Fragen? Antworten! Siehe auch: Alternativlos
Wenn ich König wäre, würde diese Firma sofort zerschlagen und die Mitarbeiter bekämen alle lebenslang Computerverbot. Aber micht fragt ja keiner.
Aber ihr erwartet jetzt vielleicht, dass Palo Alto wenigstens sofort ein CVE beantragt und das öffentlich gemacht hat, um ihre Kunden zu schützen. Nein, haben sie nicht.
Palo-Alto have now created a security bulletin for this and requested a CVE (cve-2019-1579 pending assigning). The issue is over a year old and absolutely critical as a 100% reliable preauth RCE VPN exploit using format strings, highly recommend you patch.Ein Jahr! Sportlich!!Zum Vergleich: Die Sowjetunion brauchte weniger lange, um Tschernobyl zuzugeben.
Ich reagiere da so bissig, weil das eine Security-Firma ist. Angeblich. Also ... Schlangenöl, natürlich. Aber die haben den Leuten die Kohle aus der Tasche gezogen mit dem Versprechen, sie vor Würmern zu beschützen. Und tatsächlich haben sie den Würmern einen praktisch idealen Installationsvektor in die Hand gegeben.
Update: Die heißen übrigens nur Palo Alto, die kommen nicht aus Kalifornien. Der Gründer ist Israeli und war vorher bei Checkpoint. Nicht dass das irgendeine Rolle spielt, aber wenn die Firma dich schon mit ihrem Namen belügt, ... (Danke, Axel)
Das ist ungefähr so viel wert, wie ihr gedacht habt. Gar nichts. (Jedenfalls bei Edge, behauptet dieser fiese Hacker mit Windows-VM unter Ubuntu)
Das FBI hat das hier zurückgeschickt. Da geht es aber nicht um IPsec sondern um OpenSSH. Das Dokument ist massiv zensiert, aber es sieht so aus, als habe das FBI in einem Counterterrorismus-Projekt entdeckt, dass jemand OpenBSD gehackt und eine Backdoor in OpenSSH eingebaut hatte. Das ist von 2002.
Da weißt du doch, wen du anrufen kannst, wenn dir das nächste mal dein Twitter-Account gehackt wird!1!!
Aber das ist nicht alles:
The attackers also inserted code that allowed them to capture plaintext passwords as they were entered by users at the time.Und weil Slack so eine 1a Firma ist, die niemals ihre Kunden hinters Licht führen würde … erfahren wir da jetzt erst von. Und gleich noch mit einer Familienpackung Kleinreden der Größenordnung des Problems. Ach komm, Kunde, das war 2015, seit dem hast du doch sicher das Passwort mal gewechselt? Oder 2-Faktor aktiviert?!Wie damals die Autoindustrie, die die Schuld an den Toten im Straßenverkehr den Toten in die Schuhe geschoben hat. Wer immer schön sein Passwort geändert hat, ist von diesem Hack nicht betroffen. Und von den neuren Hacks erzählen wir euch dann auch 4 Jahre später, oder wie?
Boah diese Tech-Startups immer, die hab ich ja alle sowas von gefressen. Die großen Firmen sind auch widerlich und ekelhaft, aber die haben immerhin eine Compliance-Abteilung und Anwälte, die der Geschäftsführung rät, sich an Recht und Gesetz zu halten. Zumindest an den Buchstaben des Gesetzes.
The hackers managed to steal 7.5 terabytes of data from a major contractor, exposing secret FSB projects to de-anonymize Tor browsing, scrape social media, and help the state split its internet off from the rest of the world. The data was passed to mainstream media outlets for publishing.Wie, das ist alles? Das hätte ich euch auch ohne Hack sagen können, dass das auf der Liste steht. Bei welchem Geheimdienst steht das denn bitte nicht auf der Liste?!Keine Ufos? Keine Gehirnwäscheprogramme? Keine geheime Folterforschung? Nicht mal Remote Sensing?
Da bin ich jetzt aber ziemlich enttäuscht. Wenn das mal nicht bloß der Honeypot war, den die Hacker da rausgetragen haben!
Ja, richtig gelesen! Das hatte schon einen Grund, wieso eine der wichtigsten Lektionen aus der Nazi-Zeit war, dass Deutschland kein Militär haben sollte, und dass das Grundgesetz grundsätzlich Angriffskriege verboten hat. Und was macht die CDU als erstes damals? Militär wieder einführen.
Für den ersten Angriffskrieg im Kosovo hat es bekanntlich die Verfassungsbrecher von Rot-Grün gebraucht.
Jetzt legt die CDU nach mit dieser unsäglichen Aktion. Ich fürchte mich vor der nächsten Rot-Grün-Regierung.
Die ganze Idee ist schon lächerlich! Man stelle sich mal vor, jemand wollte euch einen Tresor verkaufen. Und der ist nicht auf Grund von Planung durch fähige Experten und Umsetzung nach Plan entstanden, sondern durch ein paar "umgeschulte" ("die tatsächlich Schulung kommt später, gerade ist Deadline-Druck") Niedriglöhner aus dem Web-Pfuscher-Multimedia-Klitschen-Umfeld zusammengefrickelt. Und die sagen dann: Ja klar, einen Plan hatten wir nicht, aber wir haben immer schön nachgebessert!!1! Würdet ihr so einem Tresor eure Wertsachen anvertrauen? NATÜRLICH NICHT!
Ich vertrete ja inzwischen die These, dass man nicht mehr von der Sicherheit von Code reden sollte, sondern die Metrik sollte sein, ob die Sicherheit nicht nur da sondern offensichtlich messbar ist (d.h. nicht "niemand hat Bugs gemeldet" sondern du guckst auf den Code und siehst, dass er offensichtlich sicher ist). Das ist die eine Hälfte. Die andere Hälfte ist, dass du ein Design hast, das die Auswirkungen von Bugs minimiert.
Devsecops ist Marketing-Bullshit von Leuten, die dir einreden wollen, dass ihr dysfunktionales Multi-Stakeholder-Team irgendwie trotzdem in der Lage ist, guten Code abzuliefern, obwohl keiner von denen das Spektrum der dem Team zugeschriebenen Fähigkeiten abdecken kann, und obwohl es für das Produkt kein vorher durchdachtes Design gibt, und obwohl etwaige Design-Rudimente kurzfristig weggeworfen und umentschieden werden, wenn jemand findet, dass das nötig ist.
Das ist kein Weg zu guten Produkten. Das ist genau der Weg, mit dem man bei der Boeing 737 Max rauskommt.
Anders formuliert: Sicherheit ist nichts, das man nachrüstet. Auch nicht in einem Prozess, der das Nachrüsten möglichst einfach macht. Sicherheit ist etwas, über das man vorher nachdenkt.
Ich habe einen Vorschlage. Wieso besteuern wir die nicht einfach? Wie wir den kleinen Mann besteuern!
In der Arktis, rund um den nördlichen Polarkreis, brennt seit Wochen auf einer Fläche von mehr als 100.000 Hektar der trockene Torf, der den Permafrostboden bedeckt.Das legt natürlich eine immense Menge an CO2 frei.