründen ein Feature namens Session Resumption. Der Server behält die Krypto-Parameter für Verbindungen eine Weile vorrätig, und gibt dem Client ein Cookie. Wenn derselbe Client wieder kommt, kann er einfach den Cookie vorzeigen, und der Server findet dann die Krypto-Parameter und benutzt die weiter. Spart eine Menge teure Public-Key-Krypto und ist super für die Performance. Aber auf der anderen Seite heißt das eben, dass ein Angriff auf den Server auch diese ganzen gespeicherten Krypto-Kontexte im Speicher finden kann, und mit ihnen mitgesniffte Daten anderer Leute entschlüsseln kann. Das ist mal richtig doll Scheiße. Die Frage ist, ob sich Privilege Separation überhaupt lohnt, wenn man dieses Problem mit sich rumschleppt?
Und da denke ich mir gerade: Hey, was, wenn man die Tickets (so heißen die Cookies bei TLS) und die Krypto-Kontexte in einen dritten separaten Prozess packt. Grundsätzlich könnte das sogar sowas wie ein Redis auf einem anderen Server sein, dann könnten alle Frontends in einem Loadbalancer untereinander Session Resumption machen. Cloudflare hat vor ner Weile mal einen Hack in die Richtung angekündigt. Die Sicherheit von den Tokens basiert darauf, dass sie lang und zufällig und damit nicht vorhersagbar oder ratbar sind. Da müsste man gucken, wie man verhindert, dass ein Angreifer den Redis-Traffic mitsnifft, sonst hat man nichts gewonnen.
Naja und fundamental gibt es natürlich auch noch das Problem, dass die ganzen TLS-Libraries da draußen gar nicht vorsehen, dass man in ihren Interna herumpfuscht, und sowas macht wie nach einem Handshake die Krypto-Keys extrahieren und in einen anderen Prozess schieben, oder auf der anderen Seite einen bestehenden Krypto-Kontext entgegennehmen, aber ohne Public-Key-Teil des Kontexts, und dann damit symmetrisch Krypto zu machen.
Die nächste Frage ist natürlich auch, was eigentlich mehr CPU frisst, die Handshakes oder der symmetrische Teil. Das wird vermutlich von der Traffic-Load auf dem Server abhängen, ob der Videostreaming macht oder sowas wie mein Blog, was aus lauter kleinen kurzen Verbindungs-Bursts besteht.
Was ich sagen will: Ist alles nicht so einfach, und es ist auch nicht klar, ob sich der ganze Aufwand am Ende lohnen würde. Sollte aber glaube ich trotzdem mal jemand machen.
Update: Und es stellt sich natürlich die Frage, wen man hier eigentlich vor wem beschützen möchte. Muss man nicht eher befürchten, dass jemand den TLS-Stack hackt, als dass jemand den Webserver hackt?
Update: Vielleicht muss man sich aus Sicherheitsgesichtspunkten einfach generell von der Idee verabschieden, in einem Serverprozess mehrere Verbindungen zu multiplexen. Vielleicht sollte ich mal ein Extremkonzept implementieren, um zu gucken, wie schlimm das performt. Einfach damit man mal einen Datenpunkt hat. So pro Verbindung einen httpd-Prozess und einen TLS-Privilege-Separation-Prozess. Aber nicht abforken sondern schön fork+exec, damit die alle eigenes ASLR kriegen. Rein intuitiv kann das nicht gut performen, aber auf der anderen Seite gehen Rechnerarchitekturen ja gerade hin zu 256-Core-ARM-Servern. So würde man die ganzen Cores immerhin sinnvoll nutzen.
Oh und: Trump benutzt natürlich Apple-Geräte. Wie alle Leute, die sich für schlau und progressiv halten, aber keines davon sind.
For the second time in less than a week, users of the popular end-to-end encrypted Signal messaging app have to update their desktop applications once again to patch another severe code injection vulnerability.Primärquelle hier.ACH KOMM! Das patchen wir, dann ist wieder gut! PGP hingegen ist voll tot und so!1!!
Update: Oder noch geiler: Bruce Schneier meint neulich so:
If you need to communicate securely, use Signal. If having Signal on your phone will arouse suspicion, use WhatsApp.
JA KLAR! Whatsapp!!1! Das will man internationalen Dissidenten doch empfehlen! Pumpt eure Daten bei Facebook vorbei! Vertraut Facebook, die würden nie eure Daten missbrauchen!1!!
Diese fiesen Russen werden auch immer gemeiner! Jetzt infiltrieren die schon die Familie einer Ministerin für ihre fiesen Hacks!1!!
A Dutch cyber-security firm has discovered that in-vehicle infotainment (IVI) systems deployed with some car models from the Volkswagen Group are vulnerable to remote hacking.Dazu sollte man sagen, dass das das offensichtlichste Einfallstor ist. Das ist das, wo man als Security-Forscher losforschen würde. Es ist mir unbegreiflich, dass Autobauer diesen Scheiß nicht ordentlich wegisolieren vom Rest des Systems. Das ist als würde man den Benzintank oben offen lassen, weil, äh, was kann da schon passieren!1!!
Update: Das scheint der Fall hier zu sein :-( (Danke, Ruben)
Hmm, hey ich weiß! Das waren bestimmt die Russen!1!!
Das hier scheint der ausgenutzte Bug zu sein.
Die Ausrede der Amis ist natürlich, dass das erlebnisorientierte Jugendliche waren und nichts mit der Regierung zu tun hatten. Ihr erinnert euch vielleicht, dass Putin genau das selbe sagte, als die Amis ihm Cyber-Cyber vorwarfen, und dass die US-Presse das selbstverständlich überhaupt nicht geglaubt hat?
Nun. Brian hat diese Tage einen Bericht über Coinhive veröffentlicht. Das ist so eine JS-Mining-Geschichte, die im Browser Monero minen kann. Mich haben diese Browser-Miner nie interessiert, weil es offensichtlich in erster Linie die Besucher verärgert, deren Akku dann nicht so lange hält und deren Geräte heißlaufen, und weil es sich meiner Überschlagsrechnung nach auch gar nicht lohnen kann. Aber hey, wenn man die Kosten komplett externalisieren kann, ist einem das vielleicht egal. Und so kam es, wie es kommen musste: Böse Menschen haben das Coinhive-Zeugs als Malware verbreitet, und das hat dann irgendwann so ein Ausmaß angenommen, dass es Brian Krebs anzog.
Der hat dann mal rumgestochert und fand, dass Coinhive eine Firma ist (ich kann coinhive.com nicht mal absichtlich besuchen, weil uBlock das schon ewig in der Blockliste hat), die 30% der Kohle als Gebühren kassiert und den Rest ausschüttet. Wenn man denen eine Malware meldet, die bei ihnen mined, dann sperren die den Key, sagt Krebs, was aber nicht heißt, dass die Malware weg ist (duh!), sondern dass Coinhive 100% des Geldes behält. Krebs bezieht sich in dem Teil auf einen anderen Security-Forscher namens Troy Mursch, und verlinkt seine Quellen auch immer ordentlich.
Jedenfalls: Was kam raus bei den Recherchen, wo Coinhive herkam? Krebs fand heraus, dass das ursprünglich bei dem deutschen Imageboard pr0gramm.com auftauchte. Wer nicht weiß, was ein Imageboard ist: Das ist eine Art Webforum für anonyme oder manchmal auch pseudonyme Kommunikation, mit Bildern als Transport-Medium (obwohl es auch Textkommentare gibt). Das bekannteste Imageboard ist 4chan, bei denen voll-anonym kommuniziert wird, und Threads werden nach einer Weile automatisch gelöscht. Der Effekt ist wie bei Star Wars: You will never find a more wretched hive of scum and villainy. pr0gramm archiviert seine Threads und hat Pseudonyme, ist insofern nicht ganz so furchtbar wie 4chan, aber wie 4chan führten libertäre Grundeinstellungen, ritualisierte Ablehnung von Netzzensur und Pseudonymität zu einem Rennen darum, wer sich mit dem krassesten Fehlverhalten aus der Masse abheben kann. Bildmaterial aus dem 3. Reich und die-Ausländer-vergewaltigen-unsere-Frauen sind an der Tagesordnung. Das funktioniert natürlich nur, wenn die Pseudonymität nicht von außen aufgehoben wird, und hier kommen wir zu Brian Krebs. Der hat beim Coinhive-Recherchieren herausgefunden, dass die erste Version von dem Javascript-Code bei pr0gramm in Anwendung war, und wollte dann mal wissen, wer eigentlich das pr0gramm betreibt. Er schrieb daraufhin Leute an und fand Namen heraus und hat die in dem Bericht veröffentlicht.
Das ist ein Angriff ins Mark für Imageboards. Entsprechend heftig fiel die Reaktion aus. Bei mir gingen bestimmt ein halbes Dutzend mehr oder weniger wütende Mails ein, dass hier ein fieser Ami gerade arme deutsche Imageboardler doxxt und ihre Rechte mit Füßen tritt. Ich las mir daraufhin seine Recherche durch und fand da jetzt nichts besonders ehrenrührig. Er schreibt halt, was er rausgefunden hat. Kein erhobener Zeigefinger, außer man liest den selber rein. Keine Vorwürfe zwischen den Zeilen. Nichts. Also jedenfalls nicht gegen pr0gramm. Einzig die Stelle, wo er Coinhive dafür kritisiert, dass sie Malware nicht stoppen sondern die Kohle zu 100% behalten, fand ich grenzwertig. Wie soll Coinhive denn Malware auf irgendwelchen gehackten PCs stoppen, bei denen sie selbst nur ein Modul beigesteuert haben, und das auch noch im Quellcode, d.h. das können die Malware-Verbreiter verändert haben? Der Teil bei Krebs war bescheuert, fand ich, aber er hat schon Recht damit, dass diese Situation so aussieht, als pulle Coinhive da gegenüber den gehackten Usern eine Youtube-GEMA-Argumentation, nur auch noch ohne "wenn ihr uns hinweist, machen wir das weg" (weil sie das gar nicht können).
Die Story geht dann so weiter, dass er bei pr0gramm natürlich nur Leute anschrieb, die daraufhin direkt abwehrend und entsetzt reagieren, denn niemand will öffentlich als User oder gar Betreiber eines Imageboards genannt werden. Keiner von denen hat Krebs irgendwas gegeben, was für den natürlich aussieht wie eine typische mafiöse Vereinigung, wo der halt sonst so recherchiert :-)
Und Krebs findet natürlich auch was, denn der hat Zeit für sowas und lässt sich nicht abwimmeln — und veröffentlicht in der Tat den Realnamen des aktuellen Admins vom pr0gramm. Daraufhin hat besagter Admin auf pr0gramm gepostet, dass sie dann wohl mal gucken werden, wie lange sie die Site noch offen lassen wollen. Das löste bei der Userschaft ein Heulen und Zähneknirschen aus, das man wahrscheinlich noch bei Brian Krebs im Keller hören konnte. Die Site ist bald weg und der Krebs ist Schuld? Den hassen wir jetzt alle! Lasst ihn uns DDOSsen? Ach nee, ist sinnlos, dann sehen wir bloß schlecht aus und das merkt der gar nicht, weil Google ihn schützt.
Und dann — dann postete jemand einen Spendenbeleg. Bei der Krebshilfe. Nein, wirklich! Als Protest gegen Brian Krebs hat der der Krebshilfe gespendet. Und jetzt nicht 2 Cent sondern 25€ oder so, also keinen Trollbetrag. Das löste eine Welle von Spenden aus, die zeitweise das pr0gramm selbst und die Spendenseite der Krebshilfe zum Erliegen brachte.
Und das, meine lieben Leser, hat mir dann doch Tränen in die Augen gebracht. Das ist der erste mir bekannte Fall, wo ein Imageboard aus Rache etwas Positives getan hat.
Können wir das nicht häufiger haben? Vielleicht Spenden für die Alkoholhilfe aus Wut über Heiko Maas (wegen des Namens jetzt, bessere Puns werden gerne angenommen)?
Update: Anscheinend sind da inzwischen "weit über 100.000€" zusammengekommen, schätzt ein Einsender.
Update: Was die pr0gramm-Leute am meisten ärgert, ist dass der Krebs ihren aktuellen Admin enttarnt hat, der wohl mit der ganzen Sache gar nichts zu tun hatte, weil das unter der Ägide seines Vorgängers stattfand und überhaupt alles bloß einer ihrer User geschrieben hat, und mit Coinhive hatte keiner von denen wirklich was zu tun, sagen sie. Da treffen dann amerikanische und deutsche Journalismus-Ethik aufeinander. In den USA ist das völlig normal, in Berichten Namen zu nennen. Wer es nicht tut, macht keinen guten Journalismus, weil er sich mit nicht belastbarem Hörensagen abspeisen ließ. In Deutschland hält man die Namen zurück, außer es handelt sich um Personen des Zeitgeschehens, also Politiker oder Stars aus Sport oder Unterhaltung.
Update: Ein Einsender weist darauf hin, dass diese Aktion auch im pr0gramm ihren Ursprung nahm. Das ist also nicht das erste Mal, dass bei denen was Positives rauskam.
Update: Einige Einsender sagen, dass Coinhive das Mining doch stoppen könnte. Ich habe mir das Protokoll nicht angeguckt, das die da fahren. Mag sein.
Das passt ja mal wieder wie Arsch auf Eimer! Die fiesen Chinesen! Repressive Monster! Die glauben wohl, wenn sie die Leute unterdrücken, dass die dann ihre 0days der Regierung gebe… wait, what? Oh. Ganz am Ende steht das hier:
Last year, the FBI arrested a Chinese cybersecurity expert with alleged ties to the Chinese government while he was attending a U.S.-based conference. Law enforcement claim the man was responsible for developing a malware variant that had been used in multiple breaches of American companies and organizations, including the Office of Personnel Management.In addition, the Justice Department announced a series of indictments in December against multiple Chinese nationals for their role in hacking and stealing intellectual property from U.S. companies. These individuals appeared to be contractors that took orders from a Chinese intelligence service.
Ja, äh, *hust*, gut, damit könnte das vielleicht eventuell auch was zu tun haben. Dass die ihre Spezialisten nicht von freidrehenden Amis kassiert haben wollen.
Update: Der Followup listete ein paar typische Euphemismen solcher westlichen Programme zur Wahlbeeinflussung in fremden Nationen. Schade, dass der jetzt weg ist.
Inhaltlich fällt als Erstes auf, dass sie nicht mit "wir waren das nicht und weisen diese Vorwürfe entschieden zurück" eröffnet sondern sich da minutenlang über irgendwelche prozeduralen Punkte in Rage redet, die ich an der Stelle weitgehend irrelevant finde. "Die haben keine Beweise" finde ich eine ausgesprochen schwach Eröffnung an der Stelle. Das klingt für mich, als wollten sie der eigenen Bevölkerung gegenüber den Eindruck erwecken, als seien sie es doch gewesen, aber sie brüsteten sich damit, zu schlau vorgegangen zu sein, um von den Briten überführt zu werden.
Mein persönliches Highlight ist bei ca 60%, als der Mann in der Runde meckert, die Briten hätten "uns nicht mal gefragt, ob das unser Gas ist".
Wow. Gut, die Sendung ist jetzt nicht für uns sondern für die Russen gemacht. Dennoch. Das hätte ich echt anders erwartet an der Stelle. Eine Familienpackung Whataboutism finde ich ein bisschen dünn an der Stelle.
Sehr interessante ist auch, wie die Sprecherin die ganze Zeit darauf rumhackt, dass die Briten ja eine Atomnation seien.
Während der Fernseher in dem Privathaus der Familie am Donnerstag (15.03.2018) lief, spielten die Unbekannten plötzlich eine Aufnahme aus dem Landtag auf das Gerät ein. Zu sehen war ein Mitschnitt aus einer Fragestunde. In dieser ging es um die Schweinehaltung auf dem privaten landwirtschaftlichen Betrieb der Familie Schulze Föcking.Die Russen werden aber auch immer dreister!
Oder ersetze IBM durch Microsoft. Oder Cisco. Immer die gleiche Nummer. Die können gar nicht so übel verkacken, dass die Leute ihnen nicht mehr ihren Scheiß abkaufen.
Und dann, 20 Jahre später, merkte ich, dass das auch umgekehrt so läuft. Noch niemand ist gefeuert worden, weil er von den Russen gehackt wurde. Egal was passiert, man sagt einfach, man sei von den Russen gecybert worden, und dann ist der Job sicher. Niemand wird gefeuert, weil die Russen ihn gecybert haben. Egal wie krass der vorher verkackt hat. Spielt keine Rolle. Ist wie mit IBM, nur andersherum.
Das Prinzip ist sehr mächtig. Achtet mal drauf. Ich glaube sogar, dass das das eigentlich Muster ist, und die IBM-Geschichte ist davon abgeleitet.
Ich war mal mit ein paar Freunden in einem Escape Room. Lauter Nerds. Alle selbstredend davon überzeugt, besonders intelligent zu sein. Für alle war es also unakzeptabel, einen Escape Room nicht zu schaffen. Daher haben wir selbstredend den schwersten genommen, den noch nie jemand geschafft hatte vor uns. Wir haben ihn auch nicht geschafft. Aber gegen den dicksten Endboss im ersten Anlauf zu verlieren ist keine Schande. Ich habe mich nachträglich geärgert, dass ich da nicht stärker gegen opponiert habe damals. Aber diese Muster greifen halt überall.
Mir fällt das gerade ein, weil in Berlin immer so Plakate aushängen, für ein Theaterstück. Es heißt "Ich bin's nicht gewesen, Adolf Hitler ists gewesen". Hier ist eine schöne Kritik von dem Stück.
Naja und eigentlich bin ich drauf gekommen, weil ich diese Meldung hier las. Das Militär vertreibt Hundertausende aus der muslimischen Hinderheit in Myanmar. Und wer ist Schuld? Facebook! Klarer Fall von: Ich war's nicht, Facebook ists gewesen!
Noch nie ist jemand gefeuert worden, weil er sich von Facebook zum Hass hat anstacheln lassen!1!! Facebook ist das neue "die Russen". Oh, Facebook war Schuld? Na dann kann man da wohl nichts machen. Dann können wir ja alle weitermachen wie bisher *achselzuck*
Ich hatte vor ner Weile ein Gespräch in einer Organisation, die angeblich von den Russen mit einem APT gehackt wurde. Die Presse so: APT!! DIE RUSSEN!!! Und der Typ so, zu mir: Nix APT, eher so Back Orifice-Style megapeinliche Uralt-Malware… Aber hey, "DIE RUSSEN HABEN UNS MIT APT GECYBERT", … dann sprach der Mann einen Satz aus, der mir bis heute im Gedächtnis geblieben ist: Damit konnten alle gut leben.
Ja, meine Damen und Herren. So läuft das.
Facebook ist Schuld.
Die Russen haben uns gecybert.
Die Reichen werden immer reicher und die Armen immer ärmer.
Damit konnten alle gut leben.
Update: Das gilt natürlich auch außerhalb der IT und der Politik, aber ich wollte Beispiele nehmen, die aus meiner Lebenserfahrung kommen. Ein Leser kommentiert:
Anderswo hört man: "Das ist der Marktführer" und meint: Das wäre er nicht, wenn er nicht besonders gut wäre und da kann man ex definitione nix falsch machen. Beispiel: Spedition. Verkackt einen Termin, Geschäft platzt, Riesenschaden. Versandleiter: "Aber XY ist der Marktführer hier!" Geschäftsführer: "Ja, dann kann man nichts machen." Zu mir: "Sie machen keine Fixtermine mehr!"
Multi-Stakeholder: Niemand ist entscheidungsbefugt und nachher ist keiner Schuld gewesen.
Update: Siehe auch!
Macht mehr mehrzeilige sed- und awk-Skripte! Python und perl kann jeder. Seht es als Herausforderung :-)
Gut, dass sie da keine peinlichen Geheimnisse finden konnten, weil unsere Regierung nicht genug gearbeitet hat, um peinliche Geheimnisse zu produzieren.
Lacher am Rande:
Ausländische Hacker sind nach Informationen der Deutschen Presse-Agentur in das bislang als sicher geltende Datennetzwerk des Bundes und der Sicherheitsbehörden eingedrungen.Ja, äh, nee. Wer zu irgendeinem Netz annimmt, es sei schon sicher, ist inkompetent und sollte gefeuert werden. Erst recht, wenn das Netz von einem externen Dienstleister betrieben wird, wie T-Systems in diesem Fall.
Die Angreifer sollen Sicherheitskreisen zufolge der Gruppe "APT28" angehören, die viele Fachleute russischen Regierungsstellen zurechnen.Äh, nein. Schlangenöl-Verkäufer mit Panikschürmotiv verbreiten Ammenmärchen. Niemand hat da irgendwas zuordnen können. Es gibt da bloß unbelastbares Hörensagen aus nicht ernstzunehmenden Quellen mit kommerziellem Panikschürhintergrund.
Was für eine Farce mal wieder.
Hey, wisst ihr noch damals, als München auf Linux umgestellt wurde und von den Russen gehackt wurde? Nicht? WEIL ES NICHT PASSIERT IST. Ja warum bloß!1!!
Die Lösung für mehr Windows-Malware ist mehr Windows. Genau wie bei School Shootings in den USA. Die Lösung für mehr Gun Violence sind mehr Guns.
Toller Fnord am Rande:
The American was able to identify a hacker in Germany who claimed to have access to some of the stolen data believed to be held by the Shadow Brokers, and who accurately provided advance notice of several Shadow Broker data releases. The hacker’s cooperation with the U.S. intelligence community broke down over his demands for full immunity from U.S. prosecution for his hacking activities — negotiations that failed largely because the hacker refused to provide his full personal identification to the Americans.HAHAHAHA
Mehrere Schwachstellen im Treibstoff-Management-System von Orpak Systems bedrohen Tankstellen in mehreren Ländern. Davor warnen Sicherheitsforscher von Kaspersky. Die Software kommt unter anderem an militärischen Tankstellen in Israel zum Einsatz, um den Missbrauch von Treibstoff vorzubeugen.Seht ihr? Die Russen!!1!
Auf der anderen Seite wissen dann auch Hacker, wo was ist. Und weil die Softwareentwicklungsbranche vor vielen Jahren entschieden hat, dass sauber Programmieren zu schwer ist und wir lieber Hacker ärgern wollen, ging die Entwicklung dann dahin, dass man das Programm halt bei jedem Programmstart woanders hin tut im Adressraum. Das nennt sich dann PIE.
Technisch läuft das über einen gruseligen Hack im ELF-Dateiformat, denn das kennt nur Binary (Programm, an statischer Adresse) und Shared Object (Shared Library, an dynamischer Adresse). Das ist schlicht nicht vorgesehen, dass ein Programm an einer zufälligen Adresse geladen wird. Selbst wenn man den Code so formuliert, dass das ginge (was bei Intel/AMD bei 64-bit-Programmen viel einfacher und effizienter geworden ist als bei 32-bit-Programmen, weil der Befehlssatz da ein anderer ist, der darauf ausgelegt ist). Kurz gesagt gibt es bei 64-bit-Programmen eigentlich keine Effizienz-Ausrede mehr, um die nicht positionsunabhängig zu machen. Es gibt natürlich, wenn man genau hinguckt, doch einen Performancenachteil, aber den will ich hier mal außen vor lassen :-)
Der Hack ist jetzt so, dass man in der Datei einträgt, es sei eine Shared Library, kein Programm. Der Kernel lädt die trotzdem und alles ist gut. Das ist leider ein Opt-In-Ding. Wenn ihr unter Linux Software baut, tut mal bitte immer schön -fPIE auf die Compiler-Kommandozeile.
Nun bin ich aber nicht an regulären Binaries interessiert, sondern an statischen Binaries (das ist die Zielgruppe für meine libc). Und der Hack mit dem PIE geht zwar vom Dateiformat her auch bei statisch gelinkten Programmen, aber in der Praxis halt nicht. Ich habe mal ein paar Tage lang versucht, das doch zum Laufen zu kriegen, und bin am Ende gescheitert. Es geht aber prinzipiell. Das weiß ich, weil es jemand anderes geschafft hat: Der Autor der musl-libc. Der gute Mann hat irgendwann bei GNU ein paar Bugs eingetragen, ob es nicht toll wäre, wenn man da nicht so gruselig hacken müsste, wie er es getan hat. Und gcc 8 hat jetzt die Option -static-pie, die genau das tun soll.
Die wollte ich also auch direkt mal ausprobieren, und baute erstmal die neuen binutils, dann den neuen gcc, und jetzt die neue glibc. Und dann fiel mir auf, dass plötzlich meine dietlibc-Binaries größer waren. /bin/true macht im Wesentlichen nichts und sollte eigentlich nur ein paar Bytes groß sein (ein paar ELF-Header brauchen Binaries schon, aber so Größenordnung 200 Bytes ist eigentlich realistisch). War es aber nicht, sondern es war plötzlich über 4k groß. Gut, es war auch vorher weit davon entfernt, weil die dietlibc inzwischen eben eine Menge anderen Kram supportet, der die Startup-Code größer macht. Z.B. den Stack Protector initialisieren, und Thread Local Storage. Aber das true-Binary hätte trotzdem deutlich unter 4k sein müssen.
Ich habe also ein bisschen rumgeguckt, und es stellte sich raus, dass das nur mit dem binutils-bfd-ld so war. binutils ist das Paket unter Linux, aus dem der Assembler und der Linker kommen. binutils hat aber zwei Linker. Den alten mit bfd (der fetten Abstraktionsschicht von binutils) und den neuen, in C++ geschriebenen, der weniger kann, das dafür angeblich besser: GNU gold. Den habe ich normalerweise nicht im Einsatz, weil der bei mir vor Jahren mal Probleme gemacht hat beim Firefox-Linken. Egal. Mit dem gold ist das true-Binary nur 1,3 KB groß. Ich habe also mal reingeguckt und fand in dem statischen Binary von dem bfd-ld eine PLT. PLT steht für Procedure Linkage Table und ist für die Zusammenarbeit (und Umbiegbarkeit mittels LD_PRELOAD) von Shared Libraries da. Das hat in einem statischen Binary nichts verloren. Ich habe mal einen Bug aufgemacht bei binutils.
Ich stellte also auf GNU gold um, und wollte fluchs die neue glibc bauen — aber die baut mit ihrem neuen static-pie-Support für gcc 8 nicht mit gold, nur mit dem bfd-ld. *SEUFZ*
Aber jetzt wo die Infrastruktur da Support für hat, hoffe ich mal, dass auch für die dietlibc static PIE nur noch eine Frage der Zeit ist, möglichst kurzer Zeit. Das will man schon haben, besonders auf 64-bit-x86-Systemen, wo das kaum noch was kostet gegenüber Nicht-PIE.
Aus Frust hab ich jetzt mal true und false in Assembler gehackt für x86/x64 :-)
Update: Stellt sich raus: static pie mit gcc 8 funktioniert auf Anhieb, auch mit dietlibc. Cool!
Update: Gestern Bug gefiled, heute Patch da. Binutils rockt!
Ob das der Wink mit dem Zaunpfahl der Russen ist, wegen der "unser Geheimdienst hat euren Geheimdienst gehackt"-Geschichte neulich? So ala "wollen wir doch mal gucken, wer hier wen hackt"?
Na vom niederländischen Geheimdienst, der die Russen gehackt hatte!
Update: Mit anderen Worten (und das habt ihr hoffentlich selber auch gemerkt): Eine "anonyme Quelle" aus einem Geheimdienst sagt etwas Unbewiesenes, das diesen Geheimdienst gut aussehen lässt. Viel Glaubwürdiger geht es ja gar nicht mehr!
Wait, what? Ein Brite auch noch!
The teenager persuaded call handlers at an internet giant that he was John Brennan, the then director of the CIA, to gain access to his computers and an FBI helpdesk that he was Mark Giuliano, then the agency’s Deputy Director, to re-gain access to an intelligence database.He also targeted the US Secretary of Homeland Security and Barack Obama's Director of National Intelligence from his semi-detached council house in Coalville.
Und ich bin mir sicher, das wäre alles unter den Teppich gekehrt worden, aber er hat es persönlich werden lassen.Gamble taunted his victims online, released personal information, bombarded them with calls and messages, downloaded pornography onto their computers and took control of their iPads and TV screens, a court heard.OK, wenn beim Superbowl ungefragt der Kanal wechselt, dann kennen die Amis da keinen Spaß.Was ich ja das tollste an der Story finde: Der hat sich nicht in die CIA gehackt. Der hat sich in die privaten Accounts bei Verizon und AOL gehackt. Und da hat er die geheimen Daten gefunden. Die hätte der CIA-Direktor selbstverständlich nicht nach Hause mitnehmen dürfen, aber darüber verlieren die jetzt natürlich kein Wort.
In many cases, these security changes meant deep architectural changes were required to third party solutions. And most ecosystem vendors were not incented to invest heavily in their legacy apps. Some of these solutions took the unorthodox approach of modifying data structures and even instructions in the kernel in order to implement their functionality, bypassing APIs and multiprocessor locks that often caused havoc. Antivirus vendors were notorious for using this approach.In my role as the head of Microsoft security, I personally spent many years explaining to antivirus vendors why we would no longer allow them to “patch” kernel instructions and data structures in memory, why this was a security risk, and why they needed to use approved APIs going forward, that we would no longer support their legacy apps with deep hooks in the Windows kernel — the same ones that hackers were using to attack consumer systems. Our “friends”, the antivirus vendors, turned around and sued us, claiming we were blocking their livelihood and abusing our monopoly power! With friends like that, who needs enemies? They just wanted their old solutions to keep working even if that meant reducing the security of our mutual customer — the very thing they were supposed to be improving.
Nur damit ihr das auch mal von jemand anderem als immer nur mir gehört habt.
Und lutscht dafür irgendwelche Fremdmodule rein?
Dann solltet ihr mal dringend das hier lesen.
Oh und eins noch. Told you so.
Was für eine großartige Veranstaltung. Was für eine großartige Community.
Ich bin auch von viele angesprochen worden, das war auch prima. Einige haben sich gewundert, dass ich dann nicht viel erzählt habe. Ja wie, ich erzähle doch die ganze Zeit in unserer Beziehung bisher. Jetzt ist dann mal Zeit zum zuhören!
Ich habe ein schlechtes Gewissen, dass ich nicht mal groß geguckt habe, was ich für Vorträge verpassen würde. Da waren bestimmt ein paar echt wunderbare darunter. Dass ich mir den Luxus leisten kann, das so zu machen, weil ich weiß, dass die Videos alle im Netz stehen werden, ist eine Freiheit, die man gar nicht hoch genug bewerten kann. An dieser Stelle nochmal extra herzlichen Dank an das Videoteam.
Der ÖPNV von Leipzig hat übrigens schnell reagiert und fährt jetzt längere Züge. Und die haben die extrem eindrucksvolle Domain l.de! Ich vermute mal, dass noch nie so viele Leute in der Stadt waren, die beurteilen können, wie krass das ist :-)
Anyway. War ein toller Tag 2. Schon jetzt ganz klar einer der besten Congresse, auf denen ich je war.
Oh ach warte, stimmt gar nicht, einen Vortrag habe ich doch gesehen heute. Ganz am morgen. Der war von Michael Kreil, der beim Berliner Tagesspiegel arbeitet, soweit ich weiß, aber der hier privat seine Forschungsergebnisse über Social Bots vortrug. Und den Vortrag kann ich nur allen empfehlen. Keine Ähs, keine Füllsätze, keine unsubstanziierten Behauptungen, keine Ergebnisse ohne Erklärungs des Vorgehens, keine Bullshit-Übertreibungen. Und inhaltlich auch geil. Der hat eine heiße Nadel genommen, lief damit zum Luftballon "fiese russische Bots hacken auf Twitter unsere Wahlen" und hat da fast zärtlich die Luft rausgelassen. Da blieb kein Auge trocken. Klare Video-Empfehlung dafür!
Update: Der Artikel ist von letztem Jahr. Und der wichtige Teil war der hier:
Betroffen von der BKA-Maßnahme sind allerdings nur unverschlüsselte Chats – gegen die Ende-zu-Ende-Verschlüsselung haben die Beamten um Michael K. keine Chance, wie sie selbst in einem Schreiben eingestehen.
CNN says Anderson Cooper’s Twitter account was hacked after a since-removed tweet from his handle called the president a “tool” and a “pathetic loser” following Democrat Doug Jones win in Alabama’s Senate election.Wow das ist aber mal ein vorausschauender Hacker, der soviel Geduld und Ausdauer hat, bis zu so einer Gelegenheit zu warten!
Anscheinend sage ich zu häufig an, dass ich Medienkompetenzübungen mache, und mache zu selten welche.
Der Link ging übrigens hier hin.
Posting on social media, NiceHash said that "there has been a security breach involving NiceHash website" resulting in a loss of funds. NiceHash, formed in 2014, serves as a marketplace for miners to rent out their hash rate to others.Also dieses Cryptocurrency-Zeug, das ist ja mal eine überzeugende Sache. Da will man doch sein Geld anlegen!
“We got the airplane on Sept. 19, 2016. Two days later, I was successful in accomplishing a remote, non-cooperative, penetration,” said Robert Hickey, aviation program manager within the Cyber Security Division of the DHS Science and Technology (S&T) Directorate.“[Which] means I didn’t have anybody touching the airplane, I didn’t have an insider threat. I stood off using typical stuff that could get through security and we were able to establish a presence on the systems of the aircraft.” Hickey said the details of the hack and the work his team are doing are classified, but said they accessed the aircraft’s systems through radio frequency communications, adding that, based on the RF configuration of most aircraft, “you can come to grips pretty quickly where we went” on the aircraft.
Das ist mal richtig doll gruselig.So und jetzt kommt der noch gruseligere Part. Sie haben da mal ein paar Avionik-Experten drauf angesprochen. Und die so: Jaja, alter Hut, wissen wir alles seit Jahren!1!!
Daraufhin dachten sie, ok, ist bekannt. No big deal. Bis sie auf einer Konferenz ein paar Piloten drauf ansprachen. Und die fielen aus allen Wolken. Denen hatte niemand was gesagt. JA SUPER!
Update: Die Vermutung liegt nahe, dass das das hier ist.
Update: Hier ist die Primärquelle, die liest sich noch apokalyptischer.
Wie kam es dazu? Binney war bei Fox News, und hat dort gesagt: Wenn Trump die Fakten sehen will, muss er halt mal mit mir reden.
Der Witz ist also wahr. Wer von Trump wahrgenommen werden will, muss zu Fox News gehen. m(
Insofern ist das potentiell ein fast noch schlimmerer Schaden als wenn der Quellcode geklaut wird. Gerade für Geheimdienste sind ja auch Angriffe gegen ältere Versionen interessant.
Statistiken darüber, wie viele extern gefundene Bugs bereits intern im Bugtracker waren, gibt es leider nicht. Aber bei Open Source-Projekten kann man sehen, dass dieser Anteil nicht Null ist.
New hotness: Hacker klauen US-Geheimnisse via australischem Defense-Contractor. Das geilste Detail steht beim Guardian gar nicht drin, nur bei Paywall-WSJ, aber man kann es gerade so sehen in den ersten Zeilen:
Using the simple combinations of login names and passwords “admin; admin” and “guest; guest” and exploiting a vulnerability in the company’s help-desk portal, the attacker roved the firm’s network for four months.
Neulich erst sah ich einen AV-Hersteller auf einem Podium sagen, die Idee erinnere ihn an "Impfgegner-Argumente".
Nun, die Russen haben neulich die Amis via Antivirus gehackt, und jetzt kommt raus, dass Nordkorea Südkorea über einen Antivirus gehackt hat und so Zugang zu Militärgeheimnissen der USA erlangte.
Teil von diesen Daten war übrigens der Plan Südkoreas, die Führung Nordkoreas schlicht zu meuchelmorden. Denn so macht man das in einem Rechtsstaat, der sich ans Völkerrecht hält. Man ermordet die Führung anderer Staaten!
Wisst ihr, was ich mich ja immer frage? Wieso Nordkorea eigentlich die Atombombe haben will! Die scheinen sich völlig irrational bedroht zu fühlen!1!!
Na weil ihr Buddy Israel Kaspersky gehackt hat und da die NSA-Tools gefunden hat!
Das ist ja mal supergeil. Israel hackt Kaspersky, entdeckt dabei illegale Angriffstools der Amerikaner, aber Kaspersky sind jetzt die Bösen. Ja nee, klar.
A spring discovery would mean the NSA became aware of the breach just weeks before two other significant security incidents for the agency: A cryptic group known as the ShadowBrokers starting to leak alleged NSA hacking tools online and contractor Hal Martin was arrested for hoarding classified information on his home computer.*raun* *gerücht*Meine Güte, muss die US-Schlangenölindustrie eine Angst vor Kaspersky haben, dass die sich zu solchen Schmierkampagnen genötigt sehen. Au weia.
Also wenn ich Kaspersky wäre, würde ich jetzt einmal alles verklagen, was nicht bei drei auf den Bäumen ist. Wenn das keine böswillige Geschäftsschädigung ist, dann weiß ich auch nicht.
Update: Washington Post dazu.
It allows an attacker of the machine to run unsigned code in PCH on any motherboard via Skylake+. The main system can remain functional, so the user may not even suspect that his or her computer now has malware resistant to reinstalling of the OS and updating BIOS.Und sie sagen, dass auf der IME ein angepasstes MINIX läuft. Das finde ich ja nun echt ultra-gruselig. Die haben meiner Erfahrung nach Security noch nicht wirklich auf dem Radar.
Die Bundesregierung wusste schon länger, dass die Wahlsoftware unsicher ist.
Update: Drei Manager haben noch schnell Aktien verkauft, bevor das bekannt wurde.
Update: Haha, ganz toll: Equifax hat vorher dafür lobbyiert, dass Opfer von Datenreichtum keine Entschädigung kriegen.
a series of recent hacker attacks not only compromised energy companies in the US and Europe but also resulted in the intruders gaining hands-on access to power grid operations—enough control that they could have induced blackouts on American soil at will.Security, Fuck Yeah! (Danke, Alexander)
Using a technique called the DolphinAttack, a team from Zhejiang University translated typical vocal commands into ultrasonic frequencies that are too high for the human ear to hear, but perfectly decipherable by the microphones and software powering our always-on voice assistants. This relatively simple translation process lets them take control of gadgets with just a few words uttered in frequencies none of us can hear.
Und zwar möchte ich gerne wissen, wieso das aus eurer Sicht mit IT-Security nichts wird. Insbesondere interessieren mich dabei die Meinungen von Entwicklern, Testern und Management. Schreibt also bitte dran, aus welcher Perspektive eure Meinung ist.
Die offensichtlichen Antworten will ich mal gleich abräumen, um uns allen Arbeit zu sparen:
Wenn ihr das glaubt, ist das immer noch interessant für die Verhältnisse der Erklärungen innerhalb der jeweiligen Sparten. Aber eigentlich will ich gar nicht so sehr wissen, wer wie häufig was glaubt, sondern ob es möglicherweise Erklärungen gibt, die ich noch gar nicht auf dem Radar hatte. Ich will euch mal ein Beispiel geben, das mir neulich mein Kumpel Kris erzählt hat. Der meinte, dass Menschen evolutionär auf Gradienten lernen. Man geht geradeaus, bis man das Gefühl hat, man ist zu weit gegangen, dann geht man ein Stück zurück. Man streckt die Hand aus, merkt, dass es in die Richtung heiß wird, also geht man nicht weiter in die Richtung. Security ist aber kein Gradient. Du gehst zu weit, und du merkst es a) nicht sofort und b) bist du dann sofort tot und kannst nicht mehr einen Schritt zurück gehen. Kris verglich das mit Fahrradfahrern im Straßenverkehr, wenn Autos schneller als 30 fahren. Da hat der Fahrradfahrer auch keine Gelegenheit mehr, aus Fehlern zu lernen, wenn es zu einer Kollision kommt.
Ich würde diesen Gedankengang noch auf Komplexität ausweiten wollen. Komplexität fühlt sich wie ein Gradient an, aber Komplexität kann man nicht zurückrollen, wenn man merkt, dass man die Kontrolle verloren hat.
Also bitte, hier nochmal in Kurzform die Fragestellung, für die ich um eure Meinung bitte: Wieso fühlt es sich so an, obwohl wir immer mehr in Security investieren, dass immer mehr Leute gehackt werden?
Update: Eine Zusatzfrage noch. Häufig hört man als Ausrede, dass das ja teurer wird, wenn man es sicher macht. Glaubt ihr das auch? Wenn ja, warum? Gibt es da Zahlen für? Ich würde gerne wissen, wo das herkommt. Ich halte das für eine völlig transparente Schutzbehauptung. Hersteller wird beim Verkacken erwischt? "Sicher hätten wir auch gekonnt, aber wäre 200% teurer gewesen!1!!" Oh ach so, na dann ... *abwink* oder so
Update: Die ersten 100 Einsendungen waren praktisch unisono der Meinung, dass Security schlechter wird, weil niemand die Methoden anwendet. Nicht weil die Methoden nicht funktionieren. Als Hauptgründe werden genannt, dass Firmen das Geld nicht ausgeben wollen, dass die Teams gar nicht wissen, was sie tun müssten, dass Aufgaben an Outsourcer rausgegeben werden, die gar keinen Anreiz haben, Qualität zu machen, etc. Das ist natürlich auch ein Ergebnis, aber stimmt das wirklich? Gerade für mich als Security-Fuzzi ist die Frage wichtig, ob nicht vielleicht unsere Methoden Schuld sind. Weil sie zu teuer sind, weil sie nicht funktionieren, weil sie nur Theater sind. Ein Teil der Ansätze, bei denen das aus meiner Sicht offensichtlich so ist, beschimpfe ich ja hier auch immer als Schlangenöl.
Rund eine halbe Million Patienten in den USA müssen ins Krankenhaus - und sich ein Firmware-Update für ihren Herzschrittmacher aufspielen lassen. Dieser hatte zuvor Befehle per Funk ohne Authentifizierung akzeptiert.Und das, meine Damen und Herren, ist in der Medizintechnik kein Einzelfall.
Update: Dass wir uns hier richtig verstehen. Nicht der Hersteller hat den Rückruf ausgelöst. Die Behörde hat den Rückruf ausgelöst. Der Hersteller nannte das Advisory vor einem Jahr noch "false and misleading". DAS ist der Zustand in der Medizintechnik. (Danke, Ronald)
Hier ist ein bisschen Kontext, der Screenshot stammt aus diesem Video und hinter dem Kontext-Link ist noch dieses Video aus anderer Perspektive verlinkt.
Und DAS, meine Damen und Herren, ist der Todesstoß für Wikileaks. Das ist genau die eine Sache, die Wikileaks kaputtmachen kann. Nicht der Vorwurf, dass sie Daten über Hillary geleakt haben. Der Vorwurf, dass sie Daten über jemand anderes nicht geleakt haben.
Hier ist, was die Quelle dazu schreibt:
“We had several leaks sent to Wikileaks, including the Russian hack. It would have exposed Russian activities and shown WikiLeaks was not controlled by Russian security services,” the source who provided the messages wrote to FP. “Many Wikileaks staff and volunteers or their families suffered at the hands of Russian corruption and cruelty, we were sure Wikileaks would release it. Assange gave excuse after excuse.”Ich glaube nicht, dass Wikileaks sich von dem Vorwurf erholen kann, selbst wenn er nicht stimmen sollte. Das ist genau die eine Sache, an der deren Glaubwürdigkeit hing.
a group of researchers from the University of Washington has shown for the first time that it’s possible to encode malicious software into physical strands of DNA, so that when a gene sequencer analyzes it the resulting data becomes a program that corrupts gene-sequencing software and takes control of the underlying computer.Und früher lachten wir noch, wenn Leute Computerviren und biologische Viren verwechselt haben.
James Damore, the Google engineer who wrote the note, confirmed his dismissal in an email, saying that he had been fired for “perpetuating gender stereotypes.” He said he’s “currently exploring all possible legal remedies.”Und da hat er völlig Recht, denn wenn Google damit durchkommt, ist seine Karriere im Valley und wahrscheinlich in der Tech-Industrie ingesamt beendet.Dadurch, dass jetzt bekannt ist, wer das ist, gibt es natürlich gleich Stalking-"Journalismus". Wobei, die sagen da, bei Wikileaks oder einem Alt-Right-Social-Network könnte er noch anfangen. Ja super.
Aber immerhin können wir dank der Stalker jetzt sehen, was das für ein Typ ist. Er war als Kind Schachmeister, war in den oberen 3% seines Jahrgangs an der Uni Illinois und wollte in Harvard den Doktor machen. Kris fasst das wie folgt zusammen:
Klarer Fall von Aspie Overachiever mit starken soziopathischen Tendenzen, folgerichtig extreme libertäre Züge
Das Original-Memo ist übrigens jetzt auch verfügbar, mit ordentlicher Formatierung und den Grafiken, die in dem Leak fehlten.
Oh und eines noch. Dieses Alt-Right-Social-Net, das den Typ einstellen würde, da haben sich natürlich diverse Alt-Right-lehnende Google-Mitarbeiter über das Memo unterhalten und teilweise Posts aus dem internen Google+ geleakt. Hier kann man sich das angucken. Bei Google war anscheinend eine Woche Krieg und alle Arbeit blieb liegen.
Julian Assange hat übrigens auch einen Twitter-Thread dazu geschrieben, und vorher schon die Parallele zur Massen-Vorratsdatenspeicherung bei Google gezogen. Die Seite mit den "four scientists respond" ist gerade down, vermutlich weil dich auch durch reddit und hacker news ging und da gerade alle Welt draufzuklicken versucht. Das scheint so eine rechtsaußen-Seite zu sein, und die Auswahl der Wissenschaftler scheint auch nicht ganz sauber zu sein, wenn man den Kommentaren Glauben schenkt.
Was mich an dieser ganzen Situation echt mitnimmt, ist dass alle Teilnehmer sehenden Auges in den Abgrund hüpfen. Den zu feuern bedient das Opfer-Narrativ der Alt Right, und bestätigt eindrucksvoll alle Punkte, die der Mann in dem Memo kritisiert hatte. Und es sorgt dafür, dass jetzt eine Minderheit in Furcht unter uns lebt, und sich nicht traut, zu sagen, was sie gerne sagen wollen, aus Angst vor Unterdrückung und Repressalien. Das ist, wenn wir uns mal gemeinsam erinnern, genau die Ausgangsbasis, die mit dieser ganzen linken Bewegung abgebaut werden sollte.
Update: Das Internet Archive hat eine Kopie von den vier Wissenschaftlern.
Update: Breitbart schlachtet das gleich mal für eine "Google-Mitarbeiter packen anonym aus"-Serie aus. Und es gibt auch schon eine Crowdfunding-Site im Alt-Right-Spektrum, um die Gerichtskosten für die Klage zu finanzieren.
"This shows how susceptible government officials are to spear-phishing in general," Adam Malone, a former cyber specialist and special agent for the FBI, told CNN. "Spear-phishing is the most common technique used by hackers to gain access to their victims. This information shines a light on how easy it is for people to build trust with unverified individuals."Well duh!
Palantir’s defence systems include advanced biometrics and walls impenetrable to radio waves, phone signal or internet. Its data storage is blockchained: it cannot be accessed by merely sophisticated hacking, it requires digital pass codes held by dozens of independent parties, whose identities are themselves protected by blockchain.OH NEIN! NICHT DIE BLOCKCHAIN! (Danke, Lukas)
Wie, sagt euch gar nichts?
Online Services Computer Interface (OSCI) ist eine Sammlung von Netzwerkprotokollen für die deutsche öffentliche Verwaltung, deren gemeinsames Merkmal die besondere Eignung für das E-Government ist:Da sieht man mal wieder, was passiert, wenn man Security dem Staat überlässt.
- OSCI-Transport für die sichere, vertrauliche und rechtsverbindliche Übertragung digitaler Daten über das Internet sowie
- eine Reihe verschiedener Protokolle (OSCI-XÖV-Standards) für den Austausch fachlicher Inhaltsdaten auf XML-Basis zwischen Kunden und Behörden bzw. Behörden untereinander.
When I previously tried to
report bugs in exiv2 found via fuzzing the upstream author made it
clear to me that he has little interest in fixing those issues and
doesn't consider his software suitable to parse defect files (which
basically means it's unsuitable for untrusted input).Weil Das Bugtracking-System so schnarchlahm ist, hier ein paar Money Quotes:Returning to Hanno's request that we say that Exiv2 is "not suitable for untrusted input". I will not do that. The default (for all open source software) is that the user must determine suitability for his/her purposes. We do not claim that Exiv2 is safe for all files. I doubt if we could ever make such a claim even if we pepper our code with checks for malicious images. I don't believe in 2016 that it is possible to guarantee the safety and reliability of any software.UndI know nothing about hacking and exploiting buffer overflows. Perhaps we need more caution about them. This is a mind-boggling issue. The code to defend our image read/write code could be larger than the current library.Wie schlimm ist es? So schlimm:Are you aware of the term "fuzzing"? I believe this is the art of creating illegal files to put software under stress. I am aware that libexiv2 can be exploited in this way, however I have never had time to work on this topic.
Update: Offizieller Tweet.
Update: Die Zentralbank der Ukraine und Rosneft sind gecybert worden. (Danke, Kristian)
Die CIA hat angeblich Beweise gehabt, wie tief das Cyber der Russen geht, und haben den Präsidenten eyes only direkt gebrieft dazu, und Obama hat das dann nicht mehr verhindert gekriegt!1!!
Das geilste an der ganzen Geschichte ist, dieser Trump-Tweet, wo er die Stirn hat, Obama vorzuwerfen, er habe die Wahlmanipulation der Russen nicht verhindert gekriegt.
D ist eine Programmiersprache, die sich als Konkurrent zu C++ sieht, und als Nachfolger von C. Die Featureliste klingt auch erst mal nicht schlecht, aber es hat mich persönlich nicht überzeugen können. C++ hat sich ja als Design-Richtlinie entschieden, nur Abstraktionen in der Sprache zu machen, die "nichts kosten", und in der Library im Standard vorzugeben, welche asymptotische Laufzeit die Algorithmen haben sollen. So kann man sich als Programmierer im Wesentlichen darauf verlassen, dass die Laufzeit vorhersagbar und deterministisch bleibt. Überraschungen gibt es jedenfalls nur selbstverschuldete :-)
Bei D ist genau das über Bord geworfen worden. Das Ziel war anscheinend, ein C++ zu kriegen, das sich mehr wie eine Skriptsprache anfühlt. Problem: An der Stelle kann D nicht mit Go mithalten. Und C++-Programmierer gewinnt es mit dem Ansatz auch nicht viele.
So hat D Garbage Collection, aber ohne die fanatischen Optimierungen des Go-Teams. D hat dynamische Strings und assoziative arrays, aber als Feature der Sprache, nicht des Runtimes. D nimmt die schlechten Ideen von C++ mit (Template Metaprogramming, Operator Overloading) aber nicht die Vorteile (deterministisches Laufzeitverhalten, zero-cost abstractions).
Ich hacke auf dem deterministischen Laufzeitverhalten so rum, weil das der Grund ist, wieso heute immer noch viele Realtime-Geschichten in C gemacht werden. Mit striktem Regelkorsett oben drüber, wie "keine Rekursionen" und so. Die Lösung von D? Sie behaupten einfach, man könne in D auch systemnah programmieren. Behaupten reicht nicht, liebe D-Leute.
Ich will D nicht schlechter machen als es ist. D hat auch gute Ideen. Design by Contract zum Beispiel, das "synchronized"-Keyword, … ist nicht alles schlecht. Und vielleicht wird D-Code ja mit dem Backend von gcc sogar schneller als Go-Code. Auf der anderen Seite hat auch Go ein gcc-Backend. Ich glaube, D ist von Go getötet worden, und gcc macht hier einen Fehler. gcc schleppt schon jetzt mehrere Frontends mit sich herum, die dann nicht ordentlich mitgepflegt werden. java, go, ada, und jetzt dann auch noch D. Und die Probleme im C-Teil bleiben dann liegen (beispielsweise das fehlende Stack Probing, das ich die Tage ansprach).
Update: Ich sollte das vielleicht knackiger formulieren. Die Vorteile, die D über C++ hat, rechtfertigen dem Umstieg nicht, weil man das zum Großteil auch in C++ haben kann, und dann verliert man nicht seine reingesteckte Erfahrung und den Zugriff auf die ganzen existierenden Libraries. Leute ohne C++-Ballast würden eh lieber gleich zu Go greifen. Und Leute, die die sichere Programmierung haben wollen, mit der D Werbung macht, können das bei Rust haben, ohne die undeterministischen Laufzeiten oder Abstraktionskosten schlucken zu müssen.
US investigators believe Russian hackers breached Qatar's state news agency and planted a fake news report that contributed to a crisis among the US' closest Gulf allies, according to US officials briefed on the investigation.Gibt es irgendwas, was die Russen nicht hacken können?! Der Wolkenbruch letzte Woche, das waren bestimmt auch die Russen!1!!
Akt 2: FBI has arrested and charged the woman they say leaked a Top Secret document to The Intercept.
Stellt sich raus, dass die von ihrer Arbeits-E-Mail aus Kontakt mit The Intercept hatte, als einzige von nur sechs Leuten, die im fraglichen Zeitraum auf das Dokument zugegriffen haben.
Wir müssen offensichtlich mehr Gewicht auf Opsec-Schulungen legen. Das geht ja mal gar nicht, sowas von der Arbeits-E-Mail aus zu leaken.
The Intercept hatte den Behörden zum Kommentar eine Kopie zukommen lassen, und auf der sah man Papier-Knitter-Spuren, woraus das FBI schloss, dass das Dokument ausgedruckt worden ist. Und das schränkt den Verdächtigenraum enorm ein, wenn man annimmt, dass das vom Leaker ausgedruckt wurde.
Wer in großen Firmen arbeitet, weiß auch, dass die da im Allgemeinen so Badge-Druck-Systeme haben. Man schickt einen Job los, der Drucker wartet dann, bis man mit seinem Hausausweis vorbeikommt und neben dem Drucker steht und das abholt. In so einem Szenario Dinge zu drucken, die man leaken will, ist auch echt fahrlässig.
Update: Oh das ist sogar noch übler: Wie es aussieht, hat The Intercept die Frau sozusagen ans Messer geliefert. Wikileaks schlachtet das jetzt natürlich aus, aber ich würde mich unter diesen Umständen wundern, wenn The Intercept nochmal was geleakt kriegt. Oder vielleicht ist das auch eine fiese Nebelkerze der US-Behörden, um The Intercept wegzulügen?
Update: Oh und jetzt ist vermutlich auch ein guter Zeitpunkt, um auf die gelben Punkte hinzuweisen, die Drucker als Wasserzeichen mitdrucken, damit man Whistleblower rückverfolgen kann.
Und Unternehmen machen das?!
Ich meine, mal ganz ruhig und unemotional aus der Ferne. Die geben einem Drittunternehmen ihre Login-Daten, und das tut die in die Cloud.
Kann man sich gar nicht ausdenken!
Wieso ich das erwähne? Na dreimal dürft ihr raten, was als Nächstes passiert ist!
Der für Unternehmenskunden konzipierte Single-Sign-on-Dienst OneLogin wurde gehackt.Un-fucking-believable!
New hotness: Mit bösen Untertiteldaten Rechner übernehmen!
Und auch das ist ein wunderschön stabiler Exploit ohne Offset-Raten, zumindest der Fix für xmbc handelt von ZIP-Archiven mit ../ im Dateinamen, wenn ich das richtig sehe. m(
New hotness: Starbug hackt den Iris-Sensor vom Samsung Galaxy S8.
“The zip file was sent with a highly personalized message which shows the hackers have very detailed insight into the panel’s current investigations structure and working methods,” read the email, which was sent on 8 May.Srsly? Spear phishing? Das funktioniert immer noch gegen euch Idioten?! Mann Mann Mann.Ach ja, hinter der Nordkorea-Wannacry-"Verbindung" stecken übrigens die Spezialexperten von Symantec. Ihr wisst schon, die, die bei der New York Times für Security zuständig waren, als die New York Times von den Chinesen gehackt wurde.
Update: Hups, Tweet ist wieder weg. Mehr als den Tweet hatte ich auch nicht dazu.
Update: Lutz Donnerhacke dazu:
Der Killswitch ist kein Killswitch, sondern eine primitive Anti-Debug Maßnahme. In der Sandbox werden üblicherweise alle extenen Kommunikationen umgelenkt. Er testet also nur auf das Vorhandensein einer Analyse-Sandbox.
Zum Tweet ... Dort wurden verschiedene Teile der Malware miteinander verglichen, nicht verschiedene Versionen. Als er das nach einigen Minuten bemerkt hatte, hat er den Tweet gelöscht.
Empfehle doch allen Lesern, Resolverlogs und Firewalllogs nach der Domain oder deren Auflösung zu durchsuchen. Das zeigt auch inaktive Installationen.
Die Empfehlung reiche ich gerne weiter.
Nach einer halben Stunde kommt dann die Fachkraft der Bahn und erklärt, WLAN bleibe heute aus, weil sich nämlich ein Hacker ins Netz der Bahn eingehackt habe, und daher sei das jetzt deutschlandweit abgeschaltet und sie dürften es auch nicht mehr anschalten.
Was war bestimmt dieser CCC Hannover!1!! Oder nee, warte, DIE RUSSEN!!1! Hat da etwa jemand seinen Antivirus nicht installiert gehabt?!
Update: Ein Einsender berichtet, dass auch bei der Lufthansa das Internet down ist.
Update: Der Zugführer sagt gerade durch, das WLAN sei in diesem Zug defekt, sagt nichts von Hackern oder deutschlandweit.
Update: Nach dem Umstieg in Göttingen hab ich wieder Internet. Und jemand mailte mir aus einem anderen Zug, dass Internet dort ging. Das "deutschlandweit" war also eine Fehlinformation.
Nehmt Biometrie, sagten sie. Ist sicher, sagten sie. (Danke, Bernd)
Update: Lutz Donnerhacke, der über X.509 schon mehr vergessen hat, als ich weiß, erklärt:
Sie haben Recht mit der Vorgehensweise.
Der relevante RFC 2818 sagt, dass wenn SubjectAltName existiert, man ihn nehmen MUSS.
Sie haben unrecht mit der Behauptung, der RFC erkläre den CN für obsolet.
An der betreffenden Stelle wird die Praxis der CAs, einen CN statt SubjectAltName zu verwenden für obsolte erklärt.Der eigentliche Grund für die Vorgehensweise ist die Vorschrift in X.509 dass SubjectAltName für v3-Zertifikate Pflicht ist.
Update: Weil jemand nachfragte: Nein, Lutz und ich duzen uns. Das Sie bezieht sich auf das Chrome-Team.
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.
Hier ein Gedanke zum Vorschlag Software-Anbieter für den Schaden, der durch Sicherheitslücken entsteht haften zu lassen.Das ist in der Tat die Achillesferse bei dem Vorschlag mit der Produkthaftung. Fällt jemandem ein 3. Weg ein? Vielleicht wie in den USA, dass man sich dann halt dem Risiko von Millionenklagen aussetzt, selbst wenn man alles richtig gemacht hat? Ist auch nichts.Das kann den Software Markt schnell in Richtung Oligopol Markt verändern.
Märkte mit hohen Haftungsrisiken, tendieren dazu große Firmen zu begünstigen und kleine zu verdrängen. Ich kann das hier in der Pharma-Industrie ganz gut sehen. Für die Luftfahrt-Industrie gilt aber das gleiche.
Haftung für komplexe Produkte und Prozesse führt nicht etwa nur zur Perfektion des Produktes, wie von Dir angenommen, sondern auch zur Abwehr der Haftung mittels Versicherung und Regulierung.Stell Dir einfach mal vor, Du müsstest Software so anbieten wie die Pharma Industrie ihre Medikamente.
Es gäbe eine Aufsichtsbehörde, die festlegt, wer, mit welcher Bullshit-Zertifizierung, nach welchem Entwicklungsmodell, Software schreiben darf. Das ganze wird natürlich festgeschrieben und nur alle zehn Jahre aktualisiert.
Es gäbe regelmäßige Inspektionen, in denen Checklisten ausgefüllt würden ob nun dieses Merkmal guter Entwicklung oder jenes Sicherheits-Feature vorhanden und dokumentiert (!) ist.Bisher kann jemand der fähig ist, eine Software-Firma aufmachen und ein Produkt verkaufen. Egal wie gut oder wie sicher. Ich behaupte, die meisten Kunden wissen das. Kaum einen stört das.
Sobald Du die Haftung z.B. per Gesetz einführst, bräuchten Software Firmen eine Versicherung (wer würde da sonst kaufen, wenn das Kapital der Firma nicht reicht um Schäden zu ersetzen?). Und sie brauchen tausend "qualitäts"-Zertifikate. Ist jetzt schon so, wenn die für Krankenhäuser oder eben die Pharma Industrie entwickeln wollen.
Helfen für Zertifikate? Nicht in deinem Sinne, dass die Software dann wirklich sicherer ist.
Der Nutzen liegt an anderer Stelle.
Ab einer gewissen Komplexität ist es für eine Firma oder auch für einen IT Sicherheits Experten nicht mehr möglich, sicherzustellen, dass kein Virus eingefangen wird / die Firma nicht gehackt wird.
Wenn beides nicht passiert, ist das reines Glück.Was tut man also? Man tut das was branchen-üblich / gute Praxis ist und dokumentiert das!
Dafür gibt es IT Sicherheits Zertifikate, dafür kauft man Schlangenöl und man engagiert Pen-Tester.
Ein Pen-Test zeigt nicht nur, ob die Systeme hinreichend sicher sind, sondern er ist auch ein Signal, dass man etwas unternommen hat.Für die Firmen, welche Software herstellen gilt das analog. IBM, SAP und Microsoft könnten immer darlegen, dass sie alles nach dem Schema der XY Zertifizierung entwickelt und getestet haben und dass es praktisch höhere Gewalt war wenn ihre Software Schaden angerichtet hat.
Die könnten auch den Papierkram stemmen um das alles zu dokumentieren.Das Problem mit Haftung ist ja immer: es reicht nicht aus, gute Arbeit zu leisten. Man muss es auch dokumentieren… Und sich nach einem objektiven Standard richten… Wer setzt den?
Also überleg es Dir nochmal mit der Haftung für Schäden durch unsichere Software. ;)
New hotness: Scotland Yard outsourced Journalisten- und Demonstranten-Beschnüffeln nach Indien.
The letter reveals that through the hacking, Scotland Yard has illegally accessed the email accounts of activists for many years, and this was possible due to help from “counterparts in India.” The letter alleged that the Metropolitan Police had asked police in India to obtain passwords on their behalf—a job that the Indian police subcontracted out to groups of hackers in India.Tjahaaa, das nennt man globale Wertschöpfungskette!1!!
udp.c in the Linux kernel before 4.5 allows remote attackers to execute arbitrary code via UDP traffic that triggers an unsafe second checksum calculation during execution of a recv system call with the MSG_PEEK flag.Das klingt jetzt schlimmer als es ist, denn MSG_PEEK wird selten benutzt, UDP wird selten benutzt, und MSG_PEEK bei UDP wird noch seltener benutzt. Mir ist persönlich kein Fall bekannt.Ich habe dieses Flag in meiner Laufbahn 1-2 Mal benutzt. Man nimmt es, wenn man von einem Socket ein paar Bytes lesen will, ohne die zu lesen (d.h. wenn man danach nochmal read aufruft, kriegt man die Bytes wieder). Ich benutze das in gatling, um zu sehen, ob Daten auf einer SSL-Verbindung wirklich wie ein SSL-Handshake aussehen — allerdings auf einem TCP-Socket.
Kurz gesagt: Ich mache mir da jetzt keine großen Sorgen. Die DNS-Implementationen von glibc, dietlibc und djb benutzen jedenfalls nicht MSG_PEEK, und wenn es um UDP geht, ist DNS der übliche Verdächtige.
Ich will das nicht kleinreden, das ist ein ganz übler Bug und die sollten sich was schämen. Aber es ist kein "OMG die NSA hat mich gehackt, ich reinstalliere und mache alle Keys neu"-Bug. Außer ihr fahrt auf eurem Server irgendwelche UDP-basierten Protokolle.
Update: Im OpenVPN-Code findet grep auch kein MSG_PEEK. VPN und VoIP wären die anderen in Frage kommenden Codebasen.
Update: Ein paar Leser haben bei Debian und Gentoo mal ein bisschen rumgesucht und fanden als potentiell verwundbare Pakete dnsmasq und VNC-Implementationen. dnsmasq läuft praktische allen Plasteroutern. Das wäre in der Tat potentiell katastrophal.
Update: Einsender weisen darauf hin, dass systemd angeblich MSG_PEEK benutzt, und dass möglicherweise noch Chrome in Frage kommt als Angriffspunkt, wegen QUIC.
Wir brauche mal einen ordentlichen Super-Hacker als Feindbild, so geht das ja nicht weiter. Ich kann so nicht arbeiten!
Jedenfalls: Eine "Afrikanische Gang" von Hackern, die sich Zugang zu E-Mails von fünf hohen Mitarbeitern des Weißen Hauses verschafft haben sollen, wurde in Dubai festgenommen. Angeblich haben sie dabei "highly confidential information" abgegriffen, die sie in einem Erpressungs-Versuch benutzen wollten. Die Details klingen aber eher nach einer Spam-Gang von Botnet-Schäfern, die nach dem Schrotflinten-Modell Sprengstoff-Fischen nach Idioten gemacht haben.
Those arrested are between 24 and 26 years of age and had a list of "5 million bank accounts," as well as hacking software and millions of dollars in assets, he said.Einmal mit Profis arbeiten. m( (Danke, Otto)
"You have reached the Russian embassy, your call is very important to us. To arrange a call from a Russian diplomat to your political opponents, press one," the message posted on the ministry’s official Facebook page says, playing first in Russian, then in English."To use the services of Russian hackers press two," it goes on.
"To request election interference, press three and wait until the next election campaign. Please note that all calls are recorded for quality improvement and training purposes."
MUHAHAHAHA
Und das krasse ist: Nichts davon ist überraschend. Außer vielleicht dem Heap Overflow, heutzutage nutzt man eigentlich eher Type Confusion-Bugs in Browsern aus. Aber dass es Bugs allen diesen Stellen geben würde, das war nicht überraschend. Denn die Qualität unserer Software stinkt ganz barbarisch, und alle wissen es.
Da ist auch ein PDF zu geleaked, und die Details sind durchaus interessant. Beispielsweise:
All tools must utilize Operating System (OS) provided cryptographic primitives where available (e.g., Microsoft CryptoAPI-NG, OpenSSL, PolarSSL, GnuTLS, etc).Dass sie da Polarssl und Gnutls explizit nennen, finde ich erstaunlich. Auch generell ist das nicht unbedingt ein guter Ratschlag, denn wenn du von irgendeinem gammeligen Schrott-Debian oder Embedded Höllendevice mit OpenSSL 0.98 Daten exfiltrieren willst, dann erscheint es schon ratsam, da lieber nicht die Krypto zu nehmen, die vom OS kommt. Ich sage nur Heartbleed und erinnere an das Debian Weak Key Massaker.
Messages should be compressed prior to encryption.Die Begründung ist: Weniger Clear Text, weniger Angriffsoberfläche. Stimmt auch, aber bei TLS schaltet man im Allgemeinen das Compression-Feature absichtlich ab, weil es da mal ein Problem gab. Die CIA sagt jetzt nicht, man soll das anschalten. Aber es steht auch nicht explizit da, dass man es nicht anschalten soll. Von einem Papier, dessen expliziter Existenzgrund ist, Verwirrung zu verringern, hätte ich das erwartet.Tools should perform key exchange exactly once per connection. Many algorithms have weaknesses during key exchange and the volume of data expected during a given connection does not meet the threshold where a re-key is required. To reiterate, re-keying is not recommended.Das ist so m.W. eine eher selten ausgesprochene Empfehlung. Ich finde ihre Begründung jetzt nicht absurd. Da müsste man mal drüber diskutieren. SSH macht z.B. automatisch Re-Keying nach einer Stunde oder so (einstellbar). Mein Bauchgefühl wäre: Wenn ein Bug im Key Exchange ist, dann wäre der auch im initialen Key-Exchange, nicht nur im Re-Keying.Spannend ist auch dieses Detail bei der Collection Encryption Suite, das ist ihre Empfehlung für die Verschlüsselung von abgehörten Daten, die sie irgendwo abgefangen haben, die aber unterwegs auf irgendwelchen unvertrauenswürdigen Wegen zu ihnen kommen. Da nennen sie als Beispiel:
The Collection Encryption Suite is intended to safeguard collected information as it resides temporarily on an untrusted file system or as it transits a file-oriented communication mechanism (e.g., gap jumpers, bit torrent, HTTP post, etc.).Oh, ach? Die CIA benutzt Bittorrent für den Transport ihrer abgehörten Daten? Das ist ja mal unerwartet.Unten in der Kommentar-Abteilung wird es nochmal spannend. Da sagen sie nämlich explizit, dass sie nicht als Ausrede gegen die Benutzung der installierten OS-Krypto gelten lassen, dass die jemand gehackt haben könnte (ein anderer Geheimdienst beispielsweise):
In particular, the justification that an attacker might hook the OS provided cryptographic API to perform reverse engineering of the implant is not acceptable; any service (including execution) provided by the OS may be subverted and the security of a proven library outweighs the risk of attack.Das ist nicht von der Hand zu weisen. Einzige Ausnahme ist, wenn man Windows XP angreifen will. Nein, wirklich! Denn XP kommt mit oller Gammel-Krypto, die nicht gut genug ist, um ihren Mindestanforderungen zu genügen. Da soll man dann halt ein OpenSSL statisch reinlinken.SHA1 hat die CIA intern übrigens schon länger verboten.
Interessant ist auch, dass die CIA sagt, wenn du ein File exfiltrieren willst, und du machst Krypto und nen Hash für die Integrität drüber, dann machst du den Hash bittesehr über den Ciphertext, nicht über den Plaintext. Begründung: Wenn ein ausländischer Geheimdienst das per SIGINT mitschnüffelt, könnte er den Hash sonst gegen alle Dateien auf dem System vergleichen und so sehen, welche Datei wir exfiltriert haben. Hier ist der Absatz:
The digest is calculated over the ciphertext vice plaintext in order to protect against a SIGINT actor with access to a compromised host obtaining any information about the transfer. Using the example of an exfiltrated file (and depending on communication protocols) it is possible that a SIGINT actor could compare the hash value of every file on the compromised host to the intercepted message and thereby determine which file was exfiltrated. Calculating the digest over the ciphertext eliminates this possible information leakage without altering difficulty of implementation. See also the various debates about Encrypt-and-MAC, MAC-then-Encrypt, and Encrypt-then-MAC. The IV is authenticated by the digest in order to prevent a manipulated IV from flipping bits in the first block of the plaintext upon decryption under certain modes.Da bin ich mal gespannt, was die Crypto-Community dazu sagt. Das klingt für mich nach grobem Unfug; daher nimmt man ja nen MAC, keinen tumben Digest. Aber hey, ich bin kein professioneller Kryptologe.In einem Absatz schreiben sie explizit vor, dass ihre innere Authentisierung nicht auf Basis von irgendwelchem gammeligen Root-CAs stattfinden darf, sondern auf einer hard-coded List von CIA- CAs basieren muss. Begründung in den Fußnoten:
This makes tool X very valuable in those countries known to routinely MitM SSL (e.g., China, Iran, and other hard targets).HARR HARRDie letzte Fußnote hat auch das letzte Highlight:
One novel technique seen in the wild and provided purely as an example of a clever solution is the Random Decryption Algorithm (RDA) technique whereby a piece of malware does not possess the decryption key for its own main execution component. This malware is designed to brute force the decryption key, a process that can take several hours on modern hardware and has the added benefit of extreme resiliency to polymorphic detection heuristics and static scanning. Authors who believe they have a particularly novel approach are encouraged to contact the OCRB for a detailed discussion.Das ist in der Tat eine seit ~12 Jahren diskutierte Technik aus der Virusentwicklung :-)
Erstens, dass die CIA noch nicht "die Russen haben das an Wikileaks geleakt" gebrüllt haben. Das hätte ich für deren Knee-Jerk-Reaktion gehalten.
Zweitens, dass noch niemand "Trump greift die CIA via Wikileaks an" gebrüllt hat. Das hätte ich für eine in gewissen Zirkeln naheliegende Interpretation gehalten.
Sehr schön sind übrigens auch ihre Default-Passwörter für "OSB unclass laptop". Achtet auch auf die Kommentare.
Am I the only one who looked at this page and thought, "I wonder if security would have a heart attack if they saw this."?LOOOOL
Update: Immerhin hat Alex Jones die Variante "Die CIA hackt Trump und tarnt ihre Exploits als russisch" abgedeckt.
New hotness: Trojaner gegen Steuer-auf-Zuckerhaltige-Kaltgetränke-Aktivisten in Mexiko.
Hätte uns doch nur jemand gewarnt, dass Trojaner missbraucht werden würden!1!!
Der Anrufer stellte sich als Mitarbeiter des Büros der Generalsekretärin Andrea Nahles vor - und begann dann gleich, den jungen Mann zu bearbeiten. Das könne doch nicht sein, dass er gegen die Große Koalition sei, und er solle schleunigst öffentlich machen, dass er seine Meinung geändert habe und bei der Mitgliederbefragung für Schwarz-Rot stimme.
Update: Hups, der Artikel ist von 2013.
Update: Kontext :-)
Myers said Martin took “many thousands of pages” of classified material as well as 50 terabytes of digital data, much of which has “special handling caveats.”50 TB? Sportlich!Some U.S. officials said that Martin allegedly made off with more than 75 percent of TAO’s library of hacking tools — an allegation which, if true, would be a stunning breach of security.Au weia, was für ein Totalschaden.
m(
“We are allowing massively incentivised companies to define the public perception of the problem,” he said.Er redet hier von IT-Security-Firmen, die von "APT" faseln.“If you call it an advanced persistent threat, you end up with a narrative that basically says ‘you lot are too stupid to understand this and only I can possibly help you – buy my magic amulet and you’ll be fine.’ It’s medieval witchcraft, it’s genuinely medieval witchcraft.”He pointed out that a UK telco had recently been taken offline using a SQL injection flaw that was older than the hacker alleged to have used it. That’s not advanced by any stretch of the imagination, he said.
Oh der Typ ist mir ja gleich richtig sympathisch! Wunderbar, dass das mal außer mir noch jemand ausspricht!
„bei der cloud handelt es sich um eine private hochsicherheits-cloud auf geschützten servern bei uns selber im haus.“ ein hackerangriff ist damit nicht möglich. der fahrdienstleiter kann „bei unregelmäßigkeiten“ jederzeit selber eingreifen.Das finde ich eine tolle Begriffsschöpfung. "Private Hochsicherheits-Cloud auf geschützten Servern bei uns selber im Haus". Da hätte man früher schlicht "Server" zu gesagt. :-)
Ich finde es ja schonmal gut, wenn der Fahrdienstleiter jederzeit überstimmen kann. Allerdings wird der ja mit anderen Dingen beschäftigt sein, wenn man diesen Kram in die Cloud auslagert, oder nicht? Wo lägen sonst die Vorteile, wenn man da nicht jemanden wegkürzt, der da früher drauf geguckt hat?
Auch die anderen Fragen sind interessant. Zum Beispiel will da jemand wissen, ob Siemens bei Stuxnet mitgearbeitet hat, oder mit dem russischen Geheimdienst kooperiert. Beides kann Siemens ausschließen.
Update: Das Hotel dementiert.
Update: Ausgesperrt, nicht eingeschlossen. Der ORF berichtet auch.
City officials said ransomware left police cameras unable to record between Jan. 12 and Jan. 15. The cyberattack affected 123 of 187 network video recorders in a closed-circuit TV system for public spaces across the city, the officials said late Friday.Update: Hey, das eignet sich doch eigentlich auch super als Ausrede, wieso die Beweise gerade futsch sind. Wenn das der Verfassungsschutz hört, dann müssen die gar nicht mehr manuell schreddern!
Ich hole das aus dem Archiv hoch, weil gerade diese Story hier an mir vorbei scrollt.
Dutch secret service tries to recruit Tor-adminDie ganze Geschichte ist augenöffnend und ihr solltet sie alle lesen. Aber der Zusammenhang zu der Sache oben ist dieser Absatz hier:they asked me if I was interested in traveling for a couple of years and for example work in Germany at a technology company while visiting the Chaos Computer Club’s hacker spaces to see what’s going on and report back to them. All my expenditures would be covered.Denn das, liebe Leser, ist die Realität. Das mag jetzt nur ein Einzelfall sein, und die Rekrutierung hat ja auch offensichtlich nicht geklappt, aber glaubt mal gar nicht, dass die Geheimdienste euch einfach so ungestört euren Spaß haben lassen. Bleibt wachsam.
Incident Response ist die Abteilung, die sich um "ich glaube, wir wurden gehackt"-Meldungen kümmert.
Aus "aus A folgt B" folgt nicht "aus B folgt A".
Aus "Fefe sagt, die Rechten haben sich an Soros festgebissen" folgt nicht "Fefe sagt, wer sich an Soros festgebissen hat, ist Rechter" und auch nicht "Fefe findet Soros unbedenklich".
Überhaupt, zu Soros und anderswo. Wir arbeiten hier bitteschön evidenzbasiert. Wenn einer von euch einen Beweis dafür hat, dass Soros Wahlen manipuliert hat (und zwar NICHT im Sinne von "er hat Demonstranten das Busticket bezahlt" sondern im Sinne von echter Wahlmanipulation, d.h. Leute für ihre Stimme bezahlt, Wahlcomputer gehackt, Leute vom Wählen abgehalten, Stimmzettel in Wahlurnen manipuliert, Wahlergebnis gehackt, etc), dann legt die bitte vor. Ansonsten haltet bitte die Schnauze.
Und nein, eure "nationalkonservativen" Hetzpostillen mit 100% ad hominem und 0% actionable content könnt ihr euch sparen.
Soros hat bei den "farbigen Revolutionen" fleißig mitfinanziert. Aber wenn DAS verboten wäre, dann säße die CIA seit Jahrzehnten geschlossen im Knast. Oder googelt doch mal der Friedrich-Naumann-Stiftung und ihrer Arbeit in Kuba und Lateinamerika hinterher.
“What you’re asking for, let’s bullet point it,” Clayton says, referring to the donor Maass claims to be representing. “He says, I’ll give you $100,000 to shut down a bridge, incite a riot and make sure we hack the media narrative on the inauguration.” (Danke, Mathias)
Aber das Highlight an der Story ist, wie sich der Chef von Hackingteam darüber aufregt. Denen war 2015 auch ein großer Datenreichtum beschert.
Das finde ich prima, dass das nach einem Hack mal jemand so sieht. Schade, dass es ausgerechnet Trump aus seiner Parallelwelt ist. Denn er hat auch gesagt, die Republikaner hätten ihre System ordentlich abgedichtet und seien daher nicht betroffen gewesen, und das stimmt ja nicht.
Es haben beide Seiten Schuld. Der, der seine Tür offen lässt, und der, der dann einbricht.
Aktuell: Fake-News Schuld an Ausschreitungen in Mexiko.
Und zwar nicht irgendwelche Fake-News. Nein!
Befeuert wurden die Ausschreitungen den Behörden zufolge durch Twitter-Nachrichten, hinter denen teilweise Roboter steckten.
Clapper told lawmakers that Putin-backed actors were already carrying out similar activities in Europe in the runup to elections later this year.Ich bin mir sicher, dafür liegen genau so krass unterzeugende Beweise vor wir für das Russen-Hacking gegen die US-Wahlen!Oh, aber warte, Clapper hört die Kritik und antwortet:
The debate over Russian influence operations in the U.S. presidential election will enter a dramatic new phase next week when the intelligence community releases a public version of its report on the matter.Öhm, ob sie den hier meinen? "Nächste Woche" kam schneller als geplant? Der ohne konkrete Inhalte, dafür mit "they hate us for our freedom"?OK also damit ist eine Sache klar: Wenn Clapper das so öffentlich im Senat ansagt, dann haben die Amis das auch schon seit Wochen immer wieder unseren Diensten reinzudrücken versucht. Nicht Beweis durch Zirkelschluss, sondern Beweis durch im Zirkel sich gegenseitig glauben. Beweisfrei behaupten die Amis gegenüber den Europäern, "Der Russe" wolle die Wahlen fälschen, mit Verweis darauf, wie Putin persönlich die Wahlcomputer gehackt hat (oh nee warte, doch nicht, das mussten sie als Fußnote in dem oben verlinkten 2. Report zurückziehen, den Claim). Die Europäer machen sich öffentlich Sorgen, "Der Russe" könnte unsere Wahlen hacken. Und das nehmen dann die Amis innenpolitisch als Beweis dafür, dass "Der Russe" ja tatsächlich weltwelt Wahlen manipuliert. Damit kann dann jeder gut leben!
Update: Ich komme darauf, weil der Irakkrieg ja auch so lief. Die Amis haben den Briten reingedrückt, dass der Irak gefährlich ist, woraufhin sich Tony Blair Bullshit-Angstszenarien aus dem Arsch gezogen hat, und die haben dann wiederum die Amis benutzt, um innenpolitisch ihren Krieg gegen Saddam Hussein zu legitimieren.
Oh, wo wir gerade bei Cyber-Bullshit waren: Der angebliche Beweis-Bericht gegen Putins US-Hackereien ist auch sehr unterzeugend.
"Durch die Beeinflussung der US-Wahl wollte der Kreml sein langfristiges Bestreben fördern, das US-geführte demokratische System zu unterminieren, in dessen Verbreitung Putin und andere russische Führer eine Bedrohung für Russland und Putins Regime sehen."Mit anderen Worten: They hate us for our freedom!1!!
Das hatte sicher nichts damit zu tun, dass Hillary eine fiese Kriegstreiberin ist, unter deren Amtszeit diverse direkte und indirekte Aktionen gegen Russland (weiter-)liefen. Ich sage nur: Raketenschirm in Polen, Ukraine-"Revolution", Pipelinekriege im Nahen Osten, … Nein, nein! Von unserer Freiheit und Demokratie fühlen sie sich bedroht!!1!
Man muss sich das wie Vampire vorstellen. Wenn die vom Sonnenlicht unserer menschenrechtsfördernden Lichtfigurenaura getroffen werden, zerfallen die zu Staub da in Moskau!!1!
Und natürlich waren es russische Regierungshacker, wer auch sonst. Das wissen wir, weil, äh, …
A code associated with the Russian hacking operation dubbed Grizzly Steppe by the Obama administration has been detected within the system of a Vermont utility, according to U.S. officials.Oh ach so, der "Beweis" dafür ist Grizzly Steppe. Ja nee, klar. Beweis durch Im-Kreis-Verweis auf Behauptungen. Das ist ja total, äh, überzeugend!1!!Wie damals mit den Massenvernichtungswaffen im Irak!
Da kann man doch nur sagen: Herr De Maiziere, übernehmen Sie!
Was dieses Jahr echt auffiel war die Häufung von Kindern auf dem Kongress. Und zwar nicht nur so 16-jährige Nerds sondern richtig kleine Kinder bis hin zu Säuglingen, aber das ganze Spektrum. Am Eingang gestern wurde ich fast von einer Schulklasse (?) umgerannt. Und die haben sich dann im Gebäude verteilt und an verschiedenen Stellen Dinge ausprobiert. Ich hatte zum ersten Mal seit einer Weile ein Gefühl von Perspektive, denn ansonsten fühlt sich die Hackerszene vergleichsweise nachwuchsarm an, finde ich immer. Dieses Gefühl von "ihr könnt uns zwar heute ärgern, aber wir werden immer mehr" gibt es so nicht. Bei diesen ganzen Hackerkindern hatte ich aber doch erstmals dieses Gefühl. Ich habe das als etwas sehr Positives empfunden.
Inhaltlich zu dem Tilo-Jung-Interview noch eine Anmerkung. Es ging u.a. um die AfD, natürlich, ob ich da als Journalist nicht in der Verantwortung bin, denen kein Forum zu bieten, weil das ja üble Populisten sind. Was ich generell zu Populismus zu sagen habe. So in die Richtung. Und meine Antworten sind weitgehend so, wie man das erwarten würde, wenn man mein Blog regelmäßig liest. Aber wie das so ist bei sowas, ein paar Punkte fallen einem immer erst danach ein. Und die will ich jetzt hier nachreichen.
Zur Frage, ob die AfD nicht vom Regen in die Traufe ist, habe ich im Interview argumentiert, dass ich als Bürger mich von CDU und SPD nach Strich und Faden verarscht fühle, und die natürlich Reaktion auf sowas ist, dass dann halt eine andere Partei erstarkt. Ich weiß nicht, ob euch das mal aufgefallen ist, aber alle Hoffnungsträgerparteien haben bisher massivst verkackt, sobald sie Regierungsverantwortung haben. Aus allen hehren humanistischen Werten von vor der Wahl wird dann ganz schnell Austerität und Neoliberalismus, auch bei den Linken.
Es gibt zur AfD aus meiner Sicht folgende Argumentationslinien und zu bedenkende Punkte:
Ich habe mich auf dem 33c3 mit einigen Leuten unterhalten, die mir übereinstimmend berichtet haben, dass sie von Leuten aus dem rechten Spektrum angeschrieben/angesprochen wurden, und die daher einen direkten Vergleich haben zwischen dem Gebaren auf der Linken und der Rechten, und deren Erfahrung war, dass die Rechten einen umarmen und einem Abweichungen von der Parteilinie nicht übelnehmen sondern eher eine "das wirst du schon auch noch verstehen eines Tages"-Strategie fahren. Auf der Linken hingegen werden Ausgrenzungsgründe geradezu von einer Strichliste durchgegangen, und gerade weiße Männer fühlen sich halt abgestoßen, wenn man ihnen am Eingang sagt, dass hier nur Veganer aus unterdrückten Minderheiten willkommen sind und die anderen sollen halt mal ihre Erbschuld akzeptieren und ihre Privilegen prüfen.
In meiner persönlichen Erfahrung stimmt das nur partiell überein. Ich habe auch diverse unflätige Beschimpfmails vom rechten Spektrum gekriegt, aber während es der Linken bei ihren Vorwürfen darum zu gehen scheint, dem Gegenüber (also mir) möglichst verletzende Dinge zu sagen, geht es bei den Rechten eher darum, dass die mir mal ins Gesicht sagen wollen, für wie überlegen sie sich und ihre Ideologie halten. Ansonsten kann ich aber bestätigen, dass die Rechten viel inklusiver auf ihre Neuzugänge zugehen. Das ist eine Beobachtung, die ich einigermaßen bestürzend finde, weil Inklusion und Toleranz doch eigentlich traditionell ein Konzept der Linken sind.
Update: So, sorry, musste kurz einpacken und ins Hotel, geht noch ein bisschen weiter. Also die Inklusivität bei den Rechten bezieht sich natürlich auf die Erfahrung von meinen Gesprächspartnern, und das waren weiße Deutsche ohne Migrationshintergrund. Aber das waren ja letztlich in den USA bei Trump die Wahlentscheidenden, insofern ist das glaube ich einer der springenden Punkte, wieso die Linke vergleichsweise unattraktiv auf Neulinge wirkt. Ich will das jetzt mal aus Illustrationsgründen übertreiben. Bei den Rechten kommen so Mails wie "du bist ja voll antiamerikanisch, ich betrachte dich jetzt mal als Bruder im Geiste. Dass das jüdische Finanzkapital Schuld am Holocaust ist, das merkst du bestimmt auch noch." Von der Linken kommen eher so Beschimpfungstiraden ala "Du misogynes homophobes Stück Kackscheiße, dein Putin-Apologetentum und deine unreflektiertes Amerika-Bashing werden uns alle umbringen".
Ansonsten ist es mir als Nerd ein Bedürfnis, die Argumentation der Gegenseite verstanden zu haben, und dabei nicht in die "die sind halt alle doof"-Falle zu tappen. Und in einem sehr interessanten Gespräch heute abend fiel auf, dass ich "die NSDAP, das waren eigentlich Sozialisten" immer abgetan habe. Ich habe mir gedacht, das Argument ist so offensichtlich Unsinn, das ist bestimmt ein Übertragungsfehler zwischen den Eliten und dem tumben Fußvolk auf der Straße, das die ARD dann in ihren "Befragungen" zeigt, die kaum einen kohärenten Satz rausbringen können. Aber es stellt sich raus, dass das kein Übertragungsfehler ist. Die meinen das ernst, auch Leute in oberen Schichten, über so ARD-Pegida-Demonstranten. Wenn man das als Axiom betrachtet, klären sich nämlich auch plötzlich andere Bizarritäten auf. Dann gibt es nämlich eine Kontinuität der Opferrolle von "die NSDAP hat uns kaputt gemacht" über "die Alliierten haben uns kaputt macht" hin zu "die Gutmenschen machen uns jetzt kaputt". Und daraus ergibt sich die Begründung für die Verachtung von "den Sozialisten" (denn die sind Schuld an der NSDAP), den Amerikanern für die Zeit im kalten Krieg und den Moslems für ihre "Umvolkung" jetzt (Der Begriff wird im exzellenten Maha-33c3-Vortrag erklärt). Für mich ist diese Axiomatik der Unterschied von "die glauben an 20 bizarre Dinge" und "die haben ein kohärentes Weltbild mit diesen 20 bizarren Ausprägungen".
Es gibt da eine Reihe von "deutschen Werten", die man an der Stelle annehmen muss, sowas wie traditionelles Familienbild und westliche Errungenschaften (damit ist sowas gemeint wie "wir haben hier die Aufklärung, die Moslems haben nur die Scharia"), und wir werden auf der einen Seite von verweichlichten Gender-Ideologen angegriffen, auf der anderen Seite von religiösen Fanatikern aus dem Nahen Osten, die uns alle in die Luft sprengen wollen.
Ich hoffe, ich habe das rechte Gedankengerüst grob korrekt zusammengefasst und bitte ausdrücklich um Korrektur, wenn das nicht so ist.
Die nächste Frage ist, wie man die AfD sieht:
Ich warne ausdrücklich immer vor Erklärungsversuchen, die auf "die sind halt alle doof" basieren, und bin mir sicher, dass es in der AfD gebildete, schlaue Leute gibt, die da aus aus ihrer Sicht völlig rationalen Gründen mitlaufen. Wenn wir diese Gründe verstehen können, können wir möglicherweise auf sie einwirken. Das sollte unser aller Ziel sein.
Update: Was ich für eine Schulklasse hielt, war in Wahrheit diese saucoole Aktion hier.
Grämt euch nicht, denn beim 33c3 ist ja auch alles kostenlos als Stream im Netz und später downloadbar.
Gleich am ersten Tag gibt es noch zwei Talks zum Dieselgate. Da bin ich ja mal gespannt. Ich dachte, das ist abgefrühstückt. Dann ein Talk namens "Nintendo Hacking 2016" mit der Beschreibung "Game Over". Uh-oh.
Und nicht nur eine sondern gleich zwei Theater-Veranstaltungen, einmal Tag 1 über den NSA-Untersuchungsausschuss und einmal Tag 2 "Die NSU-Monologe". Dann will da jemand Drohnen im Mittelmeer einsetzen, um Flüchtlinge zu retten. Gleich mehrere Vorträge zum Hacken von Regierungen (also die Regierungen hacken, und was man da tun kann). "Reverse Engineering von Spiegel-Online" klingt auch sehr spannend (Tag 2). Na ich bin mal sehr gespannt.
Der Fnord-Jahresrückblick ist am 2. Tag aber nach Mitternacht, d.h. technisch am 3. Tag. Direkt davor ist eine halbe Stunde "Eine kleine Geschichte der Parlamentsschlägerei" :-)
Und überseht mal nicht am letzten Tag "Virtual Secure Boot", Beschreibung "Secure Boot support in qemu, kvm and ovmf."
New hotness: Auf der Straße müssen Autos jetzt Schnittstellen haben, um miteinander zu reden. Damit die sich vor Unfällen warnen können!1!!
Hey, was kann da schon schiefgehen! Das wird bestimmt mindestens so eine Erfolgsgeschichte wie IoT!
Bisher ist es nur ein Vorschlag in den USA. Aber wie das so ist mit Vorschlägen. Ich würde mich wundern, wenn das nicht kommen wird.
Craig Murray, the former UK ambassador to Uzbekistan, who is a close associate of Assange, called the CIA claims “bullshit”, adding: “They are absolutely making it up.”“I know who leaked them,” Murray said. “I’ve met the person who leaked them, and they are certainly not Russian and it’s an insider. It’s a leak, not a hack; the two are different things.
Und dann bringt er noch ein schönes Argument:“America has not been shy about arresting whistleblowers and it’s not been shy about extraditing hackers. They plainly have no knowledge whatsoever.”
Trumps Antwort ist absolut großartig:
'These are the same people that said Saddam Hussein had weapons of mass destruction,' a Trump transition statement said.Dr House in die Brandwundenabteilung, Dr House bitte!
Was kommt als nächstes? Das ZDF deckt Korruption und Missstände in unserem Land auf!?
durch das IT Sicherheitsgesetz ist nahezu der gesamte Mittelstand in heller Aufregung seit nun 1,5 - 2 Jahren und sucht händeringend "BSI zertifizierte Sicherheitsanbieter" um in diversen Audits von Wirtschaftsprüfern o. ä. irgendwelche Zertifikate vorzeigen zu können, dass sie auch wirklich "sicher" sind - genau das wird zur Zeit gefragt.Ich bin ja nicht zertifiziert und kann mich auch nur an eine Anfrage erinnern, wo jemand ein "Pentest-Zertifikat" angefragt hat. Ich habe dann zurückgeschrieben, was für ein Zertifikat ihm denn da vorschwebt, und er schickte mir die URL von irgendeiner Kali-Linux-Showbiz-Bude (die halt rumtourt und "live hacking" vorführt). Ich schrieb zurück, dass der Typ, der diese Bude gegründet hat, mehrere Jahre weniger im Geschäft ist als meine Firma :-)Da in meiner Firma z. B. niemand den Kopf hinhalten wollte CISO (Chief Information Security Officer) zu werden, hatte mein Chef (IT Leiter) die glorreiche Idee, mich (ehem. sehr schlechter Java 'Programmierer', Linux Nutzer, nun IT-compliance Beauftragter und kleinster und billigster IT-Abteilungsleiter in der Firma) kurzerhand per Dekret zum CISO zu ernennen… Ich habe dann zwangsweise einige Verkaufsveranstaltungen besuchen müssen - bei HP, bei der Telekom, usw… das lief dann immer so ab, dass sie dort irgendein Subunternehmen engagiert hatten [alienvault oder so ähnliche], die dann "Livehacks" mit einem Kali-Linux vorgeführt haben und dann gezeigt haben, wie ihre Standard-Linux-Tools mit bunter neuer grafischer Oberfläche und variablem Firmenlogo als gemietete on-premise Lösung hinter der Firmenfirewall (!) das erkennen können und Alarm schlagen. Sie selbst bieten dann 24/7 Support und <30 min Reaktionszeit - der den Mittelstand dann (Zitat) "12 Vollzeitstellen" kosten würde, was sich niemand leisten kann und der Markt - gerade wegen des Sicherheitsgesetzes - diesbezüglich leer ist, und jeder der Sicherheit schreiben und einen Kali-USB-Stick booten kann zur Zeit eingestellt wird.
Ich habe 4 Monate gebraucht, um diesen tollen CISO Titel wieder loswerden zu können. Ich habe meinem Chef belegen können, dass ich als ehemals arbeitsloser Biologe eventuell doch nicht die technische Kompetenz und Ausbildung besitze, diesen verantwortungsvollen Job so auszuführen, wie er nötig wäre und konnte mir dann weitere Verkaufsveranstaltungen ersparen. Wir sind inzwischen bei Antago gelandet.
Ich schreibe das, um zu erklären, warum die Telekom das anbietet - und vor allem zu erklären, warum es wirklich einen sehr großen Markt gibt, der diesen Schwachsinn sogar nachfragt…
Also ich weiß ja echt nicht, was dieser Live-Hacking-Scheiß immer soll. Erkenntnisgewinn ist Null, da ist auch nichts "actionable", wie man so schön sagt. Reine Blender-Veranstaltung und Geldverschwendung, aus meiner Sicht.
Ich saß ja gestern in der Bahn gegenüber von einem Mann, den ich erst für einen Bühnenmagier oder so hielt, von seinem Äußeren her. Dunkler Anzug, hochgegelte Frisur, und trug eine Fliege. Aber die Schuhe waren dann zu teuer für das Bühnenmagier-Klischee, und als der dann zu telefonieren anhob, habe ich mich an einer Stelle hervorragend amüsiert. Da schlug er nämlich der Gegenseite vor:
Laden Sie einfach alle aus, die eh nichts zu sagen haben.Mensch, brillant! Wieso sind wir da nicht selber drauf gekommen? :-)
Aber so kommt mir gerade die ganze Branche vor. Lauter so Showbiz-Leute, die sich gegenseitig zu blenden versuchen, und dann irgendwann merken, dass die Leute, die was zu sagen haben, keinen Bock auf diesen ganzen Showbiz-Scheiß haben und lieber mit seriösen Gesprächspartnern an konkreten Lösungen arbeiten wollen würden.
Also ich finde ja, dass jetzt der geeignete Moment wäre, um dem CCC mal ein Bundesverdienstkreuz zu überreichen, für das Verhindern von Wahlcomputern in Deutschland damals. Stellt euch mal vor, wir hätten jetzt Wahlcomputer am Start! Und da stünde die Angst im Raum, die Russen könnten unsere Wahlen cyber-cybern.
Das ist so krass, dass die damit in meinem Weltbild weg vom Fenster wären als Cloud-Anbieter. Aber hey, ich wäre gar nicht erst rein gegangen in die Cloud. Mein Weltbild hat also einen gewissen Realitätsabstand an der Stelle.
Ach komm, eine Familienpackung Schlangenöl drüberkippen, und dann haben die Leute das bestimmt gleich wieder vergessen.
Ich hab ja vor so 15-20 Jahren oder so mal auf der CeBIT einen Stand von der Crypto AG gesehen, und das Standpersonal gefragt, wieso es ihre Firma noch gibt. Der Mann lächelte freundlich und erklärte uns, die Leute hätten eben kein gutes Gedächtnis.
Promon researchers have discovered that the Tesla app keeps this token in a plaintext file, in the app's "sandbox" folder. An attacker can read this token if he has access to the user's phone.
In all, the FBI obtained over 8,000 IP addresses, and hacked computers in 120 different countries, according to a transcript from a recent evidentiary hearing in a related case.Nun fragt ihr euch vielleicht: Hey, einen Durchsuchungsbeschluss für 8000 Rechner zu kriegen, und das auch noch in anderen Ländern, das war doch bestimmt sehr schwierig? Eigentlich geht das überhaupt nicht, in anderen Ländern böse Dinge zu tun. Man stelle sich mal vor, die deutsche Polizei stellt sich an die Grenze zu Polen und ballert auf der anderen Seite der Grenze Menschen nieder!Aber ich kann euch beruhigen. Das war alles voll legal. Das FBI hatte einen Durchsuchungsbeschluss. Ja, einen. Nicht pro Opfer. Insgesamt. Und damit fühlten sie sich legitimiert, in 120 Ländern 8000 Rechner aufzumachen.
Der beste Rechtstaat, den man für Geld kaufen kann!1!!
The Kremlin's vital information systems are impervious to hacking, according to Sergei Plugotarenko, director of the Russian Association for Electronic Communications.Absolut unhackbar!1!!
Nun wirkt das wie ein typischer Republikaner-Versuch, von ihren eigenen Geschichten abzulenken. Aber man darf halt nicht vergessen, dass diese E-Mails nur bei den Democrats rausgehackt wurden, daher ist die Faktenbasis ganz natürlicher auf die Democrats beschränkt. Insofern denkt euch den Teil der Republicans mal dazu (das wären vor allem Fox News und Breitbart).
Übrigens, nochmal zu Breitbart. Da scrollte vorhin an mir vorbei, dass die sich auf Facebook den 2. Reichweite-Platz mit CNN teilen (nach Fox News, die deutlich vorne sind). Breitbart darf man nicht einfach als Randgruppen-Bullshitschleuder abtun, die haben … ich glaube es waren 18 Millionen User Reichweite gehabt in dieser Untersuchung. Die sind lange Zeit in den USA belächelt und ignoriert worden. Den Fehler sollten wir hier nicht machen, wenn die jetzt wirklich nach Deutschland kommen.
Meiner Einschätzung nach manipulieren die Democrats die Medien deutlich stärker als die Republicans. Das kann aber auch eine Fehleinschätzung meinerseits sein, weil meine Filterblase mehr in die Richtung ausgerichtet ist. Beide haben einen Haufen Blogs und Randgruppen-Sites, aber alleine dass praktisch alle Zeitungen ein Endorsement für Hillary hatten, das stützt meine Einschätzung. Das Bild, das diese Untersuchung abgibt, ist zu einseitig, aber nicht so viel wie man vielleicht denken würde.
Die Republikaner bescheißen dafür an anderer Stelle viel mehr als die Democrats, z.B. mit ihren Wählerunterdrückungsgeschichten gegen Schwarze und Latinos, und mit ihrem Gerrymanderin (obwohl das heutzutage auch die Democrats machen).
Ich verlinke das hier, weil das eine ziemlich vernichtende Liste ist, wer sich da seine Talking Points und Interviewfragen von Hillarys Wahlkampfteam hat reinreichen lassen.
So eine Liste hätte ich ja echt gerne auch mal über Deutschland.
Update: Hier ist eine Grafik mit der "18 Millionen"-Zahl. Es handelte sich um "Reader Interactions", nicht Reichweite in Lesern.
Update: Link war falsch.
Hacker hacken … die US-Präsidentschaftswahlen.
Wie weit wir gekommen sind! Früher haben Hacker bloß PHP-Webseiten gehackt und schmutzige Bilderchen hochgeladen.
Aber man kriegt ein Gefühl dafür, mit was für Wildwestmethoden Webseiten auf die informationelle Selbstbestimmung ihrer Benutzer scheißen, und die Daten gleich an ein halbes bis ganzes Dutzend von Drittverwertern weiterreichen. Die können alle sehen, welche Artikel du liest. Und weil heutzutage überall in der URL steht, worum es in dem Artikel ging, müssen die nicht mal auf die URLs klicken, von denen der Traffic kam, um zu sehen, was deine Präferenzen so sind.
Ich habe mich daher dafür entschieden, grundsätzlich mit angeschaltetem umatrix zu surfen. Das macht regelmäßig Stress und Ärger. Eingebettete Youtube-Videos kommen erst nach Freischaltung, Webformulare failen, Onlineshopping geht nicht, weil externe Zahlungsdienstleister eingebettet werden, und die dann am besten auch noch Cross-Domain "Verified by Visa" oder ähnlichen Bullshit einzublenden versuchen. Ich kann gar nicht überbetonen, was das für ein Ärger täglich ist. Aber das ist es mir wert.
Und im Vergleich zu Lösungen wie Ghostery habe ich halt keine Liste von bekannten Trackern, die ich wegfiltere, sondern ich filtere alles weg, was nicht explizit erlaubt ist. Wenn ihr das auch mal probieren wollt, dann bereitet euch mental darauf vor, dass das mit Ärger verbunden ist. Mit Ärger und mit Erkenntnisgewinn.
Dem geneigten Leser wird bei der Gelegenheit auffallen, dass auch eine meiner Webseiten externe Referenzen macht — Alternativlos lädt die Audiodaten vom externen CDN nach. Das läuft unter einer anderen Domain, nämlich as250.net. Nun könnte ich dafür ja auch einen DNS-Alias machen, damit alternativlos.as250.net auch unter as250.alternativlos.org erreichbar ist. Der Grund, wieso ich das im Moment nicht mache, ist weil ich dem CDN dann auch für SSL-Verbindungen einen Schlüssel geben muss, der für eine alternativlos.org-Subdomain gültig ist. Das zieht aber andere Sicherheits-Nachteile nach sich.
Update: Ich sollte mal konkreter werden, was das Problem ist. Es geht darum, was der mögliche Schaden ist, wenn das CDN gehackt wird. Im Moment kann das CDN böse Audiodateien ausliefern, die den Browser verwirren oder angreifen. Wer nicht immer seine Patches einspielt, hat aber grundsätzlich ein Problem, insofern mache ich mir da weniger Sorgen. Aber wenn ich jetzt dem CDN ein SSL-Zert für cdn.alternativlos.org ausstelle, und der setzt Cookies, dann kann er die mit dem Scope alternativlos.org setzen. Das betrifft mich jetzt konkret auch nicht, weil ich nicht mit Cookies operiere, aber es ist ein Problem und einer der Gründe, wieso CDNs häufig auf eigenen Domains laufen. Schlimmer (?) noch: Wenn alternativlos.org jetzt selber Cookies setzen würde, sagen wir mal um die Session zu identifizieren, dann würden die auch alle beim gehackten CDN-Server übergeben werden, und der könnte alle Sessions klauen. Betrifft alternativlos.org jetzt nicht konkret, aber das sind so die Probleme dabei, wenn man das CDN auf eine Subdomain legt.
In Japan haben sie einen ganz anderen Zugang zu Cyber-Cyber!
You're the white hacker!Be bright white!Hey,how can I plug up this hole?
You're the white hacker!The security hole of my heart.
Und wir haben … Oettinger.
Überlegt euch mal selbst, was das über die Attribuierbarkeit von Cyberangriffen und Malware aussagt.
Ich weiß, was Sie jetzt denken, und Sie haben Recht. Hätte uns das nur früher schon jemand gesagt!1!!
Könnte das die Lösung sein, um die Industrie dazu zu bringen, mal keinen unsicheren Scheiß mehr auszuliefern? Einfach solange die Zuständigen mit ihren eigenen Sicherheitslücken zwicken, bis sie das Memo kriegen?
The ExoMars team will try to replicate the mistake using a virtual landing system designed to simulate the lander’s hardware and software, says Vago, to make sure that scientists understand and can deal with the issue before redesigning any aspects of ExoMars 2020.Da stellt sich doch die Frage, ob man sowas nicht besser vorher machen würde?! Kennt sich da zufällig ein Leser aus und kann das kommentieren? Ist das jetzt nicht mehr nötig, wo unsere Forschungsinstitute alles Exzellenzcluster und unsere Forschungsprojekte alles Leuchttürme sind? :-)Update: Einige Leser vermuten, dass die schon simuliert haben, aber ihre Modelle halt nicht ganz korrekt waren, und sie jetzt mit den Daten von der tatsächlichen Landung das Modell verbessern und nachsimulieren.
Die Frage stellen sich viele Menschen seit einer Weile.
Aber gestern ist mir aufgefallen, dass wir das jetzt beantworten können.
Hillary wurde Kandidatin, weil die Democrats in ihren Primaries Wahlbetrug durchgeführt haben, um Bernie Sanders als Kandidaten zu verhindern. Zur Erinnerung: Die Vorsitzende des Democratic National Congress, der Parteiorganisation der Democrats, hat nach außen simulieren lassen, dass die Organisation eine neutrale Position bekleidet, aber tatsächlich haben sie sich intern auf Hillary Clinton festgelegt und Bernie nach Kräften sabotiert und verhindert. Das haben sie so schamlos betrieben, dass das die ganze Zeit schon klar war, aber der Beweis kam schließlich im Juli mit den gehackten DNC-E-Mails. Die, über die jetzt keiner mehr redet, weil Hillary und Obama es geschafft haben, den Fokus von deren Inhalt auf die angeblichen Täter, die fiesen Russen, umzulenken. Ohne dass es irgendwelche Beweise dafür gäbe, dass das die Russen waren, versteht sich.
Oh und als das alles nachgewiesen wurde? Da hat Hillary Clinton die Wahlbetrügerin direkt eingestellt.
Dass da jetzt Hillary steht, ist also auf gezielte Demokratie-Sabotage der Democrats zurückzuführen.
Das ist die eine Seite. Was ist mit der anderen Seite? Wieso ist da dieser Trump-Vollidiot? Darauf haben wir die Antwort seit Anfang der Woche, als die Wahlkampfstrategie der Democrats über einen anderen E-Mail-Leak herauskam. Und diese Strategie war, gezielt die verrückten Außenseiter zu befördern, damit so jemand wie Donald Trump oder Ben Carson oder Ted Cruz am Ende der Kandidat der Republikaner wird. Denn mit dem haben wir dann leichtes Spiel. Und das brauchen wir auch, denn Hillary ist eine ausgesprochen unbeliebte Kandidatin.
Zusammenfassend können wir also sagen: Die US-Präsidentschaftswahl ist eine komplett abgekartete Wahlmanipulation und Demokratiesimulation der Democrats. Der Grund, wieso der Wähler am Ende die Wahl zwischen der furchtbaren Hillary und dem entsetzlichen Trump hat, ist fiese Demokratie-Unterwanderung und Wahlmanipulation.
Die beste Demokratie, die man für Geld kaufen kann!
Ich blogge das hier nochmal ausführlich, weil schon jetzt die deutschen Parteien sich die Wahlkampf-Strategen aus den USA einfliegen lassen, um ihre Tricks zu lernen. Ich gehe davon aus, dass bei der nächsten Wahl ähnliches hier passieren wird.
Er sagt da im Wesentlichen: Guckt mal, welchen Vorteil soll Russland denn davon haben, hier irgendwelche Leute zu hacken?
Nun, wie wäre es damit, dass Hillary eine fiese Kriegstreiberin ist, die seit Jahren über Leichen geht und politische Gegner mit Drohnen ermorden lassen will?
Über Trump kann man ja eine Menge sagen, aber im Gegensatz zu Hillary leben seine politischen Gegner bislang alle noch, und er hat auch keine fremden Regierungen wegputschen lassen.
Die Antwort: "Die Verhältnismäßigkeit wahrend"
Ansonsten blieb diese Ansage eher unkonkret.
A nuclear power plant became the target of a disruptive cyber attack two to three years ago, and there is a serious threat of militant attacks on such plants, the head of the United Nations nuclear watchdog said on Monday.CYBER CYBER CYBER!!!Wenn wir doch nur einen Cyberclown hätten, der uns vor sowas beschützt!
Ist ja auch irgendwie klar. Von ein paar Nomaden in einem Wüstenlager ohne fließend Wasser gehackt zu werden, das ist eher peinlich. Von den Russen gehackt zu werden, damit können alle gut leben.
New hotness: Die Türkei blockiert Dropbox, Google Drive und Microsoft Onedrive.
Es geht offenbar um diese Geschichte hier.
“If you’re the CIA director you shouldn’t have an AOL account,” Liverman said, referring to the group breaching CIA director John Brennan’s e-mail address.“Not only should he not have had an AOL email, but it’s illegal to use them for government purposes – similar to the Hillary [Clinton] scandal, except he didn’t host them himself, which would have been more secure than AOL,” Liverman explained.
Und irgendwie hat er da ja einen Punkt. Wieso regen sich eigentlich bei Hillary alle darüber auf, aber beim CIA-Direktor nicht?
The U.S. Intelligence Community (USIC) is confident that the Russian Government directed the recent compromises of e-mails from US persons and institutions, including from US political organizations. The recent disclosures of alleged hacked e-mails on sites like DCLeaks.com and WikiLeaks and by the Guccifer 2.0 online persona are consistent with the methods and motivations of Russian-directed efforts. These thefts and disclosures are intended to interfere with the US election process. Such activity is not new to Moscow—the Russians have used similar tactics and techniques across Europe and Eurasia, for example, to influence public opinion there. We believe, based on the scope and sensitivity of these efforts, that only Russia's senior-most officials could have authorized these activities.James Clapper, wir erinnern uns, ist der Mann mit dem topologisch bemerkenswert klar abgegrenztem Spontan-Alzheimer. Also WENN jemand zu irgendwelchen Geheimdienstfragen vertrauenswürdig ist, DANN JA WOHL CLAPPER!!1!
Das ändert natürlich alles.
But U.S. officials have gone on red alert out of fear that the current hacking effort is part of a broader “active measures” campaign to influence the upcoming U.S. election, and hurt Clinton while boosting the chances of her Republican rival, Donald Trump.Aha. Soso. Ja nee, klar.Ich finde das lustig, was diese ganze Geschichte für eine Eigendynamik entwickelt hat. Erst war es “Trump mag Putin!1!!”. So Kindergarten-Niveau. “Der Donald hat ne FREUNDIN!!! *kreisch*”
Dann war es “Hillary ist zu doof, ihren Mailserver abzusichern. Da geben wir doch dem Putin die Schuld dran! Wenn da jemand was für kann, dann ja wohl der Putin!!1!” verbunden mit einer Synergie in Richtung “das nutzt dem Trump, also ist Trump irgendwie Mitschuld an Hillarys verkackter Mailserver-Security”. Dann kamen mehr Details raus, wie schlecht da die Security war, und plötzlich drohte das umzukippen, und Hillary hätte das lieber ganz aus dem Diskurs gezogen, aber jetzt kommen die Republikaner und pushen die Story. Wenn es nicht so traurig wäre, wäre es echt lustig.
Ich habe kürzlich einen experimentellen Patch eingepflegt, der Syscalls im heißen Pfad sparen soll. Bei gatling funktionieren virtuelle Hosts über Verzeichnisse, d.h. für blog.fefe.de geht gatling zuerst in "blog.fefe.de:80" oder "blog.fefe.de:443" und öffnet dann "favicon.ico" oder was man halt angefragt hat. Das chdir wollte ich da weg haben, also habe ich statt open() openat() benutzt, da gibt man als zusätzliches Argument einen Deskriptor zu dem Verzeichnis an, zu dem das relativ sein soll. Und es gibt einen kleinen Cache für Verzeichnisse zu Deskriptoren.
Das funktionierte in der Testsuite und Benchmarks auch ganz prima. Aber auf dem Live-Server unter Last nicht so sehr. Leider muss ich das irgendwie nachstellen können, um es debuggen zu können, und wenn sich das nur auf dem Livesystem nachstellen lässt, dann müssen wir da jetzt halt alle durch. Sorry.
Frank empfiehlt als Ausrede, dass die Chinesen / Russen mich gehackt haben. :-)
Money Quote 1:
Additional circumstantial evidence that WoSign’s certificate issuance machinery had a notBefore of 20th December 2015 hard-coded somewhere for SHA-1 issuance is found in the events of Issue V, where in July 2016 a researcher tinkered with the StartEncrypt API published by StartCom and managed, to his surprise, to get it to produce two SHA-1 WoSign certs back-dated to this date.Hintergrund ist, dass SHA-1 inzwischen als nicht sicher genug gilt und nur noch auf Zertifikaten vor 2016 akzeptiert wird. Also haben die halt ihr Perl-Skript gehackt, damit es weiterhin SHA-1 ausstellt, aber so tut, als seien die noch im Dezember 2015 ausgestellt worden. Ganz großes Kino.Oh und wer sich jetzt denkt, naja, beim ersten Audit fliegt das sicher auf, der sieht sich getäuscht:
WoSign’s auditors, Ernst & Young (Hong Kong), have failed to detect multiple issues they should have detected. (Issue J, Issue X)Und daher findet Mozilla jetzt, dass man ab jetzt keine Audits von Ernst&Young Hong Kong mehr akzeptieren dürfe.
Sie haben sich möglicherweise in den gegebenen Umständen nicht als Sicherheitsloch manifestiert oder waren nicht ausnutzbar, aber es waren die ganze Zeit Bugs. Ich würde sogar so weit gehen, auch Bugs als Sicherheitslücke zu bezeichnen, die auf der aktuellen Plattform nicht ausnutzbar sind.
Meiner Erfahrung nach unterschätzen die meisten Entwickler diese Bugklasse. "Ach das ist ja eh nicht ausnutzbar" hört man häufig, übrigens auch in Fällen, in denen das doch ausnutzbar ist. Daher hier der Aufruf an alle Entwickler: Fixt alle Bugs, insbesondere auch die, die ihr für nicht ausnutzbar haltet. Und fixt auch die Bugs, bei denen ihr glaubt, es bestünde kein Privilegienunterschied ("da würde sich der Angreifer bloß selbst hacken"). Sowas kann eine Fehleinschätzung sein und die Umgebungsumstände können sich ändern. Sagen wir mal, dein Tool hat einen Buffer Overflow bei zu langen Kommandozeilenargumenten. Ihr denkt euch: Ach naja, wer das macht ist halt doof, das fixe ich nicht. Und dann ruft jemand dein Tool aus einer Webanwendung auf und der Dateiname kommt von der Gegenseite und schon ist das doch ein riesiges Sicherheitsproblem.
Oh und eines noch: Der 64-bit-Port hat Sicherheitsvorteile, vor allem mehr Platz für ASLR-Entropie in Adressen. Lasst euch jetzt bloß nicht den 64-bit-Port ausreden, nur weil irgendwelche Deppen ihre Sicherheitslücken auf die lange Bank geschoben haben, bis sie ihnen zwischen den Beinen explodieren.
The group accessed athlete data, including confidential medical data — such as Therapeutic Use Exemptions delivered by International Sports Federations (IFs) and National Anti-Doping Organizations (NADOs) — related to the Rio Games; and, subsequently released some of the data in the public domain, accompanied by the threat that they will release more.Ein Glück, dass die Dopingagentur nicht von so Digitalisierungshemmnissen wie Datensparsamkeit behindert wurde!1!!
Die Sicht darauf war nicht immer so positiv. Ich habe zum Beispiel vor ein paar Jahren noch argumentiert, dass automatische Softwareupdates ein Sicherheitsrisiko sind. Hier zum Beispiel 2010.
Aber das Argument war zunehmend schwerer vermittelbar, weil irgendwie nie was Schlimmes passiert ist in der Richtung. Inzwischen frage ich mich ja, ob wir das nur nicht mitgekriegt haben.
Oder vielleicht habe nur ich das nicht mitgekriegt. Weiß jemand ein Beispiel, wo jemand über den Autoupdater gehackt wurde?
Update: Einige Einsender verwiesen auf Flame, und das ist in der Tat ein gutes Beispiel.
Nun ist das nicht so, dass die da Wahlcomputer gehackt haben oder Wahlzettel gefälscht, sondern die haben halt Kampagnen gefahren, wie es beispielsweise auch Greenpeace tun würde, mit definierten Zielen vorher. Und die Ziele wirken jetzt nicht auffallend negativ auf mich, muss ich sagen. Da gibt es so Dinge wie "Jungewähler mobilisieren" oder "Pro-LGBT-Lobbyarbeit in Italien", Kampf gegen Ausländerfeindlichkeit und für Transparenz. Da kann man jetzt vielleicht im Einzelnen politisch dagegen sein, aber es ist ja nicht so, als gäbe es nicht auch Kampagnen von den Rechten.
Soros sagt man ja auch nach, für die ganzen Farbrevolutionen verantwortlich zu sein. Da hatte ich ein paar Dokumente erhofft.
Das ist auf jeden Fall ein Anwärter für den Balls of Steel Award, würde ich mal sagen.
Update: Also die Dateien sind wohl alle schon ein bisschen älter, und es handelt sich auch (außer bei den Skripten, natürlich) um Binaries und nicht den Quellcode. Das hat schon so einen Stallgeruch von "könnte was dran sein", ohne mir das jetzt tatsächlich näher angeschaut zu haben.
Update: Der Name "Shadowbrokers" ist übrigens eine Referenz zu den Mass Effect-Computerspielen. Dort ist das eine ausgleichende Figur, die alle Seiten mit Informationen beliefert, aber nie jemandem damit einen klaren Vorteil verschafft.
Eine Strategie, die so auch von unserem Innenminister hätte kommen können.
Nun, wenn sie "die Russen" sagen, meinen sie anscheinend dcleaks.com (von denen ich vorher noch nie was gehört habe). Woher da die Intel kommt, dass das die Russen sind, ist mir jedenfalls nicht klar. Aber hey, The Hill schreibt, das seien die Russen, und The Hill ist immerhin keine komplette Nutjob-Fringe-Seite (wie das hier z.B.).
Jedenfalls behauptet dcleaks gerade, sie hätten auch eine Familienpackung E-Mails von George Soros und seiner Open Society Foundation gehackt. Ihre Webseite ist soros.dcleaks.com.
Auf der einen Seite wäre das massiv interessant, bei Soros mal einen Blick werfen zu können. Auf der anderen Seite wirft mir die Suchmaschine da gerade keine E-Mails raus, sondern MS Office-Dateien. Und das bei einer Site, die angeblich "die russischen Hacker" sind. Ich würde da auf genau gar keine dieser Dateien draufklicken, auch nicht aus einer VM heraus. Aber es gibt auch einen Preview, vielleicht reicht der ja.
Kurze Warnung noch: Soros ist der Intimfeind der politischen Rechten in den USA. Die Nemesis der Republikaner. Eigentlich nicht direkt verständlich, denn seine Ideen zum "Demokratie Bringen", Revolutionen anzetteln und "Regime Change" erinnern mich ja eher an die Republikaner, aber nunja, viel nehmen tun sich die Seiten da nicht in den USA. Ich erwähne das deshalb, weil im Moment alle, die darauf linken oder sich darüber freuen, aus dem krass rechten Spektrum kommen in den USA. Das ist kein gutes Zeichen für die Vertrauenswürdigkeit dieser Info.
Die Seite ist jetzt schon träge bis lahmarschig, bevor ich drauf linke. Ich hoffe mal, ich töte die jetzt nicht endgültig.
Ich bin mir ja sicher, dass das die Chinesen waren. Ein APT!!1!
Erst war Heulen und Zähneknirschen, weil so richtig klar wurde, wie inkompetent die da arbeiten mit ihren gammeligen Windows-Ranz-Installationen und sorglosem Umgang mit dem Internet. Weniger moralisch flexible Funktionäre wären angesichts so eines monumentalen Versagens zurückgetreten, aber nicht unsere Teflon-Bundesraute!
Erinnert ihr euch auch an die große Erleichterung, als es dann hieß, das sei eine ultraprofessionelle Geheimdienst-Malware gewesen? Die Chinesen oder so? Weil dann plötzlich die Schuld nicht mehr bei unseren IT-Versagern liegt sondern bei den fiesen Ausländern?
Nun, ähnlich fühlt sich gerade Hillary Clinton. Die umarmt gerade das Narrativ, dass die fiesen Russen ihre Partei gehackt haben. Und damit ist dann natürlich klar, dass nicht ihr Maximalversagen Schuld ist, sondern die fiesen Russen!1!!
Super, wie das so läuft, nicht wahr? Das sollte man bei Autounfällen auch machen. Nicht ich war Schuld, der fiese Baum war Schuld! Wobei, so gesehen, … genau so ist es ja auch. Das Land Brandenburg hat tausende von wunderschönen Alleen zerstört, weil die besoffenen Leute mit ihren Autos gegen die Bäume gefahren sind. Man stelle sich mal vor, die Schweiz würde die Berge wegmachen, weil besoffene Autofahrer auf den Serpentinen verunglücken.
Update: Ein Einsender erklärt:
"Weg mit den Todesbäumen" war ein Schlachtruf des ADAC in Westdeutschland, so etwa in den 60ern (autogerechte Welt). Deshalb gibt es Alleen überhaupt nur noch im Osten - im Westen wurden die fast alle abgeholzt.
Achtung: Bei sowas muss man immer vorsichtig sein. Die erzählen ja nicht der Presse ihre wahren Möglichkeiten, weil sie gerne protzen, sondern die erzählen der Presse tolle Scifi-Geschichten von angeblich möglichen Dingen, damit die Politiker das lesen und mit Geld werfen. Vor ein paar Jahren zum Beispiel haben sie vorgeschlagen, Torpedos umzubauen, um damit Marines an Land schießen zu können. Weil niemand mehr die großen U-Boote zu brauchen glaubte, und da wollten sie halt eine Scifi-Story konstruieren, wieso die doch noch gebraucht werden könnten.
Update: Nicht, dass euch dieser Teil hier entgeht:
Als dritter Arm würde das Cyberabwehrzentrum alle staatlichen Behörden miteinander verbinden, angefangen von BSI und Bundeswehr über Polizeien und Geheimdienste bis hin zum Zoll. Das tut es theoretisch jetzt schon. Die Bundesregierung hatte 2011 ihre erste Cybersicherheitsstrategie vorgestellt. Damals wurde das Cyberabwehrzentrum in Bonn gegründet. Doch drei Jahre später urteilte der Bundesrechnungshof, das Abwehrzentrum sei nahezu nutzlos, weil es von keiner der beteiligten Behörden ernst genommen werde.
Der Soundtrack der TV-Serie Dark Matter klang für mich auch verblüffend nahe an Mass Effect.
Dass man heutzutage Soundtracks für Computerspiele auf Youtube findet und nicht mehr selbst aus den Spiele-Dateien heraushacken muss, hat meine Lebensqualität echt deutlich gesteigert.
Update: Als Empfehlungen kamen noch rein:
Das ist eine Web-Plattform für Bewerbungsgesprächen mit anonymisierten Menschen, d.h. du weißt nicht, mit wem du redest. Auch den Lebenslauf kriegt man nicht. Die haben mal einen Filter gehackt, der die Stimme des Bewerbers moduliert, damit Männer wie Frauen klingen und umgekehrt. Weil sie mal sehen wollten, wieviel das ausmacht.
Erstmal die Sachlage vorher:
we had amassed over a thousand interviews with enough data to do some comparisons and were surprised to discover that women really were doing worse. Specifically, men were getting advanced to the next round 1.4 times more often than women. Interviewee technical score wasn’t faring that well either — men on the platform had an average technical score of 3 out of 4, as compared to a 2.5 out of 4 for women.Daher haben die sich gedacht, es kann doch nicht sein, dass Frauen einfach weniger Ahnung haben, und wenn wir da mal ein bisschen tricksen, dann können wir den Frauen die besseren Jobs zuschustern, die sie verdient hätten.Gesagt, getan. Ergebnis:
Contrary to what we expected (and probably contrary to what you expected as well!), masking gender had no effect on interview performance with respect to any of the scoring criteria (would advance to next round, technical ability, problem solving ability). If anything, we started to notice some trends in the opposite direction of what we expected: for technical ability, it appeared that men who were modulated to sound like women did a bit better than unmodulated men and that women who were modulated to sound like men did a bit worse than unmodulated women.Wow. Das ist ja mal unerwartet! Den Rest spoiler ich mal nicht, müsst ihr selber lesen. (Danke, Christian)
Wenn die Politik also Altöl zu verklappen hat, dann wäre jetzt der Zeitpunkt.
Achtet bitte mal darauf, was gerade so an euch vorbei scrollt.
Interessante Kandidaten wären:
Ich weiß gar nicht, was ich an der Meldung lustiger finde. Dass die Russen mehr Interessen an den Präsidentschaftswahlen haben als die Amis, oder dass die Russen da seit letztem Sommer drin waren. Wenn man da noch die Vorbereitung dazu zählt, dann müssten die ja seit anderthalb Jahren eine Trump-Kandidatur für realistisch halten.
There is yet another hack for users of popular social media sites to worry about. Hackers may have used malware to collect more than 32 million Twitter login credentials that are now being sold on the dark web. Twitter says that its systems have not been breached.
Old and busted: Wir haben deine Platte verschüsselt.
New hotness: "Deine Daten sind bei einer Firma freigehackt worden" und "wir haben Zugang auf dein Facebook-Profil".
Einige Leser haben mir Warnmails geschickt, die scrum.org versendet hat, dass sie einen Einbruch auf ihrem Mailserver hatten.
Die schlechte Nachricht: Na dann hacken wir halt den Kram um die Krypto herum auf!1!!
Schlimmer: Beim Aufräumen finden sie auf ihrem Server eine Hintertür.
Einmal mit Profis arbeiten!
Das ist nicht der Punkt. Der Punkt ist das hier:
Vor allem Windows-Nutzern rät Adobe zu einem zügigen Update. Denn die Lücke mit der Kennung CVE-2016-1019 werde derzeit aktiv ausgenutzt. Das geschehe in Windows bis inklusive Version 10 und dem Flash Player 20.0.0.306. Kaspersky zufolge machen sich zwei Exploit-Kits die Lücke zunutze, um die Erpressungs-Trojaner Cerber und Locky auszuliefern.Jetzt vergesst mal bitte kurz den Flash-Teil.
Ihr solltet gerade alle den Arsch auf Grundeis haben.
Was wir hier gerade beobachten können, ist dass nicht mehr nur 0days einen Marktwert haben, sondern jede Sicherheitslücke.
0days sind rar und teuer. Gut, in diesem Fall war es auch ein 0day. Aber denkt euch das mal weg.
Das hier ist die Industrialisierung der Computer-Einbrüche.
Gut, einen Markt für gehackte Rechner gab es schon immer. Botnetz-Betreiber haben damit organisiertes DDoS gegen Online-Casinos und so gemacht.
Aber bei diesen Erpressungs-Trojanern vermute ich den möglichen Payout deutlich höher.
Und die Zeiten von "wieso würde mich denn jemand hacken wollen, ich habe doch keine wichtigen Daten" sind auch endgültig vorbei. Das redet sich hoffentlich niemand mehr ein.
New hotness: Wählerdatenbank der Philippinen gehackt.
The software let him quickly change names, profile pictures, and biographies to fit any need. Eventually, he discovered, he could manipulate the public debate as easily as moving pieces on a chessboard—or, as he puts it, “When I realized that people believe what the Internet says more than reality, I discovered that I had the power to make people believe almost anything.” (Danke, Jens)
Global Times, an arm of the Communist party’s People’s Daily newspaper, published an editorial late Thursday headlined “Su Bin deserves respect whether guilty or innocent” that praised Su Bin, a Chinese national who pled guilty on Wednesday in a Californian federal court to conspiring to hack into the computer networks of US defence contractors.Die ansonsten offizielle Position der Regierung ist, dass man Computer-Spionage weder billigt noch durchführt.
This specific flaw in Apple’s iMessage platform likely would not have helped the FBI pull data from an iPhone recovered in December’s San Bernardino, Calif., terrorist attack, but it shatters the notion that strong commercial encryption has left no opening for law enforcement and hackers, said Matthew D. Green, a computer science professor at Johns Hopkins University who led the research team.
Na bei der BBC und der New York Times, wenn sie keine Adblocker aktiv hatten!
Update: Eine Sache möchte ich mal ganz klar und direkt ansagen bei der Gelegenheit. Die Verlage stellen es bei solchen Gelegenheiten gerne so dar, als seien sie hier die Opfer, die von marodierenden Malware-Verbreitern gehackt oder missbraucht wurden.
Nein, sind sie nicht.
Die Verlage sind die Täter.
Die Verlage haben eine Infrastruktur geschaffen, über die fremder Leute Content eingeblendet wird. Diese Infrastruktur funktioniert jetzt gerade genau so, wie sie gedacht und ausgelegt worden ist. Lasst die nicht mit ihrem Opfergehabe davon kommen! Zeitungen haften selbstverständlich für den Inhalt ihrer Printausgaben. Genau so selbstverständlich müssen wir sie auch für die Inhalte ihrer Digitalausgaben in Haftung nehmen. Das geht ja mal gar nicht, dass die bei Werbung den Profit einsacken aber bei der Haftung dann die Schultern zucken!
Das sind Verlage, keine Banken!1!!
Alles in allem sind die Hacker dabei ziemlich genau so vorgegangen, wie es der Artikel "Hash mich, ich bin der Admin" im Rahmen des Titel-Themas "Die Waffen der Hacker" der c't 18/2015 beschrieben hat.Oh wie unangenehm!
Update: Primärquelle ist netzpolitik.org.
Die Einordnung ist nicht so einfach. Das beste, was ich so an Daten gefunden habe, ist die Tabelle am Ende von diesem Blogartikel.
Update: Ein Physiker schreibt mit gerade, dass der Term "effizient" an der Stelle schon anders belegt ist. Die suchten einen Wechselrichter mit hoher Dichte.
Na klar! Hacker hacken die Reederei-Server, um Frachter mit lohnender Fracht zu identifizieren!
Völlig gaga. So langsam frage ich mich, wieso die Leute dann überhaupt noch dynamisch linken.
Auf der anderen Seite ist natürlich die Frage, wie das gehen soll, wenn Apple Updates ausliefern kann. Dann kann Apple auch böse Updates ausliefern. Mit Verschlüsselung kann man da nur am Rand was machen. Zumindest der Teil, der die Verschlüsselung macht, und den Schlüssel in der Hand hat, der müsste dann un-update-bar sein.
Angeblich ist ja schon bei den Nachfolgemodellen von dem Telefon, um das es in dieser Sache ging, die Krypto in einem Chip und nicht in Software, und das FBI will die Verzögerung bei falscher PIN-Eingabe umgehen, indem sie die Firmware von diesem Krypto-Chip kaputtupdaten. Rein konzeptionell kann man aber mit physischem Zugriff auf die Hardware immer reinkommen, es ist bloß eine Frage der Kosten. Fragt nur mal die Pay-TV-Industrie und die Spielekonsolenhersteller.
Ich möchte aber auf eine Sache bei der Gelegenheit hinweisen: Code Signing hat nicht geholfen. Viele Leute halten Code Signing für ein Sicherheitsfeature. Ist es nicht.
Oh und nur keine bösen Updates mehr reinzulassen ist nicht genug. Man hat auch immer das Problem, wenn jemand ein gutes Update nicht einspielt. Oder was wenn das FBI Apple richterlich verpflichten lässt, für einen ihnen bekannten 0day keinen Patch auszuliefern?
Erfahrungsgemäß ist die Gefahr groß, dass es sich hier um Semantik-Spielchen handelt, die ein paar Zäune ein paar cm verschieben, aber am Ende ist doch alles wie vorher.
The Russian Central Bank has withdrawn licenses from at least three banks who are alleged to have hired hackers to break into their own systems and empty out depositors' account, secretly giving the money back to the bank less a commission.Das klingt jetzt auf Anhieb auch nicht viel unmoralischer als was die Deutsche Bank so macht, oder? (Danke, Magnus)
Ja?
Nun, VTech hat eine innovative Lösung gefunden!
Sie schreiben einfach in ihre AGB rein, dass irgendwelche Hacker immer irgendwas hacken können mögen. Nein, wirklich!
“YOU ACKNOWLEDGE AND AGREE THAT ANY INFORMATION YOU SEND OR RECEIVE DURING YOUR USE OF THE SITE MAY NOT BE SECURE AND MAY BE INTERCEPTED OR LATER ACQUIRED BY UNAUTHORIZED PARTIES.”
Ich mache hier gerade ein paar Folien, die auf einem Kundenrechner per Powerpoint oder PDF abgespielt werden sollen.
Einen ordentlichen PDF-Export mit Animationen kann offenbar kein Tool, die HTML-Exporte sind alle völlig unakzeptabel.
Und wenn ich dann laut seufzend halt PPTX nehme, dann muss ich feststellen, dass Powerpoint keine Ligaturen kann. Nein, wirklich! Aus sowas wie "fi" eine Ligatur zu machen ist ja schon bei kleinen Schriftgrößen wichtig, aber bei so großen, wie sie bei Präsentationen üblich sind, da springt es den Zuschauer direkt an, dass da die Ligaturen verkackt werden.
Und wisst ihr, wer Opentype definiert hat? Kommt ihr NIE drauf! Microsoft! Die supporten ihren eigenen Scheiß nicht richtig!
Ich komme hier aus dem Facepalmen gar nicht mehr raus.
Klar kann ich zur Not auch ohne Animationen. Aber wieso muss ich Jahre 2016 überhaupt in Erwägung ziehen, eine "zur Not"-Option zu nehmen, weil die anderen nicht gehen?!
Da muss halt mal jemand den Grundstock legen und die ganzen üblichen Animationen und Übergänge in HTML5 und CSS nachimplementieren. Das kann doch so schwer nicht sein? Warum macht das nicht mal jemand, der sich mit HTML5 auskennt? Das kann ja wohl nicht wahr sein, dass jetzt ein alter C-Hacker HTML5 hacken muss, weil es sonst niemand tut?!
Update: Ich schrieb schon mit Absicht "Animationen". Übergänge brauch ich nicht, finde ich affig. Aber Animationen will ich haben. Was man halt für eine moderne Präsentation so braucht. Sowas wie "dieses JPEG hier bitte in der rechten oberen Ecke so groß skaliert langsam einblenden" oder "dieses JPEG von links einfliegen lassen, bis es in der Bildschirmmitte angekommen ist". In meinen Foliensätzen sind einfliegende Facepalmbilder halt eine wichtige Anforderung.
Ein Ansatz dazu wäre, dass man dem Prozess per LD_PRELOAD eine Shared Library reindrückt, die dann open() überschreibt mit einer Version, die über einen vorher etablierten Unix Domain Socket einen Broker-Prozess bittet, für ihn die Datei zu öffnen. Der Broker prüft dann den Dateinamen und die gewünschten Zugriffsrechte (beispielsweise anhand einer Konfigurationsdatei), und wenn das OK ist, dann macht er die Datei auf und schiebt den Deskriptor über den Unix Domain Socket zurück. Daher auch ein Unix Domain Socket als Kommunikationsweg, denn da kann man Deskriptoren rüberschieben.
Das offensichtliche Problem mit diesem Ansatz war immer, dass man mit LD_PRELOAD zwar verhindern kann, dass jemand versehentlich open() aufruft, aber nicht dass jemand von Hand den Syscall absetzt. Da gab es dann bisher so Ideen von wegen "der Broker hängt sich mit ptrace an den Prozess und killt ihn, wenn er open() aufruft". Das geht, aber ptrace … nunja. Gut, nicht dass Seccomp so viel weniger übel ist als API, aber mit Seccomp kann man in einem Initialisierer in der Shared Library (jetzt kommt die Einsicht) auch einen Seccomp-Filter einrichten, der den open-Syscall verbietet. Der sollte dann natürlich auch andere Dinge verbieten (ich persönlich bin an der Stelle immer ein Freund von whitelisting statt blacklisting).
Aber mein Punkt ist: Man kann jetzt mit LD_PRELOAD dank Seccomp tatsächlich einen fremden Prozess dazu bringen, dass er (sogar halbwegs transparent) keine bösen Dateisystemzugriffe macht.
Gut, der Teufel liegt natürlich wie immer im Detail. Dann muss man auch schauen, dass man chdir und fchdir und so folgt, und wenn man Lesezugriffe auch verhindern will, dann muss man auch stat und co abfangen.
Aber hey, wenn es einfach wäre, wäre es nicht interessant :-)
Man kann das jetzt machen. Ich habe mal einen kleinen Proof of Concept gehackt, die das für open() tut. Mal gucken, ob ich den in einen verwendbaren Zustand kriege und dann veröffentlichen kann.
Once you use a cloud company you are essentially handing your data over to them and relying on their security, so he warned due diligence is even more important than usual.
Mein Hauptproblem war, dass gcc immer noch Aufrufe via PLT erzeugt hat. Was mir heute nachmittag auffiel: Das waren alles Funktionen, die aus Assembler-Quellen kamen, nicht aus C-Quellen. Da fehlte schlicht überall ein .hidden, wenn man im PIE-Modus kompilierte. -fvisibility=hidden bewirkt nichts bei .S-Quellen.
Oh und für die Variablen braucht man Relozierung, aber da tat mein vorgestern gehackter Code sogar schon. Nur der PLT-Scheiß war noch im Weg.
Das ist ein großer Meilenstein. Jetzt ist noch die Frage, wieviel das kostet, und ob ich das nicht einfach zum Default machen sollte. Der Relokationscode kostet ein paar hundert zusätzliche Bytes im Codesegment.
Damit wäre dann das Argument entkräftet, die NSA könnte sich in unsere Vorratsdaten reinhacken. Muss sie gar nicht. Der BND wird sie ihnen freiwillig geben.
Es sieht aus, als habe es sich um einen gut geplanten Streich gehandelt, für den einiges Technikwissen nötig war. Die Mail sei von einer täuschend echten Mailadresse ausgegangen, auf die offenbar nur über den Schulserver zugegriffen werden kann, schreibt die "Hannoversche Allgemeine".Die Hacker werden aber auch immer hinterhältiger!1!!
Aber hey, des einen Problem ist des anderen PR-Gelegenheit: Putin versorgt von der Krim aus ein kleines Städtchen in der Ukraine mit Gas.
Microsoft Corp experts concluded several years ago that Chinese authorities had hacked into more than a thousand Hotmail email accounts, targeting international leaders of China’s Tibetan and Uighur minorities in particular – but it decided not to tell the victims, allowing the hackers to continue their campaign, according to former employees of the company.Die Ausrede wirkt auch auffallend lame: Sie waren sich gar nicht völlig sicher, wer da der Angreifer war (na und?!) und man habe ja auch an die Auswirkungen einer Warnung der Opfer auf zukünftige Ermittlungen denken müssen.
Update: Tweet von The Register:
SFPD says he was arrested on Sat night, taken to hospital, then detained a few hours again on Sun.
Das würde zu seinen Tweets passen. Und Ars Technica hat mal die Akten eingesehen und bestätigt (Ctrl-F Update). (Danke, Bernd)
The vulnerability, which is on by default in the NX, EX, AX, FX series of FireEye products, was recently patched by FireEye after researchers from Google's Project Zero privately reported it. It made it possible for attackers to penetrate a network by sending one of its members a single malicious e-mail, even if it's never opened.So, und wenn ihr jetzt mal raten müsstet, zum Verhindern welcher Art von Angriff Fireeye-Systeme da sind…? Na? Richtig! Emails mit bösen Anhängen! (Danke, Carl)
Schluss mit der Datensparsamkeit. Was wir brauchen, ist ein Datenreichtum.In diesem Sinne: Hier haben wir einen schönen Fall von Datenreichtum.
The personal information of almost 5 million parents and more than 200,000 kids was exposed earlier this month after a hacker broke into the servers of a Chinese company that sells kids toys and gadgetsEs handelt sich um die Firma "VTech".
Kann Anonymous da was ausrichten? Klar, sie können Twitter-Accounts zumachen und irgendwelche Terroristen doxxen. Aber tut das wirklich was gegen ISIS? Ich wäre überrascht. Solange der Westen ISIS das Öl abkauft und durch Krankenhausbombardierungen Nachwuchs für die Terroristen anwirbt, spielen so Internet-Geschichten m.M. keine Rolle.
Eine Frage habe ich ja noch. Kaufen die Spekulanten das Öl eigentlich mit Bargeld? Oder Gold? Oder wie oder watt? Kann das ernsthaft niemand rückverfolgen, wo die Kohle hingeht? Die Amis können der UBS die Mittel einfrieren, aber ISIS nicht?!
Weiß jemand, wieviel Funktionalität Wireshark einbüßt, wenn man es ohne Lua baut? Ich habe gerade wenig Lust, mich in dieses Lua-Problem hier reinzudebuggen, hätte aber schon gerne ein aktuelles wireshark.
Mary Aiken knows what she’s talking about: she’s the cyberpsychology expert whose work was the inspiration for TV show CSI: Cyber.Äh, da wäre ich an ihrer Stelle aber mal ganz, ganz leise jetzt! OMFG! Damit geht man doch nicht noch hausieren?! Das ist ja wie wenn man sich mit "Hallo, ich bin der Erfinder des Zune" als Ingenieur bewirbt!Und was hat die werte Frau Psychologin zum Hacken zu sagen? Haltet euch fest! Diese Erkenntnisse werden euch von den Füßen fegen!
“A humanistic, cognitive psychology approach to hacking would be to consider an emotion such as revenge… But my favourite explanation for the academic literature is a Freudian psychoanalytic approach to hacking, which actually conceptualises hacking in Freudian terms as a cyber-sexual urge to penetrate. And there are castration complex overtones in terms of being cut off from the network as well…”Ladies and Gentlemen, das nimmt den Pott mit nach Hause. Das ist untoppbar. Nie wieder wird auch nur jemand in die Nähe von so viel gequirltem Bullshit auf einmal Haufen kommen. Nicht nur nichts verstanden, auch noch keine Ahnung!Da fehlt ja nur noch der Penisneid in dem Bullshit-Bingo! Das muss dann wohl ihre Antriebskraft sein.
*fazialpalmier*
Update: Wobei, wenn ich mir das Foto auf dieser Seite hier anschaue, dann denke ich mir: Die haben sich alle gegenseitig verdient. OMFG
Update: Die Vita der Professorin ist auch ganz großes Kino:
She is a Distinguished Professor of the Practice of Cyber Analytics and serves as a faculty member at the Dr. Steve Chan Center for Sensemaking, one of the centers of the Asia-Pacific Institute for Resilience and Sustainability (AIRS), which is jointly anchored at Swansea University’s Network Science Research Center and Hawaii Pacific University.
Da kann ich nur meinen Hut ziehen. Das ist besser als meine Parodieversuche. Aber glaubt mal gar nicht, dass das nicht populär wäre, wenn man den Leuten einen Cybären aufbindet! Neben dem IBM Swansea University Network Science Research Center und Inter- und Europol gibt es da auch ein wirklich eindrucksvolles Forschungsprojekt:
Her research focuses on virtual criminal profiling and cyber behavioural analysis, and she is currently leading an international research project in conjunction with INTERPOL and the Garda Siochana, the London Metropolitan Police, the Australian Federal Police and the Los Angeles Police Department. She is involved in a number of Forensic CyberPsychology research areas including; organised cyber crime, cyber reporting of crime, virtual behavioural profiling, cyber analytics, human trafficking & technology, cyberstalking, cyberbullying, child welfare in cyberspace, personal cyber security and safety.
Die Dienste benutzen euer Iphone jetzt auch.
mtu -= hlen + sizeof(struct frag_hdr);Und hier ist, was der neue Code tut:
if (overflow_usub(mtu, hlen + sizeof(struct frag_hdr), &mtu) || mtu <= 7)Als erstes fällt auf, dass der Code nicht das selbe tut. Nehmen wir mal an, dass overflow_usub zwei unsigned ints subtrahiert und dann meckert, wenn das Ergebnis negativ würde. Dann fängt dieser Code nicht nur den Overflow ab, sondern er prüft auch, dass mtu danach mindestens 8 ist. Allerdings prüft der Code nicht, ob hlen + sizeof(struct frag_hdr) bereits überläuft. Und das ist an sich schon ein Problem. Komme ich gleich drauf.
goto fail_toobig;
Linus' Kritik ist im Wesentlichen: Ist schlecht lesbar, ist ineffizient und immer noch unsicher.
Ich glaube, dass er bei allen drei Kritikpunkten irrt. Hier ist Linus' Gegenvorschlag, wie der Code lesbarer aussehen könnte:
if (mtu < hlen + sizeof(struct frag_hdr) + 8)Ich finde das lesbar. Aber ich mache das auch beruflich, in Code nach Integer Overflows zu checken. Viele Programmierer werden sich das angucken und gar nicht verstehen, was hier das Problem ist, das da geprüft wird. Wenn das Label nicht "fail_toobig" hieße, wäre gar nicht klar, was hier eigentlich geprüft werden soll. Linus' Version ist daher meiner Meinung nach nicht lesbarer. Und sie hat eine gewisse Fragilität. Wenn hlen ein size_t ist und beliebig groß sein kann, schlägt der Test fehl. Wird hier nicht so sein, so gut wie niemand hat 64-bit Headerlängen in der Praxis in seinen Protokollen. Aber es gibt Ausnahmen. Gut, nehmen wir mal an, hlen ist ein unsigned short (oder wir sind auf einer 64-bit-Plattform und hlen ist ein unsigned int). Wenn der Compiler das evaluiert, gibt es keinen Overflow, wenn in der Reihenfolge, in der der Compiler das evaluiert, zuerst eine Addition mit dem sizeof-Wert gemacht wird. Dann promoted C den Typ des Ergebnisses zu size_t, das ist an der Stelle groß genug und hat keine Overflow-Probleme. Aber was wenn ein weniger fitter Programmierer so einen Test zu bauen versucht und die Reihenfolge verkackt?
goto fail_toobig;
mtu -= hlen + sizeof(struct frag_hdr);
if (mtu < hlen + 8 + sizeof(struct frag_hdr))Wenn das sorum dasteht, und hlen groß genug reinkommt, und der Compiler hlen+8 zuerst evaluiert, dann kann der Teil überlaufen und wir addieren auf das abgeschnittene Ergebnis das sizeof drauf und das ist dann size_t, aber hatte schon einen Überlauf. Meines Wissens gibt es keinen Compiler, der Linus' Ausdruck böswillig umsortieren würde.
Die Compiler-Builtins, die hinter diesem Makro stehen, sind hier beschrieben. gcc hat das ursprünglich von clang geklaut, aber hat es an einer wichtigen Stelle besser und damit überhaupt erst ordentlich benutzbar gemacht. Bei clang musste man anfänglich je nach Datentyp ein anderes Builtin aufrufen, und das ist natürlich auch voll für den Arsch, denn diese Subtilitäten sind ja gerade die Fehlerquelle, die wir durch sowas ausschließen wollen. Heute gibt es auch bei clang __builtin_add_overflow, und das sieht in Beispielcode so aus:
#include <stdlib.h>Der Compiler erzeugt für diese Funktion diesen Code:int s(int a,int b) {
int c;
if (__builtin_add_overflow(a,b,&c))
exit(1);
return c;
}
s:Aus meiner Sicht ist dieser Code an dieser Stelle optimal. Ich wüsste jedenfalls nicht, wie man das besser machen könnte. Das "rep ret" ist übrigens ein Fix für einen Bug in einem der ersten 64-bit Athlons damals. Wusstet ihr nicht? Ja, so ist das, die Compiler sind ziemlich smart heutzutage. Smarter als die meisten Programmierer :-)
movl %edi, %eax
addl %esi, %eax
jo .L9
rep ret
.L9:
[… Error handling …]
Was ich damit sagen will: Nein, Linus, die Builtins generieren keinen schlechten Code. Wenn der Code an der Stelle mehr tut als einen Conditional Jump einfügen, der im Normalfall nicht genommen wird (und damit fast kostenlos ist), dann war der Compiler möglicherweise smarter als du an der Stelle und hat erkannt, dass die beiden reinkommenden Typen nicht gleich breit waren und einen zusätzlichen Check eingefügt, ob ein Zwischenergebnis abgeschnitten wird.
So. Also nochmal zu den drei Argumenten. Unlesbar bestreite ich, weil bei dem Makro explizit und offensichtlich ist, was der Programmierer erreichen will. Das ist immer besser als eine Packung Ultrasmart-Bitpfriemel-Kram, bei dem der Auditor zehn Minuten braucht, bis er versteht, was hier der Trick und das gewünschte Ergebnis ist, und ob der Weg dahin überhaupt korrekt ist.
Das zweite Argument war Ineffizienz. Das habe ich gerade widerlegt.
Das dritte Argument war Unsicherheit. Nun, Linus, das mag jetzt schmerzen, aber der Code ist sicherer als der vorgeschlagene Ersatzcode :-)
Daher, liebe Leser: Wenn ihr C programmiert, und euch fragt, ob ihr lieber die Builtins verwenden sollt oder auch alte Compiler unterstützten, dann NEHMT DIE BUILTINS. Ich bin sogar dafür, gar keinen Fallback-Pfad für alte gcc-Versionen anzubieten. Wer neuen Code mit alten Compilern übersetzt, hat verdient, dass das kracht. Diese ganze Debian-Antiquitätenhändler-Fraktion braucht mal ein paar Warnschüsse vor den Bug. Das ist ja schlimmer als Windows XP!
Wenn ihr überlegt, ob ihr lieber selber Overflow-Checks hackt oder lieber die Builtins nehmen sollt, NEHMT DIE BUILTINS.
Wenn ihr überlegt, ob ihr Overflow-Checks braucht oder nicht, dann NEHMT DIE BUILTINS. Die Checks kosten so gut wie nichts. Nein, wirklich. Da muss man sich anstrengen, um das überhaupt mit geschickten Mikrobenchmarks messen zu können. Und wenn der Check an der Stelle überflüssig wäre, und gcc das erkennen kann, dann fliegen auch die eh schon fast kostenlosen Checks noch raus.
Es gibt keine Ausreden. Nehmt die Builtins. Jedes einzelne Mal. Insbesondere, wenn es um Multiplikation geht. Das verkacken so viele Programmierer da draußen, dass ich das naheliegende Trinkspiel aufgeben musste. Probiert es gar nicht erst. Nehmt die Builtins. Und ich empfehle euch das, obwohl mein Lebensunterhalt davon abhängt, dass es Leute gibt, die nicht die Builtins benutzen.
Update: Wie sich rausstellt, sagt der C-Standard doch was zur Assoziativität von arithmetischen Operatoren. Der Compiler darf sich also nicht aussuchen, in welcher Reihenfolge er was addiert.
Im Review Prozess fand Apple Anstoß an den Folgenden Inhalten:Hardware attacks: hacking chips on the (very) cheap
Bluetooth Hacking – The State of The Art
Hacking Medical Devices
Gamehacking & Reverse Engineering
Crypto-Hacking Export restrictions
Jailbreak: eine Einführung
Social Engineering und Industriespionage
$kernel->infect(): Creating a cryptovirus for Symfony2 apps
Ich hoffe mal, die Verlage haben in der Zwischenzeit mal den Kopf aus ihrem Arsch gezogen und merken, dass proprietäre Plattformen mit Walled Garden keine akzeptable oder gar unterstützenswerte Distributionswege sind. Was kommt als nächstes, Apple killt die Tagesschau-App, weil die Tagesschau mal einen negativen Halbsatz über Apple fallen gelassen hat?
Mein Kumpel Erdgeist hat dazu mal ein paar Gedanken aufgeschrieben.
Eine andere Art von Mail, über die ich mich sehr freue, ist wenn mich jemand an seinem Synapsenfeuer teilhaben lässt. Ich möchte mal ein Exemplar hier zitieren, das heute einging.
Hi Fefe,Es bringt einen Haufen Dinge in Verbindung, die ihr vielleicht noch nicht in Verbindung gebracht hat, und vielleicht ist das ja auch völlig falsch, die in Verbindung zu bringen. Denkt mal drüber nach! Viel Spaß dabei!
als du deine Betrachtungen über den Artikel "The toxoplasma of rage" veröffentlicht hast, ging mir die Debatte "Bill Nye vs Ken Ham" durch den Kopf. Es ging mir dabei um die Motivation und Argumentationsstrategie von Ken Ham. Keine seiner Ausführungen war geeignet einen Unbeteiligten von seiner Meinung zu überzeugen sondern zielte einzig darauf FUD zu streuen. Er wurde nicht müde zu betonen das seine Homies ja auch glauben was er glaubt und die seien ja nicht blöd. "Mein Freund Dr Molekularbiologe…", "Mein Freund Raumfahrtingenieur…", "Mein Freund Dr Astronomie…", du erkennst das Muster… .Seine Buddies wurden dann auch in nem kurzen Filmchen vorgestellt und mussten kurz bestätigen das sie Kreationisten sind. Ihre Aussagen waren sehr vorsichtig formuliert, etwa "während meiner Arbeit als Molekularbiologe habe ich keinen Anhaltspunkt gefunden der dem Kreationismus widerspricht." Der Rest war "Evolution ist ja nur ne Theorie, zeig mir Beweise…" ohne den Beweis dann als solchen anzuerkennen. Dazu definiert er erstmal Wissenschaft in "historische Wissenschaft" und "beobachtende Wissenschaft" um und erklärt Extrapolationen für unzulässig. "Radiokarbondatierungen sind Nonsens weil du nicht sicher sein kannst das vor 4.000 Jahren die Zerfallsrate die gleiche wie heute war". Weiter zum nächsten Punkt, noch mehr FUD streuen.
Obwohl Bill Nye Ken Ham in dieser Debatte regelrecht zerstört, wird sie trotzdem von Anhängern Hams verbreitet und als Großer Sieg verkauft. Ich halte Ken Ham nicht für einen Dummkopf, irgendwann muss ihm klar geworden sein wie falsch er liegt, trotzdem verbreitet er weiter seinen Sermon.Was würde passieren wenn er seine Ansichten korrigiert? Er würde innerhalb seiner peergroup vom Helden zum Ausgestoßenen, zu dem Opfer müsste er erstmal bereit sein. Gleiches gilt für seine Buddies, möchtest du von deinen Kollegen belächelt, oder in deiner Heimat zum Pariah werden? Dazu passen auch die vorsichtigen Formulierungen um möglichst wenig Angriffsfläche zu bieten. Schlaue Köpfe werden auch bei der religiösen Rechten geboren, in deren Leben spielte ihr Glaube womöglich nicht mal eine besonders große Rolle, jeder weiß ja was er zu glauben hat und das stellt im Umfeld niemand in Frage. Nun kommt Ken Ham und nötigt dich Partei zu ergreifen. Du hast dann keine andere Wahl als das Spiel mit zu spielen.
An wen richtet sich Ken Ham? Seine Argumentation eignet sich kaum einen "Darwinisten" zu bekehren. "Du Depp hast nicht mal im Ansatz die wissenschaftliche Methodik verstanden, geh mir weg". Auch nicht einen Unbeteiligten zu überzeugen. "Deine Argumentation endet in einem Zirkelschluss, die Bibel soll wahr sein weil in der Bibel steht das sie wahr ist". Sie nützt einzig dem Gläubigen "Deine Argumente liefern mir die Rechtfertigung diese arroganten Darwinisten zu ignorieren". Für mich ist das ein Anzeichen das diese Subkultur dem Untergang geweiht ist, es geht nicht mehr darum neue Anhänger zu gewinnen sondern die Gemeinschaft am Auseinanderbrechen zu hindern. Vielleicht beziehen Ham und seine Buddies auch daraus die Gewissheit "das Richtige" zu tun weil es ihnen auch darum geht Schaden von der Gemeinde abzuwenden. Mir ist nur nicht klar ob das ganze bewusst oder unbewusst abläuft.Die Debatte wurde nicht nur von den Kreationisten sondern auch von der englischsprachigen "Atheistischen Community" gefeiert. Als diese ihre Wachsamkeit vernachlässigten, wurden sie von SJWs und Feministen unterwandert. "Wir sind nicht nur Atheisten, wir vertreten auch Werte" http://atheismplus.com/. Als prominente Vertreter anmerkten das das mit Atheismus nichts zu tun hat, wurden diese gedoxxt, denunziert, bedroht, etc. Das Arsenal der SJWs ist dir bekannt. In Folge wurde die Gemeinschaft gespalten und bekriegt sich bis aufs Blut. Es ist längst offensichtlich das "Ihre Sache" dem eigentlichen Thema schadet. In diesem Grabenkrieg werden Ressourcen gebunden und "die Atheisten" sind längst nicht mehr so schlagkräftig als noch vor ein paar Jahren. Youtuber wie Thunderf00t oder TheAmazingAtheist verwenden ihre ganze Energie darauf diesen Angriff aus dem Inneren abzuwehren und vernachlässigen ihr eigentliches Thema, der Welt zu zeigen wie spannend Wissenschaft ist und man nicht weniger befriedigt ist wenn man sich seine Antworten selbst erarbeitet statt sie sich von einem bronzezeitenen Kult vorschreiben zu lassen. Stattdessen sollen die Antworten nun von einem Kult kommen der Realität für ein soziales Konstrukt hält. Als Atheist kann ich da nur sagen, bevor ich davon etwas akzeptiere, bringe mir falsifizierbare Belege. In Form von Daten, ohne Geschwafel. So sachlich wird die Debatte aber nicht geführt, beide Parteien senken stetig das Niveau und Angriffe unter die Gürtellinie sind längst die Regel. Wenn das wirklich dieser Sozialkonstruktivismus ist, so ist das Krebs für eine aufgeklärte Gesellschaft und befördert uns ratzfatz wieder ins Mittelalter.
Im Moment beobachte ich die Diskussion der KenFM-Zuschauer gegen die Wikipedianer nach Veröffentlichung von "Die dunkle Seite der Wikipedia" im Kommentarbereich des Videos und der Diskussionsseite zum Daniele Ganser Artikel der WP. Die Mechanismen sind die gleichen, beide Parteien bezeichnen den anderen als "Gegner" und statt auf die Argumente des "Gegners" einzugehen, klopft man sich gegenseitig auf die Schulter und vergewissert sich wie doof doch die anderen sind. Persönliche Angriffe inbegriffen, inklusive Aufruf zur Denunziation und Gewalt. Obwohl ich dem Wikipedia Artikel keine sachlichen Fehler nachweisen kann, würde ich als Unbefangener anhand des Subtexts des Artikels zum Schluss kommen das Herr Ganser ein Spinner ist, auch wenn die Belege das nicht hergeben. Wenn man die Diskussion auch im Archiv verfolgt, kommt man zu dem Schluss das der Artikel von jmd geschrieben wurde der Herrn Ganser für einen Spinner hält. Ich halte das für diskussionswürdig. Die Wikipedianer nicht, alle Regeln wurden eingehalten, nichts zu beanstanden. Zugleich ist es für die KenFM-Zuschauer wieder mal der schlagende Beweis für die Weltverschwörung (ich weiß, ich pauschalisiere). Der Film ist handwerklich so lala und speist sich meines Erachtens aus Mißverständnissen darüber wie die Wikipedia funktioniert oder funktionieren sollte. Das absolute NoGo des Films ist am Ende das doxxing zweier Autoren um den Raum für persönliche Angriffe zu schaffen, dabei argumentiert der Filmemacher damit das er ja "mit offenem Visier" "kämpfe", also seinen Klarnamen benutzt und die Wikipedianer sich hinter Pseudonymen verbergen. Valide Argumente verlieren nicht ihre Gültigkeit weil sie von jmd ausgesprochen werden den man nicht kennt, und Gründe seine Identität zu verbergen gibt es zu Hauf. Wie auch immer, beide Parteien sind Argumenten gegenüber verschlossen, ergehen sich in Beleidigungen und versichern sich intern ihre Überlegenheit. Helfen tut das niemandem, der Wikipedia werden weiter die Autoren weglaufen, der KenFM Zuschauer findet weiterhin genug "Beweise" für was auch immer ohne dabei irgendwelche Erkenntnisse zu gewinnen.
Ich wette jeder findet dafür ein Beispiel in seiner peergroup. Der gemeinsame Nenner ist dabei Chauvinismus, der Glaube an die Überlegenheit der eigenen Gruppe, damit kann man jede Argumentation im Keim ersticken. Weil das Gegenüber eh zu doof ist den eigenen Argumenten folgen zu können, braucht man Ihren Argumenten gar nicht erst zuzuhören weil "Ihnen" deine Einsichten fehlen. Ganz gefährliches Zeug. Wir sollten alle ganz schnell bescheidener werden.
Zum Schluß noch ne VT, gestern hab ich mir nochmal "Politik hacken" vom 28c3 angeschaut und bin dann kurz beim "Virus" hängengeblieben. Das sich selbst reproduzierende Schadprogramm das vom Immunsystem nicht sofort als solches erkannt wird, als soziales Konstrukt würde das wohl einem freidrehenden SJW entsprechen. Ist SJW im Labor entstanden oder eine natürliche Mutation? Wurden gewisse Communities bewusst mit SJW infiziert? Ist das Virus mutiert und wir stehen einer Pandemie gegenüber?
Schöne Grüße
Ich habe die Ken Ham-Debatte als Beispiel für den hier neulich ausgebreiteten Mechanismus gesehen, dass sich die Ausführungen der Debattenteilnehmer in so einem Fall überhaupt nicht an den Gegenüber richten, sondern an die eigene Ingroup. Schaut her, ich bin so gefestigt in meinem Kreationsmus, dass ich sogar Bill Nye debattiere, obwohl ich nichts in der Hand habe an Argumenten, und ich genau weiß, dass der mich da zersägen wird! Und die Ingroup ist entsprechen beeindruckt und feiert ihn dann als Helden, weil er die gemeinsame Ideologie gegen fiese Herätiker verteidigt hat.
Zu einem gewissen Grad kann man das glaube ich auch über Bill Nye sagen. Wenn das ein gemeinsames Kaminfeuer gewesen wäre, ohne Liveübertragung ins Internet, und ohne großes Publikum, dann kann man vielleicht was erreichen. So ist völlig klar, dass sich keine Seite die Blöße geben kann, vor der kompletten Anhängerschaft den Idioten von der Gegenseite auch nur ein Fußbreit zu geben. Das hätte man sich sparen sollen, so hat Bill Nye nicht nur nichts positives erreicht, sondern diesen Ken Ham auch nur zu einem satisfaktionsfähigen Gesprächspartner aufgewertet. Und das völlig ohne Not.
An amendment to a controversial cybersecurity bill will allow US courts to pursue and jail foreign nationals even if the crimes they commit are against other foreigners and on foreign soil.Konkret:In other words, if a French national hacks a Spanish national’s MasterCard, she could be subject to 10 years in US prison under laws changed by the bill.
Es handelt sich um einen AOL-Account. Nein, wirklich! Es gibt nicht nur noch Leute mit AOL-Accounts, der CIA-Direktor ist einer von ihnen!
Update: High school stoner who hacked CIA director says he'll go to Russia to 'chill with Snowden'.
Das mit Abstand größte Argument hast Du verpaßt. Linus hat das irgendwann mal in einem seiner "Talks" erwähnt, finde ich so schnell leider nicht.Oje. Also mit solchen Fällen hatte ich noch nicht zu tun, daher habe ich sowas auch noch nie aus dem Winkel betrachtet. Ich bin da eigentlich eher "Jeder ist seines Glückes Schmied"-Anhänger. Wenn der Typ losrennt und Code hackt, den keiner braucht, nachdem der für die Integration Zuständige ihm davon abgeraten hat, dann hätte ich jetzt halt gesagt: Selbst Schuld. Kommunikation ist keine Einbahnstraße. Hören gehört genau so dazu wie reden.Es gab mal einen Entwickler, der wollte irgendeinen Mist schreiben. Linus war höflich und hat ihm davon abgeraten. Der Entwickler hat es trotzdem gemacht und zwei Jahre später oder so sollte Linus das integrieren. Linus hat nein gesagt.
Kurz später hat ein Bekannter (Frau? Freund?) von dem Entwickler Linus angerufen und meinte, der Typ sei suizid-gefährdet.
Höflichkeit kann Menschenleben kosten. Im Minimalfall hat es den Entwickler zwei Jahre Lebenszeit gekostet. Und an Linus' Stelle hätte ich auch keinen Bock, für anderer Leute Selbstmorde verantwortlich zu sein. Danach würde ich auch keine Zweifel mehr lassen, was ich von solchen Ideen halte.
Ich als Atheist steht ja nicht so auf solche Sprüche, aber den "Gott gab uns zwei Ohren und einen Mund, auf dass wir doppelt so viel zuhören wir reden" mag ich doch sehr gerne.
Ist das eigentlich eine neue Entwicklung, dass man Borderline- und Bipolar-Geschichten als Druckmittel gegen andere benutzt? Mir ist das erst seit 2000 oder so zu Gehör gekommen, dass Leute sowas machen. Ala "wenn du nicht mein Freund wirst, spring ich halt aus dem Fenster und dann ist das deine Schuld". Ich kenne solche Fälle bisher eh nicht persönlich und muss daher auf TV-Serien und Hörensagen zurückgreifen. Weiß da jemand Genaueres?
Update: Hier ist das Video mit Linus und der Suizidgefährdungs-Geschichte.
Habt ihr euch auch mal gefragt, warum dass so ist? Ist meine Anbindung so toll? Meine Hardware? Meine Software? Cache ich so krass?
Nein. Ich cache hier nichts. Jede Anfrage, die reinkommt, erzeugt und beendet zwei Prozesse und eine Kette aus 4 Interprozess-Kommunikationen. Es gibt kein memcache, keinen Varnish, kein Load-Balancer, kein Cassandra, kein Akamai, nichts. Der einzige Grund, wieso das bei mir flutscht, ist weil ich die Anzahl der HTTP-Anfragen minimiert habe und nichts externes reinlade. Bei mir kommt es im Allgemeinen bei einem Zugriff zu drei HTTP-Requests. Einmal das HTML selbst, einmal das favicon, und einmal das CSS, wenn ihr eines einbindet. favicon und CSS sind statisch und müssen normalerweise nicht neu übertragen werden. Bleibt als einziger Inhalt das HTML. Das komprimiere ich vor der Übertragung, und benutze auch kein CMS, was das irgendwie aufblähen könnte. Hier gibt es kein Typekit, kein React, kein jquery, keine Facebook-Buttons, etc.
Das mag jetzt trivial erscheinen, aber überlegt euch mal folgendes. Nehmen wir mal an, eine Webseite besteht aus 100 Elementen. Der Webserver bei einem davon hat einen Schluckauf und braucht 10 Sekunden. Dann lädt die Seite gefühlt langsam. Mal ganz abgesehen von der riesigen Datenmenge, versteht sich, die durch so viele Elemente entstehen. Alleine die Header sind ja schon 2 KB pro Anfrage.
Mein Webserver hat bestimmt auch gelegentlich mal einen schlechten Request, der aus irgendeinem Grund langsam ist. Wenn bei mir jeder 1000. Request gammelig ist, betrifft das nicht mal jeden hundersten User. Wenn bei einer Site mit 100 Elementen jeder 1000. Request gammelig ist, betrifft das jeden Zehnten.
Ich erwähne das alles bloß als Einleitung für eine Video-Empfehlung: Ein Talk darüber, wie man Latenz misst. Es geht um den Web-Kontext. Die Kurzzusammenfassung ist: Fast alle machen es falsch. Ihr wahrscheinlich auch. Außer ihr habt eure Messtools selber gehackt, und selbst dann möglicherweise immer noch.
Ich habe übrigens in gatling damals das Logformat extra so gemacht, dass das eine angesprochene Problem nicht deshalb nicht messbar ist, weil die vorliegenden Daten es nicht zulassen. Vielleicht sollte ich meine Ad-Hoc-Messtools mal ein bisschen professionalisieren und veröffentlichen, wenn die Tool-Situation wirklich so übel ist, wie er in dem Vortrag sagt.
Man tut an die externe Referenz im HTML im Wesentlichen noch einen Hashwert über den Inhalt der externen Ressource dazu, und wenn da was mit anderem Hashwert kommt, wird es verworfen.
Damit das tatsächlich sicher ist, sollte man natürlich die Webseite dann auch per HTTPS ausliefern.
Update: Wobei, eigentlich ist das ja auch wieder bescheuert. Wenn man die Webseite per HTTPS ausliefert und Hashwerte für die externen Ressourcen mitliefert, dann gibt es keinen Grund mehr, die Javascript-Libraries von externen CDNs noch per HTTPS zu laden. Aber wenn man es nicht tut, wird der Browser rumheulen. Oder haben die das abgeschafft für Ressourcen mit Subresource Integrity? Denn das könnte Webserver massiv entlasten, wenn man für die ganzen verlinkten Unterressourcen nicht mehr https nehmen müsste, nur noch für die Hauptseite. Und dann warum bei Skripten aufhören, warum das nicht auch gleich für die Bilder und Multimedia-Inhalte machen?
Nun, das war schlimmer als bisher gedacht. Denn die Hacker haben auch die Fingerabdrücke dieser Leute da rausgetragen. Die Fingerabdrücke der CIA- und NSA-Mitarbeiter. In Feindeshand. Das muss schmerzen.
Jedenfalls gab es da Kritik. Wie so häufig, wir hatten ja bei C ähnliche Vorschläge. "Hey, wenn wir dieses API hier besser machen, dann werden wir weniger Bugs haben". Und da kommen dann so Old Farts aus dem Unterholz und sagen "ihr infantilisiert C-Entwickler, die sind nicht so doof wie ihr sie hier darstellt". Aber am Ende des Tages geben die Nummern dem eben Recht, lieber die Umgebung schon so zu machen, dass es leichter ist, alles richtig zu machen.
Ich erwähne das hier alles, weil sich rausstellt, dass djb natürlich mal wieder völlig Recht hatte. Natürlich gibt es Leute, die bei komplizierter Materie das falsch machen. Ich zitiere mal:
We evaluated 8 crypto libraries and their vulnerabilities to invalid curve attacks. We found out that the Bouncy Castle library and the Oracle JCE provider were vulnerable and we could extract private keys from the TLS servers running these libraries. The attacks are quite powerful. For Bouncy Castle, we needed about 3300 real server queries. For Oracle JCE, we needed about 17000 real server queries. We tested with the NIST-256 curve. The high number of requests needed for the Java servers results from a strange behaviour (bug?) in the Java EC computation.Ich könnte jetzt ein paar Worte fallen lassen über Java und die ganzen Java-Apologeten, die mir seit Jahren Mails schreiben, dass mit Java alles besser ist als mit C. Aber ich lehne mich glaube ich lieber zurück und sage: Told you so. :-)Dass wir uns da richtig verstehen: Wer mit Java ECC-Krypto gemacht hat, der muss jetzt neue Keys generieren. Und natürlich gucken, dass er eine gefixte Library irgendwo her kriegt. Aber hey, Oracle fixt ja schn… never mind.
Der Titel ist: Data is not an asset, it's a liability.
Die Argumentation geht, wie wir sie hier im Blog und in der deutschen Blogosphäre und bei Datenschutzdebatten schon häufiger hatten. Aber wie er es formuliert und auf den Punkt bringt, das gefällt mir außerordentlich.
Er zieht eine Analogie zu Code. Code wurde lange Jahre als "mehr Code ist besser" betrachtet. Man hat die Leute nach Codezeilen bezahlt. Wenn ein Mitarbeiter mehr Code schrieb, war man zufriedener mit ihm. Aber es stellt sich raus: Code ist kein Wert an sich, im Gegenteil! Mehr Code ist schlechter, weil er komplexer ist, weniger gut zu verstehen, und mit an Sicherheit grenzender Wahrscheinlichkeit mehr Bugs hat. Daher sollte man mehr Code nicht auf der Guthaben- sondern auf der Verbindlichkeiten-Seite verbuchen.
Und genau so ist das mit Daten. Er sagt, man soll nicht alles sammeln, damit man später möglicherweise irgendwann irgendwelche Untersuchungen machen kann, an die man im Moment noch gar nicht denkt. Sondern man soll sich überlegen, was man sehen können will, und genau die Daten dafür erhebt man dann. Denn mehr Daten sind eben auch eher eine Verbindlichkeit als ein Guthaben. Je mehr Daten man erhebt, desto größer das Risiko, dass da welche drin sind, an denen Angreifer ein Interesse haben könnten, und freihacken und veröffentlichen. Und dann kommt dieser wunderschöne Satz hier:
Here’s a hard truth: regardless of the boilerplate in your privacy policy, none of your users have given informed consent to being tracked. Every tracker and beacon script on your web site increases the privacy cost they pay for transacting with you, chipping away at the trust in the relationship.Amen! Dazu kommt, dass alte Daten normalerweise weitgehend wertlos sind. Klar kann man sich einreden, dass man damit eines Tages Trendanalysen machen möchte, oder vielleicht macht man die jetzt schon.Think this way for a while, and you notice a key factor: old data usually isn’t very interesting. You’ll be much more interested in what your users are doing right now than what they were doing a year ago. Sure, spotting trends in historical data might be cool, but in all likelihood it isn’t actionable. Today’s data is.Recht hat er.Actionable insight is an asset. Data is a liability. And old data is a non-performing loan.Das sollte man sich ausdrucken und bei Entscheidern und Big-Data-Fanatikern an die Wand hängen.Das Erschütternste für mich ist, dass diese Firma anscheinend irgendwelchen Hipster-Komponenten-Kram für Mobiltelefone baut, u.a. zum Werbung einblenden. Das rüttelt jetzt an meinem Weltbild, was für Leute Hipster-Software-Komponenten zum Werbeeinblenden für Mobiltelefone bauen. Dass von denen jemals jemand kommen würde, und einen Blogeintrag machen würde, dass Big Data Scheiße ist, damit habe ich nicht gerechnet.
Das einzige, was gegen solche Hersteller hilft, ist wenn man gefundene Lücken schlicht öffentlich macht. Man kann ihnen ja ein-zwei Wochen für eine Reaktion geben, und dann von mir aus ein paar Wochen/Monate für einen Fix, je nach Größe des Problems. Aber dann muss das einfach veröffentlicht werden, und zwar mit Ansage von Anfang an. Damit da gar nicht erst irgendwelche Missverständnisse auftreten.
GM dachte anscheinend, sie können das Problem aussitzen, und die verwundbaren Modelle natürlich rausaltern lassen. Der Kapitalismus, wie er stinkt und kracht.
Wie das halt so ist, wenn man Security-Kram nicht sofort fixt, sondern da glaubt, noch ein paar Wochen bis Monate drauf herumsitzen zu können. Merkel-Politik ist halt immer Scheiße, in der Politik wie bei Softwareprojekten. Aussitzen funktioniert nicht.
“The Clinton diary hack came at a time when Williams’s work with America was of the most sensitive nature,” the source is reported to have told the newspaper.“It was a diplomatic nightmare for Sir John Sawers, the new director of MI6 at the time.”
Was sagt ihr? Offensive Cyber-Fähigkeiten werden missbraucht werden? NEIN! DOCH!! OOOOH!!!
Männer sind echt dämlich, auf so einen Bockmist reinzufallen. Da muss man sich ja fragen, wie wir Männer es über die Jahrtausende geschafft haben, die Frauen unten zu halten, bei solcher Hirnsubstanz. Meine Güte. Und keiner hat das gemerkt?!
Und so wird dann ein Schuh aus der Sache, denn das kommt jetzt nicht von den anderen Herstellern, die Story, sondern von "Ex-Kaspersky-Mitarbeitern", d.h. von Kaspersky selbst. Für mich sieht das aus wie eine als Pseudo-Kontroverse getarnte PR-Nummer von Kaspersky, um sich selbst als einzigen Marktteilnehmer darzustellen, der noch ordentlich prüft. Glaubt kein Wort von sowas. Schlangenöl ist Schlangenöl.
Im Übrigen basiert die ganze Branche auf geheimen Insider-Malware-Börsen, und die Hersteller tauschen alle ihre Malware-Samples aus. Ich bin da kein Insider, insofern weiß ich nicht, wie weit die Automatisierung der Signaturgenerierung ist. Was ich vor ein paar Jahren mal gesehen habe, ist dass das "manuell" gemacht wurde, allerdings mit massivem Tool-Aufgebot. Viel tatsächlich manuelle Arbeit war da nicht beteiligt, aber völlig automatisiert war es auch noch nicht. Wenn man die Tools der Konkurrenz beobachtet, kann man diesen Vorgang möglicherweise aus der Ferne reversen und so trojanische Signaturen unterjubeln.
Aber mal ehrlich, der ganze Ansatz mit den Signaturen ist für den Arsch. Dieses Geplänkel hin oder her, wer sich Software verkaufen lässt, die Viren fernhalten soll, hat es auch nicht besser verdient.
Update: Laut dieses Vortrages von 2013 von Microsoft scheint genau das passiert zu sein.
Und zwar hat ein Xerox-Geschäftskunde für sein Xerox-Multifunktionsgerät beim Xerox-Shop auf Amazon offizielle Xerox-Kartuschen gekauft, und das Gerät verweigerte den Druck damit. Wie sich rausstellte, hat Xerox in ihren Kartuschen jetzt DRM-Chips mit Region Codes und der offizielle Xerox-Shop auf Amazon hatte dem Kunden in Westeurope Kartuschen für Osteuropa verscheuert. Für den vollen Freudenhaus-Preis von 90 Euro für die Farbe Gelb, versteht sich. Und die wurden dann vom Gerät abgelehnt. Das ganze eskalierte dann noch ein paar Mal, als der Kunde erfolglos den Xerox-Support bemühte, aber das ist nicht der Grund, wieso ich das hier blogge. Ich blogge das, weil die c't dann beschreibt, wie der Kunde auf Alibaba (!) chinesische Klon-Nachbau-DRM-Chips für seine Kartuschen geordert hat, die hat er dann in ein paar Minuten auf die Kartuschen gepfriemelt, und mit denen konnte er dann wieder drucken.
Und ich fand das schon absurd, dass Leute ihre Kaffeemaschinen hacken mussten, um damit Kaffee ihrer Wahl zubereiten zu können. Aber jetzt muss man auch schon Region Codes in Druckerpatronen weghacken, um seine original vom Hersteller gekauften Kartuschen einsetzen zu können.
Kann man sich gar nicht ausdenken, sowas.
Ich glaube ja, wir als Gesellschaft hätten damals, als die Contentmafia mit ihrem Region-Code-Bullshit anfing, sagen müssen: OK, Jungs, ihr kommt jetzt alle in den Karzer. Ihr seid Soziopathen. Solche Geschäftsmodelle dulden wir nicht. Ab in die geschlossene Abteilung und da werdet ihr dann bis zu eurem Lebensende mit Benjamin Blümchen therapiert. Es war ja damals schon klar, dass das Schule machen würde, wenn man diese Idee nicht direkt an der Wurzel ausrottet.
Nun, wenn ich euch jetzt sage, dass das Gewehr eine WLAN-Schnittstelle hat, was ist dann eure erste Reaktion?
Wenn sie "Das kann man doch bestimmt hacken" ist, dann habt ihr völlig Recht. (Danke, Pascal)
Update: Wie gründlich? So gründlich. Heilige Scheiße! (Danke, Christian)
Bei Logdaten ist das für den Fuß, denn der Index würde einem sagen: Dieses Wort kommt in allen Logs des Webservers vor. Ja super. Da bin ich dann so weit wie vorher und muss die alle der Reihe nach durchsuchen.
Oder man könnte "Dokument" umdeuten, und zum Beispiel sagen: Alle 15 Minuten Weblog sind ein Dokument.
Aber man will ja auch andere Arten von Anfragen stellen können bei Logdaten. Man will ja sowas fragen können wie: Welche IPs haben in den letzten Stunden mehr als doppelt so häufig wie der Median zugegriffen?
Oder, bei Maillogs: Welche IP, die wir sonst selten sehen, versucht das Absetzen von mehr als 2 Mails in einer Minute.
Für diese Anfragen von Logs reicht ein Volltextindex nicht.
Und eigentlich wil man diese Art von Anfragen auch nicht ad hoc auf den Corpus anwenden, sondern man will sie auf einen vorbeifließenden Stream ansetzen, und dann einen Trigger auslösen können.
Nun kann man da auf mehrere Arten rangehen. Ich überlege gerade, ob man das nicht weniger schlimm machen kann, wenn man die Daten später durchsuchen will. Also man läuft immer noch komplett durch (ich vermute, dass das für einige ad-hoc-Anfragen gar nicht anders gehen wird), aber man reduziert den Aufwand, den man treiben muss. Ich dachte mir das so, dass man aus den rohen Logdaten die Felder extrahiert, d.h. die Logdaten in einen pro Logzeilentyp konstanten Format-String (wie bei printf/strftime) und die Datenfelder zerlegt. Und dann speichert man den Stream binär ab, die Format-Strings jeweils nur als Referenz auf ein Dictionary, und die Inhalte der Felder aus den Daten herausgeparsed. Dann muss man statt 127.0.0.1 nur vier Bytes abspeichern. Pro Logzeile legt man dann eine Referenz auf den Format-String ab (ich nenne das mal Template), dann das Offset zur nächsten Zeile, und dann binär kodiert die ganzen Werte. Die Idee wäre, dass man dann beim Suchen weiß, an welchem Template man interessiert ist, und die anderen schnell überspringen kann.
Konzeptionell versuche ich also ein Komprimierungsverfahren zu basteln, das ein Matching ohne vollständige Rekonstruktion der Quelldaten erlaubt. Oder zumindest ein fail fast beim Matching.
Was ich an der Stelle unbedingt vermeiden möchte sind irgendwelche Sammlungen von regulären Ausdrücken. Das Parsing muss automatisiert funktionieren.
Der erste Schritt dabei wäre, dass man erstmal typische Felder erkennt. Ich habe da mal eine Heuristik gehackt, die erkennt schonmal IP-Adressen, Timestamps in einigen üblichen Formaten, Hostnamen, Dateinamen, Pfadnamen, URLs, Email-Adressen. Das Problem ist halt, dass man Hostnamen und Dateinamen nicht wirklich erkennen und auseinanderhalten kann. Möglicherweise braucht es diese Aufteilung ja auch gar nicht und ich könnte auch einfach sagen: Das ist ein String-Feld.
Nehmen wir mal diese Logzeile hier:
Jul 17 12:34:56 ptrace sshd[2342]: Accepted publickey for usereins from 1.2.3.4 port 59932 ssh2: ED25519 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ffDaraus macht mein Tool sowas wie
%t %h %P[%i]: Accepted publickey for usereins from %4 port %i ssh2: ED25519 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ffDen Hex-String könnte mein Tool auch erkennen, tut es aber im Moment noch nicht. Aber das größere Problem ist, wenn ich zwei solcher Zeilen habe, eine mit usereins und eine mit userzwei, wie führe ich die Templates zusammen und mache aus usereins/userzwei ein %s?
Klassische Verfahren für sowas sind Edit-Distance/Levenshtein oder sowas, aber das muss doch auch irgendwie geschickter gehen. Und ich bräuchte das auf Wörtern, nicht auf Zeichen. Bonusproblem: Mit Feldern klarkommen, die Leerzeichen beinhalten dürfen.
Daran knabbere ich gerade herum.
Spannenderweise findet man für dieses Problem auf Anhieb wenig Kram, weil alles mit Template im Namen in die andere Richtung geht, aus Rohdaten und einem Template den String zu rekonstruieren. Was ich ja trivial genug finde, dass mir nicht klar ist, wieso sich so viele Leute damit beschäftigen. Aber gut.
Vielleicht fehlt mir auch einfach der richtige Suchbegriff?
Update: A-Ha! Der erste sachdienliche Hinweis geht ein. Ein verwandtes Problem ist das Longest common subsequence problem.
Update: Von Microsoft Research gibt es ein Paper, das genau die Fragestellung zu behandeln scheint. Die arbeiten da mit endlichen Automaten.
Update: Und hier ist noch ein Paper von einem Haufen MIT-Leuten. Das scheint mir aber inhaltlich nicht weiterzuhelfen.
Update: Ein verwandtes Problem aus der Bioinformatik ist das Sequenzalignment.
Ich muss an der Stelle gestehen, dass mir nicht bewusst war, dass es einen Fachbereich "Technikphilosophie" gibt, von Leuten, die sich selbst als Technikphilosophen bezeichnen. Ich kannte das vor dieser Mail nur von der Selbstbezeichnung von Sandro. Ich dachte, das ist etwas, das man nachträglich als Bezeichnung für Leute genommen hat, die Sci-Fi gemacht haben, bevor es Sci-Fi hieß.
Daher an dieser Stelle eine aufrichtige Entschuldigung an die Technikphilosophie als Fachbereich. Nur weil ich meinen alten Bekannten Sandro immer wieder gerne damit aufzuziehen versuche, heißt das nicht, dass ich da pauschal einen Fachbereich beschmutzen wollte. Ich wollte ja nicht mal Sandro beschmutzen, nur ein bisschen Häme über ihm ausgießen, weil er da mit diesem Artikel so ins Klo gegriffen hat.
Also, liebe Technikphilosophen. Ich bitte um Entschuldigung. War nicht persönlich gemeint. Nichts für ungut. Weitermachen!
(Aber bitte darauf achten, dass Aussagen Hand und Fuß haben)
Übrigens, bei der Gelegenheit passt das vielleicht. Ich möchte auch den Geisteswissenschaften versichern, dass ich nichts gegen Philosophie habe. Im Gegenteil. Es wird viel zu wenig philosophiert. Was mich nervt sind so Schmalspur-Pseudowissenschaft und Leute, die sich zu ernst nehmen. Beides gibt es in den Naturwissenschaften selbstverständlich auch in viel zu hoher Zahl. Aus meiner Sicht sind die Geisteswissenschaften da viel zu sehr in der Defensive. Nicht rumheulen, was tun! Diese Bunkermentalität finde ich furchtbar. "Immer hacken die Leute auf uns rum!1!!" Na wenn ihr darauf nur mit Rumheulen reagiert, dann ist da möglicherweise was dran! Los, forscht mal was cooles. Macht euch mal ein paar bahnbrechende Gedanken! Aber den Anspruch solltet ihr dann schon haben. Dass die bahnbrechend sind.
Es geht noch relativ harmlos los. Man wolle jetzt aufrüsten zur Verteidigung (na klar, wozu auch sonst?!). Und dann wolle man angreifen können. Auf Deutsch: Es wird hier mal wieder nur in die Offensive investiert werden, und dann wundern sich wieder alle, dass die Bundestags-IT von vorbeischlurfenden Obdachlosen gehackt werden kann.
So und dann geht es langsam los mit den Kloppern. Die IT-Ressourcen der Bundeswehr sollen aufgestockt und zentralisiert werden. Ja super, eine zentrale IT, da ist ja dann alles sicher! Man stelle sich das mal vor, im Afghanistaneinsatz kann keiner das Voip fixen, weil das aus der Zentrale gemacht werden muss. Tolle Idee!
So langsam steigt der Bullshit-Druck? Keine Sorge, das wird noch viel krasser. Erstmal das Money Quote hier:
Das Internet und andere Kommunikationsplattformen müssten neben den klassischen Kriegsschauplätzen Land, Luft, See und Weltraum als neuer "Operationsraum" der Bundeswehr definiert werden.Das Internet als Kriegsschauplatz! Operationsraum der Bundeswehr! Ich freue mich schon auf die neuen Abkürzungen!
Die Bundeswehr müsse nicht nur im Inland in der Lage sein, Cyberangriffe "aktiv abzuwehren". Bei Missionen im Ausland soll es zum Beispiel möglich sein, die Nutzung von Internet und Mobilfunk durch den Gegner "einzuschränken, gegebenenfalls sogar auszuschalten".A-Ha! Zivile Infrastruktur vernichten! Ja super! Die haben glaube ich das Land verwechselt, für das sie da kämpfen. Zivile Infrastruktur kaputtmachen, sowas machen wir eigentlich nicht. Seit der Haager Landkriegsordnung ist das verbriefter Teil des Völkerrechts, dass man zivile Infrastruktur verschonen soll.
Aber wartet, geht noch weiter. Wer soll denn die Cyberabwehr machen? Die Bundeswehr hat da ja bisher niemanden für! Kein Problem, dafür hat Cyber-Uschi einen Plan! Einen Plan, für den ihr euch mal bequem hinsetzen solltet.
Weil Einsätze der Bundeswehr bei der Cyberabwehr unterhalb eines massiven Angriffs bisher nicht vorgesehen sind, müsse dieses Problem mit den anderen Ressorts "prioritär" gelöst werden. Möglicherweise könnten Reservesoldaten aus der IT-Wirtschaft "in hoheitlichem Auftrag" zur Unterstützung im Cybernotfall herangezogen werden.Jawohlja!
Aber wartet, da geht noch was.
Da geht noch was, fragt ihr? Wie denn!
Na so:
Ende Juni informierte Staatssekretärin Katrin Suder alle Abteilungsleiter, dass die Unternehmensberatung Accenture eine Diagnose der Fähigkeiten und Ressourcen erstellen wird, Interviews und Workshops sind bereits geplant.Denn wenn sich jemand mit Cyberwar auskennt, dann ist es Accenture!
Wobei.
Hat jemand eine Statistik, wieviel Schaden Blackwater so angerichtet hat, und wieviel Kosten in der Wirtschaft durch Accenture-Beratungen verursacht wurden? Möglicherweise haben sie ja gar nicht so Unrecht.
Update: Falls sich jemand nicht erinnert: Accenture ist eine "Ausgründung" aus Arthur Andersen, die damals Buchprüfer bei Enron waren. Ich weiß aber auch gerade nicht, wieviel Personal damals unter dem Namen Arthur Andersen abgestoßen wurde, was man heute als "Bad Bank"-Konzept bezeichnen würde. Im Vergleich dazu hat sich Blackwater immer schön umbenannt und heißt heute Academi.
It's one thing to have dissatisfied customers. It's another to have dissatisfied customers with death squads. I don't think the company is going to survive this.Update: Einen hab ich noch: HT entdeckt auf Wikileaks die Spyfiles, und dass sie von Aktivisten getrackt wurden. Reaktion:
This is BLATANT privacy violation!
HOW did they collect such information?
Ja aber echt mal! Wenn hier einer anderer Leute Privatsphäre mit Füßen tritt, dann sind WIR das!1!!
Tja, und ich war mir SO sicher, dass das ein fieser Hacker kaputtgehackt hat! Am besten mit einem APT. Dann ist keiner Schuld.
Ungewöhnlich ist dabei aber, dass im Fall Luxemburgs ausgerechnet die Steuerverwaltung als Kunde auftaucht. Bei allen anderen Staaten gehören nämlich entweder die Polizei oder der jeweilige Geheimdienst zu den Auftraggebern. In der Tat hat die Steuerverwaltung laut Gesetz keinerlei Befugnis, Spionage-Software zu kaufen, geschweige denn selbst Spionage zu betreiben.Na sowas!
Update: Der Regierungschef sagte vor dem Parlament, nur der Geheimdienst sei bei Hackingteam Kunde, nicht die Steuerverwaltung. Vielleicht hat der Geheimdienst zum Verschleiern via Steuerverwaltung eingekauft oder so? (Danke, Patrick)
Leider ist die Antwort auch offensichtlich.
Dennoch. Da muss jetzt was geschehen. Ich finde, das sollten auch diejenigen überzeugen, die sich bisher gedacht haben, haha, naja, das betrifft doch bloß Apache oder so, nicht meine kleine Softwareprojekte hier.
Doch, es betrifft alle.
Ich werde jetzt mal Kontakt zu einem Anwalt aufnehmen. Und dann werde ich mal schauen, ob ich nicht eine Lizenz gebastelt kriege, die sich an der AGPL3 orientiert, plus Klauseln gegen Benutzen von Militär oder Organisationen aus der Intelligence Community und ihre Zulieferer. Muss man halt gucken, wie man das geschickt formuliert. Vorschläge nehme ich gerne entgegen, falls sich ein Jurist mal profilieren will. Es wird Zeit, dass wir hier mal Nägel mit Köpfen machen.
Das müssen diese westlichen Werte sein, von denen man immer so viel liest!
Diese Daten kommen übrigens von hier. Eines der Schadenfreude-Highlights ist das hier.
Mir fiel hier beim Rumklicken gerade ein besonders schönes Exemplar auf. Das ist ein Whitepaper von RSA über, … ja so richtig klar ist das nicht. Ihr Team? Ihre Produkte? Es geht jedenfalls um Incident Response (auch bekannt als "Feuerwehr" oder "Ghostbusters"-Einsätze) in APT-Fällen (auch bekannt als "Windows-Trojaner"). Normale Malware gibt es ja gar nicht mehr, ist ja heutzutage alles APT. Mit APT können alle leben. Die gehackte Organisation, denn bei APT kann man halt nichts machen, alles 0day und military grade ultra-Geheimdienst-Qualität und so. Die untersuchenden Spezialisten, denn hey, wer kann schon von sich sagen, einen echten APT gefunden zu haben! Gut, inzwischen fast alle, aber wollen wir mal nicht so sein.
Aber gucken wir uns das Whitepaper mal an. Es geht damit los, dass sie eindrucksvoll schildern, wie raketentechnologisch roswellig ihre UFO-Technologie da ist! Während Villariba erst 10% untersucht hat, ist Villabajo dank RSA-Gehirnchirurgenequipment schon 90% fertig (Seite 5).
Da wird man doch neugierig, wie sie das anstellen! Und blättert weiter bis zum Kapitel 3, Analysis Methodology. Und was steht dort?
RSA IR employs a methodology that is founded on industry standards.Wie jetzt, nanu? Ich dachte ihr seid der Industrie 90% voraus! Wie könnt ihr dann die selben Standards nehmen wie der Rest der Industrie? Das liegt bestimmt an dem ganzheitlichen Ansatz!The holistic approach includes the following four core components:- Intelligence gathering and research;
- Host-based forensic analysis;
- Network-based forensic analysis; and,
- Malware analysis.
Oder mit anderen Worten: Was auch alle anderen machen, wie das jeder tut, weil das offensichtlich ist.Plötzlich ist dann von iterativen Ansätzen und wiederholbaren Prozessen die Rede, das klingt dann schon gar nicht mehr so 90% schneller als anderswo, und dann gibt es dieses Highlight:
To complete this work, RSA IR uses several commercial and open source forensic toolsWie, Moment, ihr benutzt anderer Leute von-der-Stange-Tools? Ich dachte, EURE Tools seien der heiße Scheiß!In addition, the Team will leverage available tools and technologies in place within the enterpriseJa, äh, na was soll man auch sonst benutzen an der Stelle?Aber gut, das ist ja immer noch recht abstrakt. Vielleicht werden die Dinge in der Case Study-Sektion klarer?
The RSA IR team used Volatility to analyze the submitted memory dump. Very quickly, while parsing the Application Compatibility cache from the memory image, RSA IR confirmed this server likely had unauthorized activity based on locations and filenames that were executed on the system.Das ist ja mein persönliches Highlight. Erstens: Volatility ist ein Open-Source-Tool. Aber über Formulierungen wie "confirmed this server likely" könnte ich mich stundenlang amüsieren. Likely ist, was man vorher hat. Confirm macht aus likely ein definitely. Bestätigen, dass etwas wahrscheinlich passiert ist, geht nicht. Etwas ist wahrscheinlich passiert, dann bestätigt man das, dann weiß man, dass es passiert ist und braucht kein wahrscheinlich mehr.Ihr seht schon: Whitepapers sind ein Quell der Unterhaltung für Leute, die sich für den sprachlichen Dreizack aus Bullshit, Schlangenöl und Herumwieseln interessieren.
Hey, vielleicht sollte ich auch mal ein Whitepaper schreiben. "Wir machen das selbe wie unsere Mitbewerber. Wir können es nur besser." :-)
Ich habe früh in meinem Leben mit Softwareentwicklung angefangen. Ich erinnere mich noch, wie ich in den 80er Jahren Weihnachtslieder in GW-BASIC programmiert habe, und eine sehr coole Benutzeroberfläche gebaut habe, bei der man mit den Pfeiltasten in einem Menü herumnavigieren konnte. Auf unserem Monochrom-Bildschirm in 80x25 sah das verdammt cool aus. Viel cooler als ein Großteil der anderen Software, die wir so im Einsatz hatten.Damals wie heute nagte der Gedanke in mir, irgendwo könnte das irgendjemand irgendwo besser können als ich. Also nicht im Sinne von: Der hat mehr Zeit investiert und mehr Erfahrung und ist daher effizienter. Nein. Besser im Sinne von: Wenn der sähe, wie ich hier herumkrautern muss, um zu meinen Ergebnissen zu kommen, dann würde der ein lautes Lachen nur mit Mühe unterdrücken können.
Besonders ausgeprägt ist diese Befürchtung immer in Verbindung mit Rock-Star-Firmen und mit Weltkonzernen, deren Software eine markführende Position besetzt. Ich will das mal konkret machen. Wenn ich mich mit Google treffe und über Suchmaschinenprogrammierung rede, dachte ich, dann würden die gar nicht verstehen, wovon ich rede, weil das für die wäre als würden sie sich mit einer Ameise unterhalten. Oder, so die Annahme, mit VMware könnte ich gar nicht über Hypervisor-Programmierung reden, weil die da ja wahrscheinlich auf einem so viel höheren Niveau ein Verständnis aufgebaut haben, dass ein Gespräch mit jemandem wie mir für die keinen Sinn ergeben würde.
Nun hat es sich ergeben, dass ich beruflich Software auf Sicherheitslücken absuche. Ich gehe zu großen Firmen, die zeigen mir ihren Quellcode, und ich zeige ihnen dann, wo sie Dinge falsch machen. Wie viele Menschen in dem Beruf habe ich das Impostor Syndrome, d.h. ich befürchte regelmäßig, dass gleich jemand erkennt, dass ich gar keine Ahnung von der hier gefragten Wissens-Domain habe, und dann entfernt mich die Security aus dem Gebäude.
Einen besonders krassen Fall von Impostor Syndrom hatte ich, als ich das erste Mal bei Microsoft Windows auditiert habe. Die hatten auch keine Ahnung, wie man sowas macht, und wen man da ranlässt, und hatten daher ein vergleichsweise weites Netz geworfen, um potentielle Auditoren zu finden. Ich für meinen Teil hatte so gut wie keine Erfahrung mit Windows. Ich hielt das für einen Irrtum, dass die mich da hin geholt hatten. Und dann geschah das Wunder von Redmond. Ich setze mich hin, gänzlich ohne Domain Knowledge, und fand mehr Bugs als die ganzen Leute mit Domain Knowledge.
Wie sich rausstellt, ist Domain Knowledge überbewertet. Und Microsoft war sich dessen stärker bewusst als ich.
Aber diese Gedankengänge verfolgen mich bei allen Kunden. Was macht Microsofts GUI-Zeug zum Marktführer? Gibt es da irgendwas, was die besonders großartig machen? Wie funktioniert das Memory Management von Windows? Hat der Hypervisor von VMware ESX im Vergleich zu Xen Roswell-Technologie im Einsatz? Was ist eigentlich der Unterschied zwischen Oracle und MySQL? Ist das wirklich so ein immenser Abstand?
Gelegentlich ergibt sich die Gelegenheit, mit einigen wichtigen Leuten mal ein Bierchen trinken zu gehen. Ich nutze sowas konsequent, weil es mein Weltbild enorm erweitert hat über die Jahre.
Einige der gewonnenen Einsichten möchte ich gerne mit euch teilen. Bei allen großen, wichtigen Weltprodukten, bei denen ich eine Einsicht in diesen Aspekt gewinnen konnte, war das anfangs mal ein Hack von drei Leuten. Also wörtlich jetzt. Drei Leute ist die typische Größe, mit der man großartige Produkte bauen kann. Wenn wir nur von einem Aspekt reden, der am Ende die Großartigkeit des Produktes zementiert hat, ist es häufig gar nur einer. Der 32-bit-Support von Windows 95 geht auf einen Typen zurück, der das Manual von Intel auf dem Schreibtisch hatte (das konnte man sich damals für fast lau per Post ordern oder gratis als PDF runterladen), und der die entsprechenden Absätze gelesen hatte, und der sich dachte, hey, das implementiere ich doch mal.
Der schönste Spruch in diese Richtung kam von einem Datenbank-Hersteller. "Wenn wir damals Datenbank-Leute eingestellt hätten, wären die großartig darin gewesen, uns zu sagen, warum soundso nicht geht. Daher haben wir Nicht-Datenbank-Leute eingestellt, und die haben dann einen Weg gefunden."
In meiner Erfahrung ist der größte Motivator in der Softwareentwicklung die Gewissheit, dass etwas substantiell besser geht. Eine schöne Anekdote dazu hörte ich vor einer Weile. Da ging es darum, dass ein Software-Hersteller mit einer Uni zusammenarbeitete, und die hatten eine coole Idee und die auch umgesetzt im Rahmen einer Forschungsarbeit, und die blies alles aus dem Wasser, was es in dem Feld gegeben hatte. Der Hersteller hat daraufhin sein eigenes Team an einen Tisch geholt, wieder mal die fast sprichwörtlichen drei wirklich fitten Leute, und hat denen gesagt: implementiert das mal. Ihr habt das nicht erfunden, daher erwarten wir nicht, dass euer Prototyp diese Uni-Lösung outperformed, aber zumindest bis auf 50% solltet ihr rankommen. Die drei fitten Leute sind losgezogen und haben einen Prototypen gehackt, und hatten offensichtlich eine völlig falsche Vorstellung davon, welche Baseline sie erreichen müssen. Als sie ein paar Wochen/Monate gehackt hatten, und ihren Prototypen zeigten, und jemand den gegen das Uni-Ding auf gleicher Hardware benchmarkte, war der (edit: ihr Prototyp) nicht etwa 50% langsamer (edit: als die Uni-Software) sondern über 50% schneller.
Niemand geht los, um langsame Software zu schreiben. Aber auf dem Weg brechen viele Leute ab, weil ihnen gesagt wird, die Dinge seien "schnell genug".
Neulich scrollte eine lustige Gegenüberstellung an mir vorbei. Da hat sich einer der Väter von Extreme Programming vorgenommen, jetzt mal einen Sudoku-Löser zu programmieren. Der hat mehrere Blogposts dazu gemacht. Er hatte ein festes Dogma, wie man an sowas herangeht, aber offensichtlich keine Vorstellung, wie man diese Art Problem löst. In den Blogeinträgen beschreibt er jeweils, wie er Tests programmiert und ein neues Darstellungsformat ausprobiert. Am Ende scheitert er. Die Gegenüberstellung ist ein relativ bekannter Google-Ingenieur. Der hat auch ein Blogposting geschrieben. "Ich schreibe jetzt mal einen Sudoku-Löser". Dann hat er sich hingesetzt, beschrieben, wie man sowas macht, und einen Löser geschrieben. Ein Blogpost.
Es ist einfach, nach sowas über Extreme Programming zu lachen. Aber ich glaube, dass wir über noch ganz andere Dinge lachen sollten. Ich glaube, dass wir einige sehr fundamentale Dinge in Sachen Softwareentwicklung schlicht noch nicht verstanden haben. Nicht nur das: Die Leute setzen systematisch Scheuklappen auf, um zu verhindern, sich damit auseinandersetzen zu müssen.
Ich habe einmal einen Code Audit einer Webplattform gemacht. Normalerweise drücken sich Auditoren um sowas, weil man befürchten muss, dass sowas in PHP oder — schlimmer noch — Perl geschrieben ist. Das sind klassische Write-Only-Programmiersprachen. Da kann nach einer Woche auch der Typ, der es geschrieben hat, nicht mehr sagen, was dieser Code hier eigentlich tun sollte. In diesem Fall war es Perl. Wir machten drei Kreuze und fingen an. Und jetzt der Schocker: Das war wunderbar lesbarer Perl-Code. Kommentiert. Minimal. Die Firma hatte beschlossen, dass das Verbessern von bestehendem Code genau so wertvoll ist wie das Schreiben neuen Codes. Eher noch wertvoller. Wenn ein Mitarbeiter inzwischen dazugelernt hat, dass man Problem X besser so löst als wie wir das damals gemacht haben, dann geht er hin und löst es so. Unlesbarer Code wurde konsequent nicht gedulded. Fiese Konstrukte wie eval waren verpönt und nur unter strikten Ausnahmeregelungen erlaubt. Dieser Perl-Code war besser auditierbar als der durchschnittliche C++-Code. Lektion: Es liegt nicht an der Programmiersprache. Es liegt daran, dass die Firma der Lesbarkeit von Code einen Wert zuweist.
Der oben erwähnte "war am Ende 50% schneller"-Code hat dem Management so gut gefallen, dass sie gesagt haben: Geil, shippen wir. Das war cooler Rockstar-Code, aber das war kein Produkt. Für eine Firma dieser Größe und Erfahrung war es kein Problem, aus dem Codehaufen ein Produkt zu machen, das technisch den Anforderungen genügte.
Aber wenn ich da jetzt als Auditor hinkomme und sage: Schaut mal hier, das ist eine schlechte Idee, ändert das mal lieber! Dann sagen die mir: Können wir nicht; Eine Änderung hier könnte unvorhergesehene Auswirkungen über das ganze Produkt haben. Das Risiko können wir nicht eingehen.
In fast allen Großkonzernen, in denen ich bisher Einblicke in diesen Aspekt gewinnen konnte, gibt es große Codemassen, deren Wartbarkeit Nahe Null ist. Weil die Firmen es nicht geschafft haben, ihre Mitarbeiter dazu zu motivieren, alten und schlechten Code Schritt für Schritt besser zu machen. Stattdessen gibt es üblicherweise eine Kultur des Drucks, neue Innovationen zu programmieren.
Es ist schockierend, wie wenige Jahre ins Land streichen mussten, bis aus einem innovativen Stück Rockstarcode ein unwartbarer Haufen Legacy geworden ist.
Zusammenfassung: Firmen überbewerten "wir müssen das ans Laufen bringen" und unterbewerten "wir müssen dafür sorgen, dass das auch wartbar ist". Es werden immense Geldmengen dafür verbrannt und Mitarbeiterberge damit verschlissen, ungepflegten alten Code weiter ungepflegt zu halten, aber noch Dinge ranzupflanschen. Ich glaube, wenn wir hier das Anreizsystem umdrehen könnten, könnten wir auf einen Schlag die Softwareentwicklung umkrempeln und Deutschland zum Weltmarktführer machen.
Update: Ich sollte vielleicht noch sagen, dass ich wirklich mit Google über Suchmaschinenprogrammierung geredet habe, und gesehen habe, wie in VMware der Hypervisor funktioniert. Nicht nur habe ich verstanden, wie die das machen, die haben das auch noch so gemacht, wie ich das auch gemacht hätte (bzw. habe; einen Hypervisor habe ich noch nicht programmiert, aber eine Suchmaschine. Stellt sich raus, dass die groben Strukturen, was man so für Datenstrukturen verwendet und so, bei Google und mir die selben waren. Na klar haben die auch noch ein paar Tricks, die ich nicht kannte). Das liegt nicht daran, dass ich ein toller Hecht bin, sondern dass fast alle Lösungen für fast alle Probleme naheliegend sind, wenn man ein bisschen über das Problem nachdenkt. Und dann gibt es jeweils noch Hardware-Einschränkungen, die bestimmen, welche Lösungsansätze überhaupt möglich oder zielführend sind. So viel bleibt da am Ende normalerweise nicht übrig. Ich halte es für ein wichtiges Ziel, dass Anwender den immer noch weit verbreiteten Respekt vor Software abbauen. Wenn man ein Haus hat, und zwei Zimmer, und man möchte gerne in der Mitte die Mauer weghaben und ein großes Zimmer haben, dann prüft man die Statik und dann macht man die Mauer weg. Wenn man anbauen will, baut man halt an. Da ist nichts magisches dran. Bei Software ist das auch so. Wenn Google ein Haus baut, dann brauchen sie dafür auch ein Fundament. Wenn Google ein selbstfahrendes Auto baut, dann hat das auch Räder. Und so sieht das bei Suchalgorithmen halt auch aus.
Update: Siehe auch
Ich glaube denen ja allen kein Wort mehr mit ihren ganzen Hacker-Angriffen. Was zur Hölle?
Oh übrigens, an das A400M-Debakel erinnert ihr euch ja bestimmt noch. Da gibt es jetzt auch News: Stellt sich raus, wenn man auf den Triebwerks-Steuerungscomputern die Software löscht, dann funktionieren die nicht mehr. DAS WAR BESTIMMT AUCH EIN HACKERANGRIFF!!1!
Höchste Zeit, dass Post und Bahn mal ihr Narrativ von Streik auf Hacker ändern!1!! Das scheinen ja alle da draußen einfach so zu schlucken, wenn man ihnen sagt, da war halt ein Hacker. Supermarkt zu? Hacker! Briefmarken alle? Hacker! Post wird nicht zugestellt? HACKER!
An der Vorratsdatenspeicherung ist bestimmt auch ein Hacker Schuld.
Update: Ich höre gerade, dass ein fieser Hacker die Fertigstellung von BER schon seit Jahren verhindert!1!!
At the Nuclear Regulatory Commission, which regulates nuclear facilities, information about crucial components was left on unsecured network drives, and the agency lost track of laptops with critical data.Computers at the I.R.S. allowed employees to use weak passwords like “password.” One report detailed 7,329 “potential vulnerabilities” because software patches had not been installed. Auditors at the Department of Education, which stores information from millions of student loan applicants, were able to connect “rogue” computers and hardware to the network without being noticed. And at the Securities and Exchange Commission, part of the network had no firewall or intrusion protection for months.
Völlig klar, das können überhaupt nur die Chinesen gewesen sein!
Die Linksfraktion ist durch die Veröffentlichung ein Sicherheitsrisiko für den Deutschen Bundestag geworden.Welche Veröffentlichung? Die hier,
Mein Kommentar dazu: Wer bei Malware Attribuierung macht, schießt sich damit selbst aus dem Rennen. Dem kann ich auch sonst nichts mehr glauben. Zumal die Attribuierung hier auf eher tönernen Füßen steht, sie basiert im Wesentlichen auf diesem Report von Fireeye. Fireeye ist ein "IT-Security-Dienstleister", dessen Geschäftsmodell es ist, in großen Organisationen Email-Attachments in einer Sandbox auszuführen, und zu gucken, ob die nach Hause zu telefonieren versuchen. Ich persönlich halte den Ansatz für Schlangenöl. Deren Produkt habe ich noch nicht in der Praxis von Nahem im Einsatz gesehen.
Jedenfalls hat Fireeye ein kommerzielles Interesse daran, auf die bösen Chinesen oder Russen zu zeigen, damit mehr Leute Angst kriegen und Kunde werden. Wenn man sich deren Report durchliest, findet man heraus, dass ihre Attribuierung daher kommt, dass internationale Elite-Hacker, die SO GUT sind, dass sie ÜBERALL REINKOMMEN, beim Erstellen ihrer Software mit einer Microsoft-Entwicklungsumgebung vergessen haben, die Metadaten zu bereinigen. Leute, die gut genug sind, um ihren Code mit sinnlosen Instruktionen aufzublähen, damit die Analyse schwerer wird. Solche Leute vergessen dann die Metadaten. Ja nee, klar. Oh und die Metadaten zeigen, dass da teilweise die russische Version eingesetzt wurde, und dass die Erstellungszeiten im Dateiheader auf reguläre Montag-Freitag 9-5 Arbeitszeiten in der Zeitzone von Moskau hinweisen.
Nein, wirklich! Hey, *hexeditier*, ich hab hier eine fiese Malware, wo jemand als Kommentar "ist von Fireeye" zu entfernen vergessen hat!1!!
Also ich für meinen Teil würde auf diese Zuordnungen nicht viel geben. Dass die Linksfraktion in ihrem Netz Malware sucht und analysieren lässt und die Details veröffentlicht ist ihr gutes Recht. Ja sogar ihre Pflicht, wenn man für Fraktionen die selben Regeln anwendet, die unsere Bundesregierung gerade mit dem IT-Sicherheitsgesetz allen Firmen reindrücken will. Es lässt sehr tief blicken, wenn dieser CDU-Spezialexperte sich dermaßen aus dem Fenster lehnt in der Angelegenheit. Da hat wohl jemand Bürotiefschlaf gepflegt, anstatt sich mal durchzulesen, was die eigene Regierung gerade so beschließt, wie?
ENDLICH sind wir weg von diesem Flash-Binärkack und von Binaries für irgendwelche speziellen Plattformen und haben Skriptsprachen für eine gemeinsame Plattform. Endlich kann man einfach Ctrl-U machen und sich angucken, was da passiert. Kaputte Skripte zur Not selber debuggen. Selbstgehackte DRM im Web ist endlich weg (abgesehen von diesem Chrome-Netflix-Zeugs).
Und was machen diese Schwachmaten da? Erfinden ein neues Binärformat fürs Web. Und sagen explizit an, dass das ein Compiler-Target sein soll. JA SUPER! Ich sage gleich mal an, dass es eine Industrie geben wird, die auf Basis davon DRM baut, die "Obfuscation"-Technologien verkaufen wird, und wir werden eine neue dunkle Ära für geschlossenes Web einleuten. Und das alles so völlig ohne Not! Und dann werden wir wieder "works best in Internet Explorer" haben. Eine Frage der Zeit, bis Microsoft oder Apple spezielle proprietäre APIs für ihre "Web-Binaries" exportieren. DirectX für WebAssembly! Und am Ende haben wir dann ein verkapptes .NET für Arme im Browser. Hint: Hatten wir schon. Hieß Silverlight. Ist gefloppt.
"Jede Firma, die im Internet agiert, erlebt diese Erpressungsversuche. Bei uns, der Deutschen Telekom, ist der Letzte, glaube ich, vier Wochen her. Wir haben übrigens bezahlt. Wir hatten keine andere Möglichkeit."Das sagt Bernd Eßer, "Head of Cyber Defense" bei der Deutschen Telekom.
Außerdem:
"In Deutschland ist jetzt nach meiner Schätzung jeder Dritte Privatcomputer infiziert. Ende des Jahres könnte es, wenn ich nicht falsche liege, jeder Zweite sein."
Update: Die zitierten Sätze sind weg, dafür steht jetzt unten drunter:
* Aus redaktionellen Gründen haben wir vier Sätze bis auf Weiteres gelöscht.
(Danke, Timon)
Achtet mal drauf! Die Medienberichte berufen sich alle auf irgendwelche ungenannten Quellen. Schulterzucken und Halluzinationen von mehr oder weniger schlecht informierten Beobachtern!
«Heute haben wir Server mit 72 Systemadministratoren», schreibt Mario in seiner Abschieds-E-Mail. «Wer sind diese Administratoren (Mitarbeiter von BKW, Swisscom, Unisys und so weiter . . .)?»Öhm … ach wisst ihr, das ist ein bedauerlicher Tippfehler!
In einer internen Stellungnahme an die Mitarbeiter schreibt Kraftwerksleiter Martin Saxer: «Als Mario von 72 Personen mit Administratorenrechten geschrieben hat, hat er sich meiner Meinung nach vertippt.» Vielmehr handle es sich um 27 PersonenAch sooo, nur 27 Systemadministratoren! Na dann ist ja alles gut! Die zuständige Regulierungsbehörde hatte an an derer Stelle übrigens (völlig zu Recht!) schon 5 Admin-Accounts als zu viel beanstandet.
Aber macht euch keine Sorgen, Fernwartung ist schon OK, denn wir haben hier schließlich eine Firewall.
die Firewall, die Hackerangriffe abwehren sollte, habe «mehr Löcher als ein Fliegennetz», schreibt Mario in seiner E-Mail*hust* (Danke, Uwe)
Hier ist es:
Das BSI hat es angesehen, und bat die Dunkle Seite von Fraunhofer (FKIE) um Hilfe, weil sie sich überfordert sahen.Anonyme Bestätigungen oder überspezifische Dementis nehme ich wie üblich gerne per Email entgegen.Die haben sich das angesehen und gemeint: Tja, ausmachen, Images zur Analyse ziehen, Netz isolieren, alles neu aufsetzen.
Damit ist das BSI zur Bundestagsverwaltung gegangen, und die haben gesagt: Äh, was? Ihr seid doch das BSI! Wieso kriegt ihr das denn nicht hin?!
Das BSI hat denen dann erklärt, dass das bei nichttrivialer Malware halt so ist, woraufhin die Bundestagsverwaltung das lieber vor den Fraktionen geheimgehalten hat. Die Fraktionen haben gerade keinerlei Informationslage, fliegen blind.
Daraus entstand die "Vielleicht die Sommerpause vorziehen"-Empfehlung, weil das im Wesentlichen die Empfehlung der Fraunhofers ist.
Das Problem könnte so ernst sein, dass der Bundestag früher in die Sommerpause geht.OH MEIN GOTT! SOOO ERNST?!?!
Seitdem fürchten viele Abgeordneten, dass sie von irgendjemandem belauscht werden und sind zutiefst verunsichert, ob und wie sie noch vertraulich arbeiten können.Während meine Tränen noch trocknen, möchte ich den Abgeordneten aus ganzem Herzen zurufen: Willkommen im Club! (Danke, Timo)
Aus den Spekulationen scheint nun Gewissheit geworden zu sein. Bislang war nur bekannt, dass Roberts seinen Laptop 15- bis 20-mal während eines Fluges mit den Schnittstellen unterhalb der Sitze verbunden und so ins Wlan des Flugzeugs eingedrungen war.Uiuiuiuiui! (Danke, Cornelius)
In its legal filings, sent to Privacy International only the day before the hearing began, the Government notified claimants that the Computer Misuse Act was rewritten on 3 March 2015 to exempt the intelligence services from provisions making hacking illegal. … widdewidde wie sie mir gefällt! *tusch*
Nun, eine dieser Firmen ist Tiversa. Ich habe von denen noch nichts gehört vor heute.
Bei denen gab es gerade einen Whistleblower. Der erzählt, dass die Firma potentiellen Kunden einen Einbruch vortäuscht, um denen ihre Dienste andrehen zu können.
In 2010, Tiversa scammed LabMD, a cancer testing center in Atlanta, Wallace testified. Wallace said he tapped into LabMD's computers and pulled the medical records.The cybersecurity firm then alerted LabMD it had been hacked. Tiversa offered it emergency "incident response" cybersecurity services. After the lab refused the offer, Tiversa threatened to tip off federal regulators about the "data breach."
When LabMD still refused, Tiversa let the Federal Trade Commission know about the "hack."
An dem Kampf mit der FTC ist LabMD dann pleite gegangen.Und das ist nicht das einzige Beispiel, das der Typ nennt. Tiversa hat 2009 schon mal erzählt, der Iran habe die Baupläne für Obamas Hubschrauber.
Übrigens: Die machen Werbung damit, dass Ex-General Wesley Clark in ihrem Advisory Board sitzt. Und so passt mal wieder alles wie Arsch auf Eimer!
Übrigens, Ein Klassiker zum Thema Sudoku-Solver. Ron Jeffries (einer der drei Gründer von Extreme Programming) hat mal sowas wie Liveblogging gemacht zu seinem Versuch, einen Sudoku-Solver zu hacken. Als Vergleich dazu dient ein Blogpost von Peter Norvig, der mal eben einen geschrieben hat. Peter Norvig ist ein berühmter Hacker aus der Lisp/Ai-Welt, der auch mal bei Sun und der Nasa gearbeitet hat und jetzt Director of Research bei Google. Also mit anderen Worten: Auch ein Programmier-Experte. Der Link zu seiner Homepage scheint gerade kaputt zu sein.
Ich finde das großartig, dass der Premierminister von Singapur einen der Extreme Programming-Götter mal eben so vom Olymp gestoßen hat. :-)
Triggerwarnung: In der Mitte fällt ein Asterix-Witz.
Money Quote:
Man habe das Ziel einer »kritischen Sprachintervention« eben dann erreicht, wenn Leute sich über die angebliche Unleserlichkeit von Wortneuschöpfungen echauffierten. Wenn man auf Ablehnung stößt, dann gilt grundsätzlich: Die Sprachintervention wirkt!Der Titel des Workshops war übrigens:
Das nervt! – oder: Wie ›Spaßbremsen‹ und ›Correctnessgelaber‹ zur empowernden Identität werden könnenIch bitte darum, diese Botschaft des Empowerment und der Auflehnung gegen die Oppression dex Privilegientragendx nicht mit einem Trollworkshop zu verwechseln, auch wenn der Titel das nahelegt! Bleibt bitte mal ernst hier!1!!
Oh und das Admin-Passwort ist "admin".
fefe, bei dem Namen schaudert es mich. Ein wenig auch vor Anerkennung über ein Blog, das seit 10 Jahren konstant existiert. Und das auf dem gleichen politischen Niveau. Nur, dass die Welt sich eben weitergedreht hat. Und wenn die Welt sich weiterdreht und die politische Haltung die gleiche bleibt, dann wird es irgendwann entweder schrecklich progressiv oder reaktionär. Fefes Schicksal ist das des Zweiteren. Vor 10 Jahren waren die Posts vielleicht amüsant, vielleicht auch noch vor 6 Jahren - mehr noch: Viel von dem politischen Mobilisierungspotential der deutschen Netzgemeinde, viel von dem, was sich irgendwie als digitaler Ermächtigungsmoment zeigte, wurde von fefe inspiriert, von der Art und Weise, wie ein Hacker sich in der politischen Landschaft positionierte, an der Spitze des CCC. Das hatte seinen Charme. Als es gegen Netzsperren ging. Als noch kaum jemand was vom Netz wusste oder verstand. Es hatte seinen Charme, als wir 2006 mit großen Augen und pochenden Herzen vor den Rechnern saßen und mit Wikileaks begriffen, dass wir, diese Leute aus dem Internet, vielleicht tatsächlich etwas bewegen könnten.(Name der Redaktion bekannt)Doch im Jahr 2015 müssen wir erkennen: Wikileaks wird von einem Irren aus dem Keller einer Botschaft gesteuert und hat zahlreiche Menschenleben in Gefahr gebracht, Snowden hat sich an Russland verkauft, die Netzgemeinde kreist um sich selbst und ist zufrieden damit, die Piratenpartei ist ein Häufchen Elend, das Antifaschist_innen denunziert und Mandatsträger_innen, die in U-Haft wegen Sexualstraftaten gegenüber Kindern sitzen, verteidigt. Der CCC ist ein Verein zwangs-reformistischer Hacker_innen geworden, die mit der Bundesregierung lieber Kaffee trinken gehen, als sie zu bekämpfen und Diversität und Inklusion sind in den elitären Hacker_innenkreisen regelrechte Schimpfwörter. Von Sozialismus und fundierter Kapitalismuskritik brauchen wir gar nicht erst anfangen. Es ist bezeichnend, dass das reaktionäre Blättchen faz das intellektuelle Hausblatt der Bewegung war und ist.
Das, was früher erheiternde Verschwörungen auf dem fefe-Blog waren, ist 2015 eine Massenbewegung, die aus Putin-verehrenden Eso-Nazis, strukturell antisemitischen Zinsheinis, Hamas-liebenden Friedensbewegten, frauen-, homosexuellen- und transfeindlichen Wirrköpfen und paranoid-schizophrenen Hacker_innen besteht. Und in Deutschland zeichnet fefe dafür mitverantwortlich. Als geistiger Wegbereiter und -begleiter für einen Haufen eigentlich unpolitischer Rechthaber_innen, die sich als Hacker (!) fühlen, aber lieber den ganzen Tag ausgelutschte Narrative, Beleidigungen und Menschenverachtung in die Kommentarspalten hauen, als sich mit ihrem Hackerkopf (!) mal der Gesellschaft zu widmen. Sprache hacken? Kapitalismus hacken? Nazistrukturen hacken? Patriarchat hacken? Nein, nein! Lieber verteidigen sie ihr Recht auf Photos von Frauen* zu onanieren, erst Recht, wenn sie wissen, dass die Frauen* das nicht wollen. Because: actually it's about ethics.
fefe, bei dem Namen schaudert es mich. Vor allem wegen des Mobs, der mit dranhängt. Ein Mob, der vor nichts zurückschreckt. Ein Mob, der Vergewaltigungswitze und -androhungen lustig findet und sie deswegen immer und immer wiederholt. Ein Mob, der Frauen* verfolgt, regelrecht jagt, weil sie auf Gender als kritisches Ordnungselement hinweisen. Ein Mob, der im Zweifel an der Seite von organisierten Nazis steht, die Flüchtlingsunterkünfte anzünden. Ein Mob, für den "Vaterlandsverräter_innen" im Jahr 2015 ein ernsthaftes Problem sind. Ein Mob, der Deutschland liebt, der Nationalismus ganz ok findet und die Alliierten als "Kriegsverbrecher" bezeichnet. Ein völkischer Mob, der sich jeder intellektuellen Herausforderung mit schriller Empörung entzieht. Ein Mob, von dem wir froh sein können, dass er keinen stabilen und einfachen Zugang zu Waffen hat.
Und so müssen wir im Jahr 2015 erkennen: Die (Netz-)Welt hat sich weitergedreht, fefes Blog nicht. Und fefes Anhänger_innen haben sich sogar zurückentwickelt. Das mag eine Konstante sein. Und vielleicht ist das ja auch was. Wahrscheinlich können wir in 10 Jahren noch einmal "feiern". Hoffentlich dreht sich die Welt bis dahin nicht mehr so schnell und vielleicht kann fefe sich dann auch ein wenig mitdrehen.
Nun gilt im Internet ja eh, dass man davon ausgehen muss, dass sowas passiert, insbesondere bei Funkanbindung, insofern haben hoffentlich alle ordentlich verschlüsselt und haben da keine Passwörter verloren jetzt. (Danke, Marjan)
Das verschlüsselte Handy des NSA-Ausschussvorsitzenden Sensburg wurde womöglich gehackt. Das defekte Gerät wurde zur Untersuchung vom Bundestag nach Bonn geschickt. Der Behälter kam an - aufgebrochen.Da haben die Amis uns aber mal ganz deutlich gezeigt, wer hier die Infrastruktur kontrolliert und wer nicht. :)
Oder, um es mit einem Kumpel zu formulieren:
einen blackberry (!) per post (!) zur sicherheitsprüfung (!) ans bsi (!)Die Nerds haben jetzt jedenfalls Spaß :)
Kunden von denen sind so Firmen wie Intel, Samsung, TSMC (wo u.a. AMD fertigen lässt). Damit wären einmal alle CPUs abgedeckt, auf Desktops und in Mobiltelefonen.
Update: Die Lithographiemaschinen reichen nicht für so einen Hack. Da lädt man seine Masken rein, die vorher aus einer Layoutsoftware gefallen sind. Die müsste man also auch schon gehackt haben. Ansonsten kann man mit gehackten Lithographiemaschinen natürlich Industriespionage betreiben. Aber auch da wäre man wohl eher an den Layouts interessiert als an den Masken. Oder an beidem, eigentlich.
Update: Das ist eigentlich schon vor zwei Jahren rausgekommen, aber jetzt hat das wohl jemand in der freien Wildbahn (?) gefunden, isoliert und analysiert.
Update: Beitrag aus dem Jahre 2013 dazu
It's encouraging to see the GnuPG project benefitting from similar largess. But it also raises the question: how is the money best spent? Matt Green, a professor specializing in cryptography at Johns Hopkins University, said he has looked at the GnuPG source code and found it in such rough shape that he regularly assigns chunks of it to his students for review."At the end I ask how they felt about it and they all basically say: 'God, please I never want to do something like this again,'" Green told Ars.
Soweit würde ich jetzt nicht gehen. Immerhin benutzt Werner Koch seit Jahren size_t für Längen und Offsets. Ich habe schon viel schlimmeren Code gelesen. Ich glaube ja, die Jugend von heute ist verweichlicht. Was sollen die denn erst sagen, wenn sie mal OpenSSL erben und warten sollen eines Tages?Übrigens, einen noch:
Given the ramshackle state of massive GnuPG code base, it's not clear what's the best path forward. A code audit is one possibility, but such reviews typically cost a minimum of $100,000 for complex crypto programs, and it's not unheard of for the price to be double that.Stimmt. Oder man hat halt Glück und der Fefe macht das kostenlos in seiner Freizeit. Und dann schmeißt Werner Koch Das liegt daran, dass Werner Koch das Problem ist, nicht die Lösung. Werner Koch macht mit dem Code keine Wartung, eher eine Geiselnahme. Denn wer will schon gnupg forken. Wir kriegen ja schon ohne Fork die Leute nicht in signifikanter Größenordnung dazu, das zu benutzen. Das wäre noch übler, wenn es da auch noch Marktfragmentierung gäbe. Deshalb hat noch niemand gnupg geforkt. Nötig gewesen wäre es seit Jahren. Ich persönlich hoffe seit Jahren, dass Werner endlich hinwirft, und dann jemand die Wartung übernehmen kann, der auch ein Interesse daran hat, daraus ein ordentliches Projekt zu machen. Aber das wird ja jetzt nicht mehr stattfinden. Jetzt wo nicht mehr nur sein Ego sondern auch sein Lebensunterhalt direkt davon abhängt, dass er weiterhin Diktator von gnupg bleibt.
Übrigens hat Werner seine BSI-Kohle über die Jahre nicht gekriegt, weil er dafür gearbeitet hätte, sondern weil Leute mit Beziehungen beim BSI Klinken geputzt haben. Diese Leute haben zwar gesehen, dass Werner Koch das Problem ist, aber sie haben sich gedacht, wenn man dem Geld gibt, vielleicht wird das dann besser. Wurde es leider nicht. Ein bisschen Mitleid war glaube ich auch dabei. Und ein bisschen "das ist das eine erwähnenswerte Kryptoprojekt aus Deutschland, das sollte gefördert werden, um ein Signal zu setzen".
Weil mir schon die ersten Twitter-Experten Neid vorwerfen: Ich habe den Aufwand für den Patch geleistet, weil ich vorher eine Finanzierung für meine Zeit klargemacht hatte. Ich brauche keine Spenden, schon gar nicht von Facebook. Das werde ich zu vermeiden wissen, dass Facebook sich mit einer Spende für eines meiner Projekte, die ich dann aus einer Notlage heraus annehmen muss, gutes Karma kauft. Das Geld, das ich bei Kunden für ehrliche Arbeit nehme, ist Bezahlung, keine Spende. Damit finanziere ich zwar meine Open Source Arbeit, aber keiner meiner Kunden kann damit Werbung machen, über mich Open Source finanziert zu haben. Außer der Kunde hat mich explizit für die Entwicklung von Open-Source-Software bezahlt, versteht sich. Das hat es auch mal gegeben.
Ich finde übrigens nach wie vor, am besten wäre es, wenn wir einfach ein bedingungsloses Grundeinkommen hätten. Dann hätten wir das Finanzierungsproblem für Kunst und Open-Source-Softwareentwicklung gelöst und niemand müsste so entwürdigende Winselnummern bringen. Wir hätten aber immer noch das Code-Geiselnahme-Problem. Dafür kenne ich auch keine gute Lösung.
Update: Ich sollte der Sicherheit halber dazu sagen, dass das nicht bloß meine Eintschätzung ist, dass Werner Koch das Problem ist, sondern ziemlich breiter Konsens. Ich habe diverse Mails von anderen Leuten gekriegt, die mit Werner vergeblich zu kooperieren versucht haben. Ich werde die hier aber nicht zitieren. Das sind die Geschichten der jeweiligen Leute, nicht meine. Sollen die sie erzählen. Mir persönlich war das 8 Jahre lang egal. Ich hatte meinen Patch. Mein persönlicher Moment, ab dem ich der Meinung war, dass da jetzt mal was geschehen muss, war als ich auf dem 31C3 Citizen Four sah.
Und dann solltet ihr euch diese davon inspirierte Webseite hier anschauen. Die Geschichte dahinter gibt es bei Endstation Rechts. Schöne Aktion!
Als es dann um die Untersuchung eines möglichen Sicherheitslecks gegangen sei, hätten fünf Mitarbeiter zwar "klar unangemessen" auf E-Mails zugegriffen. Dabei habe es sich aber um einen Fehler gehandelt, nicht um AmtsmissbrauchAch sooo, das waren bloß Fehler! Na dann ist ja alles gut. Und im Übrigen gibt es auch sonst keine Konsequenzen, weil man sich ja vorher nicht vertraglich auf Grundregeln für die zur Verfügung gestellten Rechner geeinigt hatte!1!! (Danke, Sven)
it wasn't the hackers who won, it was the terrorists and almost certainly the North Korean dictatorship, this was an act of warNewt Gingrich ist einer der Rechtsextremen bei den Republikanern. Der ist noch nie durch intelligente Beiträge aufgefallen. Aber das ist trotzdem bemerkenswert. Jetzt sind wir schon bei "Act of War". Ein Act of War würde laut Nato-Charter einen Bündnisfall gegen Nordkorea auslösen. Die Nato hatte dieses Jahr verkündet, dass sie sich auch für Cyberwar zuständig fühlt. Soweit ist die Rhetorik schon entgleist! (Danke, Alexander)
Ich muss ja sagen, dass Sony unter den Umständen durchaus geschickt agiert hat. Die haben das von "wir waren zu doof" zu "die fiesen Terroristen aus Nordkorea!1!!" umgedreht. Und bei Terroristen, das weiß ja jeder, da ist nicht das Opfer Schuld, sondern da kann man nichts machen!1!!
Der aktuelle Stand ist, dass wegen irgendwelcher nebulöser Drohungen die Kinos der Reihe nach entschieden haben, diesen Film nicht zu spielen. Daraufhin hat Sony den generell aus dem Weihnachtsprogramm gezogen. Eine tolle Werbekampagne für das DVD-Release! Jetzt will doch jeder diesen Film sehen, der Nordkorea zu Terroranschlägen motiviert hat! Am Rande sei an die Kino-Massaker in den USA erwähnt, in denen es tatsächlich Dutzende Tote gab. Bei dem Batman-Film, ihr erinnert euch? Damals hat man Batman weiterlaufen lassen.
Was Aftenposten jetzt gemacht hat, ist dass sie mit einem Cryptophone herumgelaufen sind, und die Baseband-Firewall an hatten. Dabei wird das Baseband sozusagen in einem Debug-Modus betrieben und zeigt interne Dinge gegenüber dem Betriebssystem an, was das dann anzeigen kann. Nun ist das nicht völlig ungewöhnlich, wenn ein Mobiltelefon vom Netz Daten kriegt, ohne danach gefragt zu haben. Wenn eine SMS kommt, will man das ja, oder wenn man Web klickt und die Antwort kommt. Daher hat Aftenposten diese Aktivitäten rausgerechnet und nur die übrigen Aktivitäten geplottet. Auch davon sind einige normal, z.B. wenn man sich ein Update für das assisted GPS holt, und es gibt auch einige gutartige Ncahrichten, die das Netz einem schicken kann. So 10-15 davon pro Tag sind normal. Aber so eine geographische Häufung ist ungewöhnlich, daher sind die Aftenposten-Leute nochmal mit einer Counterintelligence-Bude und ordentlichem Messequipment losgezogen und haben da komische Dinge gemessen und die Details ihrer Regierung übergeben.
Wow.
Da muss ich an Putin denken, damals beim Irakkrieg. Der nach all dem Aufhebens meinte, also ER hätte ja WMD gefunden im Irak.
Und wenn ich "als bisher zugegeben" sage, dann meine ich nicht nur öffentlich, sondern auch gegenüber dem Parlament oder dem parlamentarischen Kontrollgremium. Womit wir mal wieder bei der Lektion sind, dass parlamentarische Geheimdienstkontrolle Schlangenöl ist. Funktioniert nicht, hat noch nie funktioniert, und wird auch nie funktionieren.
Wer jetzt neugierig ist, wie sie noch schlimmer gefoltert haben können als bisher zugegeben, denn Waterboarding und Sensory Deprivation ist schon echt krass finster:
“CIA detainees at one detention facility, described as a ‘dungeon,’ were kept in complete darkness and constantly shackled in isolated cells with loud noise or music and only a bucket to use for human waste. Lack of heat at the facility likely contributed to the death of a detainee. At times, detainees were walked around naked and shackled with their hands above their head. At other times, naked detainees were hooded and dragged up and down corridors while being slapped and punched.”Dann gab es Schlafentzug bis zu einer Woche, sie haben den Folteropfern mit dem Tod gedroht, und dann das hier:With the approval of the C.I.A.'s medical staff, some C.I.A. prisoners were subjected to medically unnecessary “rectal feeding” or “rectal hydration” — a technique that the C.I.A.'s chief of interrogations described as a way to exert “total control over the detainee.”Was für eine Sadistenscheiße. Krass. Und für sowas haben sie "Ärzte" gefunden, die ihnen das abgesegnet haben! Au weia.Oh und natürlich waren alle Rechtfertigungen der CIA auch erstunken und erlogen. Sie haben keine nützlichen Informationen gewonnen, das hat keine Terroranschläge verhindert, es gab keine "tickende Bombe"-Szenarios und es hat auch nicht geholfen, Osama bin Laden zu finden.
Das war so schlimm, dass CIA-Offiziere vor Ort ihren Job niedergelegt und um Transfer gebeten haben, weil sie das Zugucken nicht mehr ausgehalten haben.
Oh und sie haben sogar bei der Anzahl der Insassen gelogen. Sie haben dem Senat erzählt, sie hätten 98 Häftlinge, dabei waren es 119.
The committee’s report concluded that of the 119 detainees, “at least 26 were wrongfully held.”“These included an ‘intellectually challenged’ man whose C.I.A. detention was used solely as leverage to get a family member to provide information, two individuals who were intelligence sources for foreign liaison services and were former C.I.A. sources, and two individuals whom the C.I.A. assessed to be connected to Al Qaeda based solely on information fabricated by a C.I.A. detainee subjected to the C.I.A.'s enhanced interrogation techniques,” the report said.
Die CIA fühlt sich natürlich missverstanden und ist jetzt beleidigt.Update: George W Bush ist von der CIA eingeweiht worden. Nachdem sie schon ein paar Jahre gefoltert hatten.
By the time the C.I.A. director came in April 2006 to give Mr. Bush the agency’s first briefing about the interrogation techniques it had been using since 2002, more than three dozen prisoners had already been subjected to them. And when told about one detainee being chained to the ceiling of his cell, clothed in a diaper and forced to urinate and defecate on himself, even a president known for his dead-or-alive swagger “expressed discomfort,” according to a new report released Tuesday.
Da ist es wieder, das "klar haben wir dem Polizeistaat-Gesetz zugestimmt, aber nur mit Bauchschmerzen". Damit reden sich Politiker seit 100 Jahren raus, oder versuchen es. Von Köhler bis Gauck. Alle tun so, als hätten sie Unwohlsein, aber tragen dann doch alles mit. Wieso haben sich da eigentlich seit den Nürnberger Prozessen die Standards so gelockert? Die sind ja auch nicht damit durchgekommen, sie hätten ja Bauchschmerzen gehabt. Die mussten sich noch zusätzlich auf Befehlsnotstand berufen.
Update: Die CIA hat ein Statement abgegeben.
In a statement, the CIA insisted the interrogations had helped save lives.
"The intelligence gained from the programme was critical to our understanding of al-Qaeda and continues to inform our counterterrorism efforts to this day," director John Brennan said.
Die Senats-Untersuchungskommission hat FÜNF JAHRE nach Hinweisen dafür gesucht, dass diese Informationen geholfen haben, und keine gefunden. Und dieser Typ stellt sich IMMER NOCH vor uns hin und lügt uns ins Gesicht! Wie krass ist DAS denn! Das haben wir davon, Geheimhaltung zu dulden. Der muss uns ja auch nicht überzeugen, bloß Zweifel sähen. Genau wie die Tabakkonzerne und die Ölindustrie bezüglich Krebs und Klimawandel.
Update: Noch ein trauriger Höhepunkt aus dem Report :-(
Update: Hier gibt es ein tolles Liveblog von Leuten, die gemeinsam den Report durchlesen. Das sollte man allerdings nicht auf vollen Magen lesen. Ein paar der Highlights: Als Bush in die Kameras log, die USA würden nicht foltern und die Gefangenen würden human behandelt werden, dachte die CIA, das sei die öffentliche Ankündigung davon, die Folterknäste zu schließen. Sogar die CIA ist ehrlicher als Bush! Und dann steht da noch, dass der Anwalt der CIA das Weiße Haus gewarnt hat, dass diese Angaben zur humanen Behandlung der Gefangenen nicht der Realität entsprechen.
Update: Noch ein echtes Highlight.
Aber Vorsicht, das hat nicht nur positive Aspekte. Damit wird Erpressung mit frischen Sicherheitslücken zu einem potentiell sehr lukrativen Geschäftsmodell. Das wird sicher einmal echt viele Leute echt nervös machen.
Vielleicht könnte es auch dazu führen, dass sich die Regierungen mal hinsetzen und ihre 0day-Sammlung lieber zum Verbessern der Situation einsetzen als für ihre Dienste, die damit am Ende eh nur das eigene parlamentarische Kontrollgremium abschnorcheln und Kompromat über die eigenen Politiker akkumulieren.
the auditor told Spaltro, the passwords Sony employees were using did not meet best practice standards that called for combinations of random letters, numbers and symbols.Summing up, the auditor told Spaltro, “If you were a bank, you’d be out of business.”
Daraufhin hat der Sony-Typ dem Auditor erklärt, dass die Mitarbeiter schwierige Passwörter bloß auf einen Zettel schreiben und an den Monitor kleben würden, und der Auditor hat dann die "die Passwörter sind scheiße"-Checkbox nicht angekreuzt.Hier ist, wie sie die Abwägung machen bei Sony:
Although Spaltro declines to talk about Sony’s security practices, he says that while Sony Online Entertainment is fully compliant, every company weighs the cost of protecting personal data with the cost of what it would take to notify customers if a breach occurred. Spaltro offers a hypothetical example of a company that relies on legacy systems to store and manage credit card transactions for its customers. The cost to harden the legacy database against a possible intrusion could come to $10 million, he says. The cost to notify customers in case of a breach might be $1 million. With those figures, says Spaltro, “it’s a valid business decision to accept the risk” of a security breach. “I will not invest $10 million to avoid a possible $1 million loss,” he suggests.Andere Kosten als die Benachrichtigung fließen da nicht ein. Der Typ ist übrigens immer noch bei Sony, jetzt Senior Vice President of Information Security. Sein Gehalt: $300.000. Mit Bonus $400.000. Das wissen wir, weil bei dem Hack auch eine Gehaltsliste gefunden wurde. Neben den Background-Checks der Mitarbeiter, Dokumenten aus den Gehaltsverhandlungen, Krankschreibungen, den Sozialversicherungsnummern der Angestellten, und einem Haufen anderer Dokumente. Auf der Skala von 1 bis Brunsbüttel ist dieser Hack ein Fukushima.
Update: Drei klärende Worte. Erstens: Nicht die Verschlüsselung ist damit gebrochen, und wenn man Schlüssel ordentlich austauscht ist das auch kein Problem. Aber wenn man die ID für den Schlüssel-Lookup benutzt, und ranzige Software einsetzt, deren Autoren den Standard nur überflogen haben, und aus dem Begriff "ID" geschlossen haben, dass die schon eindeutig sein wird, dann gibt es halt Stress. Zweitens: Prüft die Fingerprints. Ganz. Die ID sind die letzten Bytes vom Fingerprint. Also nur vorne und hinten gucken reicht nicht. Drittens: Lutz Donnerhacke hat in den Heise-Foren ein Mea Culpa gepostet :-)
"We didn't want to interfere with NSA/GCHQ operations," he told Mashable, explaining that everyone seemed to be waiting for someone else to disclose details of Regin first, not wanting to impede legitimate operations related to "global security."Na gut, Fox IT ist eine üble Trojanerbude. Wie sieht es denn mit seriösen Antivirenfirmen aus, sagen wir mal F-Secure?Mikko Hypponen, a renowned security expert and chief research officer for F-Secure, said that while they had detected some parts of Regin since 2009, they were not at liberty to discuss their discovery due to confidentiality agreements with customers who asked them not to publish details of hacks they suffered.2009!!!
Die Kern-Forderung des Dokumentes ist, dass man nicht einfach bei irgendwelchen Krautern seine Penetrationstests in Auftrag geben soll, sondern bei zertifizierten Prüfstellen. Nun gibt es bisher keine zertifizierten Prüfstellen, weil völlig unklar ist, wer da überhaupt die Kompetenz haben soll, andere Marktteilnehmer zu zertifizieren. Es gibt natürlich Common Criteria und ISO9000, aber das ist hier mit Zertifizierung nicht gemeint.
Ich für meinen Teil sehe das Problem auch, dass es unseriöse Marktteilnehmer gibt, aber das wird man mit Zertifikaten nicht los. Im Gegenteil, die verkaufen selber üblicherweise Zertifikate. Ich würde sogar soweit gehen, dass man unseriöse Marktteilnehmer relativ zuverlässig daran erkennen kann, dass sie Zertifikate verkaufen.
Hier ist, was das BSI vorschlägt (Sektion 2.2.3).
Anbieter, die IS-Penetrationstests anbieten, sollten möglichst als Prüfstelle zertifiziert sein. Sie sollten nachweislich die Grundsätze des Datenschutzes, der sicheren Datenhaltung und der IT-Sicherheit einhalten und qualifiziertes Personal beschäftigen.Das ist in der Praxis natürlich Blödsinn. Einhaltung des Datenschutzes weist man nicht nach, wie soll das auch vor dem Einsatz für die Zukunft gehen, sondern man macht einen Vertrag, wo das mit heftigen Strafen belegt wird. Und dann leakt da auch nichts. Bei der sicheren Datenhaltung kann man jetzt natürlich sagen, dass das wie eine gute Idee klingt. Aber in der Praxis steht im Vertrag drin: ihr dürft unseren Quellcode sehen, aber nicht kopieren. Es gibt da keine Daten, die man als Pentester halten würde. Außer natürlich dem Report, den man im Rahmen des Auftrags schreibt. Man archiviert da nicht jahrelang irgendwelche Daten von irgendwelchen Kunden, die bei irgendwelchen Tests vor 10 Jahren angefallen sind. Das tut man in den Vertrag und fertig.
Das mit dem qualifizierten Personal halte ich für am gefährlichsten an der ganzen Chose. Denn da gibt es schlicht keine Metriken. Es gibt natürlich irgendwelche Gruppierungen aus dem Zertifikate-Verkloppen-Umfeld, die auch Zertifikate für Personen verkloppen. Und bestürzenderweise zitiert das BSI auch genau diese Leute in ihren Referenzen am Ende, irgendwelche sinnlosen "ethical hacker"-Pömpel mit genau Null Aussagekraft. Selbst wenn jemand sein Leben lang ehrlich war, kann der ja trotzdem morgen kriminell werden und mit deinen Daten weglaufen. Die Aussagefähigkeit und Messbarkeit ist hier meines Erachtens nicht gegeben. Und insbesondere haftet keiner dieser Zertifikatsherausgeber dafür, wenn einer ihrer Zertifikatsträger sich dann anders als zertifiziert verhält. Zertifikate verkaufen ist ein Geschäftsmodell, kein Kundendienst.
Und so stellt sich auch für das BSI die Frage, was man denn jetzt machen soll, wenn keine Zertifikate vorliegen. Antwort:
Es wird dort verlangt, dass ein IS-Penetrationstester Berufserfahrung in dem Bereich IT-Penetrationstest besitzt und eine technische Ausbildung abgeschlossen hat. Der Projektverantwortliche muss in den letzten acht Jahren mindestens fünf Jahre Berufserfahrung (Vollzeit) im Bereich IT erworben haben, davon sollten mindestens zwei Jahre (Vollzeit) im Bereich Informationssicherheit absolviert worden sein. Zudem sollte der IS-Penetrationstester an mindestens sechs Penetrationstests in den letzten drei Jahren teilgenommen haben. Dies sollte möglichst vom Anbieter über entsprechende Referenzen nachgewiesen werden.Aus meiner Sicht ist das wildes Hand Waving. Gestikulieren, damit keiner merkt, dass der Kaiser keine Kleider trägt.
In der Praxis kann man das mit den Referenzen vergessen. Viele Kunden wollen nicht als Referenz auftreten. Und selbst wenn Firma XY mit Mitarbeiter A und B einen Pentest bei Firma Z durchgeführt hat, weiß Z doch gar nicht, wer da tatsächlich die Arbeit gemacht hat. Das ist schlicht nicht bewertbar, ob A oder B fit ist. Oder beide. Oder vielleicht keiner von ihnen und sie hatten nur Glück oder ein gutes Tool dabei.
Der Report fällt dann noch durch Vorschläge wie den hier auf (Sektion 3.1.2):
Der Auftraggeber sollte gewährleisten, dass keine Änderungen an den Systemen während der Tests durchgeführt werden. Sollte der Ansprechpartner des Auftraggebers durch Beobachten des IS-Penetrationstests oder Gespräche auf Sicherheitslücken aufmerksam werden, so muss er warten, bis der IS-Penetrationstest abgeschlossen ist, bevor er die Lücke beseitigt, da sonst die Testergebnisse verfälscht werden können.Bitte was? Der Kunde darf seine Systeme nicht sicherer machen, weil sonst der Test verfälscht werden könnte? Liebes BSI, Ziel eines Pentests ist, dass die Systeme sicherer werden, nicht dass der Test nicht verfälscht wird. Was ist DAS denn für ein Blödsinn?! Und im Übrigen, ich als Pentest-Durchführer bin der Auftragnehmer, ich kann da meinem Auftraggeber keine Vorschriften machen, wie ein Test ordentlich durchgeführt gehört.
Sollte eine derart gravierende Lücke entdeckt werden, dass es unabdingbar ist, diese sofort zu schließen, so sollte der IS-Penetrationstest abgebrochen und zu einem späteren Zeitpunkt weiter durchgeführt werden.Es gibt keine fachliche Grundlage für diese Empfehlung.
Humoristisch besonders wertvoll ist auch diese Empfehlung (Sektion 4.1.2):
Das BSI empfiehlt, das IS-Penetrationstester nur solche Exploits einsetzen, deren Wirkungsweise sie schon untersucht und getestet haben.Scheiße, Bernd!! Hätte mir das doch mal vorher jemand gesagt!1!!
Kurz gesagt: Das ist ein Schuss in den Ofen. Ich verstehe, dass das BSI hier gerne aktiv werden würde, denn Zertifikate kosten Geld, womöglich kann das BSI sich hier ähnlich wie das Patentamt zu einem Profit Center entwickeln. Aber den Kunden hilft das nichts. Aus meiner Sicht sind die Empfehlungen alle gesunder Menschenverstand, angereichert mit "kauft uns doch ein paar Zertifikate ab, Zertifikate können wir gut!"
Ich habe dieses Phänomen vor einer Weile mal als "Niggemeiern" bezeichnet, aber vielleicht brauchen wir da mal einen ordentlichen Namen für. Vor allem brauchen wir da mal eine Analyse für. Ist das gerade sowas wie Reise nach Jerusalem? Die Journalisten merken alle, dass das Geschäftsmodell, das ihr Leben finanzieren sollte, am Erodieren ist? Und daher kloppen sie aufeinander ein, in der Hoffnung, dass sie dann am Ende wenigsten besser dastehen als die, die sie mit Dreck beworfen haben?
Früher hatten wir mal sowas wie Meinungspluralismus. Das war kein Systemfehler, wenn Leute andere Meinungen, andere Herangehensweisen, andere Ergebnisse und generell andere Weltbilder hatten. Das war im Gegenteil etwas Positives!
Ich will jetzt gar nicht groß auf diesem Beispiel herumhacken, aber eine Formulierung möchte ich doch hervorheben.
Zudem scheut sich Jebsen nicht, auch abstruseste Verschwörungstheoretiker wie den ehemaligen FAZ-Journalisten Udo Ulfkotte, der hinter den Veröffentlichungen in den westlichen Medien das Wirken von Geheimdiensten wittert, ohne kritischen Kommentar weitere Öffentlichkeit zu verschaffen.Ich will jetzt nicht den Ulfkotte verteidigen, mit dem würde ich auch eher keine Interviewsendung machen wollen. Aber mir ist schon diese Idee absolut zuwider, dass es Aufgabe des Interviewers ist, alle Äußerungen des Interviewgasts kritisch zu beleuchten, zu framen und, mal kurz gefasst, alle Falschaussagen darin zu enttarnen.
Ich sehe das genau anders herum. Ich finde, es ist Aufgabe des Interviewers, Leuten ein Mikrofon hinzuhalten. Ein bisschen Fakten-Framing schadet nichts, aber im Wesentlichen ist die Funktion des Interviewers, schlaue Fragen zu stellen, um den aus den Antworten zu ziehenden Erkenntnisgewinn zu maximieren. Wenn die gewonnene Erkenntnis ist, dass der Interviewte ein dogmatischer Betonkopf ist, der sich in irgendwelchen Parallelwelten verfahren hat, dann ist das auch eine Erkenntnis. Die Kritik, jemandem "Öffentlichkeit zu verschaffen", finde ich geradezu grotesk. Das erinnert mich an diese Jauch-Sendung mit dem beredten Imam, die ich nicht gesehen habe, aber die im Feuilleton die Runde machte. War das dann auch verurteilenswürdig, diesem Imam ein Forum zu bieten? Ist es verurteilenswürdig, mit AfD-Politikern Interviews zu führen? Oder mit solchen von der Linkspartei?
Ich finde, es darf da nie Tabus geben. Gerade mit Menschen aus Kulturkreisen, die dem Leser/Zuhörer fremd sind, ist es doch wichtig, Interviews zu führen und Eingaben für die Synapsen zu gewinnen!
Ich hör mal mit dem Ranten auf jetzt, aber das ärgert mich gewaltig. Auch weil es mir selbst schon passiert ist. Was für Menschen sind denn bitte der Meinung, ein Interview mit einer unliebsamen Person darf nur mit dem Ziel geführt werden, den Interviewgast mal so richtig vorzuführen?! Leute, wenn ihr so eine Abneigung habt, mal den Standpunkt des Gegenübers zu rezipieren, dann steht lieber zu eurem Dogmatismus und tut alle Interviews in euren Realitätsfilter. Und tut nicht so, als ginge es euch um Erkenntnisgewinn.
TL;DR: Früher haben wir Pluralismus für etwas Positives gehalten. Da möchte ich gerne wieder hin.
Update: Ken Jebsen als Opfer war bewusst gewählt, weil Ken auch gerne auf der anderen Seite des Journalisten-Bashings kämpft.
Update: Primärquelle.
Update: Die Steine sind wiederbelebbar, insofern nicht gebrickt im Wortsinne.
Verizon said (PDF) that a decision favoring the US would produce "dramatic conflict with foreign data protection laws." Apple and Cisco said (PDF) that the tech sector is put "at risk" of being sanctioned by foreign governments and that the US should seek cooperation with foreign nations via treaties, a position the US said was not practical.The Justice Department said that global jurisdiction is necessary in an age when "electronic communications are used extensively by criminals of all types in the United States and abroad, from fraudsters to hackers to drug dealers, in furtherance of violations of US law."
Die sagen offen an, dass sie sich weltweit für zuständig halten. Weil das Verbrechen ja auch international sei!1!! Bisschen viel Superheldenfilme geguckt, wie?
The unit that houses the most notorious detainees is built on unstable ground — a floor is described as buckling — and will need replacement for any long-term use. In the kitchen building, temperatures soar to 110 degrees [43°C — Anm.der.Red.] at midday, steel supports are corroded, and workers must cover dry goods with plastic tarps during storms because of a leaky roof. In the troops’ quarters, some guards are required to live six to a small shack, with poor ventilation and no attached bathrooms.Warum sollte das in Guantanamo auch besser sein als beim Rest der Infrastruktur in den USA. Das bröselt und zerfällt doch überall vor sich hin.
Mal gucken, ob das mit einem neuen Parlament besser wird.
Nun, liebe Leser, das will ich gerne aufklären: Die Kohle aus dem neuen IT-Sicherheitsgesetz fließt in den "Verfassungsschutz". Ja, der Verfassungsschutz! Die, die wie kaum eine andere Behörde für das Gegenteil von Sicherheit stehen! Die, die den Ku-Klux-Klan Deutschland, den NSU und andere verfassungsfeindliche Organisationen entweder selbst gegründet und/oder jahrelang per V-Mann-Spende am Leben gehalten haben, ausgerechnet die werden jetzt nicht zugemacht sondern kriegen noch neue Planstellen dazu! Und dann nennen sie das auch noch Sicherheitsgesetz!
Wenn das nicht unsere Steuergelder wären, wäre es fast eine schöne Aktion zur Monty-Python-Abschlußtour.
Oh, einen noch. Falls jemand dachte, hey, der Verfassungsschutz ist furchtbar, aber immerhin sind sie noch nicht mit Trojanern in der Hand ertappt worden, wie das BKA! Für den habe ich eine schlechte Nachricht:
Das Bundesinnenministerium möchte mit seinem jetzt veröffentlichten Referentenentwurf für ein IT-Sicherheitsgesetz neben dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundeskriminalamt (BKA) auch das Bundesamt für Verfassungsschutz (BfV) ausbauen.Business as usual!
Wer sich jetzt wundert, dass der Zoll und BND nicht auch noch einen Geldregen kriegen: Der BND untersteht dem Kanzleramt, der Zoll dem JustizFinanzministerium. Der Referentenentwurf kommt aus dem Innenministerium. Die geben in ihren Gesetzesentwürfen natürlich nur sich selbst Geld, nicht anderen Ministerien. Denn darum geht es hier. Geld her, egal wie dümmlich der Vorwand auch ist.
Update: Vielleicht sollte ich auch auf inhaltliche Aspekte eingehen. Nur so der Vollständigkeit halber. Firmen müssen jetzt Hackerangriffe melden, aber a) nur "den Behörden", nicht der Bevölkerung, und b)
können sie das anonym tun, solange es keine Störungen oder Ausfälle gibt
Und wer soll das schon prüfen oder im Nachhinein überhaupt noch sagen können, ob einer der vielen Ausfälle auf Hackerangriffe zurückzuführen war oder nicht.
An dieser Stelle sei mir erlaubt, kurz darauf hinzuweisen, wieso die Idee "Hackerangriffe müssen gemeldet werden" überhaupt auf dem Tisch lag. Damit Firmen und Behörden diese Peinlichkeit vermeiden wollen. Das soll einen Anreiz schaffen, die Infrastruktur robust und sicher zu machen. Dafür gibt im Moment niemand wirklich Geld aus, weil es betriebswirtschaftlich kurzfristig mehr Profit bringt, wenn man es in Kundenacquise steckt. Diese zentrale Idee wird also mit diesem Gesetzesentwurf komplett ad absurdum geführt. Ursprünglich ging die Idee ja noch weiter, die Firmen hätten auch alle potentiell betroffenen Kunden jeweils individuell in Kenntnis setzen sollen. Damit die Firma befürchten muss, die Kunden laufen wenn.
Oh und wieso betrifft das eigentlich nur Firmen und nicht auch Behörden? Und wieso nur kritische Infrastruktur, nicht auch ganz normale Infrastruktur? Wer definiert eigentlich, welche Infrastruktur kritisch ist und welche nicht?
Update: Ich finde übrigens, wenn man da richtig Anreiz schaffen will, muss man auch gleich gesetzlich ein Sonderkündigungsrecht schaffen, wenn eine Firma beim Schlampen erwischt wird. Und zwar nicht nur für die betroffenen Kunden, für alle Kunden. Was glaubt ihr, wie eilig es die Knebelvertrag-Telcos plötzlich hätten, nie wieder gehackt zu werden!
Stellt euch mal vor, das Parlamentarische Geheimdienst-Kontrollgremium der USA klagt öffentlich die Geheimdienste an, sie hätten sich in ihre Rechner gehackt und dort Daten gelöscht. So geschehen im März. Da fragt man sich ja schon, was die da für Beweise haben, um sich so weit aus dem Fenster zu lehnen. Was ist da passiert? War das ein Fall von "Hey, hast du BEWEIS.DOC gesehen? Ich dachte, das war auf der Freigabe!" "Nee, das hast du bestimmt versehentlich gelöscht." "Ich lösche doch keine Beweise! Das muss die CIA gewesen sein!1!!" ?
So hab ich mir das jedenfalls ausgemalt damals. Und jetzt *trommelwirbel* gibt die CIA zu, sich in die Rechner gehackt und Beweise gelöscht zu haben.
Aber die Details sind so dermaßen geil, das kann man sich gar nicht ausdenken. Fangen wir mal mit dem ersten Satz an.
An internal investigation by the Central Intelligence Agency has found that its officers improperly penetrated a computer network used by the Senate Intelligence Committee in preparing its report on the C.I.A.'s detention and interrogation program.Lest euch das mal ein paar Mal durch. Und dann erklärt mir, was das "improperly" da soll. Das klingt für mich wie wenn sich der Mörder vor Gericht entschuldigt, die Blutspritzer nicht weggemacht zu haben. Als bereuten sie hier lediglich, dass sie erwischt wurden.Weiter:
The statement said that John O. Brennan, the C.I.A. director, had apologized to the two senior members of the Senate Intelligence Committee and that he would set up an internal accountability board to review the matter.JETZT wollen die ein internes Gremium schaffen, das Missbrauch untersuchen soll!Mit anderen Worten: Sowas gibt es noch nicht.
Unnötig zu erwähnen, dass der CIA-Chef, der sich jetzt "entschuldigt" hat, das noch im März erst schlicht geleugnet und dann einen "das war alles ganz anders und gerechtfertigt" gepullt hat.
Oh und die Kirsche auf der Schlagsahne: Wieso haben die sich da eigentlich reingehackt? Kommt ihr NIE drauf!
Last year, the C.I.A. gained access to a computer network, reserved solely for Senate investigators working at an agency facility in Northern Virginia, after officials suspected the intelligence committee had improperly obtained an internal C.I.A. report about the detention program, which is now defunct.Die dachten, das Kontrollgremium habe sich Zugang zu Beweisen verschafft. Und DAS geht ja mal GAR nicht!1!! Wo kommen wir da hin, wenn die andere Beweise auswerten, als die "Beweise", die wir ihnen gegeben haben?! Völlig klar, da musste jemand was tun!
Ich weiß ja nicht, die Meldung ergibt für mich nicht viel Sinn. Und dann? Ist ja nicht so, als ob die Hamas die Technologie für Ausweichsysteme oder elektronische Störsender hätten. Die haben ja noch nicht mal Technologie zum Zielen ihrer Raketen. Aber für eine Hacker-Abteilung haben sie Geld und Knowhow?!
Überhaupt: Es gibt im Gaza-Streifen Internet und mit dem kommt man auch nur in die Nähe von israelischen Rüstungsgeschichten!?
Ich weiß nicht, das passt alles irgendwie nicht. Finde ich.
Update: Chinesische Hacker, nicht Palästinensische. Das ergibt mehr Sinn, aber nicht viel mehr. :-)
Ich muss auf Palästinenser gekommen sein, weil da PLA stand. Das meinte aber People's Liberation Army (Volksbefreiungsarmee), nicht Palestine Liberation Army. Ich bitte, den Brain Fart zu entschuldigen.
I do not have enough energy in my life to clean up two poorly written crypto code bases.Immerhin signieren sie jetzt überhaupt, und zwar mit … signify. Nie gehört? Ich auch nicht. Das scheint was ad-hoc schnell selbst gehacktes zu sein. Hier ist das Argument dafür:$ wc -l *.cNun werdet ihr vielleicht sagen: hey, klingt gut, will ich haben. Wo ist der tarball?
29 crypto_api.c
143 mod_ed25519.c
327 mod_ge25519.c
806 signify.c
1305 totalSignify is 1305 *lines* of C code. and it's included in our development
platform. It is not that difficult to install, and
if you can't install it, you could always run OpenBSD in a vm to verify a
signature, it comes with openbsd.
Die Antwort: Es gibt keinen. Ich habe mir mal im Schweiße meines Angesichts die nötigen Teile aus dem OpenBSD-CVS herausgepopelt und in einen unter Linux bauenden Tarball getan. Mit dem ganzen Glue-Code sieht die Statistik schon mal gleich ganz anders aus, da sind wir dann plötzlich bei knapp 8000 Codezeilen (plus libc, natürlich).
Das baut bei mir, und ich kann damit die LibreSSL-Distribution verifizieren. Immerhin. Das ist aber natürlich immer noch voll für den Fuß, weil der public key von deren Signatur auf dem selben FTP-Server liegt wie die Daten. Wenn jemand den Tarball manipulieren kann, kann er also auch einen anderen pubkey daneben legen und keiner merkt was. Bei GnuPG gibt es ja wenigstens das Web of Trust.
Yesterday, BND head Gerhard Schindler issued the following denial to the Zeit online news site: "No telecommunication-intelligence is conducted from the German embassy in Washington." Not exactly a denial of spying on us, is it?MwahahahahaIst leider nur Huffington Post, und die verkacken dann auch direkt mal den unteren Teil, wo sie den Over-the-Horizon-Radar als Spionageinstrument brandmarken. Das dient dem Erkennen von Atomraketenstarts und ist durch internationale Verträge gedeckt.
Update: Übrigens: Netzpolitik hat mal den spannenden Abschnitt aus dem zitierten Buch übersetzt. (Danke, Michael)
Wenn schon keine echten Hacker, so zumindest V-Leute der Dienste, denn die nehmen das ja seit über zehn Jahren als ihr Terrorismus-Szenario, um Budgeterhöhungen zu fordern. Da würde man ja schon denken, dass bei andauernder Flaute mal einer der Dienste ein bisschen nachhilft.
Immerhin gibt es jetzt überhaupt mal eine Meldung, dass ein High-Speed-Trading-System angegriffen worden ist. Das klingt nach einem Insider-Angriff, denn die haben da die Software manipuliert, damit sie ein paar Millisekunden Verzögerung bei den Trades hat. Und dann haben sie die Handelswünsche rausgeleakt. So konnten die Angreifer dann mit ihrem Insider-Wissen über "zukünftige Trades" spekulieren. Wenn die da wirklich die Software manipuliert haben, dann klingt das für mich nach einem Insider-Angriff. Ansonsten kann man Pakete rausleiten und verzögern auch machen, ohne deren Trading-Software zu manipulieren. Das klingt für mich nach einem plausibleren Szenario.
Es sind Momente wie dieser, wo ich mich frage, ob wir nicht ohne Polizei weniger Kriminalität hätten.
Da kann es dann auch nicht weiter verwundern, dass das FBI auch für diverse "Anonymous-Hacks" in Brasilien die Verantwortung trägt. Brasilien, das sind ja aus Sicht der Amerikaner eh die Bösen.
A hack that causes deaths, serious illness or injury, or is found to seriously damage Britain's national security will be punished by life in prison under the proposed new law.Mit anderen Worten: Lex Snowden.
In the shadows, U.S. hackers at the National Security Agency (NSA) have broken into Chinese computers in order to find out what information has been stolen from American companies and who in the Chinese government is backing the operations.Ach DESHALB hackt die NSA in anderen Ländern herum!1!! So rechtfertigen die ihre Untaten vor sich selbst.
EBay said, thus far, it has seen “no indication” of increased fraudulent activity across the e-commerce site.Well duh!
Update: Sie shippen nur eine Sandbox für das Binärzeug, nicht das Binärzeug selber.
So und jetzt lest euch das mal in Ruhe durch, was aus dieser großartigen Prämisse für Gedankengänge folgen. Wun-der-bar!
Die offensichtliche Hypothese ist natürlich, dass unsere wissenschaftlichen Standards nicht ausreichen, wenn am Ende immer noch Bullshit publiziert werden kann. Also schlagen sie 10 Punkte vor, die für einen das lesenden Akademiker klingen, als sei das damit festgenagelt. Und dann kommt der eine Typ und macht eine Metastudie, die 8 von diesen 10 Punkten genügt, und "beweist" trotzdem die Existenz von übernatürlichen Kräften.
Eines der Highlights ist dann ein Paper von zwei Wissenschaftlern, der eine glaubt an Parapsychologie, der andere nicht. Die haben das selbe Experiment gemacht, und der Glaubende beweist mit dem Experiment die Existenz von PSI, der nicht Glaubende widerlegt sie. Daraufhin setzen die sich zusammen und machen das selbe Experiment in dem selben Labor zur selben Zeit, und per Zufall wird pro Proband entschieden, wer jetzt das Experiment leitet. Aber die Parameter sind so festgezurrt, dass "Leiten" in dem Kontext nur noch heißt, wer den Probanden begrüßt und auf den Monitor guckt. Und das Ergebnis? Wieder beweist der Glaubende PSI und der andere widerlegt es. Das Paper muss ganz großes Kino sein. Money Quote:
This is the only journal article I’ve ever read where, in the part of the Discussion section where you’re supposed to propose possible reasons for your findings, both authors suggest maybe their co-author hacked into the computer and altered the results.MWAHAHAHAUnd man kennt das ja auch von Quacksalbern, was dann als nächstes kommt. "Das funktioniert nur, wenn du dran glaubst". Und in der Tat:
But the phenomenon is sufficiently well known in parapsychology that it has led to its own host of theories about how skeptics emit negative auras, or the enthusiasm of a proponent is a necessary kindling for psychic powers.Ganz großes Kino! (Danke, Matthias)
Fakt ist: OpenSSL ist nicht in C, weil C so geil ist. OpenSSL ist in C, weil das Ziel ist, dass das von jeder Programmiersprache aus benutzbar ist. Und alle können sie C-Code aufrufen.
Fakt ist auch: Das ist ein komplexes Problem, SSL richtig zu implementieren. Und wenn man dann noch den Anspruch hat, alle Obskuro-Plattformen und alle Extensions zu unterstützen, dann ist das Ergebnis halt Scheiße. Wenn man sich anguckt, was OpenBSD da gerade mit der flammenden Machete alles aus OpenSSL herausoperiert, da wird einem ganz anders. Unter anderem Support für Big Endian x86_64 Plattformen. Hat jemals schon mal jemand von sowas gehört? Nicht? Wie ist es mit VMS? EBCDIC-Support? Support für "ungerade" Wortlängen? You name it, OpenSSL supports it.
Dieses Java-Ding ist übrigens auch in einer Dissertation von einem der Beteiligten drin. Die kann man hier lesen (208 Seiten). (Danke, Sebastian)
Allerdings ist das natürlich nur dann sinnvoll, wenn der Passwort-Manager auf einem sicheren Rechner läuft. Sonst kann dich jemand beim Eingeben deines Passwort-Manager-Masterpasswortes beobachten und alle Passwörter rausleiten.
Auf der anderen Seite, wenn sich jemand bis auf deinen Desktop vorgearbeitet hat, kann er dir eh beim Eingeben der Passwörter zugucken.
Insofern überwiegen aus meiner Sicht die Vorteile.
Es stellt sich aber natürlich die Frage, ob die Software selber vertrauenswürdig ist, oder ob sie hintenrum die Passwörter nach Hause telefoniert. Daher würde ich im Zweifelsfall wahrscheinlich eine Open Source Software wie Password Safe nehmen, ohne mir die jetzt konkret angeguckt zu haben.
Der Grund ist: Weil ich die Details von OpenSSL noch nicht genügend verstehe. Die APIs sind hochkomplex und undurchsichtig. Alleine OpenSSL anzuwenden ist schon ein Kampf gegen Windmühlen. Ich frickel jetzt seit Monaten immer mal wieder an dem OpenSSL-Interface von gatling herum und der negotiated immer noch nicht die Cipher-Suites, die ich eigentlich haben will.
So eine SSL-Library ist an sich schon hochkomplex. Da werden Kombinationen aus Verfahren und Extensions verhandelt, und OpenSSL implementiert sie so gut wie alle. Ich überlege ja seit ein paar Jahren, selber mal eine SSL-Library zu schreiben. Nicht damit ich am Ende eine SSL-Library habe, sondern weil ich dann sicher sein kann, dass ich die Details verstanden habe.
Fakt ist: Das ist alles nicht so einfach, und ein Audit bringt nur was, wenn man auch die Details verstanden hat. Sonst findet man nur die offensichtlichen Fehler. Wie sich jetzt herausstellt, wäre auch das hilfreich gewesen. Fair enough. Das war vorher nicht so klar. OpenSSL hatte an sich immer einen recht guten Track Record. Die Bugs in OpenSSL waren eher so Sachen wie Timing-Angriffe, Side-Channel-Probleme, kryptographische Designprobleme.
Ich könnte da jetzt ein bisschen auditieren, wahrscheinlich ein paar Bugs finden. Die könnte man dann fixen. Ein Kunde würde sich darüber freuen. Aber meinem Anspruch an einen Audit von kritischer Infrastruktur würde das nicht genügen. Wäre damit wirklich was geholfen? Mein Ziel bei meiner Software ist immer, dass ich nachts ruhig schlafen kann, weil ich nicht darüber nachdenken muss, ob da gerade jemand meinen Server aufmacht. Dieses Niveau an Vertrauen werde ich bei OpenSSL nicht mit einem Audit auf meinem aktuellen Kenntnisstand von den TLS- und Krypto-Details erreichen können. Damit ist aber auch klar, dass ich eigentlich nicht mehr OpenSSL einsetzen möchte, sondern etwas vertrauenswürdigeres. Und dann erscheint es mir ein besseres Investment meiner Zeit, wenn ich an meiner eigenen SSL-Library hacke.
Das ist aber so viel Aufwand, dass ich dann lieber an einem anderen Problem herumhacke, das auch auf der Liste steht, und schneller ein Erfolgserlebnis liefert.
NSA uses its technical capabilities only to support lawful and appropriate foreign intelligence operations, all of which must be carried out in strict accordance with its authorities. Technical capability must be understood within the legal, policy, and operational context within which the capability must be employed.Seht ihr? Damit ist ja dann wohl alles gesagt. Unter diesen Umständen kann ja wohl niemand ein Problem damit haben. (Danke, Manuel)
Und seine Schlussfolgerung, dass Javascript-im-Browser-Crypto gar nicht so schlecht aussieht im Vergleich, ist natürlich auch Bullshit. Denn wir haben ja keine vertrauenswürdige Quelle für den Browser. Und selbst wenn wir den hätten, heißt das ja nicht, dass die Browser-Entwickler vertrauenswürdig sind.
Wie das konkret aussieht, sieht man auf der nächsten Folie. Da beschreiben sie ein Honey Trap, ein klassisches Werkzeug von Geheimdiensten. Schönen Geschlechtspartner hinschicken, Fotos machen, damit das Opfer erpressen. Wobei GCHQ nicht an Erpressung interessiert ist an der Stelle sondern die Fotos dann den Kollegen, Nachbarn und Freunden steckt, und Blogeinträge schreibt, in denen sie sich als eines der missbrauchten Opfer darstellen. Und, sehr schön auch: "Change their photos on social networking sites".
So richtig überraschend ist das alles nicht, bis man an diese Stelle kommt:
Critically, the “targets” for this deceit and reputation-destruction extend far beyond the customary roster of normal spycraft: hostile nations and their leaders, military agencies, and intelligence services. In fact, the discussion of many of these techniques occurs in the context of using them in lieu of “traditional law enforcement” against people suspected (but not charged or convicted) of ordinary crimes or, more broadly still, “hacktivism”, meaning those who use online protest activity for political ends.Die verwenden das nicht gegen ausländische Spione sondern gegen Leute, denen sie polizeilich nichts nachweisen konnten, aber die sie weghaben wollen. Z.B. gegen "Hacktivisten".Unten in dem Psychologie-Teil taucht "Haversack Ruse" auf, das hab ich mal gegoogelt und dieses tolle PDF gefunden, wo Opa ausm Kriech erzählt. In diesem Fall der erste Weltkrieg, und es ging um eine britische Offensive gegen Gaza, das von Deutschen und Türken gehalten wurde.
Update: Zum Vergleich bietet sich ein Blick auf die Stasi-Richtlinie zur Zersetzung an, wo es auffallende inhaltliche Ähnlichkeiten gibt.
Aus meiner Sicht:
Aus welchem Blickwinkel kommt sowas überhaupt auch nur in die Vorrunde? Weil da "wir haben aber Krypto!1!!" steht? Ich würde keinem von diesen Anbietern, die sich da jetzt gerade versuchen, mit dem NSA-Skandal eine goldene Nase zu verdienen, über den Weg trauen.
Von den Permissions her könnte das Teil in Echtzeit deine Location an die NSA melden und deine Kontaktliste und SMSsen in Utah hochladen.
Wahrscheinlich meinen die es nicht böse und sind eine tolle Firma, ich habe keine konkreten Anhaltspunkte für andere Annahmen, aber Vertrauen muss man sich erarbeiten, das kann man nicht einfach einfordern.
Smartphones sind eine inhärent nicht vertrauenswürdige Plattform. Damit macht man am besten gar keine Dinge, von denen es einem unangenehm wäre, wenn andere Menschen davon erführen.
Oh und das Android-Permission-Modell ist voll für den Arsch. Google sollte sich was schämen.
Oh und einer noch: Schönen Gruß an all die Leute, die ihre Daten Whatsapp anvertraut haben, um sie nicht Facebook geben zu müssen. *wink*
Update: Ich sollte das ein bisschen konkretisieren. Unter der Annahme, dass die tatsächlich starke Krypto benutzen, wäre das in der Tat ein Schritt in Richtung SIGINT-Abteilung der NSA ärgern. Dann würde die NSA halt das Phone hacken oder euch eine bösartige Version der App unterjubeln. Das wäre auch schon mal ein Gewinn. Aber halt kein sonderlich großer. Im Übrigen sei darauf verwiesen, dass die Schweiz natürlich auch fleißig mitschneiden lässt.
Nun liegt natürlich angesichts der Wochenendmeldung, dass die Dienste auf gehackten Rechnern kompromittierende "Beweise" hinterlegen, um missliebige Menschen auszuschalten, und angesichts der Tatsache, dass Edathy als Vorsitzender des NSU-Ausschusses den einen oder anderen geheimdienstkritischen Satz nicht verhindern konnte, eine verschwörungstheoretische Sicht nahe. Mir ist Edathy aber nie als jemand aufgefallen, der aktiv gegen die Dienste arbeitet. Der hat immer nur gefordert, was sich gerade nicht mehr vermeiden ließ. Daher glaube ich das erstmal nicht. Aber das Timing ist durchaus auffällig.
Update: Damit hier keine Missverständnisse aufkommen: Edathy stand eigentlich immer auf der falschen Seite der Barrikaden. Der war u.a. für Vorratsdatenspeicherung und Hackertoolverbot.
Update: Ach nee, und die Hinweise kamen aus dem Five-Eyes-Mitglied Kanada.
New hotness: GCHQ macht einen DDOS gegen Anonymous.
The documents, from a PowerPoint presentation prepared for a 2012 NSA conference called SIGDEV, show that the unit known as the Joint Threat Research Intelligence Group, or JTRIG, boasted of using the DDOS attack – which it dubbed Rolling Thunder — and other techniques to scare away 80 percent of the users of Anonymous internet chat rooms.Das muss man sich mal auf der Zunge zergehen lassen! Mit Steuergeldern fahren die da Angriffe gegen Internet-Infrastruktur! Denn DDOS greift ja nicht das Ziel an, sondern die Leitung zum Ziel.Oh und wer noch Zweifel hat bezüglich GCHQ:
The documents also show that JTRIG infiltrated chat rooms known as IRCs and identified individual hackers who had taken confidential information from websites. In one case JTRIG helped send a hacktivist to prison for stealing data from PayPal, and in another it helped identify hacktivists who attacked government websites.Das Argument gegen Hacktivisten ist ja, dass sie Infrastruktur kaputt machen. GCHQ kämpft gegen Hacktivisten, indem sie auch Infrastruktur kaputtmachen. Damit ist aus meiner Sicht völlig klar, dass die in den selben Knast gehören, in den sie die Hacktivisten gesteckt haben. In die Nachbarzelle.Im Übrigen bin ich der Meinung, dass alle Geheimdienste sofort geschlossen werden müssen.
Erschwerend hinzu kam, dass die Seite dann ziemlich sofort unter der Last zusammenbrach (warum eigentlich?).
Die Fakten liegen immer noch nicht auf dem Tisch, aber so langsam scheint halbwegs Konsens zu bestehen, dass da irgendein Ermittlungsverfahren gegen irgendjemanden läuft, weil sie diese Daten gefunden haben. Daher wollen sie nicht sagen, woher sie die haben.
Ich stelle mir das so vor. Das BSI wird von einer Firma oder Behörde angerufen, weil die ein Botnetz bei sich gefunden haben. Die kommen und finden beim Stochern diese Daten. Was tun? Nun könnte man natürlich die Email-Adressen alle anschreiben, aber wer glaubt denn seit dem Bundestrojaner noch Emails von Behörden?
Diese Webseite jetzt ist aus meiner Sicht Ass Covering. Da geht es nicht darum, Leuten zu helfen. Denn Leute, die sich um ihre Sicherheit genug Sorgen machen, dass sie von der Existenz so einer Webseite erfahren, und dann da hingehen und damit interagieren, sind vermutlich eh nicht betroffen. Ich verwende z.B. eine eigene Email-Adresse pro Webseite, die meine Email-Adresse haben will — und natürlich jeweils ein anderes Passwort. Soll ich die jetzt alle beim BSI eingeben? Ich mache das ursprünglich, um zu erkennen, woher Spammer Email-Adressen haben, aber es hilft natürlich auch prima gegen solche Account-Datenbanken. Da ist dann jeweils nur der eine Account gehackt, das Passwort funktioniert nirgendwo anders.
Dazu dann das Verfahren, das die das wählen. Man kriegt die Antwort nicht direkt sondern man kriegt einen Code und später eine Email, wenn man betroffen war. Wenn man nicht betroffen war, kriegt man keine Email. Das BSI scheint zu glauben, dass davon auch die Umkehrung gilt: Wer keine Email kriegt, war nicht betroffen. Aber das ist natürlich Blödsinn, Emails können verloren gehen, im Spamfolder landen, versehentlich gelöscht werden, etc. Oder wenn die Credentials gehackt waren und auch für den Email-Provider gelten, kann jemand mit den Daten natürlich auch die Email vom BSI löschen, bevor das Opfer sie sieht. Und die Email ist im Gegensatz zu der SSL-Verbindung, über die man die Daten einschickt, nicht verschlüsselt und signiert, d.h. wenn da eine Mail kommt, gibt es keinen Grund, der zu trauen. Den Code hätte auch jemand raten können. Kurz: Die Aktion ist voll für den Fuß. Das BSI tut das daher aus meiner Sicht nur, weil sie glauben, irgend etwas tun zu müssen.
Besonders absurd mutet die Meldung von heute an, dass das BSI seit Dezember auf den Daten saß, aber so lange brauchte, weil sie wirklich sicher gehen wollte, dass ihre Webseite den Ansturm aushalten würde. Was sie dann nicht tat.
Einmal mit Profis arbeiten!
Update: Die Webseite heißt übrigens www.sicherheitstest.bsi.de und liegt bei Strato. Ohne jetzt irgendwie Strato bashen zu wollen, aber … srsly, BSI? Das konntet ihr nicht selber hosten? So sieht das aus, wenn jemand per DNS-Hijacking Domains umlenkt. Übrigens liegt die BSI-Webseite nicht nur in einem anderen Netz (das dem BSI gehört), sondern sie benutzt auch eine andere Domain. Viel mehr Indizien für "hier riecht was schlecht, hier geb ich lieber keine Daten ein" hätte man auf die Schnelle gar nicht ankreuzen können. Oh, doch, eine noch. Das SSL-Zertifikat kommt bei der BSI-Homepage von Trustcenter, und beim Sicherheitstest von T-Systems. NA SUPER. Vertrauenswürdiger geht es ja kaum!1!!
Update: Anscheinend soll die Rück-Email PGP-signiert sein. Wozu brauchen sie dann den Code, wenn sie PGP haben? Weil niemand einen Grund hat, einem angeblichen BSI-Key zu vertrauen, der vor sechs Wochen erzeugt wurde?
Update: Wo wir gerade bei T-Systems waren… guckt mal, was da auskommentiert im HTML steht:
<div style="padding-top:20px;padding-bottom:20px;">Und hier ist das Bild. Ja, das hätte ich auch lieber auskommentiert an deren Stelle *schenkelklopf* :-)
<!--<img src="/static/images/vl_powered_by_T.png" />-->
Update: Ah, sie haben auch ihren öffentlichen PGP-Schlüssel auf ihrer HTTP-Webseite. Immerhin. Ich sehe trotzdem nicht, wieso sie da überhaupt Email machen und nicht direkt per Web antworten. Das schafft doch nur zusätzliche Metadaten.
Update: Der PGP-Schlüssel ist vom 9.12., das SSL-Zertifikat ist vom 17.12. Da kann man mit ein bisschen Fantasie die Denkprozesse verfolgen.
Hey, Cheffe, wir haben hier echt viele Email-Adressen, was machen wir jetzt?
Wir schreiben denen ne Email!
Ja, aber Cheffe, seit dem BKA-Trojaner glaubt unseren Emails doch keiner mehr!
Dann signieren wir die halt mit PGP!
OK, Cheffe, hab nen Schlüssel gemacht, aber wieso sollten die Leute dem denn vertrauen? Ich hätte Frau Merkel gebeten, uns den zu signieren, aber die hat kein PGP!
Na gut, dann machen wir dazu ne Pressemitteilung und machen einen Webserver auf und da tun wir den Schlüssel hin!
Aber Cheffe, unser Webserver hält doch nichts aus, wir benutzen doch Java!
Ja, äh, hmm, na löse das halt irgendwie!1!!
OK, Cheffe, ich hab jetzt bei Strato nen Webserver geklickt, aber wir brauchen auch SSL, sonst lachen die Leute doch wieder über uns!
Hmm, also über unseren normalen Amtsweg braucht das 4 Monate. Frag mal Strato, ob die nicht auch SSL mit verkaufen können!
OK, Cheffe, hab ich gemacht, alles in Ordnung!1!!
Update: In den Mails an Betroffene steht, dass die Daten bei einem Botnet gefunden wurden. Jemand hat mir ein Zitat aus so einer Mail geschickt.
Update: Der Code steht bei den PGP-Mails übrigens im Subject, also im nicht signierten Header-Bereich.
Ich muss ja bei diesen ganzen Geschichten an Dragos Ruiu und sein Badbios-Zeug denken. Wie viele den nicht ernst nehmen konnten. Als er erzählte, seine Rechner, die nicht am Internet hängen, seien gehackt worden, und er vermute, das ginge über Audio außerhalb des hörbaren Spektrums. Nicht nur ist seit dem eine Open Source Chat-Anwendung basierend auf dem Prinzip auf github aufgetaucht, jetzt haben wir dank Snowden auch ein paar Details.
The technology, which the agency has used since at least 2008, relies on a covert channel of radio waves that can be transmitted from tiny circuit boards and USB cards inserted surreptitiously into the computers. In some cases, they are sent to a briefcase-size relay station that intelligence agencies can set up miles away from the target.Rückblickend ist ein Funksignal von bösartiger Hardware natürlich technisch glaubwürdiger als was Dragos sich da zusammengereimt hat, aber vor dem 30c3 war das eben bei den Hackern noch nicht so auf dem Radar, dass man seine Komponenten nicht online ordern darf, weil die NSA sonst Hintertüren eingepflanzt hat. Ich kauf meinen Kram gerne lokal im Laden ein, aber weniger aus Angst vor der NSA als weil ich die lokalen Läden als Infrastruktur gerne erhalten möchte. Rückblickend bin ich da ganz froh drüber.Naja, sehr schön ist auch das Neusprech-Layer, das die NSA da aufbaut. Sie sprechen da nicht von Angriffsmethoden, sondern von "active defense". Kommentar der New York Times:
But when Chinese attackers place similar software on the computer systems of American companies or government agencies, American officials have protested, often at the presidential level.Das ist halt wie mit der Merkel und ihrem Telefon :-)
The first thing you'll notice is that the players are performing what may seem to be an arbitrary set of actions, such as recycling fish. Well, it's all relevant.When fish bounce, they call the Random Number Generator subroutine three times. Thus with many fish bouncing we can get to the desired RNG number quickly. However, during their INIT routine, koopas call it once. So we need to plan our RNG values accordingly.
Die haben einen Glitch in dem Spiel gefunden, bei dem Yoshi einen Sprite vom Typ FF in den Mund nimmt. Die Tabelle der Sprite-Typen ist 12 Byte groß, d.h. der indiziert dann außerhalb der Tabelle. Daher machen sie bestimmte Aktionen in dem Spiel, um eine Speicherstelle mit Werten zu füllen, die dann so anspringbar ist.Wenn ihr mich fragt: Der coolste Hack dieses Jahrzehnts. Das muss erst mal jemand toppen.
The PC in question stores about 42,000 emails and training reports. There is a record of external transmission, and part of the information may have been stolen.Aber keine Sorge, ist alles in Ordnung:"It is not likely that critical security information has been leaked outside," JAEA explains.m( (Danke, Gunnar)
A branch of the Ministry of Defence is funding postgraduate research into the culture of computer hackers, crowd behaviour at music festivals and football matches, and the impact of Twitter, Facebook and online conspiracy theories in times of crisis.Insbesondere sind sie an Anonymous interessiert. (Danke, Christian)
Die Betreiber der Seite geben an, dass der Angriff nicht über das eigentliche Betriebssystem ihres Webservers erfolgte, sondern über den Hypervisor der Virtualisierungssoftware des Webhosters.Virtualisierung ist eine große zusätzliche Schichte Komplexität oben drauf auf der eh schon viel zu großen Komplexität eines Betriebssystems mit seinen Anwendungen. Das schafft völlig unnötig neue Angriffsfläche. Ich vertraue keiner dieser Lösungen.
Update: Diverse VM-Apologeten weisen gerade darauf hin, dass das ein schwaches Passwort war. Ja und? Was ändert das an dem Sachverhalt, dass die über den Hypervisor aufgemacht wurden? Der ist unnötige Angriffsfläche, über die sie jemand gehackt hat.
CSC, CSC, da war doch was… Die hier.
(1) Governments should not use surveillance to steal industry secrets to advantage their domestic industrie;
(2) Governments should not use their offensive cyber capabilities to change the amounts held in financial accounts or otherwise manipulate the financial systemMit anderen Worten: Wir müssen endlich mit der Industriespionage aufhören, und wir sollten auch nicht mehr bei Banken die Kontostände hacken.
Ich bin ja immer wieder erstaunt, wie EA es schafft, sich noch tiefer in den Abgrund der Kunden-Unzufriedenheit zu bewegen.
Und inhaltlich ergibt das auch überhaupt keinen Sinn, die Modems alle zu hacken, weil die dünnste Leitung die zwischen eurem Modem und dem DSLAM ist. Wenn man da Daten rausleiten wollen würde, dann an zentralerer Stelle. Und von da wissen wir ja auch schon, dass da Daten rausgeleitet werden können, weil es dafür gesetzlich vorgeschriebene Schnittstellen gibt. Ob euer Modem auch noch mal gehackt wird oder nicht spielt also gar keine Rolle für euch.
So und jetzt bitte alle einmal notieren: Finger weg von diesen ganzen unseriösen Illuminaten-Bullshitbingo-Webseiten aus dem Infowars-Dunstkreis. Und vor dem Fefe anmailen bitte kurz selber das Hirn anschalten! :-)
Diplomats are expected to hammer out revised terms for the Wassenaar Arrangement in private meetings in Vienna this week so that it includes new controls on complex surveillance and hacking software and cryptography. The 41 signatory states include the US, Russia, Japan, France and Germany.Auf der einen Seite kann das total super sein, wenn endlich der Export von Gamma-Trojanern verboten wird. Aber wenn da steht, Hacking-Software und Kryptographie sollen Exportrestriktionen kriegen, dann sehe ich Szenen vor mir wie dass man nmap und wireshark nicht mehr zum Download anbieten darf, oder dass Tor verboten wird. Hoffentlich wird das nicht so schlimm wie es sich da liest. (Danke, Christian)
Die Beispiel-Zielorganisation ist übrigens das Brasilianische Energieministerium. Ein Schelm, wer Böses dabei denkt.
Update: Die Software haben einige Einsender als das Open-Source-Datenintegrationstool Kettle wiedererkannt. Das ist mit Plugins erweiterbar und anscheinend von einer Firma in Kommerz-Software umgewandelt worden, heißt jetzt Pentaho Data Integration.
The Emoya Luxury Hotel and Spa near Bloemfontein, South Africa offers Shanty Town, a dozen shacks made from scrap wood and corrugated metal that it thinks is the perfect setting for your next corporate retreat or wedding anniversary. The resort has gone to great lengths to recreate the joys of slum living without the nuisances of crime, disease, or poor sanitation: "Now you can experience staying in a Shanty within the safe environment of a private game reserve. This is the only Shanty Town in the world equipped with under-floor heating and wireless internet access!"Fußbodenheizung und Wifi! Wenn das kein authentisches Slum-Leben ist, dann weiß ich auch nicht. (Danke, Daniel)
Update: Die Meldung hat es nach Deutschland geschafft. (Danke, Martin)
Ich frage mich ja, ob die eigentlich merken, wie sehr sie den Wirtschaftsstandort USA in Verruf gebracht haben mit ihrem Geschnüffel.
Congress did a review of this program over a four-year period, the Senate Select Committee on Intelligence. And over that four-year period, they found no willful or knowledgeable violations of the law or the intent of the law in this program.More specifically, they found no one at NSA had ever gone outside the boundaries of what we’ve been given. That’s the fact. What you’re hearing, what you’re seeing, what people are saying is, well, they could. The fact is they don’t. And if they did, our auditing tools would detect them, and they would be held accountable.
Ich erwähne das nur noch mal explizit, weil ja heute das hier rausgekommen ist. Nur falls mal wieder jemand versucht, euch etwas als wahr zu verkaufen, weil ein Geheimdienst etwas zugesagt hat. Jemand wie … unser Innenminister oder die Bundesregierung. Wissenschon. Die Washington Post ist auch leicht irritiert.Ich notier mir das jetzt jedenfalls in meinem Lebenslauf. Mir hat ein Geheimdienstchef persönlich in die Augen geguckt und mich belogen, dass sich die Balken biegen. :-)
Und man kann auch nur spekulieren, was sich in Kalifornien für Szenen abgespielt haben müssen. Hier ist ein Indiz. Was zur Hölle soll das werden, ein Aufruf zur Selbstjustiz? Was erwarten die denn, was sie mit so einer landesweiten Alarm-Meldung bewirken? Dass die örtliche NRA-Fraktion losläuft und blaue Nissans kaputtschießt?
Auf der anderen Seite lenkt das natürlich schön von der NSA-Geschichte ab. Wer weiß, vielleicht kommt ja noch eine Meldung, dass der Hinweis auf die NSA zurückgeht, wenn sie das Kind dann retten.
Das Notfallwarnsystem ist auch sonst gelegentlich für ein Kopfschütteln gut.
Erstens ist es unglaublich, dass die bisher noch kein STARTTLS hatten. Das RFC dazu ist 14 Jahre alt! Soll das ein Witz sein?! JETZT rollen die das aus? Und tun auch noch so, als sei das ein bewerbenswertes Feature?!? Das ist wie wenn VW damit Werbung machen würde, dass sie jetzt auch Sicherheitsgurte mitliefern. WTF?
Und dann: STARTTLS basiert auf SSL und X.509, aber ohne Nutzer-Interaktion. Damit fallen Dinge wie manuelle Zertifikats-Prüfung weg. Was macht man, wenn man sich wohin verbindet, und das Zertifikat ist von einer CA unterzeichnet, die man nicht kennt? Zurückschicken? Doch zustellen? Mit anderen Worten: Das ist zwar ein kleines Bausteinchen, aber das jetzt als die große Security-Infrastruktur zu bewerben, das ist mehr als unehrlich.
Und im Übrigen ist das natürlich eh alles Schlangenöl. Solange die Verschlüsselung nicht Ende-zu-Ende ist, kann das BKA zum Provider gehen und die Mail lesen. Oder der BND. Oder irgendjemand, der sich da reinhackt. Der Verfassungsschutz. Ein schlecht gelaunter Admin dort.
Und überhaupt, dass ausgerechnet die Telekom als Ausgliederung der Post jetzt einen auf "eure Sicherheit ist uns wichtig" macht, das finde ich unerträglich.
Update: Die Krönung an der Geschichte ist, wie sich der Friedrich darüber freut, dass seine alten Kumpels von der Telekom dafür sorgen, dass die Kunden glauben, sie kriegten Verschlüsselung, aber die "Bedarfsträger" immer noch an alle Mails rankommen.
Mit dieser Verschlüsselung werden die Zugriffsmöglichkeiten Unberechtigter weiter erschwert.
Die "Berechtigten" kommen natürlich immer noch an alles ran. Oh und natürlich weist er darauf hin, dass die Berechtigten gerne noch mehr Hilfestellung von euch Abhöropfern haben wollen. Im Moment, wenn man so eine Mail abschnorchelt, kann man sich nicht sicher sein, wer die wirklich geschrieben hat. Daher seid doch bitte so liebenswert und macht da eine digitale Signatur drunter!
Darüber hinaus aber bietet die De-Mail den Vorteil einer eindeutigen Identifizierung von Absender und Empfänger
So the intelligence community, which never met-a-data that it didn't want to collect, should drop the whole metadata charade.Harr Harr
The bureau typically uses hacking in cases involving organized crime, child pornography or counterterrorism, a former U.S. official said. It is loath to use these tools when investigating hackers, out of fear the suspect will discover and publicize the technique, the person said.
Ich will da mal noch eine andere Sache ansprechen. Das letzte Auto, das ich hatte, war ein 20 Jahre alter Kleinwagen ohne Elektronik. Kein ABS, keine Brems- oder Lenkverstärkung, alles Mechanik. Gelegentlich hat mal einer gefragt, wieso ich so ein Schrottauto fuhr und kein modernes Auto, und ich habe denen dann gesagt, dass ich dieser ganzen Elektronik nicht traue. Letztlich sind das auch alles nur Computer, und Computer können umprogrammiert werden. Nicht erst seit dem Hollywood-reifen Autounfall in Hollywood liegt die Vermutung nahe, dass sowas möglicherweise nicht völlig vertrauenswürdig sein muss. Normalerweise kriegt man bei einer Äußerung dieser Gedankengänge ein nervöses was-für-ein-Spinner Lachen und einen schnellen Themenwechsel, aber heute möchte ich euch mal ein Video zeigen. Es ist in diesem Forbes-Artikel embedded. Ein paar Hacker haben sich im Auftrag der DARPA (also des US-Militärs) mal die Sicherheit von Auto-Elektronik angeguckt und konnten am Ende des Tages einmal alles manipulieren. Da ist zwar kein Fernsteuer-Modus eingebaut, den man verwenden könnte, aber man kann alle möglichen Sensordaten fälschen und so das selbe erreichen. Von der Anzeige des Tank-Füllstands über Lenkrad-Input (und weil das Kraftverstärker sind, "verstärkt" der dann dann Phantomkräfte und lenkt) und Bremsen (die konnten sie nicht nur bremsen lassen sondern auch am Bremsen hindern) bis hin zu Gas geben ging da alles. Das Auto, das sie da am Wickel hatten, war ein Toyota Prius, aber glaubt mal gar nicht, dass das bei irgendeinem anderen zeitgenössischen Modell anders aussieht.
Wir Menschen haben unsere Souveränität nicht nur im Straßenverkehr schon vor einiger Zeit auf- und in die Hand von Maschinen gegeben.
Das statistisch größere Problem ist natürlich, dass ich als Programmierer weiß, auf welchem Niveau Software entwickelt wird, und daher sehr zurückhaltend bin, anderer Leute Software mein Leben anzuvertrauen, wenn ich es vermeiden kann.
1942 glaubte eine amerikanische Zeitung publizieren zu müssen, dass Roosevelt und Churchill über eine neue Erfindung miteinander redeten, ein Sprachzerhacker-Telefon. Das Blatt zeigte ein Foto des Geräts, eines nach Urteil der Redaktion nichtssagenden Kastens. Der Zeitungsartikel und das Foto reichten einem deutschen Ingenieur aber aus, um den Apparat nachzuerfinden und Lauschmaßnahmen zu ersinnen.Aha. Das Foto eines Plastikkastens hat einem deutschen Ingenieur den Nachbau ermöglicht, ja? Soso. Ohne das Foto hätten die das nicht reverse engineeren können?
Immerhin ist der Typ geistesgegenwärtig genug, selber zu erkennen, dass er Kriegsführung gegen ein Land mit "Zusammenarbeit" in Friedenszeiten mit einem Nato-Partner vergleicht. Kein Problem bei Herrn Krauel!
Wir seien doch nicht im Krieg, wird dann gern gesagt. Es gehe doch um den Schutz der Zivilgesellschaft. Wohl wahr, ja, aber Krieg wird heute aus der Mitte der Zivilgesellschaft heraus geführt.Ach sooo. Na dann ist das natürlich was ganz anderes!1!!
Der Mann ist übrigens "Chefkommentator" in der "Welt" und schon früher negativ aufgefallen. (via)
Grimes: How many exploits does your unit have access to?Cyber warrior: Literally tens of thousands — it's more than that. We have tens of thousands of ready-to-use bugs in single applications, single operating systems.
Grimes: Is most of it zero-days?
Cyber warrior: It's all zero-days. Literally, if you can name the software or the controller, we have ways to exploit it. There is no software that isn't easily crackable. In the last few years, every publicly known and patched bug makes almost no impact on us. They aren't scratching the surface.
Ich halte den Typ vom Stil her für einen Pfuscher, einen Angeber, jedenfalls weit von dem entfernt, als was er sich hier hinzustellen versucht. Und so würde ich auch von den Zahlen der verfügbaren Exploits ein paar Ziffern rausstreichen, um zu realistischen Zahlen zu kommen. Und so trivial ist das mit dem Exploiten ja auch nicht mehr heutzutage, wenn man nicht gerade echt Glück hat mit einem Bug. Mit anderen Worten: da protzt ein Kiddie rum. Muss man sich m.E. keine Sorgen machen, dass an dessen Zahlen was dran sein könnte.Aber ich dachte mir, ich schreibe das hier mal, bevor da groß Panik ausbricht. Faustregel: In einem Raum voller Security-Leute ist der einzige interessante der Ruhige in der Ecke, der es nicht nötig hat, seine angeblichen Fähigkeiten herauszustellen.
Oh übrigens, nachdem sich schon die "die Chinesen hacken immer alles"-Geschichte ins Gegenteil umgekehrt hat, weil wir jetzt wissen, dass in Wirklichkeit die Amis immer alles hacken, hat Google mal ihre Malware-Statistik veröffentlicht, und siehe da, auch die ganze Malware wird in den USA gehostet, nicht in China. Na sowas.
Ich sage euch, wenn sich mal jemand anschaut, welches Land schlimmer die Umwelt verpestet, China oder die USA, dann gibt es die nächste "Überraschung".
Dann zirkuliert seit ein paar Tagen die Geschichte, dass es einen Privatjet gibt, mit dem er nach Island fliehen will. Aber wenn es den gibt, wieso würden sie das öffentlich ansagen? Daher nahm ich an, dass das eine Nebelkerze ist und hab es nicht gebloggt. Aber jetzt kommt auch noch "er hat ein Ticket Moskau-Kuba", oder Venezuela? Dann heißt es Ecuador. Das scheint alles ein großartiges Nebelkerzenspiel zu sein :-)
Oh und die China-Aktion war so erfolgreich, dass China jetzt die Amis als "größten Bösewicht der Welt" bezeichnet :-)
Übrigens haben die USA kein Auslieferungsverfahren mit Russland. Wenn Snowden also in Moskau bliebe, wäre er auch soweit sicher. Da müssten sie schon Entführungs- oder Mordkommandos losschicken. Und die Russen sagen schon mal an, dass die Amis und ihre Anforderungen ihnen herzlich egal sind, mit schönem Seitenhieb darauf, dass die Briten ja Medwedjew 2009 beim G20 abgehört haben und keine Reue zeigten, und dass sie ja erst kürzlich diesen US-Spion enttarnt hatten. Die Amis haben also keine Zurückhaltung beim Spionieren, wieso sollten wir dann Zurückhaltung ihnen gegenüber zeigen.
Update: Ecuador hat angesagt, dass Snowden Aysl beantragt hat.
Update: Offenbar versagt twimg.com gerade, das Foto findet ihr auch bei hackerphotos.
Provided anonymity to speak critically about classified practices, the source said: "We hack everyone everywhere. We like to make a distinction between us and the others. But we are in almost every country in the world."
Nach so einer Sache stellt sich natürlich immer die Frage, wie das denn überhaupt passieren konnte. Hetzner hat das Problem entdeckt, weil sie eine Backdoor in ihrem Nagios gefunden haben. Daraus kann man nicht schließen, dass Nagios auch der Weg war, über den die bei Hetzner eingedrungen sind. Man muss ja leider bei so komplexen Systemen, wie sie heute überall leichtfertig eingesetzt werden, grundsätzlich attestieren, dass da in jeder Komponente vermutlich noch diverse Lücken drin sein werden. Die üblichen Verdächtigen bei solchen Angriffen sind: Software nicht zeitnah geupdated, Fehler in der Konfiguration, eine Weile nichts, dann 0days. Leider lässt sich das im Nachhinein im Allgemeinen nicht aufklären, was da genau passiert ist. Insofern würde ich da jetzt von außen auch keine großen Aufklärungserwartungen stellen. Aber wenn ich Kunde bei Hetzner wäre, würde ich angesichts dieser Reaktion auch Kunde bei denen bleiben. So wie die es getan haben muss man auf sowas reagieren.
The Chinese response, essentially: Look who’s talking. “You go in there, you sit across from your counterpart and say, ‘You spy, we spy, but you just steal the wrong stuff.’ That’s a hard conversation,” says Michael Hayden, who headed the NSA, and later the CIA, under Bush.Bwahahahaha! Oh und wo arbeitet der gute Mann jetzt? Bei der Chertoff Group! Chertoff, Chertoff, der Name kommt euch bekannt vor? Der hier.Angesprochen darauf, dass sie ja auch hacken, haben die Amis sich ein lustiges Rechtfertigungsgebilde zurechtgelegt:
The U.S. position is that some kinds of hacking are more acceptable than others—and the kind the NSA does is in keeping with unofficial, unspoken rules going back to the Cold War about what secrets are OK for one country to steal from another. “China is doing stuff you’re not supposed to do,” says Jacob OlcottJa nee klar. Die Amerikaner würden NIEEEEE Industriespionage betreiben, z.B. bei Airbus oder so. Völlig undenkbar!1!!Sehr schön auch, wie die NSA ihr Hacker-Team benannt hat:
The men and women who hack for the NSA belong to a secretive unit known as Tailored Access Operations.Tja und was machen die Amis jetzt, wo sie nicht gegen das Hacken der Chinesen wettern können, weil sie selber noch viel mehr hacken? Na klar! Erpressung, was sonst.Intelligence officials say one way to exert pressure on China is to change the subject from spying to trade—threatening restrictions on imports of goods made using stolen technology, or withholding visas for employees of companies that make such products.Ich finde das ja immer hochamüsant, wenn sich Schurken gegenseitig moralische Verfehlungen vorhalten.
Designs for many of the nation’s most sensitive advanced weapons systems have been compromised by Chinese hackers, according to a report prepared for the Pentagon and to officials from government and the defense industry.
UPDATE: All Sky's Android apps were hacked and replaced… please uninstall it, And we will let you know when it will be availableSky gehört Rupert Murdoch. Ihr erinnert euch, dessen Organisationen anderer Leute Telefone gehackt hatten.
According to a FBI press release, Vargas allegedly paid an e-mail hacking service more than $4,000 to obtain the log-in credentials of at least 43 personal email accounts and one cellular phone belonging to at least 30 different individuals.Öh, das ist ja mal ein Geschäftsmodell! Und wieso verhaften die dann nicht die Betreiber von diesem Service?
Und mal unter uns, wen interessieren denn bitte die persönlichen Daten von FDP-Mitgliedern. Die würde man doch nicht mal geschenkt haben wollen! Nee, lasst die FDP mal in Frieden ruhen. Die altern jetzt bei der Wahl aus dem Bundestag raus und dann haben wir endlich Ruhe.
Oh und: Sorgt lieber dafür, dass CDU und SPD keine Stimmen kriegen, anstatt euch an belanglosen Randgruppen-Splitterparteien abzuarbeiten. Das sind doch die Marodeure in unserem Land!
I guess we've seen the dark side of cloud hosting.Na spitze. Da muss erst jemand bei ihm eindringen, damit er zu dem Schluss kommt, dass Cloud-Hosting möglicherweise nicht so schlau ist. m(
Update: Schlechte Nachrichten auch für Microsoft. Früher brauchte man Excel, heute nimmt man eine Android-App.
Een 'hack' van buitenaf wordt niet uitgesloten.
Es gibt für den Laden kein direktes Äquivalent in Deutschland, das wäre vermutlich sowas wie eine Mischung aus Rohde&Schwarz, T-Systems und IABG. Deren Beteuerungen sind grob vergleichbar mit Nokia Siemens Networks, die ja auch beteuern, ihre Hände durch die Ausgliederung von Trovicor reingewaschen zu haben. Von denen würde man sich ja auch keine Hackerveranstaltung sponsern lassen wollen.
Ich war ja immer ein Freund der holländischen Hackercamps, aber unter diesen Umständen gehe ich da lieber nicht hin.
(Falls jetzt jemand seinen PDF-Reader deinstallieren will: Foxit Reader kommt nicht von Fox-IT. Verschiedene Firmen.)
Rule 80 of the handbook states: "In order to avoid the release of dangerous forces and consequent severe losses among the civilian population, particular care must be taken during cyber-attacks against works an installations containing dangerous forces, namely dams, dykes and nuclear electrical generating stations, as well as installations located in their vicinity." Hospitals and medical units are also protected as they would be under rules governing traditional warfare.Der Guardian macht daraus in der Überschrift, dass diese Ziele jetzt ausgeschlossen sind, aber das steht da nicht. Da steht "particular care must be taken", also "muss man sorgfältig sein".Und wer sich jetzt denkt, hey, wenn DAS die guten Nachrichten sind, was sind dann die schlechten Nachrichten? Das hier:
It also states that so-called "hacktivists" who participate in online attacks during a war can be legitimate targets even though they are civilians.Ja nee, ist klar. Wer sich für den Themenkreis interessiert, sollte sich auch Alternativlos 25 anhören.Update: In der Praxis, könnte man jetzt einwenden, wird eh kein Krieg mehr erklärt. Das kann man dann ja posthum seinen Anwalt vor Gericht argumentieren lassen. Was wohl der nächste Schritt ist? Blogs als Information Warfare klassifizieren und auch zu legitimen Zielen erklären?
Das haben diverse Lobbygruppen jetzt zum Anlass genommen, eine "bessere Presseregulierung" zu fordern. Das kam zustande, wie sowas immer zustande kommt: als blinder Aktionismus. Und dann passierte das Unglaubliche. In der Nacht, nach Mitternacht, haben plötzlich die Tories, Labour und die LibDems eine Einigung erzielt, die u.a. den Zeitungen das Vetorecht für Leute im Regulierungsgremium aberkennt. Die hatten sich da bis zuletzt gegen gesträubt, um zu verhindern, dass es noch schlimmer wird für Presse in England.
Die Briten haben im Moment schon die übelsten Libel und Slander-Gesetze (üble Nachrede und Beleidigung). Die sind so übel, dass sich ein Libel-Tourismus etabliert hat, bei dem dann schon mal Saudi-Prinzen in England eine US-Zeitung verklagen, weil deren Internetausgabe ja auch in England einsehbar ist. Vergleichbar mit unserem Landgericht Hamburg in Internetfragen.
Nun, jedenfalls, die Zeitungen haben das nicht kommen sehen, dass sich die drei Parteien einigen, und dann auch noch so plötzlich und ohne Vorwarnung, und der Guardian schrieb heute morgen, die Presse sei Shell Shocked (alter Ausdruck für Post-traumatische Belastungsstörung). Es ging da in den Verhandlungen um so Fragen wie dass Labour das als Statut haben wollte, das man nur mit einer 2/3-Mehrheit wieder kippen kann, und Tory wollte nur ein normales Gesetz haben. Jetzt haben ein normales Gesetz gemacht, in dem drinsteht, dass man ne 2/3-Mehrheit braucht. Das ist allerdings legal völlig bedeutungslos, wenn man das da reinschreibt, weil ein Parlament zukünftigen Parlamenten keine Vorhaltungen machen darf.
Die Punchline der ganzen Geschichte ist aber das hier: Daily Mail, Telegraph und die Murdoch-Presse wollen nicht mitmachen. Der einzige Grund für diese ganze Chose war ja gerade die Murdoch-Presse.
Na? Klingelt es?
"Aber Fefe, das ist doch total harmlos, das sind doch bloß Soziologen, die ihren Job zu machen versuchen!1!!"
"Aber Fefe, wie kannst du nur! Das dient doch der Wissenschaft! Das muss doch gut sein!"
Using the name AESCracked, Keys handed over the login credentials and told hackers to "go fuck some shit up", the indictment says.m(
On Friday March 8, a NIST firewall detected suspicious activity and took steps to block unusual traffic from reaching the Internet. NIST began investigating the cause of the unusual activity and the servers were taken offline. Malware was discovered on two NIST Web servers and was then traced to a software vulnerability.Einmal mit Profis arbeiten!
Konkrete Punkte sind:
Ich bin grundsätzlich für eine Meldepflicht. Der Gedanke hinter einer Meldepflicht, und warum ich auch dafür bin, ist: a) wir brauchen ordentliche Daten, um über das Problem reden zu können. Wer wird wie häufig gehackt und welche Daten leaken dabei? b) wenn die Firmen das unter den Teppich kehren können, warum sollten sie dann in Security investieren. Dann bleibt alles Scheiße und die Kunden wissen nicht, bei welchen Anbietern ihr Geld wirklich sicher ist.
Wenn man sich jetzt diesen Entwurf ansieht, dann sieht man, dass die zwar melden müssen, aber nur dem BSI, nicht der Öffentlichkeit. Und das BSI legt das dann zwar offen, aber nicht der Öffentlichkeit, sondern … den Meldepflichtigen. Die können dann zwar sehen, ob sie sicherer als der Durchschnitt der Konkurrenz sind, aber der Kunde kriegt es nicht mit. Damit ist der Anreiz für Verbesserungen weg. Dann werden die weiter alle die Öffentlichkeit anlügen, wie toll sicher sie sind, und Vorfälle verschweigen.
Alleine schon aus diesem Grund lehne ich diesen Gesetzesentwurf ab. Aber meine Kritikpunkte gehen noch weiter.
Das BSI soll jetzt Firmen beraten. Das halte ich für eine sehr schlechte Idee. Das BSI wird aus Steuergeldern finanziert. Wieso sollten Steuergelder dafür ausgegeben werden, den Firmen zu ermöglichen, ihre Hausaufgaben an das BSI outzusourcen? Nee, so geht das nicht.
Es ist nicht so, dass das BSI keine Rolle spielen sollte. Ich schlage vor, dass das BSI einen Katalog erstellt, in dem Angriffe klassifiziert werden. Wo man dann sagt: ein XSS auf der Pressemitteilungen-Webseite der Polizei Brandenburg ist kein Angriff auf "sicherheitsempfindliche Stellen lebenswichtiger Institutionen". Diese Formulierung zitiert Heise als Beschreibung dafür, wofür das BKA in Zukunft zuständig sein soll. Hier muss aus meiner Sicht Sorge getragen werden, dass es eine klare Unterscheidung zwischen gefährlichem Angriff und zivilem Ungehorsam und Demonstrationsrecht gibt. Wenn Leute aus Protest gegen Abschiebungsflüge die Lufthansa-Webseite blockieren, sollte das jetzt nicht über diese Hintertür zu einem Fall für das BKA deklariert werden.
Überhaupt, das BKA. Die sollen 105 neue Stellen schaffen, um besser das Internet patroullieren zu können. Halte ich für falsch. Die stehen sich doch jetzt schon nur im Wege. Ich habe noch von keinem einzigen Fall gehört, wo das BKA mal im Internet zu Recht und Ordnung beigetragen hätte. Was die brauchen ist eine Schulung, und die klare Vorgabe, dass ihrem Präsidenten pro Eingriffsversuch in die Politik ein Monatsgehalt abgezogen wird, bis hin zu negativem Gehalt und Forderungen an ihn. Jedes Mal, wenn Ziercke und co die Vorratsdatenspeicherung fordern, verplempern die Zeit, die sie damit verbringen sollten, Kriminelle zu fangen.
Also. Das Gesetz lehne ich so ab. Mein Vorschlag:
Kurz gesagt: aus dem Gesetz muss der Populismus und der Bullshit raus, dann kann daraus was richtig gutes werden.
Die größten Gefahren und Risiken sind aus meiner Sicht:
Ich persönlich halte die Meldepflicht nur dann für effektiv, wenn die Fälle alle sofort veröffentlicht werden, und zwar ohne Anonymisierung. Zumindest die Kunden haben ein Recht, das zu erfahren. Und zwar nicht erst, wenn sich nicht mehr abstreiten lässt, dass sie betroffen sind. Sofort. Ich hätte gerne eine Webseite, wo man hingehen kann, Postbank eingibt, und dann kommt eine Liste der Incidents bei denen, jeweils mit Links zu deren Reaktion und mit Zeitstempeln, damit man sehen kann, wie lange die jeweils untätig rumgegammelt haben. Und da müssen auch Incidents drin sein, die die jeweilige Firma bestreitet. Das kann gerne dranstehen, dass sie das bestreiten. Und von mir aus können sie auch Dokumente anheften, die das belegen. Aber man darf da nicht rauskommen können, indem man schlicht leugnet.
Ich würde mich auch freuen, wenn das BSI nach einem Hackerangriff die Aufgabe hätte, die Schwere zu bewerten. Damit man das als Kunde vergleichen kann.
Update: Fällt jemandem ein, wie man "das BKA ist jetzt für 202c zuständig" anders interpretieren kann als "Ziercke ist sauer auf den CCC und will sich jetzt rächen"? Aber Herr Ziercke! Wie unsportlich!
Wir haben auch Männer-Vorträge über depressive Hacker und Hackerspaces. Solche Themen sind nicht per se schlecht.
Aber wieso melden sich auf so einen Call for Papers nicht mehr von den Frauen, die coole Dinge tun. Also Dinge, die sich Männer in dem jeweiligen (technischen!) Fachbereich angucken und sagen: Respekt! Nicht Respekt im Sinne von "Hast du aber fein gemacht, das schnuckelige Python-Skriptchen *tätschel*" sondern Respekt im Sinne von "Whoa, in der Forschungsgruppe wäre ich auch gerne gewesen, dann wäre vielleicht ein bisschen von der Coolness an mir hängen geblieben". Wieso gibt es sowas so selten?
Auch von Männern gibt es solche Hammer-Vorträge viel zu selten. Aber wir hätten genug Platz für alle Frauen und alle Männer mit Hammer-Vorträgen. Und wenn wir ihn nicht hätten, würde ich sagen: Scheiß auf die Männer, die hatten ihre Chance.
Wo bleiben die Frauen mit den Hammer-Vorträgen?
Im vertraulichen Gespräch kommen von Frauen dann gerne so Ausreden wie "ich trau mich nicht" oder "die Forschung war noch nicht so weit" oder "ich inszeniere mich halt nicht gerne". Lasse ich alles nicht gelten. Männlichen Nerds geht das genauso. Fast keiner ist zum Redner geboren, und ich konnte bisher beobachten, dass sich "kann reden" und "hat was zu sagen" in der Praxis im Allgemeinen gegenseitig ausschließt.
Also, liebe Community. Erklärt mir das mal. Was muss man machen, damit die Frauen kommen und ihren coolen Scheiß vortragen?
Wer keine Antwort hat aber trotzdem helfen will, kann mir auch mal erklären, wieso es generell weniger Hammer-Vorträge gibt in letzter Zeit. Oder ist das nur mein Eindruck und er täuscht?
Update: Die Statistik-Erklärung, die jetzt einige bringen, liegt natürlich auf der Hand. Gibt weniger Techie-Frauen, also gibt es auch weniger mit Hammer-Vorträgen. Das andere Argument ist die Sozialisierung. Gegen die Statistik kann ich nichts sagen, das stimmt natürlich. Die Hoffnung war, dass wenn wir ein-zwei Hammervorträge anziehen können, dass das dann als Vorbild dient und mehr Frauen zu Hammervorträgen animiert. Das funktioniert entweder nicht oder so langsam, dass das positive Feedback nicht in ausreichendem Maß bei uns ankommt. Also bei mir. Die anderen sehen das möglicherweise anders.
Das mit der Sozialisierung glaube ich nicht. Frauen werden nicht alle zu Prinzesschen erzogen. Ich sah da vor ner Weile eine Dokumentation zu, wo sie recht klar herausgearbeitet haben, dass das mit der Pubertät anfängt, dass Frauen zurückhaltender werden und sich nicht mehr an "Männerkram" rantrauen. Die Prinzessin-Phase ist aber eher davor, oder nicht? Im Übrigen wollen wir das ja gerade bekämpfen, indem wir gezielt Vorbilder-Vorträge wie auf dem 29c3 den mit den Tamagotchis oder den "weird machines"-Vortrag reinnehmen. Wieso funktioniert das nur so wenig / langsam?
Update: Interessante These: Vortragsauswahl anonymisiert machen und das auch offen so ansagen. Die Behauptung ist, dass Frauen deshalb nicht kommen, weil sie keinen Bock haben, wegen ihres Geschlechts reinzukommen, als Quotenfrau, oder dass das auch nur so aussieht. Ich kann mir nicht vorstellen, dass die Qualität nicht leidet, wenn man sich das Bewertungsinstrument des Feedbacks zu früheren Vorträgen aus der Hand nimmt. Aber vielleicht käme das mal auf einen Versuch an.
Update: Nachdem hier einige Berufsempörte aufschlugen und sich an dem "An Sozialisierung glaube ich nicht" aufhängen: Ich glaube da deshalb nicht dran, weil daraus folgen würde, dass wir eh verloren haben und unsere Bemühungen einstellen können. Wenn die Frauen von "der Gesellschaft" halt so sozialisiert sind, dass die nicht hacken wollen, dann sind unsere Bemühungen eh vergebens und zum Scheitern verurteilt. Dann können wir höchstens parallel einen Strickwettbewerb ausschreiben, wenn wir mehr Frauen anziehen wollen. Nein, das akzeptiere ich (noch) nicht.
Update: Mir mailt jemand, bei ihm habe auch die andere Quelle Cookie-Popup-Bullshit gehabt. *augenroll* (Danke, Vincent)
Wahrscheinlich prüft schlicht niemand auf Insekten-DNA.
Ich persönlich freue mich auch, dass Apple nicht über eine Lücke in ihre eigenen Mist angegriffen wurde, sondern über eine Java-Lücke. So können sich jetzt Apple und Oracle im Kreis bezichtigen. Da kann es nur Gewinner geben!
Dieser Angriff hat noch andere Player betroffen, nicht nur Apple.
Oh und falls sich jemand wunderte: Für das Java-Problem gab es schon einen Patch. Aber halt nicht von Apple. Das hätte man wohl manuell installieren sollen. Und jetzt shippt auch Apple einen Patch, aber der spielt nicht das Update ein sondern macht Java im Browser aus. Das ist zwar generell empfehlenswert, aber … WTF? Wenn man einen Patch-Distributions-Mechanismus hat und es einen Patch gibt, dann verteilt man damit doch den Patch und keinen Aus-Knopf?!
Vielleicht sollte ich mich auch mal von den Chinesen hacken lassen, um ein bisschen Journalismus-Street-Cred einzusacken. :-)
A number of computers were totally controlled by outside hackers, who had broad access across the Journal's computer networks, people familiar with the matter said.The investigation couldn't determine the full extent of the information that was spied on by the hackers, they said. The company's computer specialists erased several hard drives in Beijing last year.
Immerhin haben sie gelöscht und neu installiert und nicht auch noch der Desinfizieren-Funktion von Antiviren vertraut.Das schönste Detail an der Geschichte ist, dass das WSJ auch die chinesische Botschaft um ein Statement gebeten hat:
Chinese Embassy spokesman Geng Shuang condemned allegations of Chinese cyberspying. "It is irresponsible to make such an allegation without solid proof and evidence," he said. "The Chinese government prohibits cyberattacks and has done what it can to combat such activities in accordance with Chinese laws." He said China has been a victim of cyberattacks but didn't say from where.Haha, tja, aus der Ecke kommt ihr so schnell nicht wieder raus, liebe Chinesen.
Ich glaube ja, das Problem ginge schlagartig weg, wenn wir Spammen angemessen bestrafen würden. Ich wäre da für den Scharia-Ansatz. Pro Spam eine Gliedmaße abhacken. Erst die Finger, dann die Zehen, dann die Hände, Füße, etc. Nein, nicht pro Spamwelle. Pro Spam. Abschreckung funktioniert zwar im Allgemeinen nicht, aber das wäre mir an der Stelle nicht so wichtig. Solange am Ende Spammer bluten. (Danke, Clemens)
Jetzt wollt ihr sicher auch noch wissen, wer an der Einstellung Schuld ist. Die GEMA ist Schuld. So langsam sieht das aus als ob sich GEMA und katholische Kirche ein Rennen um den Platz 1 der verhasstesten Organisationen liefern. Beide sind inzwischen unbeliebter als Gerichtsvollzieher und Banker.
Ich hatte ja gehofft, dass die sich gegenseitig plattmachen, als die GEMA die Martinsumzüge angriff. Aber eine Krähe hackt der anderen Krähe kein Auge aus? Oder Ganovenehre? Irgendwie hat das nicht zu dem Krieg geführt, den ich mir da gewünscht hätte. Das hätte jedenfalls nur Gewinner gegeben.
Vor allem kann man sich das Kommittee aus alten Männern mit Kugelschreibern bildlich vorstellen. Die tagen dann, und denken sich, hey, wenn man Rechner aus der Ferne abhören kann über Emissionen, dann kann man die bestimmt auch hacken!1!!
Nebenbei stellte sich auch heraus, warum Ping komplett gesperrt und ICMP rate-limited ist: "Es geht keinen etwas an, welche IP Adressen wir in Verwendung haben".Ja nee, ist klar.
Unlike citizen-led ballot initiatives, which require court approval and are bound to a mere 75 words, legislative amendments face no such restrictions – in either word length or quantity.Also haben die Republikaner 11 Seiten mit Kleingedrucktem an unklar formulierten Verfassungsänderungen angehängt. Ziel ist natürlich, dass sich ärmere Bürger das zeitlich nicht leisten können, und dass in ärmeren Bezirken die Wahl gleich gar nicht geht, weil nicht alle wählen können, wenn das pro Person ne Stunde braucht. Und was das für unfassbare Vorschläge sind! Kann man sich gar nicht ausdenken! Einer will verbieten, dass Personen und Firmen zum Erwerb von Krankenversicherung gezwungen werden können, um Obamas Gesundheitsreform auszuhebeln. Ein weiterer will Steuervergünstigungen für Besitzer eines zweiten Hauses (uh, wtf?!). Und Einfluss auf die Richter im State Supreme Court wollen sich die Republikaner auch gleich geben lassen. Un-fass-bar. Alleine das Ausdrucken der Stimmzettel dauert in Miami-Dade pro Person 70 Sekunden, das sind 12 Seiten.Dann kommt das Demokratieverständnis der CDU zum Einsatz:
Bei der anschließenden Abstimmung waren zunächst die Befürworter eines generellen Fracking-Verbotes in der Mehrheit, die Abstimmung wurde dann wiederholt, dazu wurden Stimmzettel ausgeteilt.Man stimmt einfach solange ab, bis die Mehrheit dafür ist. Das Ergebnis spricht für sich:
Die Vorstandslinie, die Fracking außerhalb von Wasserschutzgebieten zulässt, bekam dann doch noch die Mehrheit - mit 130 gegen 102 Stimmen.IN NATURSCHUTZGEBIETEN!!! Was zur Hölle?!
Update: Weil jetzt Mails kommen: ja, da steht ausdrücklich nicht in Wasserschutzgebieten. Was im Umkehrschluss heißt, dass a) das jemand in Erwägung gezogen und dann dagegen entschieden hat und b) die ganz genau wissen, dass das eine Katastrophe für das Grundwasser ist.
Update: Oh die haben das nicht nur angedacht mit dem Fracking in Wasserschutzgebieten, ExxonMobil hat sogar schon einen Bohrplatz mitten im Wasserschutzgebiet vorbereitet! Und falls das fehlschlägt, plant ExxonMobil auch Schiefergasbohrungen mitten im Dorfzentrum. Schiefergas extrahiert man mit Fracking. ExxonMobils PR-Position dazu ist, dass sie in Deutschland auf ein Verfahren ohne Giftstoffe umstellen wollen. Nee klar. Ob sie das auch den anderen Ländern erzählt haben? "Also gut, für EUCH machen wir eine Ausnahme und lassen das Gift weg!1!!"
Jemand hat so ein ähnliches Gerät für Hotel-Türensicherungen gebaut. Hier gibt es ein paar Details und ein Foto. Bei denen sieht das aus Tarngründen wie ein Whiteboardstift aus. Sehr cooles Teil!
Klar: Da geht man zu Adobe!
Nee, klar.
Das ist schon deshalb sportlich, weil DNSSEC bei den Kryptoprimitiven immer etwas hinterherhinkt. Die haben 2048 Bit RSA-Schlüssel erst Jahre später spezifiziert, nachdem die paranoideren Leute das schon für ihr SSH und PGP und SSL ausgerollt hatten.
Bei DNSSEC war daher Designentscheidung, dass die privaten Schlüssel gar nicht erst im Server stecken sollen. Man signiert seine Zonen off-line und lädt dann die signierten Zonen zum Server hoch. Selbst wenn jemand den Server hackt, kann er den Schlüssel nicht klauen, weil der nicht auf dem Server ist.
Die Idee ist natürlich, dass der Schlüssel gar nicht am Internet hängt. Jetzt stellt sich aber raus: das mit dem off-line, das ist so unhandlich, wir machen das lieber online!1!! Damit das automatisierbar ist. Bei einer TLD wie .de oder .ch kommen ja auch im Sekundentakt Änderungen rein. Da muss dann jeweils neu signiert werden. Da erhöhen sich dann natürlich die Anforderungen an das Hosting entsprechend. Immerhin könnte die Sicherheit der ganzen Welt auf diesem DNSSEC ankern.
Wie wird das denn dann am Ende gehostet? Hier gibt es Webcams. Das ist ein kleiner Server in einem Safe, in einem Safe. Mit klein meine ich den Stromverbrauch, denn Abwärmeabtransport ist ein bisschen schwierig, könnt ihr euch ja vorstellen. Alleine von der "Alien Power Source"-Optik her ein echter Sieger, dieses Hosting. Oh und der Schlüssel ist nicht auf dem PC sondern auf einem separaten sicheren Hardwaremodul. Wenn jemand die Kiste hackt, kann er zwar Änderungen signieren, aber er kann nicht den Schlüssel extrahieren. Nachdem der Hacker gefunden und rausgeschmissen wurde, kann er nichts mehr signieren. Er kann natürlich immer noch anderen Leuten seine vorher signierten Falschdaten unterschieben. Dazu sagt die DNSSEC-Spec: Aber, äh, *räusper* *aufdieuhrguck* oh schaut mal, schon sooo spät *wegrenn*
Oh, übrigens. Wie bindet man so ein Hardwaremodul an? Per IP über Ethernet! Genau wie den Rechner selbst. Auf dem läuft übrigens Linux, der ist also unhackbar!1!!
Noch ein paar Zahlen: der Rechner verbraucht so 30W, und die LEDs draußen auch noch mal so viel :-)
Update: Solange die Site down ist, könnt ihr euch ja die Folien hier angucken, die haben noch ein paar Details zu dem Setup.
Das ist natürlich eine prima Vorlage, um Falkvinge und die Piraten von der Seite anzupinkeln. Falkvinge ist sozusagen der Urpirat, der sitzt für Schweden im EU-Parlament hat die Piratenpartei Schwedens gegründet.
Das brachte die Piraten in Deutschland in eine schwierige Lage. Auf der einen Seite hat der Falkvinge da ja durchaus Argumente, mit denen man sich mal beschäftigen könnte. Ich für meinen Teil finde die Argumentation in weiten Teilen plausibel. Wenn ich im Internet auf ein Foto von Kindesmissbrauch stoße, und der Besitz von so einem Foto schon verboten ist, und ich also befürchten muss, dass die Polizei nicht den Täter sondern mich verfolgt, wenn ich das melde, dann werde ich das halt nicht melden, ist doch klar. Und die Gesetzeslage ist durchaus kritikwürdig, so weist Falkvinge darauf hin, dass in diversen Jurisdiktionen der Besitz von Missbrauchsfotos härter bestraft wird als der tatsächliche Missbrauch von Kindern. Seine Erklärung ist, dass wir nicht den Kindesmissbrauch bekämpfen wollen, sondern mit diesen Gesetzen das Problem nicht mehr sehen wollen. Und das funktioniert ja auch. Wir begegnen dem nur noch über Bande, wenn Kindesmissbrauch von schmierigen Lobbyverbänden der Contentmafia und der Unterdrückungsindustrie für ihre Internetzensurpläne als Vorwand dienen muss.
Finde ich deshalb, dass wir Fotos von Kindesmissbrauch freigeben sollten? Nein. Aber drüber reden müssen wir mal, da hat Rick völlig Recht. Ich bin bereit, die Idee zu unterhalten, dass ich mit meiner Einstellung Unrecht habe und Falkvinge Recht hat.
Die Piratenpartei bei uns hat alle diese Gedanken und inhaltlichen Argument komplett ignoriert. Stattdessen haben sie Panik gekriegt, dass sie jetzt von der CDU als die Kinderficker-Partei gebrandmarkt werden könnten, und haben den langen Dolch rausgeholt und Rick Falkvinge mit Anlauf in den Rücken gerammt. Man riecht förmlich den Angstschweiß aus dieser erbärmlichen Pressemitteilung herausfließen. Die Piratenpartei hat gezeigt, dass Machterhalt wichtiger ist als Prinzipien. Statt sich inhaltlich mit auch nur einem der Punkte von Falkvinge zu beschäftigen, kommen Verleumndungen und Unterstellungen, wie man sie von der Contentmafia erwartet hätte, nicht aber von Piratenkollegen. Falkvinge ist wie gesagt nicht dafür, den Missbrauch von Kindern zu legalisieren. Da gibt es auch keinen Zweifel, wenn man sich seinen Kram durchgelesen hat. Aber die Piraten-PM liest sich, als wolle er Kindervergewaltiger aus dem Gefängnis befreien.
Für eine Partei, die noch nicht mal in den Bundestag eingezogen ist, ist das eine sportliche Leistung. Die Grünen sind erst so vollständig korrumpiert worden, nachdem sie im Bundestag Platz genommen hatten. Wenn ich Mitglied bei den Piraten wäre, würde ich jetzt austreten.
Ich finde im Übrigen, dass wir diese Diskussion wirklich mal brauchen. Nicht nur für Missbrauchsfotos von Kindern, sondern insbesondere auch für Nazi-Kram. Falkvinges Diagnose, dass wir damit nicht das Problem bekämpfen wollen sondern es aus unserem Blick verbannen wollen, trifft ja wohl voll ins Schwarze, wenn man sich anguckt, wie viele Prozent der Bevölkerung insgeheim Nazis sind oder sympathisieren. Und wir sehen es nicht nur nicht, auch die zuständigen Behörden sehen es nicht und verfolgen lieber "Linksterroristen". Und dadurch, dass wir den Diskurs verbieten und Scheuklappen der Empörung aufstellen, können wir unseren Nachwuchs nicht ordentlich immunisieren. Die libertäre Sicht, dass Gedankenverbote immer schlecht sind, muss man mal gesellschaftlich diskutieren. Teile der Debatte und unserer Geschichte einfach auszublenden, das ist durchaus kritikwürdig, zumal der fehlende Erfolg ihnen nicht recht gibt.
Was hätte die Piratenpartei denn stattdessen machen können? Sie hätte eine sachliche Presseerklärung machen können, statt dieser überemotionalisierenden Scheiße, die der Schlömer und der Urbach da rausdeprimiert haben. Es gibt so viele kritikwürdige Punkte am Status Quo, nicht zuletzt dass (was auch Falkvinge anspricht) Jugendliche kriminalisiert werden, die Nacktfotos von sich selbst und ihren Sexpartnern machen. Oder dass man sogar für erotische Texte oder Zeichnungen verfolgt werden kann, bei denen offensichtlich niemand zu Schaden kam, schon gar kein Kind. Die Gesetze müssen dringend mal aus den Klauen der Berufshysteriker befreit werden, die dem Rest der Welt ihre "christlichen Werte" aufzwängen wollen. Und selbst wenn man keine Ahnung von der Thematik hat und diese ganzen Probleme nicht kennt, dann hätte man immer noch einen Kommentar sparen können. Schließlich heißen die schwedischen Piraten auch Piraten, aber es gibt ansonsten keinerlei "Tochterfirma"-Beziehung zu den deutschen Piraten, und keinen Grund, wieso unsere Piraten die Äußerungen von Falkvinge kommentieren sollten. PR-technisch ist das ganze Thema natürlich eine einzige Tretmine. Aber mit dieser Reaktion haben die Piraten mehr zertrampelt, als die CSU je mit ihren typischen debilen Äußerungen hätte anrichten können. Und gleichzeitig ist da immer noch nichts zu dem Filesharing-Urteil des BGH. Aber zu so einer Tretmine hauen sie dann schnell-schnell was raus, und haben noch nicht mal ne Nacht drüber geschlafen vorher.
Was hätte ich publiziert? Gar nichts. Aber wenn es gar nicht anders ginge, dann sowas hier:
Die Piratenpartei Deutschlands schließt sich der Forderung nach Legalisierung des Besitzes von Kindesmissbrauchsfotos von Rick Falkvinge nicht an. Wir halten es aber für wichtig, eine gesellschaftliche Diskussion über Denkverbote und Internetzensur zu führen und uns inhaltlich mit den Argumenten auseinanderzusetzen.
Update: Wenn ich eine Diskussion fordere, sollte ich vielleicht mal vorlegen. Wenn man den bloßen Besitz von dokumentiertem Kindesmissbrauch legalisieren würde, muss das Ziel ja trotzdem sein, das Bilden eines Marktes zu verhindern und gegen den Tausch solcher Aufnahmen vorzugehen. Und das Verfolgen und Bestrafen des Mißbrauches selber soll natürlich nach wie vor stattfinden. Das gerät im Moment ein bisschen ins Hintertreffen, weil die Behörden ihr Geld für das Verfolgen von Internet-Tauschbörsen ausgeben, denn da kommen größeren Zahlen an Tätern zustande, das macht sich in den Medien besser.
Ich stelle mir das als juristischer Laie so vor, dass man den Besitz legalisieren könnte, aber das Verbreiten und Beschaffen unter Strafe stellt. Das Spannungsfeld hier ist aus meiner Sicht, wie man verhindert, dass ein böser Hacker deinen Laptop hackt und Kinderpornos ablegt, um dich zu inkriminieren. Auf der einen Seite könnte man sagen, wenn jemand mehr als 10 Bilder hat, kann man von vorsätzlichem Beschaffen ausgehen. Auf der anderen Seite kann ein Hacker natürlich immer ein Bild mehr als in der gesetzlichen Schranke steht hochladen. Und wenn man sagt, dass "Beschaffen" heißt, dass man sehen kann, dass sich der Beschuldigte die Fotos aus einem einschlägigen Webforum geholt hat, wo es genau diese Art von Material gibt, dann können auch diese Spuren gefälscht werden. Welchen Spuren traut man dann? Dem Weblog bei dem Webforum? Die werden vermutlich keine Logs führen, wenn sie nicht völlig doof sind. Und wenn sie Logs führen, wäre das ja für den Hacker noch besser, dann muss er nur das Webforum hopsnehmen und nicht mehr deinen Laptop. Eine Lösung gibt es hier m.E. nicht, und einfach den Besitz unter Strafe zu stellen macht mehr Schaden als es Gutes tut. Alternativ könnte man den Besitz auch weiter strafbar lassen, aber eine Sonderregelung einführen; wenn man innerhalb von 24h nach dem Finden eines Missbrauchsfotos selbiges der Polizei meldet, bleibt man straffrei. Welches der richtige Weg ist, weiß ich nicht. Aber diskutieren muss man das mal.
Update: Lawblog dazu mit der Perspektive auf die deutschen Gesetze.
The FBI denied that it ever had that information. But officials there said they could not verify the validity of the data that AntiSec released. Federal officials also warned that computer users should be careful when clicking on such links because they sometimes may contain malware that can infect computers.BWAHAHAHAHA, nee klar. Erinnert mich an einen Calvin and Hobbes Comic. "It wasn't me! Nobody saw me! I was framed! I wouldn't do anything like that!"Fängt wie ein Dementi an, aber wird dann so schnell schlechter und schlechter, dass man es am Ende nur noch als Schuldeingeständnis werten kann. :-)
Update: Oh übrigens hatten diese geleakten Daten durchaus humoristische Aspekte.
Update: Apple dementiert, dem FBI die Daten gegeben zu haben. Sie dementieren natürlich nicht, die Daten zu haben. Und danach fragt leider niemand, wieso Apple eigentlich Daten über Käufer ihrer Geräte haben muss.
Apple sagt natürlich, ihr Verfahren sei fundamental in Ordnung und hier sei bloß was schiefgelaufen, aber als Wired selber mal probiert hat, sind sie so auch durchgekommen. Mit anderen Worten: Apple lügt.
Was für ein Anfängerfehler.
Als Masedo nach dem ersten Überfall den Stall betrat, war der Boden mit Blut bespritzt. Die Diebe hatten seinen Lämmern vor Ort die Kehle durchgeschnitten, um sie besser wegtragen zu können. In den Tank seines Traktors hatten sie ein Loch gebohrt, um das Benzin abzusaugen. Auch die Batterie seiner Solaranlage hatten sie mitgehen lassen, dazu einen Stromgenerator, einen Wagenheber, diverse Zangen, Spitzhacken, Schraubenzieher und alles sonst, was aus Metall ist und sich beim Schrotthändler verkaufen lässt.Au weia!
Die Kunden von diesem proprietären Schlangenöl hatten schon letztes Mal kein Mitleid verdient, wenn sie da nicht abgesprungen sind sondern weiter bei RSA geblieben sind. Aber jetzt haben sie eine Runde lautes Gelächter verdient. Verdientes Eigentor, liebe RSA-Kunden. Na und jetzt? Weiter bei RSA bleiben? Stockholm-Syndrom wie bei Apple-Kunden?
Damit ist dann wohl auch klar, was die mit "Anfangsbefähigung" meinen. Die Toaster des Feindes können wir schonmal hacken!1!!
Es ging um den Personalausweis, und die Fragen zielten darauf ab, dass den ja keiner verwendet, weil der zu unsicher sei, und wie man den sicherer machen könnte. Die Frage ist an sich schon falsch gestellt. Aber seht selbst.
Hier sind die paraphrasierten Fragen und Antworten.
[Der erste Teil beantwortete keine Frage sondern richtet sich an die Einleitung, in der es heißt, ich als Blogger und CCC-Mitglied hätte die hohen Sicherheitsrisiken bemängelt]Kein Mensch interessiert sich für die Sicherheitsrisiken.
Im Gegenteil, gerade WEIL die Leute annehmen, dass die das mit der Sicherheit schon hinkriegen könnten, will das keiner haben. Der Staat hat wieder und wieder gezeigt, dass er jede denkbare Datenbank über uns führen will. Unsere Telefonate will er überwachen, unsere Emails mitlesen, unsere Nummernschilder scannen, unsere Bankdaten mitschneiden, die Datensammelwut der Behörden ist unersättlich. Bei Facebook und co sieht das ähnlich aus. Im Moment könnte man im Zweifelsfall noch sagen: Das war ich nicht, ich wurde gehackt, ein Virus hat meinen Rechner befallen, das war ein Datenbankfehler, das muss ein Algorithmus danebengegriffen haben. Diese Restunsicherheit erlaubt es Menschen, im Internet auch mal verwerfliche Dinge zu tun, Pornographie anzugucken, anonym zu lästern; kurz: Zu leben.
Niemand will sich daher im Internet mit seinem Personalausweis anmelden. Soweit kommt es noch, dass meine Surfgewohnheiten und Online-Einkäufe in irgendwelchen staatlichen Datenbanken landen, und ich die Authentizität auch noch mit meinem Personalausweis bestätigt habe! Und dann bewirbt man sich Jahre später bei er Polizei und wird nicht genommen, weil man sich vor Jahren mal mit dem Personalausweis bei Indymedia angemeldet hat.
Im Moment, wenn Sie sich wo online anmelden, und Ihren Namen eingeben, dann entsteht auf der anderen Seite ein Datensatz. Der ist je nach Füllstand Geld wert. Je zuverlässiger die Daten sind, desto mehr Geld ist der wert. Der Datensatz verdoppelt sich im Wert, wenn Sie den auch noch mit Ihrem Personalausweis bestätigt haben. Wieso würde irgendjemand dann nicht von Ihnen fordern, dass Sie sich mit dem Personalausweis anmelden? Das wäre wie Geld Verschenken! Und damit ist auch klar, dass Ihr gesamtes Surfverhalten nicht nur aufgezeichnet wird (das wird es auch jetzt schon), sondern dass da dann nicht nur dransteht, welcher Haushalt das war, sondern Ihr Name.
[Hat sich in den knapp zwei Jahren seit Einführung etwas getan, ist der Perso jetzt sicherer als vorher?]
Der Ausweis wird auf der einen Seite immer unsicher bleiben, und auf der anderen Seite ist er jetzt schon viel zu sicher. Bisher kann ein Hacker, der auf einem PC einbricht, die Kreditkartendaten stehlen. Das passiert auch alle Nase lang. Das Opfer zeigt den Diebstahl dann an und lässt die Abbuchungen rückgängig machen. Versuchen Sie das mal, wenn ein Hacker in Ihrem Namen mit Ihrem Personalausweis im Internet einen Vertrag unterschreibt!
Daher benutzt so gut wie niemand den Personalausweis online. Und das ist auch gut so.
[Wie könnten solche Verbesserungen aussehen?]
Gar nicht. Die Idee, dass man einen sicheren Ausweis im Internet haben will, ist an sich schon falsch.
[Wie kann man die Online-Funktion sicherer machen und kann sie überhaupt absolut sicher gemacht werden?]
Man kann immer noch mehr Gängeleien einbauen. Fingerabdrücke messen, Stimmmuster erkennen, mit der Kamera den Gang filmen und einen 3d-Kopfabdruck machen. Der Erfolg von allen solchen Maßnahmen ist nur, dass ich als Bürger noch mehr meiner Daten in staatliche Datenbanken wandern sehe, über die ich keinerlei Kontrolle habe. Sicherer wird dadurch gar nichts. Sicher ist lediglich, dass meine Daten irgendwann wegkommen werden.
[Was passiert, wenn eine Identität "gestohlen" wird?]
Das selbe wie im Moment. Nur dass Ihnen dann keiner mehr glauben wird, dass Sie das nicht selber waren. Weil alle technischen Maßnahmen immer nur zu einer Beweislastumkehr zu Lasten der Opfer führen.
[Hinterlässt des Spuren die zurückverfolgt werden können?]
Man kann immer Dinge zurückverfolgen, aber die Spuren könnten genau so von Ihnen gelegt worden sein. Je mehr "Sicherheit" wir uns vom Staat vorschreiben lassen, desto weniger glaubwürdig sind im Zweifelsfall dann solche digitalen Spuren, die uns entlastet hätten. Denn die sind im Gegensatz zu dem Personalausweis nicht digital signiert.
[Wie kann der Nutzer sehen, dass seine Daten gestohlen wurden?]
Fragen Sie sich doch mal selbst, wie viel Sie davon mitgekriegt haben, dass Ihre Bankdaten an die Amerikaner weitergegeben werden. Oder was Facebook alles an Daten über Sie gesammelt hat. Oder Google. Kriegen Sie mit, was die Schufa über Sie an Daten hat? Dort steht Ihnen sogar eine Auskunft zu. Haben Sie das mal gemacht?
So ist das mit Daten. Man kriegt das nicht mit. Der einzige Schutz ist, die Daten gar nicht erst anfallen zu lassen.
Deshalb benutzt auch instinktiv niemand den Personalausweis online. Und das ist auch gut so.
However, despite two password changes and server suspension, the hacker is still in the session. I asked Rackspace to terminate his session but it seems that they don't know how to do it.Na SUPER!- The hacker recreated the server using our database backup, and possibly got the database successfully.HAHAHAHAHA, also DAS setzt ja mal echt Maßstäbe!Zusammenfassung: Verkackt im Industriemaßstab. (Danke, nibbler)
Adobe hat ein neues Photoshop rausgebracht, das diverse kritische Sicherheitslücken behebt, aber für frühere Photoshop-Versionen gibt es keine Patches, nur das kostenpflichtige Update auf die nächste Version.
Nicht mal Apple traut sich, ihre verblödeten Kunden so krass über den Tisch zu ziehen. Oh und wir reden hier nicht von 20 Euro, sondern eher so vom zehnfachen davon. Wieso landen solche Firmen eigentlich nicht alle Nase lang vor Gericht? Offensichtlich haben die ein Produkt mit Mängeln verkauft. Das deutsche Recht ist da sehr klar.
Falls jemand diese Bedeutung des Wortes Demo nicht kennt: nehmt euch mal ein Wochenende Zeit und klickt euch durch das Demoarchiv hier durch. Farbrausch hat übrigens kürzlich ihren Quellcode veröffentlicht. Das Repository ist auf github. Wer Appetit auf mehr hat, dem sei noch dieses Blog hier empfohlen.
Also ich für meinen Teil kann mir das gar nicht vorstellen, Korruption in Österreich?! Un-denk-bar!1!! (Danke, Clemens)
Nun, schaut mal, was Sony gerade so treibt (wenn sie nicht gerade gehackt werden):
Sony's authentication outlet manages electricity use on a per-user and per-device basis with NFC (near field communication) and RFID (radio-frequency identification) tools.Ein Stromstecker, der die User per RFID und NFC trackt und dann den Strom pro Gerät abrechnet!Der Lacher ist ja, woran sich viele gar nicht mehr erinnern werden, und das war auch für mich vor meiner Zeit: Die Werbung beim Einstieg in das Atomzeitalter war, dass der Strom dadurch so billig werden würde, dass man gar nicht mehr abrechnen müsse, wer wieviel verbraucht. Hah. (Danke, Chris)
A 23-year old student from Sheffield Hallam University in the north of England is bound for America. That wouldn't be unusual—except that Richard O'Dwyer won't go voluntarily. The UK Home Secretary has today agreed to extradite O'Dwyer over US copyright infringement charges for running a "linking site" called TVShack.Auslieferung! Wegen einer Torrent-Link-Webseite! An die USA!!Die Einschätzung der Mutter zu dem UK-Richter, der da zugestimmt hat:
Julia O'Dwyer said that the judge lacked the "technical brains to know about the whole thing. That guy just lives and breathes extradition."Klar, wenn man ne Auslieferung will, geht man zu einem Auslieferungs-Richter. Je weniger Ahnung der von der eigentlichen Materie hat, desto besser. (siehe auch) (Danke, Chris)
“At Sony, we are modifying our programs to deal less with state-sponsored [attacks] and more with socially-motivated hackers. It will be different.” This new strategy will stand on the shoulders of the tried and tested model Wahlin built at McAfee.Wenn ich so einen gequirlten Bullshit lese, frage ich mich ja immer, ob der Spezialexperte das eigentlich selber glaubt, was er da sagt. Für die Internetausdrucker in den Entscheidungsträger-Gremien bei Sony hat es ja offensichtlich gereicht.
Ich halte die Geschichte ja für Bullshit, weil die sich im IRC getroffen haben, da hätten sie auch Trafficanalyse bzw einfach die IP nachgucken können. Aber hey, ist eine schönere Geschichte so :-) Haben auch die Post-Privacy-Spacken was von.
Weiter unten im Artikel steht, dass er Tor benutzt hat. OK, ihre eventuellen Tor-Rückverfolgungsmöglichkeiten wird das FBI nicht zugeben wollen.
Ich glaube auch den Kram über ihr Wireless-Sniffing-Tool nicht, das nur Metadaten snifft. Das glauben die ja wohl selber nicht, dass sie nur die Header sniffen in so einem Fall. Das hefte ich mal unter Propaganda ab, das Detail.
Update: Jaja, der Hack war vor längerer Zeit, sie haben es nur jetzt zugegeben. Das hätte mir aber meinen schönen running gag kaputtgemacht :)
Wir sind immer noch bei den 3rd party cookies. In IE kann man auch sagen, dass man keine 3rd party cookies will. Aber es stellt sich heraus, dass IE die trotzdem speichert, wenn der Cookie-Setzer eine P3P-Policy mitschickt. Das ist eine der hirntotesten Ideen aller Zeiten. Die IE-Leute haben ein Beispiel von www.microsoft.com:
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"Völlig offensichtlich: das ist voll für den Fuß, geht gar nicht, der Erfinder gehört an die nächste russische Marssonde genagelt. Aber das ist noch nicht der Lacher. Der Lacher ist: Google schickt einen fehlformatierten P3P-Header, nämlich diesen hier:
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."Und was tut IE damit? Was die Spec sagt. Die Spec sagt: wenn du ein Token nicht kennst, ignoriere es. Also ignoriert IE alle Tokens. Und ist damit in dem Zustand: es gibt ein P3P-Statement. Und lässt den 3rd party cookie durch.
Ein epic fail auf Seiten Microsofts in meinem Buch. Um so peinlicher, dass sie das jetzt als böses Herumgehacke durch die fiesen Privacy-Freibeuter bei Google darzustellen versuchen.
Die BESTEN der BESTEN der BESTEN, SIR!
Nicht mal eine statische "diese Domain ist beschlagnahmt"-Seite kriegen diese Spezialexperten hin!
"Untreue darf nicht zu einer Misserfolgshaftung für wirtschaftliche Wagnisse führen, die sich im Nachhinein als unprofitabel herausstellen", so die Staatsanwaltschaft. Darüber hinaus fehlten Anhaltspunkte dafür, dass die beiden Politiker die Möglichkeit oder Wahrscheinlichkeit eines Vermögensverlustes "gebilligt" hätten.Und das obwohl der Staatsgerichtshof den Deal bereits als verfassungswidrig erklärt hat.
His attack is "a breach of sovereignty comparable to a terrorist operation, and must be treated as such," Israeli Deputy Foreign Minister Danny Ayalon said in a speech on Saturday, according to Reuters."Israel has active capabilities for striking at those who are trying to harm it, and no agency or hacker will be immune from retaliatory action."
Völlig klar, da muss Israel angemessen reagieren und ein Mossad-Todesschwadron losschicken! Oder wie wäre es mit einer Cruise Missile? (Danke, Stefan)
Apropos Indiens Schnüffelprogamme: diese Dokumente sehen aus, als hätte Indien da Marktzugang für Schnüffelzugänge verkauft.
Die Videos tauchen dort auch echt zeitnah auf, das Video zu dem sehr empfehlenswerten maha-Vortrag über Politiker-Sprachvernebelung ist z.B. bereits oben. Das sind im Moment Vorversionen, die werden später nochmal in finaler Qualität hochgeladen. Ansonsten gucke ich mir gerade mit wachsender Begeisterung "Can Trains Be Hacked" an, der ist ganz großartig.
Auch eine klare Empfehlung: Politik Hacken, das war hackerunfreundlich früh am morgen, das haben bestimt viele von euch verpasst.
Update: Ich kriege gerade ne Mail von den FEMs, dass das netztechnisch separate Einheiten sind und man mit Downloaden nicht die Streamingserver belastet. Die offiziellen Torrents gibt es bei mirror.fem-net.de. Die Videos gibt es dann später auch per FTP, aber erst als Torrent, damit keiner aus Faulheit direkt FTP nimmt :-)
Seit dem gibt es in Linux einige mehr oder weniger geniale Änderungen, die wir nie unterstützt haben, weil Multithreading nie so richtig wichtig war für die dietlibc. Mir schonmal eh nicht so, aber auch die Zielplattformen haben normalerweise nie mehr als einen Core gehabt. Das hat sich inzwischen geändert.
Die erste wichtige Neuerung ist Thread Local Storage. Das funktioniert so, dass man in den Threads auf x86 ein Segment-Register so belegt, dass man über das Segment ab Offset 0 auf den Thread-Parameter-Block zugreifen kann. Es ist auch vorgesehen, dass man selbst in seinem Code Variablen thread local deklarieren kann, aber den Sinn davon habe ich nie gesehen, die kann man ja auch gleich auf den Stack tun oder vom Heap allozieren, wenn sie größer sind. Der Punkt ist jedenfalls, dass alle möglichen Thread-Funktionen wissen müssen, welcher Thread sie gerade aufruft, z.B. können Mutexe rekursives Locking erlauben und müssen daher wissen, ob dieser Lockversuch vom selben Thread kam wie der ursprüngliche. Kurz gesagt: bei Threading-Code war es immer ein Flaschenhals, wenn der Code gucken musste, welcher Thread das eigentlich gerade ist. Die Alternativen sind alle doof; man könnte einen Syscall aufrufen, um die PID oder TID zu kriegen, oder man könnte den Stack Pointer nehmen und in einer globalen Datenstruktur nachgucken (allerdings muss die dafür gelockt werden und wie gesagt müssen Mutexe auch die Thread-ID wissen). Mit Thread Local Storage ist das nur noch ein einziger Speicherzugriff über das Spezial-Segment. Das war also schonmal gut, aber ich hab immer das Gefühl gehabt, ich müsste jetzt auch Futex-Support implementieren, um überhaupt in einer Liga wie NPTL spielen zu können. Das habe ich heute mal gemacht, und die Ergebnisse sind ernüchternd.
Der alte Code in dietlibc benutzt im Wesentlichen Spinlocks, d.h. eine Schleife, die immer wieder versucht, den Lock zu kriegen, bis es halt klappt. Damit dabei nicht die CPU so doll belastet wird, sagt er zwischen den Iterationen dem OS, dass mal ein anderer Thread laufen soll jetzt. Sieht sehr krude und amateurhaft aus, fand ich immer.
Futex, zum Vergleich, ist ein geradezu geniales Verfahren. Man nimmt sich dafür den Lock, also eine Speicherstelle, und zählt den mit einer atomaren Operation von 0 auf 1 hoch. Wenn nach dem Hochzählen 1 drin steht, dann weiß man, dass man den Lock hat und sonst niemand. Wenn dann da 2 oder so drinsteht, dann hat man den Lock nicht, und benutzt den futex-Syscall, um dem Kernel zu sagen, dass man auf diesen Lock hier warten will. Der Kernel suspendiert dann den Thread.
Beim Unlock geht man analog vor; man zieht atomar einen ab, und wenn man bei 0 rauskommt, ist alles gut und man ist fertig, ansonsten ruft man den Futex-Syscall auf und sagt an, dass man mal einen der wartenden Threads aufgeweckt haben will. Es gibt da noch zwei-drei Komplikationen aber im Wesentlichen ist es das. Den Syscall benutzt man nur, wenn man nicht im Userspace über die atomaren Operationen schon alles geklärt hat.
glibc hat über NPTL seit vielen Jahren Futex-Support.
Mein Test-Programm ist untypisch, denn es macht vier Threads auf, die alle dauernd um den selben Lock konkurrieren. An sich sind Locks ja genau auf den anderen Fall optimiert, nämlich dass es keinen Wettbewerb gibt im Normalfall, insofern ist das kein sonderlich guter Test, aber es ging ja ursprünglich auch gar nicht um den Durchsatz, sondern die Threads prüfen auch, ob sie tatsächlich als einzige Zugriff hatten.
Hier ist der Durchsatz (am Anfang insgesamt und die vier Zahlen am Ende sind für die einzelnen Threads):
glibc:Die Ergebnisse haben mich ja nun doch massiv überrascht. Falls sich jemand den Code mal angucken will: hier ist er. Ich habe den neuen Futex-basierten Locking-Code dann lieber doch nicht eingecheckt angesichts dieser Zahlen :-)
5840543 iterations: 1450529 1436218 1478655 1475141.dietlibc alt:
80426491 iterations: 18957811 16267831 19589958 25610891.dietlibc neu mit futex:
11477382 iterations: 2868532 2830930 2876189 2901731.
Oh, einen noch. Es gibt da noch eine Optimierung, die man gerne macht beim Locking. Man ruft nicht sofort den Kernel an, sondern probiert es erst ein paar Mal. Der Gedanke dahinter ist, dass normalerweise so ein Lock ja nur sehr kurz gehalten wird, und man sich den Syscall-Overhead auch sparen kann, wenn der, der den Lock gerade hält, nur mal kurz ein-zwei Variablen schreibt und ihn dann wieder freigibt. Das hat mein Futex-Code natürlich auch getan. Und zwar erst 100 Mal, dann nur noch 10 Mal. Hat den Durchsatz signifikant erhöht, das auf 10 zu senken. Das hat mich auch überrascht.
Update: Falls ihr mal eure libc testen wollt: das lief auf einem 64-bit Linux auf einem Phenom 1090T (3.2 GHz, 6 cores).
Es geht um die KPN-Tochter Gemnet. KPN betreibt in Deutschland u.a. Eplus und Base.
Die BESTEN der BESTEN der BESTEN!
Update: Das war wohl "nur" die Webseite, nicht die CA, deren Kompromittierung sie gerade einräumen, aber ich persönlich würde auch der CA nicht mehr trauen, wenn die auf ihrer Webseite solche Anfängerfehler machen.
Update: Mhh, mhh, KPN … da war doch was…
Die Wahlbeobachter waren von dem russischen Regierungschef Wladimir Putin mit "Judas" verglichen worden. Kremlkritiker, die zur Wahl nicht zugelassen sind, beklagen die "schmutzigste Abstimmung" seit dem Zerfall der Sowjetunion.
Update: Hat aber nichts gebracht, die Putin-Partei ist unter 50% angekommen. Das sind ja Zustände wie in Bayern!1!! Die Wahlurnen sehen irgendwie eher wie Shredder aus, findet ihr nicht?
Several of the companies were hesitant to cooperate because they had learned the Commerce Department unit handling the survey had itself been hacked by the Chinese in 2006, creating the possibility that company data provided might become known to the Chinese, according to a former government official familiar with the discussions.
Gibt es auch in konfigurierbar
The sources, however, said the investigators were surprised to find some computers with out-of-date software, misconfigured firewalls and uninstalled security patches that could have fixed known "bugs" that hackers could exploit. Versions of Microsoft Corp's Windows 2003 Server operating system, for example, had not been properly updated.So sieht das ja bei den meisten Firmen aus, die Windows im Einsatz haben. Je größer die Firma, desto antiker die Umgebung. Aber ausgerechnet NASDAQ hatte sich ja sehr weit aus dem Fenster gelehnt mit der angeblichen Güte ihrer Umgebung da, insofern ist das schon ein bisschen unerwartet.
Nun, so kritisch kann die Infrastruktur nicht gewesen sein, denn deren "kritische Infrastruktur" war mit einem nur dreistelligen Passwort geschützt, behauptet der angebliche Hacker.
Aber es ist wohl nicht so übel wie bei Sony, weil Valve die Passwörter gehasht und mit Salt abgelegt hatte und die Kreditkartendaten verschlüsselt. Details sind noch nicht bekannt.
Update: Jetzt gibt es ein Detail, nämlich wie die Hacker reinkamen :-)
News International chief James Murdoch has rejected suggestions the company operated like the Mafia over the phone hacking scandal.Harrrr
Update: Ich möchte noch anmerken, dass der Schluss mit dem "dynamische IPs bringen nichts, weil man das rückverfolgen kann" darauf zurückzuführen ist, dass Lutz Mathematiker ist. Für den zählt das Detail nicht, dass nur die Strafverfolgungsbehörden das rückverfolgen können, und nicht sagen wir Twitter oder Facebook.
Ich habe gehört, dass die auf einen rumänischen Server ein eilig zusammengepopeltes Plugin hochgeladen haben, und dann die URL dazu in ein Wiki eingetragen haben, wo eh ständig irgendwelche Leute URLs zu trojanisierten Plugins eintragen. Und die URL hatte auch noch die IP drin statt eines Hostname. Ob das signiert war oder nicht ist schwer zu sagen, weil die URL jetzt 404 wirft. Mozilla dementiert das wohl sogar.
Wie gesagt. Ich glaube kein Wort. Und ihr solltet das auch nicht.
Aus dem Umfeld kommen immer die fantastischsten Geschichten. Popcorn bereithalten, aber nicht nachprüfbare Behauptungen erstmal nicht ernstnehmen.
Gleichzeitig forderte Bosbach den CCC auf, den Vorwurf des Einsatzes einer Ermittler-Software mit illegalen Möglichkeiten zu belegen. Die Vereinigung von Computerexperten müsse klar sagen, um welche Software es sich handele und welche Behörde in welchem Verfahren und zu welchem Zweck überhaupt tätig geworden sei.Klar, Wolfgang, wir hacken uns dafür einfach kurz ins BKA rein und gucken mal durch deren Fallunterlagen, oder wie hast du dir das vorgestellt? m(
Oh und wenn ihr denkt, damit hat der Bosbach sein übliches Niveau schon erreicht, dann guckt mal was er noch so schreibt:
Der Innenausschuss des Bundestages werde sich mit dem Thema beschäftigen. Einigen Mitgliedern des Innenausschusses sei ehemals eine Software vorgeführt worden, die die vom CCC beschriebenen Fähigkeiten aufweise. Man sei sich deswegen im Ausschuss schnell einig gewesen, dass diese Software nicht angeschafft werde, sagte Bosbach.Wie meinen? Sie haben Software gezeigt bekommen, die genau ihrem Anforderungskatalog entsprach, ihn in Sachen Fernwartung sogar übererfüllte, und haben das dann nicht gekauft?! Das will er uns nicht wirklich gerade erzählen, oder? Auf der anderen Seite sagt er uns ja gerade ins Gesicht, dass er wusste, dass es so einen Trojaner gibt, und nur auf Bundesebene hat man den nicht gekauft. Na dann mal Butter bei die Fische, Herr Bosbach. Wer hat den angeboten?
Das Innnenministerium wies die Anschuldigungen zurück und erklärte, die jetzt vom Chaos Computer Club (CCC) gehackte Software werde nicht vom Bundeskriminalamt einsetzt. "Was auch immer der CCC untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner", erklärte ein Sprecher des Ministeriums.Mich freut ja in erster Linie, dass sie unsere Terminologie übernehmen und von "Bundestrojaner" sprechen. Auf der anderen Seite sind sehr spezifische Dementis ja auch immer an sich verdächtig. Sie lassen sich ja z.B. damit die Möglichkeit offen, dass es doch ein Trojaner von ihnen war, aber halt nicht der Bundestrojaner sondern "nur" die "Quellen-TKÜ".
Update: Weil ich das gerade gehäuft gefragt werden: ja, der CCC ist sich sicher, dass das ein Staatstrojaner ist. Aber den Kontext können wir gerade nicht komplett öffentlich machen, um unsere Quellen zu schützen. Macht euch mal keine Sorgen, so leicht kommen die uns nicht davon. Die hoffen jetzt halt, dass wir nun einmal der Reihe nach alle LKAs durchgehen müssen und sich derweil die Sache im Sande verläuft.
Pro: Immerhin steht der Server in Deutschland.
Contra: Bei Hetzner.
Contra: Durch Löschen des Session Cookies kann man das wohl austricksen.
Mir ist ja nicht klar, wieso sie das überhaupt machen, sie haben doch LiquidFeedback. Extra für den Zweck, wenn ich das mal anmerken darf. Und ohne die Idee, dass das eine "geheime Abstimmung" ist.
Ob die das jetzt wie die CSU machen? Ich finde das ja schade, dass das so schnell ging. Ich dachte, dass die Piraten nach dem ersten Wahlerfolg länger als nur ein paar Wochen durchhalten, bevor sie sich so krass lächerlich machen.
Update: Die Piraten betreiben, so wird mir gerade versichert, eine eigene Instanz von LimeSurvey. Damit fällt der Contra-Punkt weg, dass das bei Hetzner läuft (das ist auch nur jetzt gerade Contra, weil die gerade gehackt wurden).
Update: Mich erreicht gerade diese Mail:
nur zu Deiner Info: in Bundesländern südlich der Mainlinie ist LiquidFeedback vorsichtig gesagt höchst umstritten. Wir nutzen hier überwiegend LimeSurvey und haben damit sehr sehr gute Erfahrungen gemacht.
Das war genau was ich befürchtet hatte und der Auslöser für dieses Blogposting. Genau wie Facebook-Fraktion. "Ist doch aber so praktisch".
Oh und jetzt ist wohl auch noch eine Klage vor eine US-Gericht anhängig, um die Schadenssummen mal nach oben zu treiben.
So langsam kann man ja bezüglich PKI echt den Fundi-Christen geben, so mit "REPENT! THE END IS NIGH" Schild und ungewaschen in der Fußgängerzone die Passanten belästigen und so. Krass. Was für eine Apokalypse.
Das sieht alles aus wie ein Standard-Rootkit, und das kam rein über einen legitimen Account eines Benutzers auf der Maschine, dem sein Rack-Server aufgehackt wurde. Offenbar wussten die Angreifer nicht, was sie da wertvolles aufgemacht hatten, jedenfalls haben sie nichts groß verändert außer halt sich da ins System einzunisten und das ssh zu ersetzen und so.
Die Linux-Kernel selbst sind nicht betroffen, und können auch gar nicht groß betroffen sein, weil die aus Linus' Privatsystem kommen, nicht von dort. git ist ein verteiles Versionierungssystem und da liegt nicht auf dieser Kiste auch "der git-Server", über den man die Kernelsourcen kompromittieren könnte. Und selbst wenn, dann benutzt git kryptographische Prüfsummen, das würde sofort auffallen, wenn da jemand was in der Versionsvergangenheit manipulieren will. Es gibt natürlich trotzdem noch ein paar offene Fragen, und sicherheitshalber haben sie doch alle in letzter Zeit veränderten oder hochgeladenen Tarballs nochmal überprüft. Aber akute Angst muss wohl keiner haben.
Es zeigt aber natürlich trotzdem, dass nicht mal die Linux-Kernel-Leute vor sowas gefeit sind. So schlimm ist der Stand der Computer-Security. Seufz.
Oh, eines noch: der Useraccount hatte keinen Superuser-Zugriff. Das Rootkit schon. Es gibt also noch mindestens einen Exploit für local privilege escalation unter Linux unter x86-64. Gut, das wird jetzt niemanden überraschen, der sich mit der Materie auskennt, aber es ist natürlich schon beunruhigend. Auf der anderen Seite wird das jetzt vielleicht eine Audit-Hetzjagd lostreten, bei der dann der und einige andere Fehler gefunden werden.
DigiNotar geht einen anderen Weg. Hier ist ihre Presseerklärung. Und das ist Comedy Gold, sage ich euch! Nicht nur behaupten sie, die Zertifikate gar nicht ausgestellt zu haben, nein, sie pullen die "wir wurden gehackt!1!!"-Karte. Nun ist die Ansage, als CA, dass man gehackt werden kann, natürlich der ultimative Totalschaden. Das ist wie bei RSAs Tokens. Niemand bei Verstand kauft jemals wieder bei einem solchen Anbieter. Die ehrenhafte Variante wäre, gleich direkt ganz zuzumachen. Aber soviel Arsch in der Hose hat halt niemand.
Inhaltlich ist diese Presseerklärung der Lacher. Sie sagen erst, dass sie im Juli gemerkt haben, dass sie ein Zertifikat für google.com rausgerückt haben. Sie haben reagiert, indem sie die Zertifikate zurückgezogen haben. Das ist ja an sich ein Kapitel an sich, SSL-Zertifikate-Zurückziehen. Aus meiner Sicht ist das zum Gutteil Augenwischerei.
Nächster Schritt: ein externer Audit hat bestätigt, dass sie alle Zertifikate erwischt haben. Und dann taucht noch ein Zertifikat auf. Mit anderen Worten: ihr Audit war für den Arsch. Man kann sich also nicht auf ihre Security verlassen und auch nicht auf ihren externen Audit-Dienstleister.
Spätestens hier ist Totalschaden. Was tun sie als nächstes? Sie gestikulieren wild in der Luft herum und behaupten, der Rest ihrer Operationen sei aber nach wie vor voll zuverlässig und sicher. Und was machen die sonst so? "PKIoverheid". PKI für die Öffentlichkeit. Die LANDES-PKI FÜR HOLLAND. m(
Die Behauptungen, die er da aufstellt, haben jedenfalls Sprengkraft. Dort steht, diesmal habe er das Submissionsystem dagelassen beim Gehen, aber er will jetzt unabhängig den Quellcode veröffentlichen (die einzig richtige Herangehensweise, wenn ihr mich fragt). Da ist auch noch die Rede von Chatlogs zwischen Daniel und Julian, deren Veröffentlichung er erst ankündigt aber das dann wieder zurückzieht.
Eine weitere seiner Botschaften ist, dass Daniel vor dem Zerstören seines Schlüssel Backups gemacht hat. Oh und er sagt an, dass in dem insurance-File auf Wikileaks das cables.csv drin ist, von dem man so viel gehört hat.
Die wichtigste Ankündigung ist aber, dass "morgen früh" (das schrieb er gestern) die Quellen bei github liegen sollen. Insofern spekuliere ich jetzt nicht groß herum. An ihren Taten sollt ihr sie erkennen, nicht an ihren Worten.
Update: ex_wl_arch (kleines L) nicht ex_wI_arch (großes I), wo wir gerade bei Trollen waren :-)
Update: Im Quellcode von openleaks.org ist am Ende ein Dementi aufgetaucht.
Update: Und jetzt dementiert auch der Twitter-Account selber. Ich denke mal, dass der Scherzkeks ab jetzt bei Grenzübergängen längliche Untersuchungen über sich ergehen lassen muss, insofern hat das seine poetische Gerechtigkeit.
Update: Na super, von dem Artikel ist so gut wie nichts mehr übrig. Sorry. Als ich drauf linkte, stand dort eine Story von einem Jugendlichen, der vom FBI beobachtet wurde, weil sie dachten, er wolle eine Schule in die Luft sprengen, und weiter unten zitierten sie einen Tweet von ihm, wo er erzählte, beim WLAN-Auswählen habe er besagte SSID gesehen.
Update: Mir mailt jemand, dass das kein Tweet sondern ein Posting auf Facebook war (Achtung: Link geht zu Facebook, und ohne Einloggen sieht man nichts)
Und was entdeckte der Hardwarehacker da? Dass das aus schlechten Komponenten inkompetent zusammengebastelt war. Das war per WLAN fernsteuerbar, und das WLAN war offen und unverschlüsselt. Aber das macht nichts, weil das Gerät eh nie funktioniert hat. Die Firma ist pleite gegangen, daher kam das überhaupt auf Ebay.
Die Details sind jedenfalls echt super. Beispiel:
There was no password on the gear that was supposed to be outfitted on the robot, so he was able to type “root,” and get right in. Then he checked out the operator’s equipment, which ran a Java app on Windows XP. He decompiled it, and found a string in the code: “IONPaysBills=true.”Industriestandard! Sie haben immerhin zwei Prototypen gebaut und nach Afghanistan verschifft. Bei dem einen war der Ausschalter kaputt und das Gerät schaltete auf Dauerblitz. Der andere kam vom Weg ab und rutschte einen Berg hinunter. (Danke, Benjamin)
Oh und wer jetzt denkt, hey, diese ganzen Kinder, die sollen mal mit dem Unsinn aufhören: es hat auch gute Seiten, z.B. geht aus von Antisec gehackten Daten von der italienischen "Cyber-Polizei" hervor, dass die im Wesentlichen dafür zuständig sind, ausländische Botschaften (konkret der indischen) um geheime Dokumente zu erleichtern (konkret über Waffendeals mit den Russen).
Und wen befördern die Briten da?
Na?
Kommt ihr NIE drauf!
Die Frau, die für die Erschießung von Charles de Menezes verantwortlich zeichnete. Das war der hier.
Zentrale Kernaussage ist, dass die Bundespolizei eine Apache-Distribution namens XAMPP eingesetzt haben. Den Teil mit Open Source und Apache hat der Focus allerdings nicht gemerkt, sonst hätten sie da wahrscheinlich fett draufgekloppt. Haben sie aber nicht. Sie haben das so verstanden, als sei das ein Antivirus (!?!?):
Peinlich nur, dass die geheimen Datenträger durch eine Billig-Software geschützt waren, die Spezialisten der Bundespolizei vorgegeben hatten.Auch der nächste Teil ist ein Money Quote für die Ewigkeit:
Die Bundespolizei diente den Partnerbehörden nach Angaben des BSI eine Server-Software namens XAMPP an, vor deren Risiken sogar normale Handbücher warnen. Das Fazit der Zollbeamten: „Diese von der Bundespolizei … angebotene Lösung ist risikobehaftet.“ Auch die Bundesnetzagentur stuft das Programm als unsicher ein. Der virtuelle Schutzmantel ist demnach so dünnhäutig, dass er einzig für den Privatgebrauch außerhalb des Internets und für Ausbildungszwecke gedacht ist.Ich sehe ein T-Shirt auf uns zukommen! "Not even XAMPP can protect you!" oder so. Käptn, der XAMPP-Schutzmantel ist gebrochen, Schilde bei 40%!
So viel Hackerei überall, es ist noch nicht zu spät ein Trinkspiel auszurufen!
Seit dem hat es eine neue Entwicklung gegeben. In dem Interview spekuliere ich, dass RSA die Seeds der Tokens ihrer Kunden aufgehoben haben könnte, und dass die gestohlen wurden bei dem Einbruch, und dass das den Einbruch bei Lockheed erklären würde. Die Sprache im Original-Statement deutete so ein bisschen indirekt darauf hin, als wollten sie das einräumen, war aber nicht klar genug, um es als Geständnis zu werten. Inzwischen will RSA alle Tokens austauschen. Das ist was ich mit "das wäre ein Totalschaden" im Interview meinte. Angeblich haben RSA-nahe Quellen zugegeben, dass die Seeds geklaut wurden.
Die Presseberichterstattung fokussiert sich im Moment auf SecurID, aber ich finde, dass das nicht weit genug greift. Die Firma hat die geheimen Schlüssel ihrer Kunden gespeichert! Einen größeren Vertrauensverlust kann ich mir gar nicht vorstellen für einen solchen Dienstleister! Nicht nur würde ich nie wieder eine Authentisierungslösung von denen kaufen, ich würde denen auch sonst nie wieder vertrauen. Und was machen die sonst so? Na? Kommt ihr NIE drauf! Die betreiben eine SSL-CA, der u.a. Firefox vertraut.
Der Hammer an der ganzen Geschichte ist ja die Begründung, warum sie das nicht gleich zugegeben haben, dass ihr Verfahren vollständig kompromittiert wurde:
RSA Security Chairman Art Coviello said that the reason RSA had not disclosed the full extent of the vulnerability because doing so would have revealed to the hackers how to perform further attacks.Äh, wie meinen?! Lieber die Kunden im Stich lassen und hoffen, dass die nicht merken, wenn sie gehackt werden?! Wenn das keine vertrauensbildende Maßnahme ist, dann weiß ich auch nicht!1!!
Bitcoin hat ja von Anfang an den schlechten Geruch gehabt, ein Verfahren zur Umwandlung von Umweltverschmutzung und Energieverschwendung zu wertlosen Zahlenkolonnen zu sein, aber wenigstens haben die Leute die Energieverschwendung selber bezahlt. Das jetzt wildfremden Internetbenutzern aufzudrücken, das ist ja wohl an Frechheit kaum zu überbieten.
Der Code ist über das Web einbindbar, die Domain ist bitp.it. Websperren bringen hier natürlich nichts, die Skripte kann man sich ja auch kopieren als Webseitenbetreiber. Wenn jedenfalls bei eurem Mobiltelefon oder Laptop vorzeitig der Akku alle ist, nur weil ihr z.B. diesen Symbol-nach-LaTeX benutzt habt, dann wisst ihr ab jetzt, dass es Bitcoin war.
Schlimm genug, wie wir Menschen uns gegenseitig Werbung antun. Jetzt auch noch parasitäre Umweltverschmutzung und Batterieentleerung?! Und die Armleuchter in den Foren debattieren schon, wie sie vermeiden können, von Antivirus-Snakeoil als Malware klassifiziert zu werden. Man kann gar nicht so viel fressen, wie man kotzen möchte. (Danke, Giuliano)
Oder natürlich andersherum, sie haben keine Lust mehr, "Menschenrechte" oder "das ist ein übler Diktator" als Vorwand einsetzen zu müssen, weil sie dann immer so peinliche Retourkutschen wie "na und wie ist das mit Bradley Manning" und "na und wer hat den Diktator da installiert" aushalten mussten. Ich denke nicht, dass das mit Cyberangriffen deutlich anders wird.
Bisher war das alles analog. Grund:
It has taken nuclear power plants so long to go digital because regulators wanted assurances the new control systems were as reliable as the old ones and could not be compromised by hackers.Aber jetzt wird das anders. Trotz Stuxnet. Grund:The goal of going digital is to save money.Erstklassige Priorisierung, liebe Amerikaner! Da weiß man, was man hat. Obama hat offensichtlich gegenüber Bush noch weniger Industrieregulierung. Change we can believe in!
Das ist schon rein dramaturgisch eine ziemlich großartige Nummer, erst bei RSA einzubrechen, und dann bei Lockheed Martin. Ich habe von beiden die Systeme nicht gesehen, aber so von dem Ruf der Firmen her zu urteilen wäre das ein bisschen so als würde man erstmal bei dem Safe-Hersteller einbrechen, um die Baupläne des Safes zu klauen, den man dann danach bei der Sparkasse aufbrechen will. Mich persönlich hat das an den Film "Absolute Power" von und mit Clint Eastwood erinnert, den ich übrigens empfehlen kann :-)
Update: Lockheed Martin dementiert inzwischen, dass der Angriff erfolgreich war. Würde ich an deren Stelle auch tun.
Die schlechte Nachricht: Sony Ericsson wurde gehackt.
Nah genug :-)
Na?
Sony Griechenland. Jedenfalls postet jemand Daten im Internet, die behaupten, ein Datenbankdump von denen zu sein.
Ich bitte um Verzeihung zu dem Snake-Oil-Vendor-Link, aber die einzige andere URL, die ich hatte, war zu einem angeblichen SQL-Dump.
Ich dachte auch erst, das sei eine ältere Meldung, aber nein. Die sind SCHON WIEDER gehackt worden.
Update: Sony dementiert. Allerdings formulieren sie das wie folgt:
Contrary to some reports, there was no hack involved. In the process of resetting of passwords there was a URL exploit that we have subsequently fixed.
Ich lese das so, dass sie zugeben, dass da doch ein Exploit war. Sie leugnen bloß, dass ihn jemand benutzt haben soll.
Sein neuester Streich: Ein x86-Emulator in Javascript. Im Emulator läuft ein Linux-Kernel, und das ganze emuliert einen Ranz-x86 mit Ramdisk und Serialport für die Ausgaben. Spannenderweise performt das in Firefox doppelt so gut wie in Chrome schreibt er. Auf jedenfall mal wieder ein echter Fabrice Bellard-Kracher.
Ich wollte ja nicht glauben, dass es so etwas wie einen Passwortspeicherdienst tatsächlich gibt. Niemand könnte so dämlich sein, seine Passwörter einem Dienst anzuvertrauen, oder? Stellt sich raus: doch, sind Leute. Alles was der Dienst tun musste: ein totes Krypto-Hühnchen über seinem Businessplan wedeln. Kapiert von der Zielgruppe bestimmt niemand, aber stellt offensichtlich ausreichend Vertrauen her, um seine Passwörter einem Dienst im Internet anzuvertrauen. Unglaublich.
Update: Heise findet, dass T-Systems nicht Schuld ist. Aber von Fakten lasse ich mir doch einen schönen T-Systems-Rant nicht kaputtmachen hier!1!!
China sagen, wenn man gehackt wurde, ist wie früher IBM kaufen. Da ist noch niemand für gefeuert worden.
Nicht dass ich das toll finde, dass die da Sony-Kunden sperren, aber irgendwie … so ein bisschen Schadenfreude für Sony kann ich nicht leugnen an der Stelle :-) Je mehr die die Hacker ärgern, desto böser hauen die zurück.
In der Zwischenzeit wird immer klarer, dass wir wieder eine funktionierende Leakplattform brauchen. Das geht so nicht weiter. Die Leute, die die 10 GB NPD-Mails rausgehackt hatten, wollten auch nicht mehr länger warten und haben die Mails jetzt halt der Tagesschau und dem Spiegel und vermutlich noch anderen Medien gegeben. Und, für mich ja das Highlight: Anonymous will AnonLeaks aufmachen, bis wikileaks wieder oben ist.
Update: Die Domain ist schon da. Und mir mailt gerade jemand, dass die sich unabhängig von Wikileaks sehen und auch online bleiben, wenn Wikileaks wieder da ist.
Die laufen gerade "den Chinesen" in Sachen Standard-Schuldiger in Internetfragen den Rang ab.
Dabei sind die Gawker-Leute sonst nicht unbedingt auf der falschen Seite, halt eher so die Klatsch- und Tratsch-Abteilung des Internets. Was ja nicht unbedingt gut ist, aber die treten halt fair in alle Richtungen.
Und in diesem Fall hat gawker ein altes okcupid-Profil gefunden, das sie für Julians halten. Glaube ich ja ehrlich gesagt nicht, dass das von Julian ist.
Update: Hier gibt es einen Screenshot.
Fürs Archiv: Der Hersteller der Äpp, und was sticht mir da sofort ins Auge: die werben da mit Common Criteria EAL4+ Zertifizierung. Da sieht man mal wieder, wie wertlos diese ganze Zertifizierungsscheiße ist. Reines Snake Oil.
Oh und wo wir gerade bei Hirnriss waren: aus der BSI-FAQ zur Ausweis-App:
Der Windows7-eigene Screenreader fängt beim Vorlesen die Eingaben über die Tastatur direkt ab. Dadurch wird auch die eingegebene PIN im Klartext vorgelesen. Unter JAWS, NVDA und VoiceOver tritt dieses Problem nicht auf.
Update: So eine Autoupdatefunktion einer Ausweis-Äpp wäre ja auch genau die Infrastruktur, die man für die Installation des Bundestrojaners braucht.
We realized that although the server replaces the filename with an automatically generated name (“stream,28957,0” in this example), it keeps whatever file extension the voter provided. Instead of a file ending in “.pdf,” we could upload a file with a name that ended in almost any string we wanted, and this string would become part of the command the server executed. By formatting the string in a particular way, we could cause the server to execute commands on our behalf. For example, the filename “ballot.$(sleep 10)pdf” would cause the server to pause for ten seconds (executing the “sleep 10” command) before responding. In effect, this vulnerability allowed us to remotely log in to the server as a privileged user.OH DIE SCHMERZEN!!!
Update: Peter schreibt mir zusätzlich:
Die Frau hat allen Ernstes gesagt, er hätte sich anschliessend mit nacktem Oberkörper und ausgebreiteten Armen vor die Wasserwerfer gestellt und dem Ganzen einen Anstrich gegeben, als wären wir alle einer Medienmanipulation zum Opfer gefallen.
OK, keiner mag die CDU, aber auf die Idee zu kommen, dass die da draußen sich die Augen rausschießen lassen, um die CDU schlecht aussehen zu lassen, damit hat sich die Frau einen Erich Mielke Award für maximalen Realitätsabstand verdient. Haben die alle ein Glück, dass wir Atheisten sind.
Update: Es gibt auch schon eine grafische Version der Maag-Aussage. Und die Frankfurter Rundschau hat den mal im Krankenhaus besucht.
Update: Hier kann man den Stream mit dem Zitat runterladen.
Update: Man muss das mal ein bisschen anders formulieren. Der Mann, der sich schützend zwischen uns und eure Kinder gestellt hat, ist selbst Schuld, dass er dabei die Augen verloren hat. Das ist doch, was sie da sagt!
Update: Jetzt auch bei Vimeo.
Update: Es gibt auch schon einen T-Shirt-Entwurf :-)
Jetzt klagt IISi gegen Netezza und die CIA.
"My reaction was one of stun, amazement that they want to kill people with my software that doesn't work," he saidund weiter"Jon [Shepherd's] statement, apparently endorsed by Jim [Baum] that the customer can 'just work with whatever we give them' is not consistent with how IISi works. And we don't really believe that is how our national security agencies work. Frankly, that response suggests a cavalier sales approach to a profound issue. Lives are at stake."Ach watt, sind ja nicht unsere Leben, sondern nur ein paar braune Menschen in Asien.
Nach dem Bekanntwerden von Stuxnet hat Siemens den Anlagenbetreibern eine Antivirenlösung über die Firmenwebseite angeboten, die insgesamt 12 000 Mal herunter geladen wurde.OMFG! Es gibt da offensichtlich Bedarf.
„In der Leitwarte eines Atomkraftwerks werden keine Windows-Rechner zur Steuerung eingesetzt“, betonte Machowetz.Sondern? BS2000? Solaris?!
Irgendwelche Hacker mögen immer irgendwas hacken können, aber, ähm, die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.Na dann ist ja alles gut!
Ach wisst ihr was, das ist so großartig, das embedde ich ausnahmsweise mal.
Jaja, ist ja gut, kein Flash im Blog. Dann halt das html5-Video-Tag.
Das ist übrigens ein webm-Video. Ich stelle gerade fest, dass das unter Safari nicht geht. Ich habe also die Wahl zwischen H.264, das in Firefox nicht geht, und webm, das in Safari nicht geht. Tut mir leid, liebe Mac-User, aber da spricht die Statistik gegen euch. Ihr müsst dann halt auf den Youtube-Link klicken, um das Video zu sehen. Oder ihr probiert das hier, vielleicht funktioniert das ja.
Update: Offenbar tut das auch nicht. Na prächtig. Ich hab hier webm in funktionierend in Firefox, aber das ist Firefox 4. In Firefox 3 tut das wohl auch nicht. Boah können die mal alle ausm Knick kommen, so wird das nie was mit dem video-Tag.
Update: Habe das auch noch als mp4 und ogv hochgeladen. Was für eine Scheiße dieses Browser-Zeuch doch immer ist. Furchtbar.
Update: Kai Biermann hat mein Youtube-Video in einen Artikel bei zeit.de eingebettet. Das läuft ja prima! Lasst uns ein schönes Mem daraus machen.
Das könnt ihr euch ja selber überlegen, ob euch das ruhig schlafen lässt, wenn jemand so viel Geld ausgibt, um Industrieanlagen aufzuhacken.
Stellt sich natürlich die Frage, wer sowas tun würde. Da kann ich auch nur spekulieren. Es ist aber m.E. kein westlicher Geheimdienst, denn Siemens ist so nahe mit dem BND verbandelt, die müssten da kein 0day kaufen, um Siemens-Kraftwerke aufzumachen. Außerdem heißt es bei Heise, dass u.a. Anlange in Südkorea, den USA und dem Iran infiziert wurden. Dadurch scheidet für mich auch China aus, denn die würden dem Iran nicht die Kraftwerke hacken, die würden dem Iran lieber billig Kraftwerke chinesischer Fertigung verkaufen. Und angreifen würden sie die auch nicht, immerhin kaufen sie da den Großteil ihres Öls, wenn der Iran da wegen Hackerpanik den Hahn zudreht, dann steht China mit dem Rücken zur Wand.
Bleiben nur noch die Russen von den major players.
Und DAS finde ich erst Recht beängstigend, denn wenn die mal eben vier derartig hochkarätige 0days verbrennen können, dann müssen die auf noch genügend vielen anderen sitzen.
Naja, alles nur Hörensagen. Aber ich dachte, ich teile es mal mit euch.
Update: Die Alternativtheorie ist natürlich Israel.
Update: Beim Rumgoogeln finden sich einige Details. Im Moment scheint einmal jeder Reverse Engineer auf der Welt dabei zu sein, Stuxnet zu untersuchen. Das ergibt alles nur partiell einen Sinn bisher. Aber, spannendes Hörensagen bisher sagt:
Vadim Makarov at the Norwegian University of Science and Technology in Trondheim and his colleagues have now cracked it. "Our hack gave 100% knowledge of the key, with zero disturbance to the system," he says.Überrascht? Solltet ihr nicht sein, denn die Forschergruppe hat auch schon auf dem 26C3 vorgetragen. :-)
Among the methods considered are voice print analysis, photo analysis, heartbeat analysis (!), hacking attempts, or even "noting particular activities that can indicate suspicious behavior."Na DAS wollen doch bestimmt alle Apple-User! Dass Apple ihre Biometriedaten inklusive eines EKG von ihnen bei den Akten hat! Eigentlich geht es natürlich um "hacking attempts", also jailbreaking. Also bereitet euch schonmal darauf vor: Apple wird euch eure Spielzeuge kaputtmachen, wenn ihre Software glaubt, ihr seid Hacker. Und wann hatte Apple-Software je schonmal Fehler? Nie, sage ich! Nie!!
Sun didn't file many patents initially. But then we got sued by IBM for violating the "RISC patent" - a patent that essentially said "if you make something simpler, it'll go faster". Seemed like a blindingly obvious notion that shouldn't have been patentable, but we got sued, and lost.Das hätte Sun fast getötet. Also hat Sun sich hingesetzt und jeden Bullshit patentiert, der ihnen vor die Flinte kam. Denn so funktioniert das System. Jeder sammelt so viele Trivialpatente, wie er finden kann, damit er sich wehren kann, wenn IBM vorbeikommt. IBM ist der größte Patenttroll auf dem Planeten. Die haben das von einer Kunstform zu einem Geschäftsmodell entwickelt. Die ganzen modernen Patenttrolle sind bloß müde Abklatsche dessen, was IBM tut. Hier ist ein schöner Forbes-Artikel zu IBM und Sun und Patenten.Sun lief nicht nur los und patentierte Dinge, sie machten einen inoffiziellen Wettbewerb, wer mit dem beklopptesten Patentantrag durchkommt. Das ist die Quelle der Sun-Softwarepatente, die Oracle jetzt als Basis für ihre Schutzgeldforderungen gegen Google benutzt.
Und auf einen Satz will ich mal hinweisen, weil er in letzter Zeit immer häufiger auftritt, in verschiedenen Kontexten:
It's a sad comment on the morality of large modern software companies that Microsoft, while I don't think they've gotten any better since Sun sued them, probably has the high ground.Microsoft war jahrzehntelang das Evil Empire, das es zu bekämpfen galt. Microsoft hat übrigens eine ähnliche Geschichte mit Softwarepatenten wie Sun. Ich weiß nicht, ob die auch mal von IBM ausgenommen wurden, aber Microsoft hat jahrelang keine Patente angemeldet, absichtlich, weil das eine Ingenieursfirma war, und die Ingenieure alle die Idee Scheiße fanden. Und dann sind einmal alle Patenttrolle der Weltgeschichte über sie hergefallen, weil sie auf soviel Bargeldreserven saßen. Und seit dem meldet auch Microsoft Patente an. Nur verklagt Microsoft mit ihren Trivialpatenten niemanden, im Gegensatz zu Apple. Soweit sind wir gekommen in dieser Industrie, dass ausgerechnet Microsoft mit gutem Beispiel vorangeht.Update: Stimmt so nicht, Microsoft verklagt doch auch andere mit ihren Trivialpatenten.
In 2008, it dropped its bid for computer-equipment maker 3Com because of Washington's concerns it could gain access to military-related anti-hacking technology.BWAHAHAHAHAHA, 3com! 3COM!!! HAHAHAHAHAHAHAHAHAHADas Risiko, bei 3com irgendwelche Security-Technologie zu finden, halte ich für sehr überschaubar. 3com hat mal Tipping Point besessen, einen der Firmen, die anderer Leute 0day kaufen, um dann damit auszusehen, als könnten sie selber 0day finden. Die hätte man aber auch abspalten können. Und ob man da von Knowhow reden kann… *hust*. Naja, die haben immerhin auch eine Forschungsabteilung.
In this regard, information strategists can consider clandestinely recruiting or hiring prominent bloggers or other persons of prominence already within the target nation, group, or community to pass the U.S. message. […] Sometimes numbers can be effective; hiring a block of bloggers to verbally attack a specific person or promote a specific message may be worth considering.Allerdings kann das auch nach hinten losgehen, daher haben sie auch die Alternativstrategie, dass sie selbst einen Blogger aufbauen. Das sei zwar langwierig, und je nach Blogger kann das auch einen "significant educational burden" bedeuten (sie reden hier schließlich von Blogs im Ausland, um andere Länder mit Propaganda zu schwemmen, und jeder weiß ja, dass Amerikaner keine Fremdsprachen sprechen).Im weiteren Text schlagen sie dann vor, feindliche Blogs zu hacken und dort eigene Propaganda zu publizieren.
Hacking the site and subtly changing the messages and data—merely a few words or phrases—may be sufficient to begin destroying the blogger’s credibility with the audience.
Da bin ich ja mal gespannt, ab wann hier die ersten anwaltliche Korrespondenzen der Contentmafia aufschlagen :-(
Update: Wenn ich mir die peer_id angucke in den Announcements, dann sind das alles BitComets. Da ist nicht einer bei, der nicht BitComet wäre. Damit kann ich an dieser Stelle eine klare Empfehlung aussprechen: nicht BitComet benutzen. Direkt in die Tonne, das Teil. Der lässt sich Fake Peers andrehen. Oh und jetzt ist gerade auch vereinzelt mal ein Transmission dabei, und auch mal ein utorrent. Die sind aber unter 1% und gehen im Rauschen unter.
Der Angriff geht noch weiter, aber deutlich weniger intensiv. Gestern hatte ich teilweise 7,5 MBit incoming Traffic nur für die Torrent-Handshakes (WTF?!), jetzt ist es noch ein Zehntel davon.
Es fällt mir schwer, den Finger drauf zu legen, wieso ich das alles als so negativ empfinde. Vielleicht sind es Sätze wie dieser hier:
Mehr Wettbewerb im Netz stärkt Selbstbestimmung und Eigenverantwortung der Nutzer.Äh, wie meinen? Inwiefern? Und als er dann behauptet, uns solle ermöglicht werden, unseren Datenbestand mitzunehmen beim Umzug von einem sozialen Netzwerk zum nächsten, dann habe ich den Eindruck, dass der Mann überhaupt nicht verstanden hat, wovon er redet.
Die nächste gruselige Stammtischparole kommt bei These 5:
Der freie Bürger zeigt sein Gesicht, nennt seinen Namen, hat eine Adresse.Genau. Wer braucht schon Anonymität! Ist ja nicht so, als ob man von Vater Staat Repressionen zu befürchten hätte. Oder von sonstwem.
Besonders furchtbar finde ich These 6, wo plötzlich von "Verkehrssicherheit" im Netz die Rede ist, und Providern mit der Haftungskeule gedroht wird, außer sie setzen "zertifizierte Verfahren" (dass ich nicht lache!) oder "anerkannte Sicherheitsstandards" (wie das BMI, als es von den Chinesen gehackt wurde, ja?) ein. Da will wohl jemand sein Waterlooprojekt "e-Perso" mit Macht in den Markt zwingen. Wofür genau gehaftet werden soll, steht da nicht. Die Kommentatoren gehen mehrheitlich davon aus, dass Provider für Spam oder Viren in Haftung genommen werden sollen. Das steht so auch in der Abschrift der Rede zu, die mir jemand zugespielt hat, und die morgen überall in der Presse veröffentlicht werden soll. Ich glaube, dass das nur der nächste logische Schritt hinter der Kriminalisierung von offenem WLAN ist. Der Staat will nicht hinnehmen, dass Menschen ihr Leben führen können, ohne ständiger Überwachung und Rückverfolgbarkeit zu unterliegen. Hier müssen wir den Staat mal daran erinnern, dass er selbst auf Rückverfolgung, Nachvollziehbarkeit und Überwachbarkeit scheißt, wenn es um ihn selbst geht, und auch für gröbste Grundgesetzverletzungen wie das Internetzensurgesetz kein einziger Politiker Konsequenzen zu fürchten hatte. Und wir müssen die alten Herren mal daran erinnern, dass sie unsere Dienstleister sind, nicht unsere Gefängniswärter.
Besonders erwähnenswert ist außerdem These 11. Dort ist dann mal jemandem aufgefallen, dass wir nicht technologisch souverän sind, wenn wir Hardware aus China, ein Betriebssystem aus den USA und Firewalls aus Israel einsetzen. Nein, tatsächlich! Das fällt euch JETZT auf, nachdem ihr mit eurem Hackertoolverbot die Sicherheitsindustrie ins Ausland getrieben habt? Und jetzt will oder kann euch keiner mehr helfen im Land? In These 10 ist von Steigerung der IT-Kompetenz der Sicherheitsbehörden die Rede. Bwahahaha, dass ich nicht lache. Wer soll das denn machen, jetzt wo ihr die Hacker rausgeworfen und gegen euch aufgebracht habt?
Nee, liebe Junta, ihr könnt gerne mal weiter versagen, am ganzen Stück, vollumfänglich, lasst euch mal weiter von den Chinesen und allen anderen pwnen.
Eine Extrapackung Popcorn braucht man für These 12, wo es um staatliche Online-Angebote geht. Dass ihr euch wagt, dieses Thema anzusprechen! Nachdem ihr ARD und ZDF gezwungen habt, ihre Archive zu löschen. Eine Frechheit sondergleichen. Da schlägt euch von mir nur blanke Verachtung entgegen.
Die Rede kann ich hier nicht in Gänze zitieren, aber ich möchte doch den Teil über die Viren mal öffentlich machen:
Auch wer eine private Homepage betreibt, muss sicher stellen, dass sich hierüber keine Schadprogramme und Viren verbreiten.Wer also kein Sicherheitsexperte ist und sich seine Blogsoftware selber geschrieben hat, der sollte also an der Stelle sein Blog zumachen, weil sonst im Fall eines Hacks unübersehbare Haftungsansprüche drohen. Und schon haben wir das Internet da, wo der Herr Innenminister es haben möchte. Weg mit den nervigen Blogs. Wer Informationen will, kann sie sich ja vom Fernsehen holen.
Hersteller von Hard- und Software sowie Diensteanbieter müssen ebenso Verantwortung übernehmen. Dies kann durch eine erweiterte Haftung und spezielle Beweislastregeln geschehen.Das wiederum finde ich ja nun humoristisch ausgesprochen hochwertig. Viel Spaß beim Zugriff auf die Firmen im Ausland. Das wird bestimmt lustig, wenn das Fingerzeigen beginnt, und am Ende eine kleine Klitsche in Vorderasien Schuld ist.
Besonders schön wird auch bei folgendem Absatz klar, dass de Maiziere nicht mal in Ansätzen verstanden hat, wovon er spricht:
Für Provider sollte es eine Gefährdungshaftung geben, wenn sie keine ausreichenden Sicherheitsvorkehrungen treffen. Eine solche Verkehrssicherungspflicht gegen Viren und Schadsoftware sowie Datendiebstahl ist keine Kontrolle von Inhalten, die ich für falsch hielte.Äh, nein, ist es nicht? Wie soll der Provider denn Viren und Schadsoftware rausfiltern, ohne auf die Inhalte zu gucken? Telepathische Erkennung? Am Geruch erkennen vielleicht? Mann Mann Mann. Es reicht halt nicht, mit Leuten aus dem Netz zu reden. Man muss ihnen auch zuhören. Und es hilft, wenn man auch versteht, was sie zu sagen haben.
Update: Das ehemalige Nachrichtenmagazin hat auch was zu den 14 Thesen, wo sie sich folgende Aussage de Maiziers aus dem Arsch ziehen:
Eine vollständige Anonymität im Internet lehnt er ab. Dazu brauche es eine Vorratsdatenspeicherung, Internetnutzer müssten nötigenfalls als konkrete Menschen zu erkennen sein.
De Maiziere hat viel Müll gesagt, aber nicht dass er eine Vorratsdatenspeicherung will. Weder in den 14 Thesen noch in dem mir zugespielten Rede-Transkript. Das ist ja mal wieder hochseriöser Journalismus, den die da betreiben.
Update: BTW, als er Verkehrssicherheit sagte, mußte ich ein bisschen an dieses tolle Kohl-Zitat denken, als er zur "Datenautobahn" gefragt wurde, und meinte, Autobahnen seien Ländersache.
Update: Vuvuzela Hero!
Update: Der erste Entwurf kommt rein.
Update: Noch ein paar mehr Entwürfe. Das hier böte sich wahrscheinlich auch als Quelle an.
Update: Nicht Teil unserer Kampagne, schon etwas älter, aber passt irgendwie doch: Guido in Aktion. Sowas schwebte mir ja mit unser Familienministerin vor. Oder von mir aus könnte auch jemand ihre berühmte Kohl-Groupie-Aussage photoshoppen. So ala Jabba + Leia. Den Twi-Lek könnte man ja westerwellen.
Update: Geht weiter. Der hier hat auf einen schön vorwurfsvollen Gesichtsausdruck geachtet, das eignet sich schön als Thread-Illustration bei *chan.
Update: Hier ist noch ein schöner.
Update: Auch Frau von der Leyen hat geeignetes Bildmaterial hinterlassen :-)
Update: Hiernoch ein Instant-Klassiker mit Beckstein (WIE GEIL!!), und hier hat jemand das Köhler-Zensursula-Foto verwurstet. Und hier ist noch ein schöner Guido bei der Arbeit
Update: Und noch zwei. Ich fürchte, ein gutes mit Pferd werden wir nicht kriegen. Sie hat es ja auch selber gesagt.
Update: Noch einer aufm Sofa
Oh übrigens, weil mir Leute schreiben, dass die jetzt Schröder heißt und nicht mehr Köhler: weiß ich. Aber so leicht kommt die mir nicht davon. Ich sage auch noch "Blackwater" und nicht "Xe".
Update: Habe auch mal eines zusammengestümpert :-) Da könnte man bestimmt auch noch einen Ausdrucken-Witz unterbringen.
Update: Hier ist noch einer mit Merkel und hier versucht jemand eine T-Shirtisierung. Ich fürchte, das wird nicht so einfach, daraus ein schönes Shirt zu machen. Wer läuft schon gerne mit einem Shirt mit einem bekennenden Kohl-Groupie herum. Das muss schon ein echt überzeugendes Motiv werden. Ideen?
Hier hat noch jemand die komplette FDP zu einem Gesamtkunstwerk vereint, und hier gibt es noch eine Jogging-Einsendung und hier hat jemand ein Gespräch zwischen Zensursula und Frau Köhler belauscht.
Update: wenn es keine Pferdebilder gibt, muss man sich halt eines photoshoppen :-) Das läuft aber außer Konkurrenz, weil wir die ja mit Dingen beschimpfen wollen, die sie wirklich getan haben.
Update: Hier ist noch ein schöner mit Angie und Arnold und hieraus könnte man vielleicht auch anderweitig was machen. Oh und hier gibt es eine Zensursula mit Pferd und noch eine. Und hier ist noch ein toller Guido.
Update: NEIN WIE GEIL, jemand hat es tatsächlich gemacht! Ladies and Gentlemen, der Kohl-Groupie-Photoshop mit Twi-Lek-Westerwelle!
Update: Letzte Update-Runde (für heute): Guido golft, Kristina und Karl, schönes Party-Bild, LOLCAT (das schreibt man "Schwarz-Geld", sonst wirkt es nicht!), und als T-Shirt-Rohling vielleicht den hier und als Rohmaterial ein Wetten-Dass-Bild.
Update: Und noch ein paar Einsendungen: ein Comic mit Merkel, Jung und Köhler, und hier noch ein Prachtbild mit Angie und Guido bei der Arbeit, hier einer über Griechenland (der braucht noch ein schöneres Bild finde ich) und hier hat jemand Dirk Niebel bei der Arbeit gefilmt. Nein, nicht er hat gearbeitet. Wo denkt ihr hin. Er war in der Nähe von Arbeit.
Irgendwie musste ich zuerst die Blogwurst-Kampagne von Vodafone denken.
Hier ist, was ich denen geantwortet habe:
Das ehrt mich ja schon irgendwie, aber ich kann unmöglich bei einer Werbekampagne für Axel Springer teilnehmen.Axel Springer hat kürzlich dem CCC unterstellt, für den BND Auftragshacks durchzuführen, und Springer-Presseorgane argumentieren gerne und häufig für mehr Polizei, mehr Überwachung und mehr Geheimdienste. In der Springer-Presse hat ein Kolumnist argumentieren dürfen, Obama solle für die Steigerung seiner Umfragewerte den Iran bombardieren.
Und Du als Frau solltest dir mal http://www.welt.de/politik/deutschland/article5711005/Maenner-haben-Kampf-gegen-Feminismus-verpasst.html durchlesen und Dich fragen, ob du mit solchen Leuten zusammenarbeiten willst. Von dem Türkei-Bashing will ich mal gar nicht anfangen. Und das waren nur die Sachen in diesem Jahr, die mich beim Axel Springer Verlag geärgert haben. Die älteren Schandtaten sind nicht mehr online.
Viel Spaß bei eurer Kampagne, man muss ja auch irgendwie seine Miete bezahlen, aber so schlecht geht es mir noch nicht, dass ich für Axel Springer Werbung mache. Das wäre auch schon deswegen unglaubwürdig, weil ich Alice Schwarzer kritisiert habe, dass sie sich für "Bild"-Werbung hergab.
Ich muss ja sagen, das ist in der Tat der eine große Nachteil von Chrome gegenüber Firefox. Bei Firefox kann adblock auch das Laden von Javascript-Dateien blocken. Bei Chrome kann man nur die Bilder selbst blocken, da müsste man einen Proxy nehmen oder gleich im DNS die ganze Domain blocken. Ich muss echt mal ein Chromium Buildsystem aufbauen und dann hack ich mir da halt einen Regex-Filter in die HTTP-Engine rein, der eben 404 simuliert, wenn die URL einer der Regexen matcht.
80.244.246.150 ptrace.fefe.de blog.fefe.deDa müssen sie dann schon das Routing verkacken, nicht nur DNS, damit es nicht mehr geht. Seufz.
Update: Eines ist jedenfalls klar: es war nicht Lutz Donnerhacke. Wenn der es gewesen wäre, wären alle Server kaputt, nicht nur die Hälfte. Keine halben Sachen! :-)
Update: Gerade bei www.denic.de vorbeigeguckt, mit elinks, und kriege:
Database Error
The current username, password or host was not accepted when the connection to the database was attempted to be established!
Wer hat diese Leute nochmal für unsere Landesdomain zuständig gemacht? m(
Update: Mir reicht gerade jemand rein, dass die in-offizielle Begründung für den Fuckup bekannt ist. Ich zitiere mal:
die DENIC hat die DE-Zone versehentlich signiert und alle nicht-DNSSEC-faehigen Resolver haben nun Probleme.
Mwahahahaha, "versehentlich signiert", ich lach mich kaputt. Ich bin ja nun kein dnssec-Evangelist, aber an sich sollten die anderen Resolver dann halt die zusätzlichen Records ignorieren. Kurz gesagt: I call bullshit. Andererseits ist das DENIC gestern von Amsterdam nach Frankfurt umgezogen. Vielleicht haben sie dabei was verkackt?
Update: Jetzt liegt doch eine offizielle Erklärung des DENIC vor.
Update: Anscheinend ist einfach nur ein Zonentransfer abgebrochen. Und DNSSEC war nicht Schuld. Im Gegenteil lief das DNSSEC-Testbett weiter, weil eine kaputte halbe Zone nicht angenommen wird, weil die Signatur kaputt ist. Also haben wohl vereinzelte Experten ihren Kunden die IPs vom DNSSEC-Testbett gegeben, wodurch die einen schönen Lasttest fahren konnten *hust*
So und jetzt stellt euch mal vor, ein Virenscanner will das scannen und packt es dafür aus :-)
Allerdings reagiert Slicehost nicht, sodass zwei Tage später die Angreifer den JIRA-Server von Atlassain direkt erfolgreich attackierten. Dort hat der Angriff aber offenbar erheblich größeren Schaden angerichtet, da auf dem System noch ein Backup einer älteren Datenbank mit unverschlüsselten Passwörter lag.m(
Update: wie da schon steht, war die Klartextdatenbank bei Atlassian, nicht bei Apache.
Wikileaks said that it had to break through encryption by the American military to view the video of the US air crew shooting Iraqi journalists and civilians. It remains unclear if the group received an encrypted video from an anonymous source, or whether it hacked through the Pentagon's firewalls to obtain the footage.Immerhin ist der letzte Satz im Artikel nicht völlig Murdoch-isiert worden:The US joins a long list of states to take issue with the site. China, North Korea, Thailand, Zimbabwe and Russia, have tried to block access to Wikileaks after disclosures on the site.Harhar
Auf der DNS-Operations-Mailingliste ist man sich auch einig, dass das ein gutes Argument für DNSSEC ist.
Und so ist es, wie es immer ist. Software-Spezialisten glauben, das war ein Software-Problem. Routing-Spezialisten glauben, das war ein Routing-Problem. Und DNS-Spezialisten glauben, das war ein DNS-Problem.
Ich erwähne den, weil er gerade gegen den CCC pinkelt (und nein, ich linke da jetzt absichtlich nicht drauf, um dem nicht noch Aufmerksamkeit zuzuspielen), weil der CCC eine Einstweilige Verfügung gegen Springer erwirkt hat, als Springer dem CCC unterstellt hat, wir wären Auftragshacker für den BND.
Ich fasse seine Argumente mal zusammen, weil man sich inhaltlich durchaus mit denen auseinandersetzen kann und auch sollte.
Ich habe mich zwar über die Springer-Meldung geärgert, auch durchaus öffentlich, war aber weder an der Entscheidung noch an der Umsetzung der Einstweiligen Verfügung beteiligt, und kann daher wunderbar spekulieren und rationalisieren hier :-)
Also, erst einmal vorab: wie oft hat man im Leben die Gelegenheit, der Springer-Presse eine Einstweilige Verfügung reinzudrücken? Alleine dafür könnte man argumentieren, dass das eine gute Aktion war. Alte Feindbilder und so.
Zweitens bin ich auch kein Freund von Einstweiligen Verfügungen, weil die eben erlassen werden, ohne den Betroffenen zu Wort kommen zu lassen. Ich halte das Allgemein für ein dem Rechtsstaat unwürdiges Instrument, das außerdem viel zu leichtfertig benutzt wird.
Aber die Idee, dass man frei rumgerüchten könne, wenn man nur ein Dementi dranschreibt, … das funktioniert so nicht. Man könnte das z.B. mit dem folgenden, besonders bösartigen Gerücht mit Dementi illustrieren:
Hast du auch gehört, dass torstenk inzwischen bei der Bild arbeiten und jetzt Krisen-PR für die Springer-Presse machen soll? Das hat mir ein Insider erzählt, der ungenannt bleiben will. Oh, der Kleinz dementiert natürlich.Alles im Konjunktiv, das Dementi folgt direkt. Ist das jetzt weniger ehrenrührig? Ist das für den Kleinz weniger schlimm jetzt? Wenn jemand nach seinem Namen googelt, und der findet dieses bösartige Gerücht, und dann ist sein Ruf besudelt. Klar, das Gerücht ist erstunken und erlogen, genau wie das BND-CCC-Gerücht es war. So einfach ist die Lage nicht.
Im Allgemeinen finde ich, dass man im Presserecht keine Einstweiligen Verfügungen haben sollte, und dass Gegendarstellungen reichen müssen. Und mir hätte es auch gefallen, wenn die Springer-Presse eine fette Gegendarstellung hätte veröffentlichen müssen, und auf die hätte ich dann gelinkt, und die hätte dann mehr Traffic als der Originalartikel gehabt. Aber Mitleid mit der Springer-Presse kann ich zumindest an dieser Stelle nicht aufbringen, tut mir leid.
Update: Noch ein Detail am Rande: da Springer direkt das Dementi drangetan hat, haben sie dem CCC damit das Mittel der Gegendarstellung genommen. Da blieb außer EV nichts mehr.
Der CCC macht ja für den BND die Schmutzarbeit, wenn es um Computer geht. Was nehmt ihr denn da so für einen Stundensatz?Nun, wer die Geschichte des CCC kennt, weiß, dass wir für den Umgang mit Geheimdiensten klare Regeln haben. Wenn jemand uns anspricht oder jemanden anzuwerben versucht, dann wird das sofort im gesamten Club kommuniziert und mit Namen und allen verfügbaren Daten zu der jeweiligen Person dokumentiert, auch öffentlich. Es ist völlig undenkbar für den CCC, mit Nachrichtendiensten zusammenzuarbeiten, gleich in welcher Kapazität oder Form. Wenn dann so eine Anfrage reinkommt, dann sieht das für mich so aus, als ob der CCC hier in Mißkredit gebracht werden soll, vielleicht weil sie unseren Kampf gegen Internetzensur und Abhörschnittstellen nicht inhaltlich gewinnen können.
Und jetzt erscheint in der Springer-Presse dieser groteske Agitprop-Artikel, den ihr euch mal in Ruhe geben solltet. Der Tenor ist, dass unsere Geheimdienste nicht gut genug sind (und daher mehr Mittel und weniger Aufsicht und Kontrolle brauchen). Es gibt genau einen, der an dieser Nachricht Interesse haben könnte: den BND. Niemand sonst hat einen Vorteil davon, denen noch mehr Missbrauchspotential in die Hand zu drücken. Und was steht da für eine groteske Lüge in dem Artikel? Seht selbst:
Heute soll Pullach nicht einmal in der Lage sein, sich in moderne Computer zu hacken. Entsprechende Aufträge würden deshalb an externe Spezialisten wie den Chaos Computer Club (CCC) vergeben. Dieser dementiert das allerdings und spricht von Gerüchten.Wir sprechen nicht von Gerüchten, sondern von aktiver Desinformation, um unseren guten Namen zu beschmutzen.
Na gut, könnte man jetzt sagen, Springer-Presse, die kennt man ja eh eher für Bratwurstjournalismus und Agitprop als für Recherchen oder Erkenntnisgewinn. Könnte man abhaken. Aber guckt euch mal die Namen der Autoren an. Jetzt nehmen wir mal den zweiten davon, und googeln ein bisschen, und finden hier einen Artikel über einen "Journalisten" Uwe Müller, der für den BND gearbeitet hat. Oh und vorher? Da war er bei der Stasi. Ist das der selbe Uwe Müller? Das könnt ihr euch ja selber überlegen. Mich persönlich würde es überraschen, wenn nicht. Und da passt dann bei der Springerpresse mal wieder alles perfekt zusammen.
Ich habe den Eindruck, dass wir die Dienste schon viel zu groß haben werden lassen. Die glauben gerade, sie haben Oberwasser, und können sich eine Offensive gegen den CCC leisten. Nun, natürlich ist mir Presse-Agitprop lieber als wenn sie da Leute verunfallen lassen, aber das sollten wir ihnen nicht durchgehen lassen. Es ist an der Zeit, diese ganze Geheimdienstmischpoke komplett aus unserem Land rauszuekeln. Wir brauchen keinen Geheimdienst. Der hat eh keine Erfolge vorzuweisen und kostet nur Geld.
Update: Die Morgenpost postet ein … tja, gute Frage, was das sein soll. Ein Dementi? Ich weiß nicht, was das sein sollte. Ich weiß nur, wie es bei mir ankommt. Die Morgenpost ist damit für mich endgültig der Roland Koch der Berliner Presselandschaft.
Oh und Herr Müller: wenn das ein anderer Herr Müller ist, der für die Stasi und den BND gearbeitet hat, dann wissen Sie ja jetzt, wie das ist, wenn einem jemand öffentlich Kooperation mit Geheimdiensten unterstellt.
Ein weiterer Vertreter des Behördenspiegels berief sich gegenüber heise online auf die Aussage des Vermieters, alle Räume im BCC seien technisch so ausgestattet, dass Gespräche aufgezeichnet werden können. Daher sei dem Veranstalter das Risiko zu hoch gewesen, dass sich der junge Mann ins System einhacken könnte, da parallel zum öffentlichen Kongress eine geschlossene Sitzung des Bundeskriminalamtes (BKA) in einem Raum stattfand.Das ist so unglaublich grotesk, da kann ich gar nichts groß kommentieren mehr. Tut mir leid, da muss ich erstmal mein Zwerchfell wieder beruhigen.
Oh und die taz hat den betroffenen Kumpel interviewt. Das in meinen Augen schönste Detail ist dieses hier:
Das BMI hat uebrigens sein Bedauern zum Ausdruck gebracht und dementiert, irgendetwas damit zu tun zu haben.Das setzt Maßstäbe, wenn jemand so unprofessionell und inkompetent ist, dass das BMI sich hochnotpeinlich davon distanziert. Da fällt mir überhaupt kein vergleichbarer Fall ein. Die sind ja sonst hart im nehmen in solchen Dingen, ich sage nur Sauerländer und Murat Kurnaz.
Wie komme ich darauf? US-Ölfirmen sollen ausspioniert worden sein, und natürlich waren es sofort die Chinesen. In dem Kontext würde ich das sogar auch erstmal annehmen. :-)
Ich frage mich, ob Google Code das auch macht. Es gab da ja mal eine deutsche Alternative, berlios, aber die ist wegen Inkompetenz gehackt worden, wird offenbar von Jörg "Integer Overflow? Was ist das?" Schilling administriert und da würde ich deshalb nicht mal mein /etc/issue hosten. Wird Zeit, dass das mal jemand ordentlich und vertrauenswürdig und in einer brauchbaren Jurisdiktion macht.
Update: Wikipedia sagt, Google Code blockt auch.
Update: Mir mailt gerade jemand, dass Jörg seit einer Weile bei Berlios raus ist. (Danke, Thomas)
Ich hatte das hier auch schon als Gerücht, dass die LI-Zugriff hatten, aber bisher klang das Gerücht so, dass die Chinesen sehen konnten, wen die Amis so beschnüffeln (was ja auch ein Totalschaden wäre), nicht dass sie die bestehende Infrastruktur zum Beschnüffeln ihrer Dissidenten benutzen.
That's because they apparently were able to access a system used to help Google comply with search warrants by providing data on Google users, said a source familiar with the situation, who spoke on condition of anonymity because he was not authorized to speak with the press.Das wäre natürlich sehr geil, wenn die Chinesen das abgesaugt hätten und damit jetzt die US-Regierung erpressen, wenn die mal wieder einen auf dicke Hose machen wegen der Zensur in China. Das ist nämlich bestimmt auch ausgesprochen peinlich, was die Amis da an Durchsuchungsbefehlen an Google übergeben. Sehr, sehr spannende Entwicklung!
Update: Mir mailt gerade jemand, dass das nicht nur Volksmusik war, sondern das Lied "wann wird mein Leiden enden" eines vor ca 10 Jahren verstorbenen bekannten türkischen Sängers, der bekennender Schwuler war und in Frauenkleidern auftrat. Der Sänger hat also auch direkt einen Balls of Steel Award verdient, das in der Türkei zu machen. Das wäre dann wohl der hier. die FTD bestätigt diese Darstellung. Youtube hat auch was.
«26c3: Here be Dragons»: Das steht seit einigen Tagen auf der Seite der SVP Stadt Zürich. Nur dieser Text ist zu sehen. Offensichtlich haben Hacker ihr Unwesen getrieben. Aber wieso entfernt die SVP die Spuren nicht? «Wir bringen es schlicht und einfach nicht weg», gibt Bruno Sidler, Parteisekretär der SVP Stadt Zürich gegenüber Blick.ch zu.Harharhar
Ich wollte ja ursprünglich Moderator sein, aber aus NPOV-Gründen haben wir das lieber den Andreas machen lassen, aber ich habe mich dann in die Veranstaltung reingehackt und saß neben dem Podium ohne Mikrofon auf einem Sofa. Eigentlich hatte ich da einen Freud-Ohrensessel haben wollen, aber den haben wir nicht organisiert gekriegt. Ich wollte noch Kristian Köhntopp auf das Sofa setzen, aber der kam nicht (ich gratuliere übrigens herzlich). Ich habe auch verpeilt, da mit einer Packung Popcorn anzukommen, und so war ich im Wesentlichen auf ein gelegentliches Facepalm reduziert, habe aber über Kurts Mikro einmal in der Mitte und einmal am Ende etwas eingeworfen.
Inhaltlich gab es dann natürlich doch viel Bashing. Das Publikum schien mir teilweise extra dafür angereist, um mal dem Saal erzählen zu können, wie ihnen auch der erste Artikel erstmal gelöscht wurde und dass sie seitdem keinen Bock mehr haben. Insbesondere ein Teilnehmer war ausgesprochen verärgert, dass aus dem Artikel zu Jörg Schönbohm eine umfangreiche Liste von grenzwertigen "nationalkonservativen" Äußerungen entfernt worden seien, wie sich denn das mit dem immer hochgehaltenen NPOV vereinbaren ließe, und dass das seiner Meinung nach eine faule Ausrede sei und alle Moderationen oder Zensurmaßnahmen letzlich politisch seien.
Sinn von so einem Podium ist ähnlich eines Interviews natürlich auch immer, Leute zu entlarvenden Aussagen zu verleiten. Bei dem Wikipedia-Podium waren die entlarvensten Äußerungen meiner Ansicht nach die folgenden:
An der Stelle hat man gut gesehen, dass hinter der ganzen Rhetorik von wegen "Qualitätssicherung" und "Relevanz" doch immer nur steckt, das eigene Weltbild dem Rest aufzudrücken.
An dieser Stelle ist das Podium schon ein Erfolg gewesen für mich, denn nur wenn man diese Art von anderer Perspektive versteht, kann man die daraus resultierenden Aktionen verstehen und sinnvoll diskutieren.
Update: Oh, ein Highlight möchte ich noch erwähnen. Kurt argumentierte an einer Stelle, man würde ja fürs Kochen nicht die Wikipedia konsultieren. Daraufhin meinte einer aus dem Publikum, gerade beim Kochen sei es wichtig, dass man freie Inhalte haben könne für seine Rezepte und Lebensmittelfotos. Falls diese Anspielung für jemanden zu subtil war: mit Abmahnungen zu Lebensmittelfotos bestreiten im Internet einige Abmahner ihren Lebensunterhalt (oder könnten von der gefühlten Menge des abgemahnten Geldes her; wer weiß, vielleicht haben die ja auch Nebenjobs).
Update: Mathias Schindler weist darauf hin, dass für freie Fotos von Essen Wikimedia Commons zuständig ist und für Kochbücher Wikibooks.
Update: Kurt Jansson schickt mir gerade folgende Klarstellung:
Was ich gesagt habe ist, dass ein Pokemon-Artikel immer 5 Sterne hätte, egal wie gut oder schlecht er ist. Oder noch deutlicher: Sobald wir das einführen wird es in den Naziforen Aufrufe geben, bestimmte Versionen des Artikels "Holocaustleugnung" hoch zu bewerten, den Artikel zur "taz" hingegen runterzuwerten, egal wie der gerade ausschaut.
Das hatte ich offensichtlich falsch verstanden.
Das kann mehrere mehr oder weniger unerfreuliche Dinge bedeuten. Hier sind die Optionen, die mir spontan einfallen: Vielleicht hat K&M die Kundendaten an Spammer verkauft, oder ein Mitarbeiter hat die Datenbank veruntreut, oder jemand hat sich bei denen reingehackt und die Datenbank kopiert. Das ist natürlich alles nicht schön für K&M, weil deren Datenschutzerklärung das ausschließt und sie sich auch irgendwelche "Sicher online shoppen" Zertifikate geholt haben.
Wenn das jetzt nur einem Freund passiert wäre, könnte man noch Hypothesen wie "der Spammer hat die Adresse geraten" aufstellen, aber es gibt da ein halbes Dutzend betroffene Email-Adressen.
Meine Freunde haben natürlich mal nachgefragt bei K&M und alle denselben "wir werden das untersuchen" Textbaustein zurückgekriegt, dann Funkstille. Das war vor ca. zwei Wochen.
K&M scheint das Problem also aussitzen zu wollen. Daher mache ich das jetzt mal publik.
Ich persönlich bin seit Jahren kein Kunde mehr bei K&M, seit die ein paar anderen Freunden ihre kaputte Grafikkarte (DOA) nicht umtauschen wollten. Keine Ahnung, ob ich bei denen noch in der Datenbank stehe, bei mir kam jedenfalls kein Spam auf die K&M-Adresse an.
Vielleicht gibt es ja auch eine ganz einfache, unschuldige Erklärung. Mal schauen, ob K&M da doch noch Aufklärungsbedarf sieht, wenn die Sache ein bisschen Öffentlichkeit hat.
Update: Jetzt kommen hier Mails von anderen Betroffenen rein, und mehrere vermuten, man habe über den Webserver Dinge abrufen können. Einer meinte, man habe unter http://www.kmelektronik.de/backup/ Daten zugreifen können; jetzt ist da jedenfalls nichts mehr, insofern kann ich das nicht prüfen, ob da mal was war. Archive.org und der Google Cache haben nichts, daher kann ich die URL wohl nennen hier.
3.) Die beschriebene Sicherheitslücke ist nach vielen Jahren erstmals von einem Computer-Fachmann aufgezeigt worden.Anders ausgedrückt: sie haben diese Lücke seit Jahren und nie mal nachgucken lassen, ob sie sicher sind! Und das bringt der jetzt als Verteidigung vor! Dabei gab es da durchaus Präzedenzfälle, die man mal als Anlass für eine Untersuchung hätte nutzen können. Die ganze Presseerklärung ist ein einziger Schenkelklopfer, aber dieser Punkt ist besonders hart, und dann kommt als Selbstentleibungs-Todesstoß das hier:
4.) Der wichtigste Sicherheitsaspekt von Haefft.de ist dem technikorientierten CCC aber vermutlich nicht bekannt. Seit 2000 arbeiten wir mit einem engagierten Netz an Haefft.de-Moderatoren, die sich nach besten Kräften darum kümmern, dass in den Foren und im Chat kein Platz für sexistische, gewaltverrlichende, rassistische oder sonstwie jugendgefährdende Inhalte ist. Diese “Haefft.de-Mods” leisten eine tolle Arbeit und sind unserer Überzeugung als Ergänzung um ein Vielfaches wichtiger als die 100%-Technik-Optimierung, die es vermutlich ohnehin nie geben wird.Aha, Moderatoren. Dass man extern die Datenbank auslesen kann, das ist nicht so schlimm, weil … ihr Moderatoren habt? So ist das also.
*facepalm*
Also, liebe Kinder, gebt fein acht: behaltet eure Daten, wär ja gelacht.
Update: Oh wow, die Presseerklärung ist weg. Es gibt eine neue, die vor allem in den von mir angesprochenen Punkten abweicht. Egal, viel lustiger ist diese Mail hier, in der sich jemand darüber beschwert, von www1.haefft.de eine ssh Dictionary Attack ausgesetzt zu sein. Die Mail ist vom Mai 2008, das hieße also, dass die schon letztes Jahr aufgehackt wurden. Und auch die IP 194.97.156.23 taucht diverse Male auf "von dort wollte mich jemand hacken" Listen auf, könnt ihr ja mal selber googeln.
Im Übrigen will ich mal eine Sache ansprechen: die Klimaleugner hängen sich gerne daran auf, dass es in den letzten Jahren nicht so stark wie prognostiziert wärmer geworden ist. Nun, wir hätten in der Zeit eigentlich eine Abkühlung gehabt, die wir mit unseren CO2-Emissionen aufgehalten haben. Die Erde zykelt halt durch warme und kalte Perioden. Im Moment verhindern wir Menschen offensichtlich den Anfang einer Minieiszeit, und wenn die Erde dann wieder zu einer Wärmeperiode wechselt, dann haben wir die Zukunft der Erdbevölkerung terminal verspielt. Damit ein paar Ölbarone noch ordentlich Profite machen konnten.
Wie können wir Menschen nur so dumm sein, sehenden Auges in so eine Katastrophe reinzulaufen. (Danke, Thomas)
Die New York Times zitiert ein paar Stellen.
Update: Telepolis verweist auf diesen Artikel eines Betroffenen.
"Bad guys are encrypting their stuff now, so we need a methodology of hacking on that to try to break passwords," said C3 senior special agent Claude E. Davenport.Der Grund, wieso sie die PS3 benutzen, ist weil da Linux drauf läuft. Daher müssen sie auch die älteren Modelle nehmen.
Nun ist das im Moment ein Proof of Concept. Das heißt noch lange nicht, dass jemand Wikipedia forkt, oder dass ein Fork sinnvoll wäre, zumal man ja weiterhin bei MediaWiki bliebe, wo sich ja an sich alle einig sind, dass das keine gute Basis für eine moderne Wikipedia ist.
Aber git ist schon mal die richtige Basistechnologie, auf der man sowas aufsetzen wollen würde.
Heute zeige ich euch mal, wie sich ein Hacker einen perfekten Sonntagnachmittag vorstellt. Der erdgeist und ich, wir haben uns im Chat hingesetzt und wollten diesen Code hier optimieren:
for (i=0; i+1<l; ++i) {
if (c[i]=='\n' && c[i+1]=='\n')
return i+2;
if (i+3<l &&
c[i]=='\r' && c[i+1]=='\n' &&
c[i+2]=='\r' && c[i+3]=='\n')
return i+4;
}Der Code kommt aus gatling und soll feststellen, ob die bisher reingekommenen Daten schon einen fertigen HTTP-Header ergeben. erdgeist interessiert sich dafür, weil er den Opentracker hackt, der ja eh schon der mit Abstand schnellste Torrent-Tracker ist, und jetzt soll der eben auch Keep-Alive kriegen, und dafür muss er dann auch mal die Header richtig parsen. Nun ist das aus praktischen Erwägungen heraus nicht sonderlich sinnvoll, an so einer Stelle die letzten Taktzyklen heraus zu optimieren, weil der Bulk der Last eh im TCP Stack anfällt. gatling und opentracker sind I/O-bound, nicht CPU-bound. Aber hey, als zwei alte Bitfrickler haben wir uns mal hingesetzt und das optimiert.Der offensichtliche Ansatz ist an der Stelle, dass man die Speicherzugriffe reduzieren will. Die überwiegende Mehrheit an Daten wird zwar weder CR noch LF sein, und insofern wird es auch im Normalfall nicht vorkommen, dass der alte Code zu viele unnötige Speicherzugriffe macht, aber hey, es ist Sonntag, da muss man nicht rational entscheiden. Das generelle Problem heißt String Matching und ist in der Informatik an sich gut untersucht. Das Buch der Wahl dazu habe ich vor ein paar Jahren gelesen und finde es gerade nicht wieder. Es ist jedenfalls von diesem Chilenen hier, nur sah bei meinem das Cover gelb aus. Egal. Es gibt mehrere schöne Verfahren, um einen bestimmten String schnell zu finden, aber die meisten schnelleren brauchen eine Tabelle, in der sie dann pro einkommendem Zeichen was nachgucken. Das ist zwar in der theoretischen Informatik schnell, aber in der Praxis habe ich dann sogar mehr Speicherzugriffe als ich jetzt habe. Insbesondere bei einem so kurzen Muster wie CR-LF-CR-LF. Das Verfahren, das ich einsetzen wollte, heißt Shift-Or und ist durch agrep populär gemacht worden. Auch Shift-Or braucht eine Tabelle pro Zeichen, aber dadurch dass mein Muster nur aus zwei Zeichen besteht, kann man das auch inline machen. Zur Veranschaulichung der Idee paste ich mal ein Stück Code, das ich mal für ein altes Kommerz-Projekt gehackt habe:
int detect_magic(const unsigned char c) {
#define my_magic "fnord";
static char* magic = my_magic;
static char maybe[sizeof(my_magic)];
int i;
for (i=sizeof(my_magic)-2; i>=1; --i)
maybe[i]=(maybe[i-1] && (c==magic[i]));
maybe[0] = (c==magic[0]);
return maybe[sizeof(my_magic)-2];
}Kurz gesagt hat man ein Array, in dem pro Zeichen im Muster eine 0 oder 1 steht. An Position 0 steht eine 1, wenn das letzte reinkommende Zeichen das erste Zeichen im Muster ist. An Position 1 steht eine 1, wenn das letzte reinkommende Zeichen das zweite Zeichen im Muster ist und das vorige Zeichen das erste im Muster war. Pro reinkommendem Zeichen schiebt man das Array einmal durch und setzt die ausscheidenden Varianten auf 0. Das Muster ist in der Eingabe erkannt worden, wenn der letzte Eintrag im Array 1 ist. Nun ist das natürlich auch alles andere als speichereffizient, da ein Array zu verschieben pro reinkommendem Zeichen, aber wenn man sich das Verfahren mal genau anguckt, kann man auch statt eines Array einen Integer nehmen und pro Eintrag im Array ein Bit in diesem Integer. Solange das Muster höchstens so viele Zeichen wie der Integer Bits hat. Das ist dann genau das Shift-Or Verfahren, weil man pro reinkommendem Zeichen den Integer um eins shiftet und eine 1 hinten dran packt, wenn das Zeichen passt. Dann muss man jeweils mit einer von der Eingabe abhängenden Maske ANDen. In unserem Falle, wenn ein CR reinkommt, ist die Maske (1+4), weil CR in dem Muster an Position 0 und 2 vorkommt, also setzt man Bit 0 und 2 und da kommt dann eben 5 raus. Der traditionelle Shift-Or Algorithmus sieht an der Stelle wieder eine Tabelle vor, aber weil ich ja nach CR-LF-CR-LF matchen will, und da nur CR und LF vorkommen, kann ich die beiden Werte auch inline hinschreiben. Für alle Zeichen, die nicht im Muster vorkommen, ist die Maske 0, d.h. man löscht alle Bits im Integer.Der Code, wie ich ihn eingecheckt habe, sieht so aus:
int state=0;Euch wird auffallen, dass ich beim Newline-Fall erst 1 ORe und dann mit einem Wert ANDe, bei dem die 1 dann wieder rausfällt. Ja, stimmt, das soll so. Man könnte die 1 da jetzt rausnehmen, aber das spart keine Zyklen, also lasse ich das drinnen, damit man dem Algorithmus folgen kann.
for (i=0; i<l; ++i) {
switch (c[i]) {
case '\r':
state=((state<<1)|1)&(1+4);
break;
case '\n':
state=((state<<1)|(1+16))&(2+8+16+32);
break;
default:
state=0;
}
if (state==26 || state==48) return i+1;
So, nun wären wir keine Hacker, wenn wir uns damit zufrieden geben würden. Hier ist die Endversion:
int state;Ihr könnt ja mal gucken, ob ihr das versteht, was da vor sich geht. Wie ihr sehen könnt, shiften wir jetzt nicht mehr einen nach links sondern zwei nach rechts. Hach, ich liebe C! :-)
for (i=state=0; i<l; ++i)
if ((state = (c[i]=='\r' || c[i]=='\n') ?
(state >> 2) | (( c[i] << 6) & 0xc0 ) : 0) >= 0xa0 ||
state == 0x99)
return i+1;
Abgesehen davon: wenn ihr Rotwein mögt, probiert doch mal einen Refosco. Ich habe gestern einen 2003er Refosco bei meinem lokalen Weinhändler gekauft, und das war einer der besten Rotweine, die ich je hatte. Die Rebenart kennt keine Sau, die Flasche kostete nur knapp 7 Euro. Den Wein muss man in einen Dekanter tun und eine halbe Stunde atmen lassen. Dann zieht er einem die Schuhe aus. Oh und falls ihr Rum mögt: den Diplomatico aus Venezuela kann ich wärmstens empfehlen. Wenn der Andreas seinen Rausch ausgeschlafen hat, wird er euch das sicher bestätigen.
Update: Der eine oder andere Spezialist auf dem Gebiet wird jetzt einwenden wollen, dass wir besser einen Boyer-Moore benutzen sollen. Stimmt, ist auch trotz des kurzen Musters schneller. Aber ergibt keinen so schön eindrucksvollen Blogpost.
Update: Ein anderer Leser hat die Werbung auch in New York gesehen, am Flughafen und der U-Bahn. (Danke, Stefan)
Aus Sicht der CDU ist das geradezu unausweichlich. Die sind zwar ideologisch verblendet, aber nicht blind. Dass bei uns bald die überwiegende Mehrheit aus Hartz IV Opfern und Rentnern bestehen wird, das sehen auch die Apparatschiks der CDU. Früher waren das nur die Rentner, da konnte die CDU noch das Rentenalter nach hinten schieben. Aber jetzt, mit Hartz IV? Die aktuelle Strategie ist, die Rentner mit Verblödungs-Wahlkampf in den Wahnsinn zu treiben, damit die nicht wählen gehen. Und die Hartz IV Opfer durch Bildungsentzug dazu zu bringen, dass sie sich keine eigene Meinung bilden können und mitlaufen. Daher auch Verblödungsmaßnahmen wie das "TV-Duell", dessen Ziel es war, den Hartz IV Empfängern einzureden, sie hätten eh nur die Wahl zwischen den Marodeuren und den Verrätern.
Aber wenn die dann merken, wie im Internet unzensierte Quellen kostenlosen Wissens und Bildung für jedermann entstehen, was bleibt denn da überhaupt noch? Internet zensieren (Kinderpornographie!1!!) oder wegnehmen (Three Strikes).
Und das ist euch hoffentlich allen klar: Three Strikes richtet sich nicht gegen den Mittelstand, denn die kriegt man schon mit der Drohung von Bußgeldern gefügig. Three Strikes richtet sich gegen Hartz IV Empfänger, denen man nichts mehr wegpfänden kann.
Das traditionelle Modell für das Problem waren immer Monarchie und Religion. Die Zeiten sind halt vorbei. Wenn das mit dem Wahlrecht nicht durchkommt, erwarte ich noch stärkeren Fokus auf die Verblödung der Bevölkerung.
Update: Der Typ rennt mit dem Vorschlag schon länger rum, der Artikel ist von 2008. Das hält mich nicht davon ab, das zur Wahl nochmal anzusprechen. Immerhin ist der Mann im Bundesvorstand der CDU.
Update: Der Herr Ludewig ist auch mal bei Anne Will (!) voll gegen die Wand gefahren. Wenn man von Anne Will und Westerwelle argumentativ ausmanövert wird, sollte man sich vielleicht was anderes als Politik aussuchen. Übrigens tritt der als Direktkandidat in Berlin-Pankow an. In Pankow kommt die CDU traditionell mit Ach und Krach über die 5%. Man raunt sich zu, die CDU habe den Ludewig dort abgeworfen, um ihn loszuwerden. Wer sich wundert, wie so jemand überhaupt Einfluß in der CDU kriegen kann, immerhin ist der noch keine 30, für den gibt es eine naheliegende Erklärung: der ist 3. Kind des ehemaligen Bahnchefs Ludewig.
Ganz großes Kino.
Dafür gehe ich jetzt mal gepflegt grillen.
Im traditionellen Wortsinne.
Oh und rausgekommen ist das über Emails, die von Hackern veröffentlicht wurden, die seine Site gehackt haben.
Ansonsten gibt es auch schon wie gestern angedacht die He-Man-Version.
Übrigens wird bei der Gelegenheit auch schön illustriert, wieso die Schwarze Pest immer von Urheberrechtsstärkung faselt: Die CDU-Photographin, von der das Schäuble-Bild kommt, will netzpolitik.org jetzt das Remixen verbieten, weil sie ja nur der CDU eine "Lizenz" erteilt hat, und das Bild nicht für "Wettbewerbe" und "Diffamierung" "freigegeben" hat. Was für ein Schenkelklopfer!
Update: Insbesondere zumal bei www.bilder.cdu.de zu lesen ist:
Alle Bilder auf www.bilder.cdu.de können für redaktionelle Zwecke unter Angabe des Bildnachweises (Foto: www.bilder.cdu.de) sowie des Fotografen (soweit genannt) kostenlos verwendet werden. Wir bitten um Übersendung eines Belegexemplares.
Also los, netzpolitik-Recken, einmal ausdrucken für die Internetausdruckerpartei, und dann als Belegexemplar hinschicken. Bwahahaha
Update: Auch äußerlich ist die He-Man-Ähnlichkeit kaum bestreitbar
Also erstens: dass denen die Software geklaut wurde, das kann sein. Warum auch nicht. Und dass Software im Mikrosekundenbereich reagiert — geschenkt. Dass das geht, kann sich jeder selbst angucken, der sich eine Firewall installiert. Die Regeln davon werden auch im Mikrosekundenbereich abgearbeitet.
Nun gibt es plötzlich Verschwörungstheorien, dass Goldmans Software so schnell sei, dass sie vor dem Ausführen des Trades mitkriegt, dass der Trade stattfinden wird, und dann von dem Vorwissen profitieren kann. Das ist mit sehr großer Wahrscheinlichkeit Blödsinn. Ich habe auch mal eine Software für ein NYSE-Interface gehackt und kenne daher das Protokoll. Die Daten kommen nach Ausführung eines Handels und beinhalten den nach Ausführung angepassten Kurs.
Aber selbst wenn das nicht so wäre. Der Kern des Gerüchtes ist ja, dass Goldman a) vor dem Trade davon weiß und b) ihre Software so schnell ist, dass sie noch vor Ausführung der anderen Transaktion eine eigene Transaktion reinschieben kann, um davon zu profitieren. Überlegt euch mal, was das in der Praxis heißt. Die neue Transaktion ist ja auch eine Transaktion, die müsste dann auch Goldman gemeldet werden, bevor sie ausgeführt wird. Und auch bei dieser Transaktion hätte Goldman dann nochmal Gelegenheit, eine Transaktion zwischen zu schieben. Ihr seht sicher, dass das rekursiv ist. Goldman könnte also den Aktienmarkt komplett zum Erliegen bringen, indem sie rekursiv Transaktionen zwischen schieben. Offensichtlich funktioniert das nicht so in der Realität.
Goldman Sachs faselt jetzt was davon, dass mit dieser Software eine Marktdestabilisierung möglich wäre in den falschen Händen. Das ist auch kein Beleg dafür, dass obiges Szenario geht, im Gegenteil würde ich das an ihrer Stelle genau so machen, damit das DHS das mit dem Terroristen-Label versieht und mit Priorität behandelt.
Eine andere Sache ist aber erwähnenswert, mal unabhängig von dieser ominösen Software. Natürlich kann Goldman Sachs trotzdem den Markt manipulieren. Das Google-Stichwort dafür ist Market Maker.
Und im Übrigen ist das natürlich eine wunderbare Ironie, dass ausgerechnet die krasseste Abhör- und Überwachungsregierung der Welt sich darüber aufregt, wenn Rupert Murdoch sie abhört und überwacht. *schenkelklopf*
Sehr hochnotpeinliches Detail: Der damalige Chefredakteur ist heute PR-Chef der Konservativen. Harharhar.
Used in yards, farms and parks throughout the world, Roundup has long been a top-selling weed killer. But now researchers have found that one of Roundup’s inert ingredients can kill human cells, particularly embryonic, placental and umbilical cord cells.Roundup ist das Herbizid, gegen das der Genmais immun ist, den sie seit Jahren auf den deutschen Markt zu pushen versuchen. Gut, dass wir uns da gegen gewehrt haben. (Danke, Frank)
Selbstverständlich darf man in unserem Land Gegner des Grundgesetzes sein und dies äußern, natürlich auch im Internet. Wer dies unterbinden will, übt Zensur. Zensur ist freilich verfassungswidrig. Ich bin strikt gegen jede Art der Zensur. Auch Gegner des Grundgesetzes, auch Extremisten sind Inhaber von Grundrechten.WER SIND SIE UND WAS HABEN SIE MIT HERRN WIEFELSPÜTZ GETAN?!? Oh nein, haben sie dem gar das Gehirn gewaschen? Ich hätte angenommen, dass er dagegen immun ist *kicher*Ich bin dafür, daß der neue, überaus bedeutsame Raum des Internet durch Aufnahme eines "Internet-Grundrechts" in das Grundgesetz besonders geschützt wird. Die Kommunikation der Bürger im Internet muss vor unzulässigen staatlichen Eingriffen geschützt werden. Auf gar keinen Fall darf Zensur stattfinden.
Ooooder der hat die Mutter aller Einläufe vom Bosbach gekriegt :-) Wahrscheinlich hat ihm der Koalitionspartner so fest in den Hintern getreten, dass sie den Stiefel nicht wiedergefunden haben.
Es hat sich gezeigt, dass eine Begasung der Wattestäbchen mit Ethylenoxid DNA-Spuren so deaktivieren kann, dass sie mit der Forensik nicht mehr nachweisbar sind.Da stellt sich natürlich die Frage, ob das auch ausserhalb von Wattestäbchen funktioniert. Wenn ja, sollte mal jemand Ethylenoxid-Spraydosen verkaufen.
Oh und wo wir gerade bei DNA-Spuren waren: Hier hat der New Scientist mal geschaut, wie man DNA von einem Wasserglas so aufbereitet, dass kommerzielle DNA-Analysemethoden das erkennen.
Update: Ethylenoxid ist eher ungeeignet für Spraydosen in der Drogerie. Damit bleibt die beste Methode, einen eineigen Zwilling zu haben.
Alongside child porn, bestiality, rape and extreme violence sites, the list includes a slew of online poker sites, YouTube links, porn sites, Wikipedia entries, sites on euthanasia, fringe religions, fetishes, Christianity, the website of a tour operator and even a dentist.Muharharharhar, der Zahnarzt hat auch eine Theorie, wie er auf die Liste kommt. Dem ist vor ein paar Jahren der Webserver von ein paar Russen gehackt worden, und die hatten da Pornos hochgeladen. Tolle Wurst.
In exchange for Goldstein's help prosecuting seven cases involving botnets, federal prosecutors agreed to charge him with a single misdemeanor hacking charge for damage he inflicted on a University of Pennsylvania server. In October, he received just three months in prison (http://www.theregister.co.uk/2008/10/22/child_abuse_charges/) despite being caught with about 1,000 images of child pornography.Denn was ist schon Kindesmissbrauch gegen ein paar Botnets!1!!Und weil mir das so viele geschickt haben: Einblicke in die Kinderpornoszene. Fand ich jetzt nicht so berauschend, Kapitel 4 ist vielleicht noch ein bisschen interessant aber im Großen und Ganzen genau so, wie man sich das denken würde. Die Inhalte liegen in Deutschland, aber auf die greift man über Proxies im Ausland zu, die dann nur verschlüsselt mit den Backends in Deutschland kommunizieren. Bezahlt wird über gestohlene Kreditkartendaten und gefälschte Papiere. Deals angeleiert werden über Affiliate-Programme. Also alles wie auch sonst bei den Scammern üblich ist, mit Ausnahme der Proxy-Geschichte. Der Rest von dem Artikel sind mehr oder weniger schwer erträgliche Rechtfertigungs- und Rationalisierungsversuche.
Schäubles Passwort war "gewinner". Für dieses Ausmaß an Verblendung müsste man mal einen Award einführen.
Alter one of the parameters and you have access to EVERYTHING: users, activation codes, lists of bugs, admins, shop, etc.Und DIE sollen die Windows-Rechner der Welt absichern?!
Bei C++ kann man z.B. Boost nehmen, oder die C++ Runtime von gcc hat auch atomare Operationen in ext/atomicity.h.
Update: Gibt auch schon Internet-Humor dazu (siehe auch)
Die Idee ist, dass man das in diversen Sprachen mal implementiert. Und zwar schon so, dass das nicht unnötig langsam abläuft, aber auch nicht groß performance-rumhacken. D.h.: in perl implementiert man das in perl und nicht als C-Extension. In C benutzt man malloc und stdio und keinen custom allocator bzw eigene I/O-Pufferverwaltung. Also schon versuchen, schnell ablaufenden Code zu schreiben, aber so, wie man das in der Sprache tun würde. Für C++ heisst das: STL und iostreams benutzen.
Am Ende kann man das natürlich nutzen, um da mal zu gucken, welche Implementation am schnellsten läuft. Hier geht es nicht darum, die Überlegenheit von C zu zeigen, sondern die relative Performance von Interpretern zu gucken. Es geht aber eben nicht nur um Performance, sondern der Code soll auch demonstrieren, wie man sowas in der jeweiligen Sprache löst. Damit man sich die Sourcen anschauen kann, und sich entscheiden kann, ob man diese Sprache für hinreichend elegant hält, dass man sich die mal näher anschauen will.
Wieso ihr mithelfen könnt: ich kann nicht alle Sprachen und habe auch keine Lust, mich da jetzt jeweils reinzugoogeln. Denn ich will den Sprachen ja auch gerecht werden und nicht bloss eine laufende Variante nehmen, die dann am Ende unfair schlecht aussieht oder unnötig langsam ist. Daher wäre es mir lieb, wenn mir jemand für die fehlenden Sprachen Sourcen zuschickt. Ich erwarte da jetzt nicht AppleScript oder so, aber C# wäre z.B. nett, und Tcl. Und vielleicht noch sowas wie LISP oder Scheme.
Hintergrund: der hat sich beim Guitar Hero 2 spielen den Finger verletzt und wollte daher mit der Trommel weiter zocken, hat sich auf dem PC eine Konverter-Software gehackt, die seine MIDI-Drums nimmt und an die Xbox mit Guitar Hero weiterleitet. In dem ersten Video sieht man ihn dann einen Track spielen, der die meisten wahrscheinlich schon auf der Gitarre überfordern würde. Ob dieser Typ eine Art Army-Experiment ist oder so? Solche Leute laufen doch nicht frei rum, oder?
Military computers are regularly beset by outside hackers, computer viruses and worms. But defense officials said the most recent attack involved an intrusive piece of malicious software, or "malware," apparently designed specifically to target military networks.
Die Grenze des rechtlich zulässigen sei möglicherweise überschritten worden, sagte Richter Ralph von Bargen am Montag im Wuppertaler Mord-Prozess. Es sei fraglich, ob die Vernehmung des 20-jährigen Verdächtigen in dem Prozess verwertet werden dürfe. Wie Video-Aufnahmen belegen, hatte der Mann sich vergeblich 38 Mal auf sein Aussageverweigerungsrecht berufen und seinen Anwalt verlangt. Schließlich legte er doch ein Geständnis ab.Soso, möglicherweise überschritten, ja? Hey, sie haben ihm keinen Arm abgehackt, alles halb so wild. Oder wie? (Danke, Dirk)
Seufz. Wir müssen unsere Probleme, so schlimm sie auch aussehen mögen, immer in Perspektive sehen.
Nun, ich bin ja kein Freund von Burks, vor allem weil er Artikel wie diesen schreibt. Und, liebe Telepolis, es ist eine Schande, dass ihr einen Tag nach dem Innenausschuss-Passieren des BKA-Gesetzes so einen Schmuh abdruckt. Habt ihr da echt nichts besseres gefunden?
Aber egal. Rechte sind nur Rechte, wenn sie für alle gelten. Auch Burks hat das Recht, Nebelkerzen zu publizieren. Und diese Hausdurchsuchung war mit Sicherheit Unrecht. Ich hoffe mal, dass er da die angemessenen Schritte gegen diesen Amtsrichter einleitet, der die Durchsuchung für "verhältnismäßig" hielt. Die haben zwar offenbar seinen Rechner mitgenommen, aber die Bombenbastelanleitung ist immer noch Online. Da hat wohl einer der Spezialexperten unserer Regierung nicht verstanden, dass man Webseiten nur in den seltensten Fällen von zuhause aus hostet.
Aber zurück zu Burks publizistischen Nebelkerzen. Es spielt keine Rolle, ob der Staat im Moment in der Lage ist, einen effektiven Bundestrojaner zu bauen oder nicht. Dass gezielte Trojaner effektiv sein können, ist unbestritten. Da muss man nur die Chinatrojaner bei den diversen Behörden betrachten. Dass das BKA mit dem "wir schicken mal einen EXE-Anhang in einer Mail" Ansatz nicht weit kommt, das sehen sie ja auch selber, daher fordern sie ja auch, den Trojaner bei verdeckten Einbrüchen installieren zu dürfen. Burks linkt als "Beweis" für seine These, der Trojaner sei noch nie eingesetzt worden, seit Monaten auf einen Artikel vom April 2007. Mal abgesehen davon, dass das über ein Jahr her ist, und sich seit dem die Faktenlage geändert haben kann: wieso sollten wir dem Autoren glauben? Der ist Richter in Berlin, aber selbst das BKA hat ja verstanden, dass die Erkenntnisse des Trojaners nur schwerlich gerichtsbelastbar sind, insofern heisst das nichts, wenn ein Richter von keinem Fall weiss. Es gibt auf dem Gebiet viele widersprüchliche Aussagen, und man muss da gar nicht verschiedene Leute befragen, schon der Ziercke widerspricht sich laufend selbst. Aufgabe der Presse ist es, den Blödsinn, den Ziercke so von sich gibt, zu publizieren. Dann können Leute wie ich, die sich mit der Materie ein bisschen auskennen, in ihren Blogs dem Ziercke laut ins Gesicht lachen. Burks' heiliger Krieg gegen Presse, die nicht seine Linie vertritt, ist in meinen Augen armselig und eine Schande für seinen Beruf, aber hey, soll er mal machen.
Wenn der Staat ein Gesetz machen würde, dass es Polizisten erlaubt ist, Menschen mit klingonischen Schmerzstäben zu töten, wäre es dann ein gültiges Argument gegen Kritik an dem Gesetz, dass es im Moment keine klingonischen Schmerzstäbe gibt? Das spielt doch keine Rolle, WIE sie ihr Ziel erreichen wollen! Das Ziel ist trotzdem kritikwürdig!
Update: Whoops, connection refused bei Burks. Entweder der Traffic war zuviel, oder sie haben doch den Rechner rausgetragen, oder es hat jemand gemerkt, dass Burkhard "mich kann man mit dem Bundestrojaner nicht hacken" Schröder eine veraltete und angreifbare Wordpress-Version eingesetzt hat. Oder die Polizei hat mein Blog gelesen und sind noch schnell zum RZ gefahren? :-) Sorry, Burks.
Update: Mhh, Burks gilt doch als Journalist. Genießt der da nicht Quellenschutz? Wieso können die überhaupt seinen Rechner raustragen?
Weil der Zug schon Museumsreife hatte, waren seine Trittbretter nicht mit den neuen Niederflurbahnsteigen kompatibel - mit der Folge, dass sich die Trittbrettstufen unter dem Bahnsteig verkanteten. Der Zug hing am Bahnsteig fest. Nachdem sich Zugbegleiter und Lokführer von der Aussichtslosigkeit der Lage überzeugt hatten, war die Mithilfe der Fahrgäste gefragt. Über Lautsprecher wurden sie gebeten, alle auf die linke Seite der Waggons zu gehen, um die Trittbretter zu entlasten. Nachdem diese Aktion nicht wirklich fruchtete, kam der Zugführer auf eine andere Idee: Auf Kommando sollten alle Fahrgäste in die Höhe springen. Der kollektive Fahrgasthopser hatte Erfolg, die verkanteten Stufen lösten sich und die Fahrt konnte weitergehen.Oh Mann.
Immerhin haben sie eine Methode gefunden, auf der Strecke Hannover-Berlin die Pünktlichkeit zu steigern: sie halten dann einfach nicht in Wolfsburg.
Oh und die Displays im ICE werden jetzt in verständlicherem Deutsch beschriftet. (Danke, nibbler)
Besonders lustig daran ist, wie sehr die wöchentlich erscheinende Weltwoche dabei verkackt hat mit dem Titelbild von diesem Donnerstag: "la crise n'existe pas", "Finanzkrise: Die Schweiz gewinnt" :-)
Naja, kann nicht immer klappen. (Danke, Max)
Products expected to be subject to the system are those equipped with secret coding, such as the Felica contactless smart card system developed by Sony Corp., digital copiers and computer servers.The Chinese government said it needs the source code to prevent computer viruses taking advantage of software vulnerabilities and to shut out hackers.
Nee, klar.However, this explanation is unlikely to satisfy concerns that disclosed information might be handed from the Chinese government to Chinese companies.No shit, Sherlock! (Danke, Volker)
Es sieht gerade so aus, als hätten sie den Account nicht wirklich "gehackt", sondern als würde Yahoo einen das Passwort resetten lassen, wenn man das Geburtsdatum und die Postleitzahl angibt, den Accountnamen selbst hatten neulich einige Medien im Rahmen einer Diskussion veröffentlicht, ob sie darüber zu viel ihrer geschäftlichen Email abwickelt. Geburtsdatum und ZIP-Code sind für Sarah Palin, äh, herausfindbar. Und darum, liebe Kinder, gebt nie eure echten Daten bei irgendwelchen Webseiten an!
Bill O'Reilly (Fox News) dazu.
Der "Anonymizer" Proxy-Betreiber hat Logs (HAHAHAHA was für eine Verarschung)
Und das ehemalige Nachrichtenmagazin präsentiert passend: ein tolles WIR-WERDEN-ALLE-STÖRBEN Video, komplett mit grauhaarigem Professor, der mit einem Messer eine aufgeblasene Erde zersticht. Wunderbar!
Update: Gordon Freeman arbeitet auch beim LHC mit [lokale Kopie]; wir sind so gut wie tot!1!! Immerhin denkt jemand mit und hat eine Brechstange für Gordon bestellt.
A five-year-old boy was taken into custody and thoroughly searched at Sea-Tac because his name is similar to a possible terrorist alias. As the Consumerist reports, "When his mother went to pick him up and hug him and comfort him during the proceedings, she was told not to touch him because he was a national security risk. They also had to frisk her again to make sure the little Dillinger hadn't passed anything dangerous weapons or materials to his mother when she hugged him."Und jetzt gibt es dazu ein schönes Kinderbuchcover (hier auf Englisch). Tolle Welt haben wir da. (Danke, Agnes)
The Air Force wants a suite of hacker tools, to give it "access" to — and "full control" of — any kind of computer there is. And once the info warriors are in, the Air Force wants them to keep tabs on their "adversaries' information infrastructure completely undetected."The government is growing increasingly interested in waging war online. The Air Force recently put together a "Cyberspace Command," with a charter to rule networks the way its fighter jets rule the skies. The Department of Homeland Security, Darpa, and other agencies are teaming up for a five-year, $30 billion "national cybersecurity initiative." That includes an electronic test range, where federally-funded hackers can test out the latest electronic attacks. "You used to need an army to wage a war," a recent Air Force commercial notes. "Now, all you need is an Internet connection."
On Monday, the Air Force Research Laboratory introduced a two-year, $11 million effort to put together hardware and software tools for "Dominant Cyber Offensive Engagement." "Of interest are any and all techniques to enable user and/or root level access," a request for proposals notes, "to both fixed (PC) or mobile computing platforms… any and all operating systems, patch levels, applications and hardware." This isn't just some computer science study, mind you; "research efforts under this program are expected to result in complete functional capabilities."
Da sitzen echt ein paar 80jährige Emailausdrucker-Sesselfurzer und haben so viel Geld, dass sie da Aladin und die Wunderlampe spielen können. Die schreiben einfach auf, "wir wollen überall on demand Superuser-Zugriff haben". Aber es gibt auch eine positive Seite an dem Ganzen: das ist El Dorado für Snake Oil Verkäufer. Die werden jetzt einmal von jedem unseriösen Knödel-Anbieter verarscht, vermutlich holen sie sich auf dem Wege auch gleich mal schöne China-Trojaner rein, und am Ende können sie genau so viel wie jetzt. :-)
Beginning in 1999, the government has entered into a series of single-bid contracts with Halliburton subsidiary Kellogg, Brown and Root (KBR) to build detention camps at undisclosed locations within the United States. The government has also contracted with several companies to build thousands of railcars, some reportedly equipped with shackles, ostensibly to transport detainees.According to diplomat and author Peter Dale Scott, the KBR contract is part of a Homeland Security plan titled ENDGAME, which sets as its goal the removal of "all removable aliens" and "potential terrorists."
Fraud-busters such as Rep. Henry Waxman, D-Los Angeles, have complained about these contracts, saying that more taxpayer dollars should not go to taxpayer-gouging Halliburton. But the real question is: What kind of "new programs" require the construction and refurbishment of detention facilities in nearly every state of the union with the capacity to house perhaps millions of people?
Siehe auch.
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192Ich habe ehrlich gesagt keine Ahnung, wo die herkommt. Ich habe gerade mal in der Man Page geguckt, da steht die nicht als Beispiel. Muß ich vor Jahren von irgend einer Webseite kopiert und seit dem mit mir rumgeschleppt haben.
Ohne diese Zeile haben Samba und gatling bei mir beide kein Problem damit, einen Gigabit-Link zu saturieren. Ich habe übrigens bei der Gelegenheit auch gelernt, dass man bei samba sendfile explizit anschalten muss:
use sendfile = yesAber auch ohne sendfile erreicht samba (wie gatling) 111 MB/sec und damit das zu erwartende Maximum an Durchsatz.
Während des Rumfummelns habe ich auch mal den Zeitcode von dl aufgehackt, damit er mit mehr als Sekundenauflösung mißt (jetzt mit 100stel Sekunden), und schon kriegt man viel verläßlichere Zahlen im LAN.
Ich fresse also daher hiermit meinen Hut bezüglich früherer Äußerungen und bitte um Entschuldigung.
Bemerkenswert an dem Angebot sind folgende Details:
Ohne irgendwas davon mal in Aktion gesehen zu haben, maße ich mir mal folgende Glaskugel-Aussagen an:
Update: noch was vergessen: die verkaufen der Polizei auch gleich zwei (!) Proxy-Server zum Verschleiern der IPs. Zwei! Das finde ich bemerkenswert. Hat wohl doch mal jemand aufgepaßt bei unseren Tor-Vorträgen :-)
Alle Tests mit den Wahlcomputern sind zufriedenstellend verlaufen. Die Geräte haben alle Probedurchläufe bestanden, mit einem oder null Fehlern. Deshalb ist die Entscheidung des Staatsgerichtshofs richtig.Hey, nur ein Fehler, was kann da schon passieren. Lieber Herr Bieber, ein erfolgreicher Selbsttest prüft, ob die gewollten Features (für die es Tests gibt) funktionieren. Er prüft nicht, ob es da nicht noch ungewollte Features gibt, die sich z.B. für Wahlfälschung benutzen lassen. Das hat genau NICHTS miteinander zu tun.
Der Chaos Computer Club (CCC) hat den Verbotsantrag geschickt inszeniert. Bei einem alleinstehenden Computer einen Chip auszutauschen, ist einfach. Aber bei einem Wahlcomputer, der in eine Wahl eingebunden ist, also überwacht wird, ist das nicht möglich. Auch einen Wahlcomputer in einen Schachcomputer zu verwandeln, wie das der CCC schon gemacht hat, ist griffig und öffentlichkeitswirksam. Aber wenn ich auf dem Stimmzettel Tic Tac Toe spiele, heißt es auch nicht, dass ich den Stimmzettel gehackt hätte.Jetzt tut er so, als wolle der CCC während der Wahl den Chip austauschen. Das ist selbstverständlich eine dreiste Lüge. Erstmal: der CCC will überhaupt gar keinen Chip austauschen. Der CCC weist darauf hin, dass ein Wahlfälscher den Chip austauschen könnte. Die Wahl wird von Leuten durchgeführt, bei denen ich keinerlei Grund habe, denen Vertrauen entgegen zu bringen. Der Wahlleiter selbst könnte die Manipulation vornehmen. Oder der Bürgermeister könnte für seine Wiederwahl ein paar Mäuse aus dem Staatssäckel in Form eines Beratervertrages an jemanden springen lassen, der ihm das dann in einer Nacht- und Nebelaktion macht. Eine Demokratie versteht dieses Problem und trägt ihm Rechnung, indem gewährleistet ist, dass Bürger die Wahl und die Auszählung überwachen dürfen. Das geht bei Wahlcomputern nicht mehr. Dieses Detail hat offenbar der Herr Bieber nicht verstanden. Aber kein Problem, dafür gibt es ja den CCC und mich, damit wir sowas aufklären können.
Aber wartet, das ist noch nicht alles. Als nächstes versucht der, dem CCC niedere Motive nachzuweisen:
Zudem hätte der Erfolg des Verbotsantrags zu einem Gesichtsverlust des Wahlleiters geführt. Er hat ein Interesse daran, dass die Wahl ordnungsgemäß stattfindet.Aha! Wir machen das nur, weil wir den Wahlleiter nicht leiden können!1!! Nee, klar. Aber der Klopper schlechthin kommt noch:
Aber Papierwahlen sind viel einfacher zu fälschen. Das konnte man gut bei der Wahl des Hamburger SPD-Spitzenkandidaten sehen. Da verschwinden einfach Säckeweise Wahlzettel. Warum gerade der Technologie mehr Manipulationsmöglichkeiten unterstellt werden als Menschen, kann ich nicht verstehen.AAAAAAAARGH! Das ist doch der PUNKT, Mann! Weil wir Wahlzettel hatten, konnten wir sehen, dass da Säckeweise Wahlzettel verschwunden sind! Bei Wahlcomputern kann man das eben NICHT mehr sehen!
Das Wahlrecht wird immer komplizierter, beispielsweise durch Panaschieren und Kumulieren. Und es wird immer schwieriger, Wahlhelfer zu rekrutieren. Da sind Wahlcomputer eine gute Möglichkeit, die Auszählung zu vereinfachen und Kosten zu sparen.Da ist der gute Mann von der Realität überholt worden. Zusammengefaßt: KEINE EINZIGE der Behauptungen, die dieser Mann da trifft, hat mit der Realität etwas zu tun. Erschütternd, dass die Süddeutsche solchen Leuten noch ein Forum bietet.
Update: Hier ist die Homepage. Gebt euch das mal. Unglaublich.
(als Hrsg./mit Claus Leggewie): Interaktivität. Ein transdisziplinärer Schlüsselbegriff. Frankfurt/New York, 2004.
(als Hrsg./mit SPoKK) Jugend, Medien Popkultur. Ein Sammelalbum. Berlin, 2003.
Was hat die bloß geritten, diesen Typen zu Wahlcomputern zu befragen?! Und studiert hat er Politikwissenschaft und Germanistik an der FU Berlin. Keine weiteren Fragen. So jemand ist ja praktisch prädestiniert, sich zur Manipulationssicherheit von Wahlcomputern zu äußern. Ein echter Techniker, der Mann.
New Chicago Police Supt. Jody Weis will take a "hard, close look" at taking further action against an officer suspended after a surveillance camera captured him beating a man handcuffed and shackled to a wheelchair, a police spokeswoman says.
Was für ein hanebüchener Schwachsinn. Facebook-Klone leben davon, dass die Mitglieder ihre Daten da eingeben. Internet-Ausdrucker geben nichts ein, sie sind nur Mitesser an anderer Leute Inhalten. Aus meiner Sicht gibt es jetzt zwei Szenarien:
Leider kann der Schutz vor einem Missbrauch der in Heidelberg erhobenen Daten augenblicklich von der Polizeidirektion Heidelberg nicht gewährleistet werden. Bis wir diese Panne behoben haben, möchten wir sid dringlichst um die Befolgung folgender Maßnahmen bitte:Schöne Aktion! (Danke, Bastiaan)
- benutzen sie[sic!] Telekommunikationsgeräte nur wenn unbedingt erforderlich. […]
- schreiben Sie Briefe, diese sind nicht nur persönlicher, sondern fallen auch nicht unter die so genannte Vorratsdatenspeicherung.
55.11% done; got 382.9MiB of 694.7MiB in 7 sec (54.7MiB/sec), 5 sec to go.Und zwischen gatling und Notebook (dl):
40.64% done; got 282.4MiB of 694.7MiB in 5 sec (56.5MiB/sec), 7 sec to go.OK, das sieht ja schon mal verdächtig ähnlich aus. War im Grunde auch zu erwarten, schließlich benutzt auch samba heutzutage sendfile.
Das ist einfach so lahm, weil SMB die Dateien immer blockweise verschickt. D.h. man schickt einen Request, dass man 60k Datei ab Offset 0 haben will, dann liest man eine Antwort mit den Daten, dann schickt man den nächsten Request. Die Pipeline zwischen Server und Client bleibt immer stehen, wenn der gerade einen Request rausgeschickt hat, bis der nächste Request kommt. Da kommt dann mehrfach die Round Trip Zeit dazu, die Ethernet hat (das ist im Millisekundenbereich, aber das läppert sich).
Gut, aus dieser Erkentnis müsste man ja Kapital schlagen können. Also habe ich mal dl aufgehackt, damit er den nächsten Read Request immer schon rausschickt, wenn er gerade anfängt, die Antwort auf den letzten zu lesen. Hier gegen Samba:
85.81% done; got 596.1MiB of 694.7MiB in 10 sec (59.6MiB/sec), 1 sec to go.Und hier gegen gatling:
93.36% done; got 648.6MiB of 694.7MiB in 7 sec (92.7MiB/sec), 0 sec to go.Man sieht also: das lohnt sich. Allerdings auch nur dann, wenn die Server-Software nicht eh schon am Anschlag arbeitet :-)
Die 92 MB/sec sind schon recht nah an HTTP dran. Mit HTTP kriege ich im selben Szenario 97 MB/sec. Das ist, falls sich jemand fragt, deshalb nicht wire speed, weil das über TCP geht, und TCP am Anfang eine Weile braucht, bis die Window Size groß genug ist. Bei einem Transfer, der insgesamt nur 10 Sekunden braucht, schlägt sich das dann so nieder. meine Zeitmessungen nur mit Sekundenauflösung stattfinden, da gibt es dann Rundungsartefakte.
Interessanterweise verbrät samba gar nicht mal auffallend mehr CPU-Zeit als gatling. Das ist wohl einfach schlechtes Software-Design, was hier den Ausschlag gibt.
A POLISH schoolboy who turned a city's tram network into a giant toy by manoeuvring rolling stock using a TV-style remote control has been arrested after he caused chaos on the public transport system.Adam Dabrowski, 14, described by teachers as a model pupil and an electronics genius, hacked into the public transport network in Lodz to change the track points derailing at least four trams and leaving dozens injured.
The teenager had also equipped himself with a hand- drawn map of city tram junctions.
Ich persönlich habe auch nur die Minderzahl der Vorträge gesehen, aber kann bisher folgende Vorträge empfehlen:
Früher äußerte sich der Verein zu Dingen, von denen er nichts verstand einfach nicht. Das ist heute anders. Im Bemühen, im Gespräch zu bleiben spricht man auch gern mal in Mikrofone, wenn es eigentlich nichts zu sagen gibt. Und ein einstündiger Vortrag zum Bundestrojaner beispielsweise trägt in trauriger Wahrhaftigkeit den Untertitel: "Die Wahrheit haben wir auch nicht, aber gute Mythen".Also tut mir leid, das nehme ich jetzt persönlich. Wer soll denn bitte was zum Bundestrojaner zu sagen haben wenn nicht wir? Wir wurden von der Presse plattgetrampelt, weil die alle von uns wissen wollten, wie sie sich davor schützen können. Dass es überhaupt zu einer Debatte gekommen ist, ist unser Verdienst. Ohne uns gäbe es das Wort gar nicht. Und es war ja nun nicht so, dass wir da keine Fakten gehabt hätten. Im Gegenteil. Gut, der Brunnstein fand den Vortrag unstrukturiert und populistisch, und offenbar haben vereinzelt Leute den Eindruck gehabt, wir seien unvorbereitet gewesen und hätten da unstrukturiert gefaselt, aber ich versichere euch: dem war nicht so. Wir haben uns eine halbe Stunde vorher zusammen gesetzt und unser Material strukturiert. :-)
Und ohne dem Herrn Brunnstein zu Nahe treten zu wollen (wir haben auf dem Congress auch noch eine Weile über den Vortrag gesprochen, und da hat er zwar den Populismus-Vorwurf erhoben, aber uns keinesfalls mangelnde Kompetenz unterstellt), folgenden Absatz kann ich nicht unkommentiert stehen lassen:
Beim Thema Bundestrojaner beispielsweise sei der Verein "nicht genügend kompetent", sagt Brunnstein. In einem Vortrag dazu von der Gefahr überwachbarer Hörgeräte oder manipulierbarer Herzschrittmacher zu sprechen, sei doch "Pipifax", das lenke nur vom eigentlichen Problem ab.DOCH. GERADE über Hörgeräte und Herzschrittmacher muss man reden. Die Situation im Moment ist, dass die uns sagen, sie wollen bloß unsere Rechner trojanisieren, aber das Gesetz läßt eben auch Herzschrittmacher offen. Wenn wir jetzt zu dem Gesetz ja sagen, dann dürfen sie in Zukunft eben auch Herzschrittmachen manipulieren, nicht nur Rechner. Und die Aussage der Leute gerade, dass sie das ja nicht "planen" (sie behaupten nicht mal, dass sie es nie tun werden, nur dass sie es nicht planen gerade), das reicht mir nicht. Das ist einer der zentralen Kritikpunkte an dem Gesetz, dass sie sich da Dinge vorbehalten, die sie weder brauchen noch können, noch wären diese Möglichkeiten technisch beherrschbar. Daher gehört das da nicht hin.
Der Brunnstein kommt halt aus der Malware-Analyse-Ecke bei der Uni Hamburg, wo sie Viren-Binaries angucken, und für den ist das eben die Welt. Brunnstein findet, dass wir viel mehr darauf hinweisen müssten, wie schlimm das mit der Sicherheit da draußen ist, als den inkompetenten Staat zu beschießen, der das ja eh nicht sinnvoll umsetzen könnte, was er da plant. (Ich hoffe, ich gebe das jetzt korrekt wieder aus dem Gedächtnis)
Ich finde: der Brunnstein ist herzlich eingeladen, auch mit der Presse zu reden, und denen die Wahrheit aus seiner Sicht zu erzählen. Ich würde das sogar begrüßen. Je mehr Leute da unabhängig gegen den Bundestrojaner argumentieren, desto besser. Aber unsere Prioritäten so wegzuwischen, das finde ich unangemessen. Wir sind da, wo wir jetzt sind, weil wir eben auch mal populistisch mit Problemen umgehen. Das ist ja kein Zufall, das war harte Arbeit, Wege zu finden, wie man ein technisches Problem so formulieren kann, dass die Bevölkerung versteht, dass sie das a) betrifft und b) ein Problem ist. Wir sind hier keine Universität, wir haben mit unseren Kongressen keine so stringenten akademischen Anforderungen. Bei uns geht es vor allem darum, die Inhalte zu transportieren, und das ist uns, wie ich finde, gelungen, auch und vor allem mit dem Bundestrojanervortrag.
Und wenn der Autor des Artikels uns vorwirft, wir würden heute nicht mehr rumhacken, dann kann ich nur auf §202c verweisen, und möchte auch seine Darstellung korrigieren, dass die Hacks früher alle illegal gewesen seien. Im Übrigen machen wir auch heute noch Aufsehen erregende Hacks als Club, ich verweise da nur auf die Fingerabdrucksachen und Magnetkartendinger, die da im letzten Jahr im Fernsehen liefen.
Also habe ich mir gedacht, hey, kein Problem, MP4Box kann ja auch aneinanderhängen. Ich habe also MP4-Dateien aus Intro, Video und Outro gemacht, und … MP4Box raucht ab, mit einem glibc-Speicherkorruptions-Stackdump, natürlich ein nicht spielbares File hinterlassend.
Gut, dann releasen wir das halt als Matroska. mkvmerge kann auch Tracks hintereinander hängen, genau was man will. Leider mochte er plötzlich meine Intro und Outro nicht lesen, und Zwischen-Hacks der Konvertierung nach Matroska schlugen auch fehl, weil mkvmerge die .AAC-Dateien nicht lesen mochte. Nach dem Encapsulaten in MP4 las er sie dann, aber das Zielvideo hatte kaputtes Audio-Sync. ARGH!
Ich habe jetzt mencoder zerhackt, damit er AVI-Dateien erzeugt, die Vor- und Abspann haben, und richtiges Sync, aber der Sync geht beim Konvertieren nach MP4 oder Matroska wieder verloren.
Inzwischen will ich gar nicht mehr wissen, warum das jetzt alles nicht tut. Ich bin kurz davor, einfach die AVIs zu releasen.
Wie kann man das besser machen? Na man kann eine Art Binär-sprintf definieren, dem man dann halt die konstanten Fragmente übergibt, und dazwischen die Werte, die man eingetragen haben will. Klingt gut, ist lesbar, aber natürlich total ineffizient. Und man muss, da die konstanten Fragmente Null-Bytes enthalten können, auch jeweils die Länge der Fragmente zählen und übergeben und ist damit so weit wie vorher.
Oder man kann Code schreiben, der jedes Byte (auch die konstanten) manuell in das Zielarray einträgt. Das ist immenser Bloat und total ineffizient.
Ich habe mir also überlegt, hey, an sich kann das doch der Compiler für mich zählen. Ich trage im Template "magische Werte" ein, z.B. "d1__", und rufe dann eine Funktion auf, die das Offsets dieses magischen Wertes raussucht. Compiler können heute konstante Teilausdrücke erkennen. Also, dachte ich mir, drücke ich das Problem mal so aus, dass der Compiler sieht, dass das die Teilausdrücke zur Laufzeit berechenbar sind.
Erster Versuch:
static size_t ofs32(const char* const buf,size_t len,const char* const x) {
size_t i;
for (i=0; i<len-4; ++i)
if (buf[i]==x[0] && buf[i+1]==x[1] && buf[i+2]==x[2] && buf[i+3]==x[3])
return i;
return -1;
}Dann muss man beim Aufruf natürlich auch das Array, das man als erstes Argument übergibt, als const char whatever[] deklarieren, damit der Compiler weiß, dass das auch sonst keiner manipuliert. Ausprobiert — tut nicht. gcc inlined die Funktion zwar wunschgemäß, aber generiert Code für eine Schleife. Mit -funroll-all-loops rollt er die Schleife aus, erkennt aber immer noch nicht, dass das Ergebnis konstant ist und zur Compilezeit berechnet werden könnte.Am Ende bin ich dann zu einem Makro ausgewichen, das allerdings echt eklig ist. Ich gebe es hier mal als Auszug wieder:
#define OFS32(buf,x) \Sieht sehr widerlich aus, aber wird vom Compiler korrekt zur Compilezeit ausgewertet und reicht für meine Anwendung. Falls einer von euch weiß, wie man das so deklarieren kann, dass das magenschonender aussieht, aber von gcc doch zur Compilezeit ausgerechnet wird, bitte ich um eine Email.
((buf[0]==x[0] && buf[0+1]==x[1] && buf[0+2]==x[2] && buf[0+3]==x[3])?0: \
((buf[1]==x[0] && buf[1+1]==x[1] && buf[1+2]==x[2] && buf[1+3]==x[3])?1: \
[…]
((buf[31]==x[0] && buf[31+1]==x[1] && buf[31+2]==x[2] && buf[31+3]==x[3])?31: \
-1))))))))))))))))))))))))))))))))
Ja. Apple. Für die Sicherheit.
APPLE! SICHERHEIT! BWAHAHAHAHAHA
Aber lest das mal genau, die stellen nicht um auf Apple, sondern die tun zwischen ihre ganzen Windows-Rechner jetzt ein paar Apple-Kisten. In der Hoffnung, offenbar, dass die "Sicherheit" von Apple abfärbt. Oder so. Oh. Mein. Gott. Und DIESE Leute haben Atombomben in den Händen. *grusel*
The artificial intelligence of CyberLover's automated chats is good enough that victims have a tough time distinguishing the "bot" from a real potential suitor, PC Tools said. The software can work quickly too, establishing up to 10 relationships in 30 minutes, PC Tools said. It compiles a report on every person it meets complete with name, contact information, and photos."As a tool that can be used by hackers to conduct identity fraud, CyberLover demonstrates an unprecedented level of social engineering," PC Tools senior malware analyst Sergei Shevchenko said in a statement.
Among CyberLover's creepy features is its ability to offer a range of different profiles from "romantic lover" to "sexual predator." It can also lead victims to a "personal" Web site, which could be used to deliver malware, PC Tools said.
BWAHAHAHAHAHA wie geil! Wer hätte gedacht, dass wir den Turing-Test nicht bestehen, indem wir die Roboter intelligenter machen, sondern indem wir uns auf die beklopptesten Idioten unter den Menschen beschränken.
Vorab: Bug ist Bug, Windows und OS X sind auf Intel, die Exploit-Technik ist identisch. In Metasploit gibt es für beide Plattformen fertigen Shellcode. Wen greifen die an? Windows!
Versetzt euch mal in Apple. Du hast eine ultra-schlechte Software namens Quicktime gehackt, über die seit Jahren immer wieder Rechner aufgemacht werden, ein einziges klaffendes Sicherheitsloch der Größe von Spanien. Jetzt kommt ein Hacker. Und der hackt nicht dich damit, sondern Windows. Kann man überhaupt klarer mitgeteilt bekommen, dass OS X als Plattform völlig wertlos ist? Apple gibt den Hackern einen Angriffsvektor in die Hand, für den es öffentlichen Shellcode gibt, und die Hacker machen lieber Windows auf. BWAHAHAHAHAHA
Insofern habe ich mich sehr gefreut, dass mein Kumpel eRdgEiSt seinen opentracker auf Basis von libowfat geschrieben hat. Damit haben sie dann einen fetten öffentlichen Torrent-Tracker aufgesetzt, und der hat auch kräftig Skalierbarkeit demonstriert. Wir waren alle stolz auf uns. Aber der heilige Gral war es noch nicht. Der heilige Gral ist der größte Torrent-Tracker der Welt. Und, was soll ich euch sagen, jetzt ist es offiziell: PirateBay steigt auf Opentracker um. Im Moment läuft auf vier ihrer Tracker der Opentracker (der öffentliche Torrent-Tracker meiner Kumpels läuft unter BSD, das ist halt der Vorteil eines schönen Abstraktionslayers, das würde z.B. auch unter Solaris gut laufen, und beim PirateBay läuft es unter Linux) und frühstückt da 17000 Hits pro Sekunde ab mit vier Trackern, verteilt auf sieben Rechner (die benutzen da DNS Round Robin zur Lastverteilung). Ja, das ist ein bewegender Moment für mich, und ich gratuliere eRdgEiSt zu seiner coolen Tracker-Software.
Ich bin ja immer wieder erschüttert, dass die Leute nicht einsehen wollen, dass wir von unbeherrschbarer Technologie umgeben sind. Für den Brief im Büro kann man das managen, da schreibt man dann halt von Hand, hat im Allgemeinen keine Echtzeit-Anforderungen, und prüft nach dem Ausdruck noch mal. Aber bei Wahlen geht das nicht. Ich warte ja auch noch mal darauf, Details aus der Steuerung eines Kriegsschiffes oder Atomkraftwerks zu erfahren, das ist mit Sicherheit auch alles alles andere als im Griff.
Anyway, es gibt auch gute Nachrichten: ich nehme hier immer mit meiner DVB-C Karte die unverschlüsselten öffentlich-rechtlichen Fernsehprogramme auf, und kodiere die dann fürs Archiv in xvid oder H.264 um. Heute hat mir mal jemand gezeigt, wie man bei DVB ein ganzes Bouquet aufnimmt, und da kriege ich dann z.B. in einem Transport Stream gemultiplext ZDF, ZDFinfokanal, ZDFdokukanal, ZDFtheaterkanal, 3sat und KiKa. mplayer kann man dann die TS IDs sagen, und so kann man mehrere Programme parallel aufnehmen. Ich habe mal meine Glue-Programme umgehackt, damit sie das supporten (der Weg der Wahl dafür ist offenbar das Programm "dvbstream"). Sieht bisher gut aus, ich werde heute abend mal ZDF und 3sat parallel aufnehmen um 20:15, mal schauen wie gut das im Produktivbetrieb klappt.
Das Umkodieren der Aufnahmen dauert ja immer ein bisschen, besonders bei H.264. Da gibt es im Codec einen schönen Dual Core Modus, bei dem ich dann mit threads=3 gerne mal 190% CPU-Auslastung kriege in top. Nun habe ich hier einen Dual Core Desktop und ein Dual Core Notebook und würde gerne das Notebook zum Kodieren nutzen. Allerdings ist die Platte darin furchtbar langsam, eine Notebook-Platte halt. Da mußte ich dann schon mal 5 Minuten warten, bis da ein längerer TV-Mitschnitt auch nur drauf kopiert ist. Da muss es eine bessere Wahl geben, dachte ich mir, und war dann die Tage mal genervt genug, um meinen vor Jahren geplanten SMB-Support in gatling mal voran zu treiben. Ich habe es noch nicht ins CVS eingecheckt, und der Code ist ultra-krude und funktioniert vermutlich auch nur mit genau dem smbclient-Fall, den ich da brauche (ist eh nur Lesen, aber ich habe noch nicht mal findfirst/findnext implementiert bisher, Fehlermitteilung funktioniert nicht, etc). Immerhin tut es genug, dass ich damit gerade auf dem Notebook mit dem smbclient-Interface von mplayer per SMB von dem Desktop den Mitschnitt "mounte" und dann direkt transkodiere, mit dem Zielfile im tmpfs des Notebooks. Hach ja, das Leben ist schön. Mal gucken, vielleicht bohre ich gatling noch zu einer NAS-Software für embedded-Geräte auf. Solange man diesen ganzen furchtbaren Authentisierungs-Kram nicht supported, und Anbindung an Active Directory und DFS, und nur einen SMB-Dialekt spricht, ist das überschaubar genug, dass ich es in 4-5 Tagen runter gehackt habe.
SMB ist übrigens so ein entsetzliches und furchtbares Protokoll, dass ich fest damit rechne, dass jetzt im Himmel 72 Jungfrauen auf mich warten :-)
Übrigens, mir ist folgendes aufgefallen: H.264 wirkt bei mir immer sehr verwaschen nach dem Transkodieren. Das liegt daran, dass TV-Aufnahmen normalerweise mit Aspect Ratio kommen, d.h. ein typischer Wide Screen Film kommt mit 720 tatsächlich encodeten Pixeln Breite, aber das wird dann zu 1024 Pixeln aufgeblasen. Wenn man das direkt transkodiert, dann bleiben das 720 Pixel, und da schmiert H.264 schon mal Details weg. Daher: vor H.264 einmal durch den Scaler jagen und das skalierte Material encoden. Wird ein bisschen größer aber sieht viel besser aus.
Leute, wer obiges nicht selber erklärend und der expliziten Ansage nicht würdig findet, der soll bitte weg gehen und sich professionelle Hilfe suchen. Ich bin Hacker, keine Nervenheilanstalt.
Gut, mehr als 5 Schüffelstellen im Staat, das ist selbst für Deutsche Verhältnisse viel, insofern wäre das schon verzeihlich gewesen, wenn sie das jetzt übersehen hätten. Aaaaaber mir wurde vorhin von gewöhnlich gut unterrichteter Quelle gesagt, daß unsere Regierung (vom Land Berlin, in anderen Bundesländern sieht das aber vermutlich ähnlich aus, und wer mal ein bißchen Spaß hat, kann sich auch mal die Referenzlisten und Presseerklärungen angucken) ihr Lawful Interception Equipment von den Israelis (!!!!) gekauft hat, und die hätten per Default schon mal eine Schnüffelschnittstelle mehr drin (und vermutlich auch eine besonders großzügig dimensionierte Wartungsschnittstelle). Warum von den Israelis? Weil die am billigsten waren. Nein, lacht jetzt nicht. Das ist genau das Geschäftsmodell des israelischen Geheimdienstes. Andere Dienste geben viel Geld aus, um anderer Länder Telco-Infrastruktur zu hacken. Israel subventioniert ihre Telco-Industrie so stark, daß sie überall die Ausschreibungen gewinnen, und so zahlen die anderen Länder noch dafür, daß sie das israelische Abhörequipment installieren. Wer glaubt, daß ich mir das gerade aus dem Arsch ziehe, der kann ja mal Amdocs, Verint und Comverse googeln. Erich Möchel ist hierzu auch immer wieder eine unerläßliche Quelle.
Ist alles noch sehr work in progress, aber immerhin — es gibt progress.
The Homeland Security Department, the lead U.S. agency for fighting cyber threats, suffered more than 800 hacker break-ins, virus outbreaks and other computer security problems over two years, senior officials acknowledged to Congress.In one instance, hacker tools for stealing passwords and other files were found on two internal Homeland Security computer systems. The agency's headquarters sought forensic help from the department's own Security Operations Center and the U.S. Computer Emergency Readiness Team it operates with Carnegie Mellon University.
Das ist ja überhaupt mal ein lustiger Gedanke: was passiert eigentlich, wenn ein gemeiner Fiesling unsere Politiker aufhackt und dann Hackertools dort platziert und eine anonyme Anzeige eingeht? Eigentlich müssten die dann ja alle mal direkt in den Knast wandern. Hey, vielleicht finde ich 202c doch nicht so schlecht… Nicht, daß ich hier zu irgendwas aufrufen wollte oder so.
The way to think about the media is that it's basically the same as one of those TV soap operas that's been on the air for twenty or thirty years. The story just rolls on, curving and unfurling, no matter who the actors are and no matter who the writers are. The story itself is bigger than the actors or the writers. The filthy hacks at the Journal are basically no different than the aspiring novelists and screenwriters who take jobs writing for "General Hospital"; they've been hired on to the show for a few years and they're doing their best to keep it entertaining. People like me are the characters in the soap opera and what you realize early on if you're in my position is that you don't have much more control over the plot than do the actors who play roles in a TV soap opera. The trick is to figure out what part the filthy bastards are imposing on you and then to surf that wave and make the best of it.
there were several reports of OpenSSL being broken when compiled with GCC 4.2. It turns out OpenSSL uses function casting feature that was aggressively de-supported by GCC 4.2 and GCC goes as far as inserting invalid instructions ON PURPOSE to discourage the practice.Das ist ja nicht zu fassen. (Danke, Arne)
Nächste Hürde mal wieder der 32-bit Kram. gcc will auf amd64-Systemen auch gleich einen gcc mitbauen, der 32-bit Binaries erzeugt, für "gcc -m32". Schön und gut, allerdings kommt der mit einem Runtime, insbesondere für C++ und Java, und dieses Runtime nimmt dann an, daß es auch die System-Header für 32-bit Systeme vorfindet, was nicht der Fall ist. Insbesondere die Syscall-Nummern sind anders, einige Structs vermutlich auch. Gentoo löst das Problem, indem sie die glibc-Includes aufhacken, so daß die per #ifdef je nach Zielplattform andere Dateien reinziehen. Ein gruseliger Hack, und eben auch non-default. Das hat die glibc echt ganz großartig verkackt, in Zusammenarbeit mit gcc. Und so sind da jedes Mal wieder Eingriffe nötig, um den Scheiß überhaupt kompiliert zu bekommen. Als das dann nach diversen Anläufen doch irgendwann funktionierte, stellte ich zu meiner Überraschung fest, daß gcc jetzt warnt, wenn man "if (i + 3 < i)" macht bei signed ints. Wow. Sollte ich doch mal was erreicht haben mit meinem Kampf gegen die Windmühlen?
Das sind so die Momente, wo ich froh bin, ein eigenes tail in embutils zu haben, wo ich das mal eben reinhacken kann und gut ist.
Das GNU-Projekt ist so eine Lachnummer, das geht echt gar nicht mehr.
Und falls noch jemand Zweifel an der vollständigen Inkompetenz dieses Ziercke-Menschen hat: sie wollen den Trojaner ohne Ausnutzung von Schwachstellen installieren, und sie wollen den Quellcode "einer solchen Untersuchung" beim Gericht hinterlegen. Der Mann weiß ja sowas von GAR NICHT, wovon er redet, das ist echt unfaßbar.
Ich kann euch ja mal sagen, was ich glaube, wie das funktionieren wird jetzt. Das BKA wird irgendeine studentische Hilfskraft dafür bezahlen, einen superschlechten Visual Basic Trojaner zu hacken, und wird den dann auf de Rechner installieren, indem sie einbrechen und einen USB-Stick in die Hardware schieben. Vermutlich werden sie eine Knoppix-CD dabei haben, damit sie an den Rechner rankommen. Wenn also jemand (wie ich) seinen Rechner ganzzeitig laufen läßt, und auch noch unter Linux, dann sieht man das ganz gut, ob da jemand dran war, weil die Uptime ruiniert ist. Abgesehen davon, daß die dann bei whole disk encryption verkackt haben. Wobei sich natürlich die Frage stellt, wieso sie nicht einfach ne Wanze in die Tastatur einbauen.
Update: Der Treiber selbst funktioniert zwar, aber die Ausgabe ist pink statt weiß und stark verrauscht. Seufz.
Die SINA-Box ist ein VPN-Endpunkt, kein MITM-Werkzeug. Man benutzt es gerade, um sich gegen MITM zu schützen. In das große Lawful Interception Bild paßt die SINA-Box höchstens indirekt rein, wenn die abgehörten Daten damit verschlüsselt zum "Bedarfsträger" (so nennt man das im Fachjargon) geleitet werden. Ich hoffe, Volker fängt sich jetzt keine Klage von Secunet (dem Hersteller der SINA-Box) ein, denn was er da geschrieben hat ist Bockmist.
Der Staat wird auch nicht anfangen, Dateien in vorbei fliegenden Downloads zu ersetzen. Theoretisch ist das denkbar, aber wenn sie das tun, und jemand prüft Checksummen nach, dann ist der Trojanerversuch enttarnt. Daher halte ich das für unwahrscheinlich.
Dann gab es da noch die Theorie, daß sie Windows Update o.ä. mißbrauchen. Auch das halte ich für abwegig, denn eine Firma wie Microsoft hat eh schon damit zu kämpfen, daß Softwarepiraten ihren Updateservice für nicht vertrauenswürdig halten, und die Updates nicht installieren, sich dann Malware einfangen, und am Ende sieht das so aus, als sei Windows mal wieder total trivial zu infizieren, dabei gab es den Patch schon seit Jahren. Daher kann ich mir nicht vorstellen, daß die sich für sowas mißbrauchen lassen. Und per MITM kann man bei solchen Update-Services nur was reißen, wenn die wirklich schlecht implementiert sind, bei MS Update und hoffentlich auch allen Antivirus-Updates sind digitale Signaturen involviert, gerade um MITM-Angriffe abzuwehren.
Die nächste Variante wäre, den Leuten den Trojaner einfach per Spam zu schicken, und dann zu hoffen, daß die Leute da draufklicken. Und die Variante ist die einzige, von der ich mir vorstellen kann, daß unsere Strafverfolgungsbehörden ausreichend Expertise haben, nachdem ihnen jemand anderes einen Trojaner gehackt hat. Ich hatte ja bisher nicht viel mit den Strafverfolgungsbehörden zu tun, aber wenn, dann haben die jedes Mal einen katastrophalen Eindruck hinterlassen. Gut, kann natürlich auch Schauspielerei sein, damit sie unterschätzt werden :-)
Insofern mache ich mir da wenig Sorgen, jemals von einem Bundestrojaner betroffen zu sein. Mein momentaner Eindruck ist, daß da einfach jemand geplappert hat, was sie gerne hätten. Jemand, dessen Sachkenntnis sich aus Hollywood-TV ala "Alias" oder "CSI" speist ("Image-Enhancement aktivieren, fraktale Extrapolation des Gesichts anhand der zwei Pixel auf der Überwachungskamera läuft…"). Jemand, der von Tuten und Blasen keine Ahnung hat, und der gerade dafür gesorgt hat, daß sich mein Eindruck der Strafverfolgungsbehörden noch mal deutlich in Richtung Tiefgeschoss verschiebt. Aber ich kann nicht sagen, daß ich das schlecht finde, wenn die Strafverfolgungsbehörden unfähig sind. Das ist immerhin der beste Schutz, den wir vor "Antiterror"gesetzen und staatlicher Oppression haben.
"I have ordered my employees to halt all activity until we have received an answer that is acceptable to us"Das ist ja schon alles übel genug, aber der hat dann auch noch versucht, den Staatsanwalt dazu zu bewegen, Rop zu verhaften!After all, his activities are destabilizing society and are as such comparable to terrorism. Preventive custody and a judicial investigation would have been very appropriate.Der Brüller: diese ganzen Briefe haben sich die Wahlmaschinenhacker über das Informationsfreiheitsgesetz Hollands beschafft. Da sieht man mal wieder, wie wichtig so ein Gesetz ist. Hut ab, Rop! Sehr gut gemacht!
Allerdings gibt es da eine Art Hochgefühl, wenn man einen Angriff findet, oder wenn man einen Angriff noch einen Schritt weiter treibt, oder fast genau so schön: wenn man aus einer zeitkritischen Routine wieder ein paar Cycles rausoptimiert hat. Es gibt da ein Phänomen namens Deep Hack Mode, das man beim Hacken erreichen kann, und zwar beim Reverse Engineering genau so wie beim Programmieren. Darunter muss man sich eine Art Tunnelblick vorstellen, in dem man sich hinein steigert. Ein starker Fokus auf das, was man gerade tut. Ein so starker Fokus, daß manche Leute von Meditation sprechen. Das geht natürlich am besten, wenn man nicht gestört wird, daher kriege ich spät abends die meisten Sachen fertig. Gestern habe ich im Deep Hack Mode die Bignum-Multiplikation auf i386 portiert, und heute habe ich mal einen Additions-Generator gemacht. Die aktuellen Cycle-Werte sind:
Also, wenn ich zwei 1024-Bit-Zahlen addieren will, dann sind das auf AMD64 16 Additionen. Mein Code braucht ca 640 Zyklen, der gcc-Code braucht ca 440 Zyklen, der schnellste Code (tomfastmath) braucht immer noch 390 Zyklen. Auf meinem Athlon 64 braucht der Code 84 Zyklen. Es ist bekannt, daß Addition mit Carry auf dem Pentium 4 unglaublich langsam ist, aber auf dem Core hieß es hätten sie das gefixt. Wenn man 16 Mal "adc %%rdx,%%rax" macht, braucht das auf dem Athlon 64 16 Zyklen, auf dem Core 2 aber 48. Das ist enttäuschend, aber das ist immer noch nur ein Zehntel der Gesamtzeit. Wo geht die ganze Zeit hin? Ich habe dann mal in mehreren Schritten geguckt, aber schaut euch den Code selber an (nur den 64-bit-Teil). Ich habe da mehrere Verfahren getestet, wie man die Addition machen kann. Es stellt sich raus, daß das pure Laden, Addieren und Schreiben bloß 72 Zyklen braucht, wenn man die Offsets als Konstanten hinschreibt und das nicht als Schleife macht. Dabei spielt es keine Rolle, ob man das Ergebnis des adc direkt schreibt oder in einem Register hält und später schreibt (immer vier adds, vier stores habe ich getestet). Allerdings: wenn man immer direkt schreibt, und immer das selbe Register für den Wert nimmt, dann wird es langsamer. Für genau diesen Fall ist Register Renaming da, das können x86-CPUs an sich seit Pentium 2 oder so. Offenbar hat Core 2 da Defizite, den dann kostet das einen Cycle mehr pro Addition.
Damit wären wir bei 84 Cycles insgesamt, immer noch weit von den 480 entfernt. Wenn man das als Schleife schreibt, und die Offsets in den Arrays dynamisch ausrechnet (über einen Schleifenzähler und die erweiterten Adressierungsmodi von x86), ist man plötzlich bei 480 Cycles. Ja, richtig gelesen! Die selbe Arbeit, als Schleife geschrieben, braucht mehr als 6 Mal so lange. Schlimmer noch, wenn man das nicht über die erweiterte Adressierung sondern per Zeigerarithmetik macht, braucht der Code sogar 504 Zyklen! Kurz gesagt: das ist ein Desaster. Ich bin völlig überrascht, daß das das Bottleneck ist. Das heißt für mich, daß ich da jetzt für typische Werte wie 1024, 2048 ausgerollte Routinen vorhalten werde. Übrigens ergibt sich beim Athlon 64 eine ähnliche Progression, aber statt von 72 zu 504 geht es dort nur von 42 zu 160. Man sieht also: auch dort ist noch deutlich was rauszuholen.
Übrigens: auf dem Athlon ist es schneller, zwischen das add und das Rausschreiben des Ergebnisses andere Instruktionen zu schedulen. Das ist auch überraschend, das hätte danke Reordering kostenlos sein sollen.
Kurzzusammenfassung für Nicht-Assemblerhacker: normalerweise optimiert man Schleifen, indem man den Inhalt der Schleife optimiert, und sich Gedanken macht, ob man die Parallelität erhöhen kann, indem man den Schleifeninhalt möglichst so formuliert, daß verschiedene Durchläufe unabhängig voneinander sind. Conventional Wisdom ist, daß man sich eine alte Optimierung namens Unrolling heute sparen kann, ja es sogar kontraproduktiv ist, weil der eigentliche Schleifenteil wegen CPU-Features wie Register Renaming, Multiskalarität, Pipelining und Result Forwarding quasi kostenlos ist, und die CPU intern quasi unsichtbar eh Unrolling betreibt. In meinem Code kommen jetzt aber 80% der Laufzeit vom Schleifenmanagement selbst, nicht vom Code in der Schleife. Diese Erkenntnis ist besonders krass, weil die plötzlich denkbare Ersparnis deutlich über das hinaus geht, was man von krassen Spezialoptimierungen wie Vektorinstruktionen o.ä. hätte erwarten können.
Ich würde das ja mal so deuten, daß diese ganzen IP-Listen funktionieren. Der Trend bei P2P-Clients ist, daß man da Blocklisten einträgt, mit IP-Ranges, von denen irgendjemand glaubt, daß da "die Bösen" sitzen. Und wenn die nirgendwo mehr connecten können, dann haben sie schlicht keine weiteren Beweise als daß der Tracker die IP zurück geliefert hat.
Gut, auch bei uns ist da ein bißchen Posing dabei, aber man trifft doch nette neue Leute auf dem Congress, und kann sich streßarm unterhalten. Bei den Amis geht es echt nur ums Coolness-Simulieren. Da werden immer von sich cool gebenden Firmen krasse Parties geschmissen, wo es dann ein furchtbares "aber nur die Coolen sind eingeladen" Getue gibt, und am Ende ist es dann doch bloß ein tumbes Besäufnis, bei dem sich am nächsten Tag keiner an Details erinnern kann.
Wie komm ich jetzt darauf? Ich habe mich vor einer Weile überreden lassen, bei Daily Dave zu subscriben. Das ist eine Mailingliste von Dave Aitel, dem Chef von ImmunitySec. Und selten sieht man so schön, wie Anspruch und Realität auseinanderklaffen können. Es soll da (natürlich) darum gehen, daß nur die coolen Kids miteinander abhängen, und die sollen angezogen werden über den coolen Content, den Dave da postet, und was passiert dann da am Ende? Sind zwar alle subscribed, aber niemand postet was. Dave schickt eine Mail pro Tag, und eine peinlicher als die letzte. Fast nur Werbung für seine großartigen Produkte, für seine tolle Firma, und der neueste Hammer: Canvas (ihr Python-Framework ala Metasploit) kann jetzt IPv6! Das ist ja un-glaub-lich, IPv6 sagt ihr? In 2007? WHOA! Sogar Windows hat vor denen IPv6 supported, und jetzt glaubt er damit Coolness-Punkte einsammeln zu können? Beachtlich auch, daß er damit Werbung macht, daß sie das einzige "penetration testing platform" mit IPv6-Support seien. Tja, so schlecht ist das da draußen in der Security-Branche. Daher setze ich auch kein einziges dieser Toolkits ein in der täglichen Arbeit. Nicht daß die gar nichts taugen, das ist im Grunde eine Sammlung von Exploits, die sie gehackt haben, mit einer For-Schleife und einem gruseligen Python-GUI drum herum. Also ja, ist ne Leistung, aber … dafür Geld ausgeben? HAHAHA.
Wenig erstaunlich weist ihn dann ein Finne darauf hin, daß ihr Tool schon seit Jahren IPv6 kann, und da entgleist Dave dann vollends. Also ich finde das ja schon frech genug, einen Haufen Python-Kode auch noch verkaufen zu wollen, aber hey, vielleicht findet er ja Kunden. Aber dann seinen Code (der ja nicht mal sein Code ist, er ist da der CEO, nicht der Hacker) als NP-vollständig zu bezeichnen, und deren Fuzzer als O(1), das ist so genau die Art, die ich an den Amis nicht leiden kann. Zumal die einzige Software, die er selbst veröffentlicht hat, SPIKE ist. Eine Fuzzer-Sammlung. Und seine Email-Adresse damals war bei Hotmail. Hotmail! Bwahahaha.
Aber das betrifft nicht nur die Security-Branche. Das ganze Internet ist voll von aufgeblasenen Posern, die selbst noch nie eine meßbare Leistung erbracht haben, aber ewig rumbloggen, wie cool sie sind. Ganz oben in meinem Web-Killfile ist "Joel on Software". ARGH! Wobei der ja offenbar immerhin erfolgreich eine Firma betreibt, also nicht völlig hohl ist. Also ich habe ja so meine Probleme mit den Dylan-Evangelisierern, aber die sind immer noch weniger anstrengend als Joel. Aber so ist das wohl, je weniger jemand kann, desto mehr fühlt er sich zu sagen verpflichtet. Genau wie bei den Apple-Fanboys und den Debilianisten.
BTW: Sobald Jörg Schilling ein ich-bin-ja-so-cool Blog aufmacht, ziehe ich diesen Artikel zurück.
Auch der Generalstaatsanwalt von Michigan ist von dem Urteil irritiert, denn der hatte im letzten Herbst eine Affäre zugegeben. Seit 1971 ist niemand mehr wegen einem Seitensprung verurteilt worden. Immerhin: die Strafandrohung gilt für Männer und Frauen gleichermaßen.
Ich finde ja, die sollen sich alle nicht so haben, und da mal Handabhacken bei Diebstahl einführen, und Burka für Frauen, für die Zeiten, wo sie nicht zuhause am Herd stehen zumindest. Dieser ganze neuzeitliche Firlefanz führt doch nur zu Sodom und Gomorrah.
Nun, das sah jemand anders, und hat dieses Statement im studivz-Blog geblogt :-) Irgendwas sagt mir, daß das keiner der Mitarbeiter von StudiVZ war, aber ich könnte mich da auch irren jetzt.
Update: (1:00) Boah das war ja schnell weg. Hat nicht mal ne Stunde gehalten. (1:05) Dafür ist es gerade unter 115 abrufbar. Na ein Glück, daß mir das jemand per IM gesagt hat, als ich gerade geguckt habe :-)
Update: jetzt (1:09) ist das ganze Blog weg.
Wißt ihr, das ist genau der Grund, wieso ich mein Blog lieber selber hacke, als dieses ganze PHP-Gerotze einzusetzen. Gerüchten zufolge funktioniert der Exploit nur, wenn register_globals=on ist; das wäre noch mal einer drauf. Damit werden seit 10 Jahren PHP-n00bs geownt. Das ist wirklich besonders hart, mit so einer Konfiguration dann dem Spiegel zu sagen, man habe ein sicheres System am Start.
./indra/newview/llinventorymodel.cpp: system(buffer);Und dann dieser Instant-Klassiker-Kommentar:
./indra/newview/llstartup.cpp: system(update_exe_path.c_str());
./indra/newview/viewer.cpp: system(command_str.c_str());
./indra/newview/viewer.cpp: command_str += " &"; // This backgrounds the command so system() doesn't block until the crashreporter exitsUnd noch ein Haufen system-Aufrufe im OS X Update Teil, aber hey, weiß ja jeder, daß OS X sicher ist, da muss man also nicht weiter gucken. BWAHAHAHAHA.
Also ich finde ja, Second Life hacken ist wie die Special Olympics hacken. Da könnte ich danach nicht mehr ruhigen Gewissens schlafen. Aber falls das jemand der Anwesenden hier benutzt: ihr werdet demnächst voraussichtlich am Grid Computing teilnehmen, wenn auch unfreiwillig.
Oh, popen ist auch beteiligt:
./indra/mac_updater/mac_updater.cpp: FILE *mounter = popen("hdiutil attach SecondLife.dmg -mountpoint mnt", "r");Also ich habe ja keine Ahnung von Apple, aber das sieht vage gefährlich aus. Dann noch dieses Extrembeispiel von programmiererischer Eleganz:./indra/SConstruct:pipe = os.popen('grep LL_VERSION_MAJOR llcommon/llversion.h | sed \'s/.*=//; s/[^0-9]*//g\'')
Steini hat da eine kommerzielle Drohne am Start gehabt, die ca 800 g wiegt, 200 g Nutzlast hat, mit vier Rotoren angetrieben wird, und zwei ARM-Prozessoren drauf hat, die das Teil in der Luft stabilisieren (und sogar Wind erkennen und gegensteuern). Man hat dann eine Fernbedienung, aber das Gerät hat auch noch GPS an Bord, und kann sich damit an Position halten. Da ist auch eine Kamera an Bord, die Bilder live runter funkt, und man kann sogar GPS-Waypoints definieren, wo das Ding dann hin fliegt, Fotos schießt, und wieder zurück fliegt. Der Preis ist mit 10 Kiloeuro recht hoch, aber es ist abzusehen, daß der deutlich runtergehen wird in den nächsten Jahren. Im Moment sind die alle noch handgelötet, das ist halt teuer.
Rop hat den Wahlmaschinenhack in Ruhe dargestellt, und das war noch mal ne Runde dramatischer, als das hier ankam. Wenn der Mitschnitt im Internet ist, guckt euch das mal an.
Dieser Link veranschaulicht das Problem.
Nun fragt sich vielleicht jemand, was daran so schlimm ist. Nehmen wir an, jemand hackt einen der Debian Mirrors und uploaded da ein bösartiges .deb-File, dann kann der so eine geänderte URL mit der MD5-Checksumme seines bösen Files verbreiten, und paranoide User werden dann nur das kompromittierte nehmen, weil bei den anderen die Checksumme ja nicht überein stimmt.
Update: Debian hat das Problem jetzt gefixt, indem sie … (haltet euch fest) die LÄNGE auf 16 festschreiben. Der alte Link geht jetzt nicht mehr, aber der hier geht noch. Inbesondere gehen noch falsche MD5-Checksummen! (Danke, Jan)
Nun braucht man für dieses Logging die Möglichkeit, das Original-malloc aus der glibc aus dem überschreibenden malloc aufzurufen. Dafür gibt es libdl, wofür man dlfcn.h included und dann dlsym benutzt. Die glibc hat genau dafür ein Flag vorgesehen, RTLD_NEXT, mit dem man dlsym sagen kann, man will das zweite Symbol haben, also das was ohne das LD_PRELOAD genommen worden wäre.
Soweit, sogut, funktioniert auch, — außer das Programm benutzt pthread. Dann gibt es sofort einen Segfault, bevor noch das Logfile erzeugt wird. Stellt sich raus, daß dlsym mit libpthread offenbar selber malloc aufruft. GROOOOOSS, liebe glibc-Leute, GANZ groß. Da weiß man, wieso man glibc benutzt.
Das landet dann natürlich bei meinem malloc-Wrapper, der aber noch nicht weiß, welches Original-Malloc er aufrufen soll. Es gibt sogar eine undokumentierte Lösung für dieses Problem: man ruft __libc_malloc auf, was die glibc genau für solche Situationen zur Verfügung stellt — damit libdl ein malloc aufrufen kann, ohne ein LD_PRELOAD malloc zu erwischen. Aber hey, im in den Fuß schießen war die glibc ja schon immer führend.
Die Idee war natürlich mal wieder, "kleiner" und "schneller" zu sein, "improved threading support" (!?!?) und "extensibility". Also wenn jemand von extensibility redet, dann gehen bei mir ja schon die Alarmglocken an, denn das ist das X aus XML. Und hey, was soll ich euch sagen, es kommt von Freedesktop.org, den größten Flaschen des Universums, die Homepage ist ein furchtbares Wiki (!), und es ist noch viel schlimmer:
XCB is built atop an XML description of the core X protocol and the protocol of most of the extensions in common use today.OH MEIN GOTT! Warum würde jemand so etwas furchtbares tun?This allows much of the XCB code to be auto-generated […]Ich weiß nicht, wie es euch geht, aber ich habe noch NIE "auto-generated" Code gesehen, der kleiner, schneller oder besser wartbar gewesen wäre als handgeschriebener Code. Wer sich das noch mal eben vor Augen führen will, der möge sich mal ein "configure" angucken. Im Gegenteil, autogenerierter Code ist üblicherweise um Faktoren bis Größenordnungen größer und langsamer als handgehackter Code. Die einzige Ausnahme, wo generierter Code gelegentlich schneller ist, ist yacc (von Hand schreibt man normalerweise Top-Down Parser, keine Bottom-Up Parser wie yacc sie generiert, eben weil die nicht verständlich sind am Ende. Bei gcc haben sie kürzlich den yacc-Parser rausgeschmissen und einen Parser von Hand gemacht, weil dieser generierte Code völlig unwartbar war).Aber hey, Vorurteile wollen gepflegt werden. Und so habe ich mal configure und make gesagt.
[…]Ja, richtig gesehen. Der XML-basierte Buildprozeß kackt ab. Nicht irgendein Teil — der Teil, der den auto-generierten Code generiert. Das ist libxslt 1.1.18, gelinkt gegen libxml2 2.6.27, nicht irgendein obsoleter Kack, falls das jetzt jemand vermutet hat.
make[2]: Entering directory `/tmp/build/libxcb-0.9.93/src'
for i in xproto.xml bigreq.xml composite.xml damage.xml dpms.xml glx.xml randr.xml record.xml render.xml res.xml screensaver.xml shape.xml shm.xml sync.xml xc_misc.xml xevie.xml xf86dri.xml xfixes.xml xinerama.xml xprint.xml xtest.xml xvmc.xml xv.xml ; do \
rm -f $i ; \
ln -s /usr/X11R7/share/xcb/$i $i ; \
done
/usr/bin/xsltproc --stringparam mode source \
--stringparam base-path /usr/X11R7/share/xcb/ \
--stringparam extension-path /usr/X11R7/share/xcb/ \
-o xproto.c ./c-client.xsl xproto.xml
make[2]: *** [xproto.c] Segmentation fault
Keine weiteren Fragen, Euer Ehren.
Now don't get me wrong — there's a 100% chance that the voting machines will get hacked and all future elections will be rigged. But that doesn't mean we'l get a worse government. It probably means that the choice of the next American president will be taken out of the hands of deep-pocket, autofellating, corporate shitbags and put into the hands of some teenager in Finland. How is that not an improvement?Statistically speaking, any hacker who is skilled enough to rig the elections will also be smart enough to select politicians that believe in… oh, let's say for example, science. Compare that to the current method where big money interests buy political ads that confuse snake-dancing simpletons until they vote for the guy who scares them the least. Then during the period between the election and the impending Rapture, that traditionally elected President will get busy protecting the lives of stem cells while finding creative ways to blow the living crap out of anything that has the audacity to grow up and turn brownish.
Er hat nicht Unrecht. Vielleicht sollten wir das wirklich als Chance sehen.
So, was haben wir denn jetzt?
Laßt uns das doch mal genauer betrachten. Wieso sparen sie die Hälfte der Wahlvorstände ein? Jeder Wahlbezirk hat einen Wahlvorstand. Wieso sollte sich das mit Wahlmaschinen ändern? Das ist auch keine Person, sondern ein Wahlvorsteher mit Stellvertreter, einem Schriftführer mit Stellvertreter, und ein paar Beisitzer. Ich bestreite hiermit schlicht, daß sie das einsparen können, denn deren Tätigkeit wird ja nicht verändert durch die Wahlmaschinen. Die üben eine Art Hausrecht im Wahllokal aus, sorgen für die Einrichtung des Wahlraumes, überwachen die Stimmabgabe, zählen die Stimmen aus und übermitteln die Ergebnisse an das Wahlamt. Selbst wenn der jetzt die Stimmen nicht mehr zählen müsste, weil man den Wahlmaschinen trauen könnte (was ja wegen der selbst vom Nedap-Distributor eingeräumten Manipulationsmöglichkeiten nicht der Fall ist), braucht man die ja noch für den Rest der Aufgaben.
Das mit den Wahlanfechtungen halte ich für transparente Strohmann-Panikmache. Schaut her, dieses Horrorszenario nehmen wir euch armen geschundenen Beamten ab, wenn ihr uns nur unseren Scheiß abkauft. Abgesehen davon ist das ein Feature unseres Systems, daß man Wahlen anfechten kann. Das will man so haben. Das macht eine Demokratie aus. Wir sind doch hier nicht in einer Bananenrepublik!
Bleiben die Kosten. Rechnen wir doch mal nach. Sie sagen, mehr als 70% der Kosten seien Personalkosten. In Deutschland arbeiten die Wahlhelfer ehrenamtlich, sie kriegen nur ein paar Euro "Erfrischungsgeld", wir rechnen mal mit 20 Euro. Tatsächlich kriegen nicht alle Erfrischungsgeld, und der genaue Betrag variiert. Wahlen finden in Schulen statt, es fällt also auch keine Miete an. Und da Nedap in ihrer Presseerklärung auch weiterhin vom 6-Augen-Prinzip spricht, können sie gegenüber herkömmlichen Wahlen auch kein Personal sparen. Wenn wir von über 70% fixen Personalkosten ausgehen (sagen wir mal konkret 75%), dann können die "20-40% Einsparungen", die Nedap da verspricht, als überhaupt nur maximal 25% sein. Weiter noch, wenn die Personalkosten 60 Euro Efrischungsgeld sind, und das 75% der Kosten sind, sind die Gesamtkosten der Wahl 80 Euro. Wenn Nedap davon 20% einsparen will, sind das überhaupt nur 16 Euro. Nehmen wir also mal an, Nedap kann pro Wahl 16 Euro einsparen. Jedes Gerät kostet 4000 Euro. Aber nehmen wir an, Bill Gates würde uns die Wahlmaschinen schenken. 16 Euro pro Wahlmaschine kostet alleine die Lieferung mit der deutschen Post. Was kostet sowas, wenn man das als sicherungswürdiges Gut behandelt, wie Nedap ja argumentiert? 32 Euro (mit dem Maschinenwert gerechnet).
Nun wird man aber an keiner Stelle in Prozessen technische Geräte einbauen können, die von sich aus gegen rechtswidrige und verbrecherische Handlungen immun sind. Dies zu glauben ist naiv.Ich bin entzückt, daß sich diese Erkenntnis bis zu Nedap herumgesprochen hat, ist sie ja auch zentrales Credo der Hacker, die die Wahlmaschinen gehackt haben. Und die logische Konsequenz daraus ist, auf Wahlmaschinen lieber ganz zu verzichten. Dem wird sich Nedap dann sicher auch gerne anschließen, gell?
Wer berichtet noch nicht? Der Spiegel. Und der Focus. Die beiden streiten sich ja immer, wer besser ist. Beide sind offensichtlich völlig unakzeptabel. Über den Wahlbetrug der Nazis berichtet man häufig, ausführlich und gerne beim Spiegel, aber unser heutiger Faschismus ist tabu? ARD, ZDF? Schweigen im Walde. Zum Kotzen.
Aber man kann das ja auch positiv sehen. Jetzt wissen wir, wer uns im Zweifelsfall informiert und wer nicht. Der Tagesspiegel und die Zeit haben gerade massiv Punkte gemacht bei mir.
Kurz gesagt: Totalschaden.
Die haben die Software auf den Maschinen gehackt, so daß Stimmen woanders ankommen. In das Lager mit den Wahlmaschinen kann man einfach reinlaufen und die Kisten manipulieren; die Maschinen sind mit einem Billigst-Schlüssel "gesichert", alle mit dem selben.
Und dann gab es da noch eine persönliche "No, fuck YOU" Aktion, weil Nedap immer bestritten hatte, daß das Wahlcomputer seien, denn auf richtigen Computern könne man ja Schach spielen. Also haben die Hacker ein Schachprogramm auf die Maschine portiert :-)
Herzlichen Glückwunsch an Wij vertrouwen stemcomputers niet! Möge Nedap auch in Deutschland platzen.
Ich habe ja mal eine Suchmaschine für Webseiten gehackt vor ein paar Jahren, und damals habe ich gelernt, was für ein armseliger Haufen diese ganzen Online-Angebote so sind. Zu 80% ist das ein Abdruck von DPA-Meldungen, dann ein paar belanglose Lokalnachrichten, und dann der eigentlich wichtige Teil, die Anzeigen. Denn das ist ja, womit die Zeitungen außerhalb des Internets ihr Geld verdienen, also haben sie gedacht, da müsste im Internet genau so weiter laufen. Im realen Leben ist das so, daß die Zeitung nicht mitkriegt, wenn keiner an ihren "Inhalten" interessiert ist, und es ist so, daß ich als Kunde, wenn ich denen schon Geld in den Rachen werfe, auch geneigt bin, da ein bißchen rumzublättern. Aber im Internet ist das eine knallharte Konkurrenz um meine Aufmerksamkeit. Und da muss dann halt mehr sein als DPA-Meldungen. Daher gehen die Zeitungen gerade alle ein, und aus meiner Warte haben sie es auch alle verdient. Ich habe als Kind mal Zeitungen ausgetragen für Madsack, ein Verlagshaus in Hannover. Die haben in Hannover die beiden Zeitungen rausgebracht, die sich dann eine Pseudo-Konkurrenz geliefert haben. Und die machen das nicht nur in Hannover, die haben auch im Umland zig Postillen, die alle pseudo-konkurrieren, aber letztlich doch den selben Kram abdrucken. Und diese Art von Verarschung läßt sich der Kunde halt im Internet nicht mehr bieten, da ist es zu einfach, sich den Inhalt woanders her zu holen. Und im Internet gibt es auch keine künstliche Knappheit, weil der lokale Kiosk nur das lokale Wurstblatt führt, oder weil der Spiegel teurer als die Bild-"Zeitung" ist. Die haben den Untergang alle verdient. Möge es langsam und qualvoll sein. Am Ende brauchen wir drei-vier Online-Quellen, die sich anständig Konkurrenz machen, der Rest ist überflüssig, und das Blocken von Suchmaschinen wird das eher noch beschleunigen.
The marketing director for the machine's maker — Diebold Inc.'s Diebold Election Systems of Allen, Texas — blasted the report, saying Felten ignored newer software and security measures that prevent such hacking.
China has the death penalty for 68 offences including, bigamy, stealing petrol, tax evasion and computer hacking.
goblinhack is a rogue-like game with ASCII graphics, OpenGL, and smooth scrolling.
Bisher habe ich bloß Addition und Multiplikation implementiert, noch nichts mit Modulo und Potenzieren, aber das kommt noch. Modulo ist für Addition hauptsächlich ein Vergleich und eine Subtraktion von einer kleineren Zahl (beides relativ trivial) und bei Multiplikation führt man das auf das Additions-Modulo zurück, weil Divisionen echt teuer sind. Potenzieren ist letztlich einfach nur häufig Multiplizieren, insofern wende ich mich dem zu, wenn ich mit meiner Multiplikation zufrieden bin. Das Modulo macht man beim Potenzieren immer nach jeder Multiplikation, sonst werden die Zwischenwerte zu unhandlich.
Jedenfalls ist meine Additions gerade Weltmarktführer, und meine Multiplikation spielt immerhin in der selben Liga wie die anderen. Da ist das letzte Wort noch nicht gesprochen, aber letztlich hoffe ich, daß es da tolle Tools gibt, die mir da beim Unrollen und Scheduling helfen können.
Ein kleines Zwischenergebnis kann ich aber schon mal mitteilen hier, was ich heute gelernt habe: Zeigerarithmetik ist langsamer als Indizieren auf x86 und AMD64 (zumindest bei AMD). Wenn man in einer Schleife ständig die Zeiger hochzählt, dann schafft das künstliche Abhängigkeiten, billiger ist es da, die erweiterten Adressmodi zu benutzen, z.B. movq (%rsi,%rcx,8),%rax. Wenn man die Reihenfolge der Schleife nicht einfach umkehren kann (bei der Addition z.B.), dann ist es immer noch billiger, wenn man vor er Schleife die Arraygröße zu den Zeigern dazu zählt, dann rcx negiert, und in der Schleife immer einen draufzählt statt abzieht, und dann guckt, ob es jetzt Null ist. Erstaunlich, aber das hat meine Addition von 84 Zyklen auf 73 reduziert bei zwei 1024-Bit Zahlen, und das ist ja kein Pappenstiehl. Wenn das hier jemanden interessiert, kann ich ja noch ein paar Sachen bloggen, die ich so gelernt habe dabei bisher.
Zuerst muss man dafür Cross-binutils bauen, das sind Assembler und Linker und so, das ist auch normalerweise gar kein Problem.
./configure --prefix=/opt/cross --target=x86_64-linux --enable-static --disable-sharedund gut ist. Statisch deshalb, weil ich in /opt/cross auch Crosscompiler für zig andere Plattformen habe, um zu gucken, ob die diet libc noch mit allen Plattformen sauber baut. Wenn man da den Default nimmt, und ein Cross-Binutils für Alpha-Linux installiert, dann geht danach der Assembler für AMD64 nicht mehr, weil der die selbe Shared Library laden will, die aber von AMD64 nichts weiß. OK, damit kann ich leben. Fällt man einmal drauf rein, lernt man, gut ist.
Der nächste Schritt ist der Crosscompiler. Hier kommt die erste echt Hürde, denn der Crosscompiler baut normalerweise für C, C++, Java, Objective C, allen möglichen Schund Compiler. Die kommen alle mit Laufzeitumgebungen, die nicht kompilieren, weil sie eine funktionierende libc erwarten. Die haben wir nicht, wir bauen ja gerade den Compiler, mit dem wir sie dann übersetzen wollen. Daher sieht bei gcc die Configure-Zeile so aus:
./configure --prefix=/opt/cross --target=x86_64-linux --enable-static --disable-shared --enable-languages=c --disable-nlsDas --enable-static hier bezieht sich auf libgcc; wenn gcc die wie normal dynamisch zu bauen versucht, schlägt das mangels libc fehl. Aber auch so gibt es Ärger, weil libgcc von der Zielplattform die libc-Header haben will. Das finde ich persönlich ja einen groben Verlierer, ja geradezu den Stirnklatscher überhaupt. An der Stelle hat man normalerweise verloren. Übliche Notfall-Ansätze sind "Debian-Paket bzw Fedora-RPM der glibc der Zielplattform ziehen, von Hand die Header auspacken, und an die richtige Stelle (/opt/cross/x86_64-linux/include) kopieren". Wieso nicht einfach /usr/include nehmen? Weil bei der glibc die Header von der Plattform abhängen! Nicht so bei der dietlibc, und so habe ich für meine Crosscompiler immer die dietlibc-Header gesymlinkt, und dann ging das gut (mal abgesehen von Bizarro-Plattformen wie IA64, der will da Dateien und Symbole haben, von denen ich noch nie gehört habe, irgendwelcher libc-Support fürs Stack Unwinding… *grusel*).
Normalerweise höre ich an der Stelle auf, denn wenn ich einen Crosscompiler habe, kann ich damit die dietlibc übersetzen. Heute habe ich mich aber so über das Gentoo auf meinem Desktop geärgert, daß ich mir vorgenommen habe, meine Linux-Distro "Fefix" mal für AMD64 zu crosscompilen. Schritt 1: glibc. Und was soll ich euch sagen, glibc ist nicht crosscompilefähig! Der versucht, sizeof(long double) rauszufinden, indem er ein Programm übersetzt und ausführt. Das geht natürlich nicht. Gut, in configure fest 16 reingehackt (die Alternative ist, einen config.cache manuell zu erstellen, in dem das drin steht), und was sehen meine entzündeten Augen?
checking for libgd… no [libgd?!?!?…]WTF?! C cleanup handling? Und gcc 4.1.1 soll das nicht unterstützen?! ARGH! Na gucken wir uns doch mal das Testprogramm an:
checking for ANSI C header files… no [doh!]
checking for sys/types.h… no
checking for sys/stat.h… no
checking for stdlib.h… no
checking for string.h… no
checking for memory.h… no
checking for strings.h… no
checking for inttypes.h… no
checking for stdint.h… no
checking for unistd.h… no
checking for long double… no
checking size of long double… (cached) 16 [Warum macht er das überhaupt, wenn er glaubt, daß es kein long double gibt?!]
running configure fragment for sysdeps/x86_64/elf
checking for x86-64 TLS support… yes
running configure fragment for nptl/sysdeps/pthread
checking for forced unwind support… yes
checking for C cleanup handling… no
#include <stdio.h>Na und woran scheitert es wohl? RICHTIG! Kein stdio.h! Denn ich kompiliere ja gerade die libc, DAMIT ICH DIESES HEADER-FILE KRIEGE! Lieber Herr Drepper, warum erhängen Sie sich nicht einfach an der nächsten Eiche? Das würde uns allen viel Ärger sparen. Danke.
void cl (void *a) { }
int
main ()
{
int a __attribute__ ((cleanup (cl)));
puts ("test")
;
return 0;
}
Unter FreeBSD gibt es die Möglichkeit, dem Kernel zu sagen, man möchte erst einen accept kriegen, wenn auch einkommende Daten vorliegen. Das ist eine schlaue Sache für Protokolle, bei denen der Client die ersten Bytes schickt, weil man sich so System Calls spart. Die Windows-Entwickler haben sich das offenbar angeguckt, und wollten sowas auch machen, also haben sie bei AcceptEx die Möglichkeit vorgesehen, daß man einen Buffer übergibt, und dann kommt das AcceptEx erst zurück, wenn auch Daten vorliegen. Klingt auf den ersten Blick richtig schlau, schlauer sogar noch als FreeBSD, weil ich dem System den Buffer gebe, wo die Daten rein sollen, da spart der Kernel sich, wenn sie das gut machen, einmal Kopieren der Daten.
So, nun denkt mal über folgendes Szenario nach. Ich habe einen Webserver gehackt, der dieses API benutzt. Jemand verbindet sich zu dem Webserver, schickt aber keine Daten. Der Kernel assoziiert jetzt die einkommende Verbindung mit dem ausstehenden AcceptEx. Keine Daten kommen auf der Verbindung. Aber eine weitere Verbindung kommt rein, und diese schickt sogar Daten! Für diese Verbindung ist jetzt kein ausstehendes AcceptEx mehr vorhanden. Sehr ihr das Problem? Stellt sich raus, daß man mehr als ein AcceptEx ausstehend haben kann pro Server-Socket, aber das löst ja das Problem nicht. Nehmen wir an, ich habe 4 AcceptEx ausstehend, dann muss ein Angreifer bloß 4 leere Verbindungen aufmachen statt nur einer, und schon ist mein Webserver wieder komplett blockiert. Tja, Microsoft, ein Wort mit X, das war wohl nix.
Update: "DSA" kann auch für "Debian Security Administration" stehen. Nichts genaues weiß man nicht.
Vor allem geht es dabei um die Beobachtung des islamistischen Extremismus. NRW-Verfassungsschutzchef Hartwig Möller: "Auf den üblichen Kommunikationswegen ist diesen Leuten nicht mehr beizukommen."
Na egal, habe ich halt ein anderes zlib-Interface ("inflate") benutzt, um damit die hereinkommenden Daten, die ich per recv lese, zu unzippen, und was soll ich euch sagen — Z_DATA_ERROR. Weil zlib ein anderes Format als gzip benutzt, und man muss inflate sagen, daß man einen gzip-Header erwartet, indem man inflateInit2 benutzt statt inflateInit, und dann bei dem Parameter, der die Anzahl der Bits im Compression Window, 32 dazu addiert. Das teilt dann inflate mit, daß auch ein gzip-Header OK ist.
Aber hey, ich habe da jetzt schon so viel Zeit rein versenkt, diesen Benchmark unter Windows zum Laufen zu bringen, ich lasse mich jetzt nicht von zlib abhalten!! Also habe ich das gemacht, und immerhin den 1. Teil durchgeführt, das Auspacken des Tarballs. Vorher den Durchsatz mal verdreifacht, indem ich den Antivirus, Windows Defender und den Search Service abgeschossen habe; soll die Nachwelt entscheiden, ob ich das tun mußte, weil das sonst unfair gewesen wäre, oder ob ich das hätte drinlassen sollen. Man könnte ja auch argumentieren, daß Microsoft einem diesen Scheiß per Default ausliefert, also ist das nicht meine Schuld, wenn ich das nicht ausmache. Ich habe ja auch unter Unix den sshd nicht abgeschossen. Anyway, ich habe also endlich die Dateien auf die Platte gehauen, und meinen gehackten Webserver gestartet, und … ich kriege bizarrste Fehlermeldungen. Ich benutze da u.a. overlapped I/O, d.h. ich haue Requests raus, und queue die mit einem Zeiger auf eine State-Struktur an einem Completion Port, so funktioniert deren API. Dann kriege ich mitgeteilt, da ist ein Vorgang fertig, und hier ist der State dazu. Und an der Stelle wird einem dann auch gesagt, wie viele Bytes man denn nun tatsächlich gelesen hat. Und was soll ich euch sagen, ich queue da Reads für 8k (mehr Header erwarte ich nicht, die tatsächlichen Header sind eher so 150 Bytes), und der Completion Port sagt mir dann, "ich habe die 83k gelesen, die du haben wolltest". WTF?! Nicht nur das, ich kriege auch den Effekt, daß ein Read, den ich rausschicke, nicht mit "OK, ich melde mich dann später" antwortet, sondern sofort fertig wird. Laut API-Beschreibung kann das nicht passieren. Tja, und dann segfaultet der Serverprozeß plötzlich. Reproduzierbar. Oh, nicht in meinem Code, in NTDLL. Grunz!! Ich vermute ja, daß da deren State Machine durcheinander kommt und mir einen Block zweimal zurück gibt, und daher ein Double Free passiert oder so. Aber im Moment ist das völlig unklar alles.
gatlings Logformat verteilt seine Zugriffe auf mehrere Zeilen, damit man Statistiken über Sachen machen kann, die man sonst nicht sehen kann. Hier ist ein Beispiel:
Hier kann man an den Zeitstempeln sehen, wie viel Zeit zwischen dem Connect und der eigentlichen Anfrage vergangen ist (und so z.B. sehen, wenn jemand nur connected, dann keine Anfrage stellt, aber die Verbindung offen hält). Für eine Referrer-Analyse. Der Nachteil ist: wenn man nach GET grept, sieht man nicht die verbindende IP-Adresse. Daher habe ich ein kleines Skript namens "acc.pl" gehackt, das das zurück zuordnet. Kein Ding, 24 Zeilen, der formatiert auch noch etwas um.@400000004482340c3386c9cc accept 33 217.20.118.153 38748 1
@400000004482340c33933d4c GET/CGI 33 /rss.xml 0 Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_en-US;_rv:1.7.10)_Gecko/20050716_Firefox/1.0.6 [no_referrer] blog.fefe.de
@400000004482340c3395d174 cgi_fork 33 62 25805
@400000004482340d27f174cc cgiproxy_read0 62 159 10101
Die zweite Aufgabe ist etwas involvierter, nämlich soll da geguckt werden, welche Links extern referenziert werden. Ich möchte sehen, wer auf meine Meldungen linkt, welche Meldungen besonders häufig verlinkt werden, und von wo sie am meisten Hits zu mir tragen. Das ist gut, weil ich so auch Missbrauch sehen kann, wie z.B. als ich neulich über 1000 Hits pro Tag von irgendwelchen Foren-Sites auf ein Bild bei mir hatte. Dieses Skript nannte ich "deep-links", und es ist ähnlich komplex, 34 Zeilen perl. So, und jetzt schaut euch mal das typische Zeitverhalten an:
Gut, die Kiste ist nicht die schnellste, und das waren die Logdaten von mehreren Tagen, ein paar MB kommen da zusammen. In C ist das deutlich komplexer, weil es da keinen System-Hashing-Code gibt, und weil man da mehr Error Checking machen muss und mehr explizit hinschreiben muss, und so ist acc.c 136 Zeilen lang, und referrer.c 190 Zeilen. Ein deutlicher Sprung in Komplexität, keine Frage, aber schaut euch das Zeitverhalten für die selben Daten auf dem selben Rechner an:perl ~/acc.pl 5.99s user 0.07s system 81% cpu 7.449 total
deep-links 1.23s user 0.06s system 17% cpu 7.560 total
Und das ist der Grund, wieso perl und co ja ganz nett sind, aber man am Ende eben doch C nehmen will.acc 0.40s user 0.05s system 78% cpu 0.574 total
referrer 0.06s user 0.02s system 13% cpu 0.573 total
Python und Ruby sind übrigens noch viel langsamer als perl, von PHP mal ganz zu schweigen.
Eine andere häufig gehörte Ausrede ist, daß das ja keine Rolle spielt, ob eine kurze Aufgabe 0.2 oder 2 Sekunden braucht, das sei ja weniger Unterschied, als man bräuchte, um sich darüber aufzuregen. Das halte ich für groben Unfug. Es gab da Studien, aber mal von mir ganz persönlich aus gesprochen: auf den Computer warten zu müssen macht schlechte Laune. Das macht sogar so viel schlechte Laune, daß die Leute sich alle paar Jahre neue kaufen, obwohl ihr alter noch prima funktioniert. Schon eine halbe Sekunde ist spürbar zu langsam. Ich habe mal mit einem Aktientrader zu tun gehabt, und der hatte für seine Software das Ziel, daß die Software schneller den Bildschirm updaten (und auf Tastendrücke reagieren) muss, als der Bildschirm für seinen Refresh braucht. Das ist jetzt viele Jahre her, daß ich mit dem Mann zu tun hatte, aber denkt mal drüber nach. Im Grunde hat er Recht. Wenn ich auf meinem Rechner 5 Megabyte Logs durchgefummelt haben will, dann ist es bei 1,8 GHz nicht vertretbar, daß ich da länger als ne Sekunde drauf waren muss.
In a letter to the EFF, AT&T objected to the filing of the documents in any manner, saying that they contain sensitive trade secrets and "could be used to 'hack' into the AT&T network, compromising its integrity."
"I haven't tested all RFID tags, but we did test the biggest brand and it is totally unprotected," Shamir said. Using this approach, "a cellphone has all the ingredients you need to conduct an attack and compromise all the RFID tags in the vicinity," he added.
Also irgendwie freut mich die ganze Affäre ja doch, denn ich habe ja noch vor ein paar Tagen im "We have lost the war" Vortrag von Frank und Rop gesagt, daß unser Fokus mehr auf der Presse als auf dem Überzeugen der einzelnen Menschen auf der Straße sein muss, daß wir die Presse hacken müssen, um die Stimmung im Lande zur Überwachung und Verlust der Menschenrechte umkehren zu können. So gesehen ist das hier genau das, was ich gefordert hatte. Schöner Presse-Hack! Jetzt müssen wir das nur noch so optimieren, daß die Story ein paar Tage hält und auch immer Nachschläge liefern, damit die Story in der Presse bleibt. Ach ja, und der Bund Deutscher Juristen war eine Nazi-Organisation, die u.a. Juden hintergeklagte, denen die Bezeichnung "Rechtsanwalt" entzogen worden war. Also schon auch irgendwie inhaltlich passend. (Danke, Stephan)
Ich beobachte aber auch, wie immer weniger Leute bereit sind, überhaupt hinreichend Energie in etwas zu investieren, um sich damit jemals in die Nähe einer Perspektive zu bringen, Hacker zu werden. Natürlich kann nicht jeder überall der Oberheld sein, aber ich erwarte schon von jedem, daß er genug Ausdauer hat, sich in zumindest ein Thema mal tiefschürfend genug einzuarbeiten, daß ihm dort keiner mehr etwas vormachen kann. Und das kann ich immer weniger beobachten. Die Leute tendieren heute eher zu einer Art Universal-Durchschnitt. Die Abstände zwischen tollen neuen Hype-Trends werden immer kleiner, keiner hat mehr Zeit und Lust, sich die Sachen genauer anzugucken. Als ich jung war (*hust*), kamen PCs noch mit Handbüchern, in denen alle Befehle von GWBASIC beschrieben wurde, genau so wie debug.com und link.exe. Später wurden diese Sachen nicht mal mehr mitgeliefert. Ich war jung und hatte Zeit und habe mir das dann eben in Ruhe angeguckt. Ich enthülle hiermit: man wird Hacker, indem man Zeit hat und sie aufwendet, um sich mit einem Thema gut genug auszukennen, daß man mehr weiß als die Autoren der Standard-Fachliteratur zum Thema. Je nach eigenem Anspruch kann man sich auch nur dann Hacker nennen, wenn man sich in einem Gebiet erschöpfend auskennt, zu dem es (noch) gar keine Literatur gibt… :-)
Und dabei waren die Voraussetzungen noch nie so gut wie heute zum Hacker-Werden! Es gibt heute freie Betriebssysteme mit Editor, Compiler, Assembler und Linker kostenlos im Internet — mit Quellcode! Es kostet nichts mehr (außer Zeit), sich in die Sachen richtig gut einzuarbeiten! Man muss nicht mal Bücher kaufen, und heutzutage gibt es Suchmaschinen. Ihr wißt ja gar nicht, was das für ein Luxus ist, Kinder!
Zurück zum Thema. Heute kann jeder Hacker werden, der nur genug Zeit investiert. Als Hacker gewinnt man enorm an Selbstsicherheit, man ist gefragt auf dem Arbeitsmarkt, alles ist prima, aber aus irgendeinem Grund werden die Leute heute nicht mehr Hacker. Stattdessen hat die Verfügbarkeit freier Software zu einer Anspruchshaltung geführt, daß die Leute finden, wenn man schon nichts für Download und Installation zahlen muss, dann muss man auch danach keinen Aufwand investieren müssen. Den Nachwuchs in meinem Bekanntenkreis wird eher so High-Level-Fummler, klickt sich GUI-Anwendungen in einer IDE zusammen, hackt ein Python-Skript zum Mail-Sortieren, hat ein bißchen Java aus der Uni mitgenommen, steigt gerade auf C# um, sowas. Womit ich das nicht abwerten will, aber Hacken ist was anderes.
Es ist besser, in einer Sprache richtig gut als in 20 Sprachen Anfänger zu sein. Denkt da ruhig mal aus Sicht eines HR-Menschen drüber nach. Stellt euch vor, ihr seit der Headhunter, und ihr wäret mit einem Lebenslauf konfrontiert, bei dem jemand ein paar Applets (das klingt schon von alleine mittelmäßig und irgendwie abwertend) in Java gemacht hat, der gerade Windows Forms in Visual C# zusammenklicken lernt, der ein paar dynamische Webseiten mit PHP gemacht hat. Für was für einen Job soll so jemand denn bitte qualifiziert sein? Zum ct Lesen? Anspruchsvolle Jobs kann man so jemandem doch gar nicht geben! Wer sich nur oberflächlich mit Sachen beschäftigt, der wird auch nur oberflächliche Jobs bekommen. Was für eine grauenvolle Vorstellung… Insofern: setzt euch hin, sucht euch etwas aus, das ihr am besten noch nicht kennt, und arbeitet euch richtig tief ein. Nehmt euch dafür ein paar Monate. Hört erst auf, wenn ihr das Gefühl habt, selbst der Erfinder der Sache könnte euch nichts wirklich überraschendes mehr dazu erzählen. Solche Leute braucht das Land, nicht noch mehr Visual Basic Pfuscher.
In meinen Augen sind die meisten aktuellen Trends völlig überflüssig. Ich programmiere weder in Java, noch in C#, noch in Dylan. Ich spreche kein Python, kein PHP, kein Ruby, schon gar nicht Ruby On Rails. Ich benutze keine Middleware, keine Frameworks, keine Design Patterns (also ja, natürlich benutze ich Design Patterns, jeder benutzt Design Patterns. Aber ich benutze sie einfach so, nicht weil ich das in einem Buch gelesen habe). Gemessen am Stand der Technik bin ich auch in C++ und Perl eher Fußgänger als Rennfahrer. Ich benutze kein XML, kein CORBA, kein XML-RPC, kein SOAP. Wenn ich mal ein GUI für eine Anwendung brauche, wird es halt eine Webanwendung. Und zwar HTML, kein Javascript, und schon gar kein AJAX. Qt, Gtk, Motif? Am Ende gar noch mit KDE oder GNOME drüber gelayert? In der Zeit, bis ich mich da ordentlich eingearbeitet habe, schreibe ich lieber einen LDAP-Server. Wieso ordentlich einarbeiten und nicht einfach loshacken, höre ich da? Eine Sache, die es nicht wert ist, ordentlich gemacht zu werden, ist es nicht wert, überhaupt gemacht zu werden.
Und das sage ich euch: der nächste, der mich mit AJAX belästigt, wird einen furchtbaren, grausam verstümmelnden Unfall haben.
Der Chaos Computer Club begrüßt im Namen der Völkerverständigung und Jugendkultur den sportlichen Wettstreit zwischen Antifa-Steinewerferbrigaden und Nazi-Schlägern im Internet, denn dort kann man sich prima streiten, ohne anderen körperliche Schäden zuzufügen. Wir möchten an der Stelle aber ausdrücklich auf Artikel 8 der Hackerethik hinweisen: Öffentliche Daten nützen, private Daten schützen. Wir rufen daher dazu auf: bitte keine persönlichen Daten von Unbeteiligten veröffentlichen! Vielen Dank für die Beachtung aller Sicherheitsmaßnahmen.
![[passend]](http://img512.imageshack.us/img512/4456/image0507ge.jpg){kind=link}
