Fragen? Antworten! Siehe auch: Alternativlos
Three of the four most exploited vulns were zero days, all were in cybersecurity products (Palo-Alto, Ivanti Connect Secure, Ivanti Policy Secure and Fortinet). In most of the cases documented, it was ransomware groups running rings around security vendors, ie the security vendors were the cause of the victims woes due to defective products.Ach. Ach was. Das ist ja grauenhaft! Hätte uns da nicht jemand warnen können?!Eine andere Sache, über die ich mich seit Jahren lustig mache, ist wie die Leute alle teures Monitoring-Equipment kaufen, und dann keiner die Logs davon liest. Googles Beobachtung ist, dass man über eine Woche zwischen Einbruch und dem Ransomware-Einschlag hat, in dem man die Eindringlinge finden könnte, wenn man denn die Logs lesen würde. Liest man aber nicht.
Und mit Security hat das natürlich auch nichts zu tun, wenn man Eindringlinge findet. Security wäre, sie vom Eindringen abzuhalten. Aber hey, whatever. Auf mich hört ja immer keiner.
Der nächste Mython, mit dem Google abräumt, ist "KI"-Phishing. Phishing spielt eine immer geringere Rolle, mit oder ohne "KI". Das sind alles Katzenminze-Kindermobiles für "Entscheider", damit die was attraktives haben, das ihre Aufmerksamkeit auf sich zieht.
Desweiteren stellt sich völlig überraschend raus, das wenn du Daten über die Angreifbarkeit deiner Produkte und Infrastruktur in die Cloud hochlädst, zu Jira und co, dass Angreifer das dann lesen und deine Produkte und Infrastruktur mit dem gewonnenen Wissen penetrieren.
Lasst euch nicht von dem ganzen MFA-Scheiß blenden. Das ist auch ein Katzenminze-Kindermobile. Die Frage sollte nicht sein, ob ihr MFA an dem Clouddienst aktiviert habt, sondern wieso ihr überhaupt diesen völlig überflüssigen, schädlichen, kostspieligen und Angreifern helfenden Clouddienst betreibt.
Mir ist auch völlig unklar, wieso alle Leute glauben, ein VPN zu brauchen. Das ist Perimetersicherheit, das ist als Konzept vollständig diskreditiert. Ich habe kein VPN und meine Firma auch nicht.
Update: Dieses Zero-Day-Gefasel geht mir auch zunehmend auf den Sack. Bei seriösen Anbietern gibt es keine Zero-Days, weil die keine Software einsetzen, bei der Sicherheitslücken im Umlauf sind, die der Hersteller noch nicht sofort gepatcht hat, und seriöse Firmen rollen Patches zeitnah aus. Eine "Security-Firma", die jemals in ihrer Geschichte einen Bug so lange wegignoriert hat, bis er extern ausgenutzt wird, sollte nie wieder einen Cent von irgendjemandem sehen.
Update: Ich glaube ja, dass wir hier neue Begrifflichkeiten brauchen. 0day ist ja ein Begriff aus der Hackerszene. Er bezeichnet Exploits für Sicherheitslücken, die so frisch sind, dass der Hersteller nichts von ihnen weiß. Der Hersteller der Software, die man exploiten will.
0day heißt nicht, dass Microsoft seit Jahren leugnet, dass das ein Bug ist, oder dass Ivanti keinen Patch hat, weil ihnen die Sicherheit und das Überleben ihrer Kunden voll am Arsch vorbeigeht.
Im Sprachgebrauch bei Nicht-Hackern hat sich das aber komplett gewandelt und 0day heißt "war halt schlechtes Wetter, kann keiner was für". Da ist das rein exkulpativ und wird auch für andere Situationen verwendet. Warum schlage ich neue Nomenklatur vor? Weil Hersteller 0day zur Exkulpation verwenden, und von außen kannst du das ja nicht sehen, ob der Hersteller von dem Bug wusste und ihn bloß nicht fixen wollte, oder tatsächlich nichts davon wusste. Meiner Erfahrung nach schieben alle Hersteller eine riesige Bugwelle aus bekannten Bugs in ihrem Bugtracker vor sich her, und die Wahrscheinlichkeit dafür, dass ein Bug tatsächlich unbekannt ist, ist sehr nahe Null. Schlimmer noch: Wenn es tatsächlich vorkommt, dass ein Bug dem Hersteller unbekannt war, dann kann das eigentlich nur heißen, dass der Hersteller absichtlich nicht hingeguckt hat, weil er Kundenreports nicht als Bugs versteht, sondern als Vertriebskanal für "Support"-Abofallen. Das sollte man nicht belohnen, indem man sagt, dass das dann wohl ein 0day war. Nein. Das war Herstellerversagen.
Ich hatte vor ein paar Tagen die Gelegenheit, jemanden der mit seiner Firma Confidential Computing im KI-Kontext entwickelt, weltweit vertreibt und auch bereits einsetzt, zu fragen : habts ihr da neue Angriffsvektoren entdeckt, wie macht ihr Security-Analysen, etc.Nee, das ist genau meine Erwartungshaltung. Diese ganze Security-Branche ist so. Probleme werden kleingeredet ("kann man eh nichts machen", "wir sind da von Microsoft abhängig", "100% geht eh nicht"), Angreifer werden großgeredet ("APT", "enorme kriminelle Energie"), Chancen werden herbeihalluziniert ("damit können Sie Angreifer entdecken!!1!", "damit können Sie Geld sparen!1!!") und nie tatsächlich geliefert, und dann kokst sich der Händler eine neue Luxusjacht zusammen und macht keinen Support außer man zahlt nochmal in Nasenblut für einen fetten Supportvertrag. Wenn die Security-Probleme im angeblichen Security-Produkt zu krass werden, drückt man den Kunden Bullshittheater wie MFA auf, von dem man weiß, dass das eh keiner umsetzt, und behauptet einfach, das Opfer war Schuld.Antwort:
- wir verlassen uns auf die anderen (Netzwerksicherheit,..)
- „.. bei machine learning ging es tatsächlich nie um Sicherheit, hmm..“
Das wars.
Schon geil für eine bleeding edge Confidential Computing Company.
Das klingt jetzt alles wie der irre Rant von irgendeinem Alkoholiker, insofern glaubt nicht mir, glaubt Kevin Beaumont. Er hat völlig Recht. So sieht das da draußen aus in der Praxis.
Sehr geil auch an der Stelle dieser Artikel von 2017 über einen Vortrag eines GCHQ-Schlipsträgers, der den Scheiß auch nicht mehr aushält. Der erzählt im Wesentlichen dasselbe wie ich da oben und hängt dann dieses Money Quote an:
He pointed out that a UK telco had recently been taken offline using a SQL injection flaw that was older than the hacker alleged to have used it. That’s not advanced by any stretch of the imagination, he said.HARR HARR HARRGenau so sieht es aus. Niemand wird über komplizierte 0days gepwnt. Wieso würde sich der Angreifer so einen Aufwand machen, wenn er auch über hartkodierte Passwörter für Admin-Backdoor-Accounts reinkommen (winke winke, Cisco).
Dass jetzt also ausgerechnet in der Cloud die heilige Mutter Gottes in Sachen Security ausbricht, wo man als neugieriger Kunde es am wenigstens sehen oder messen kann, das war schon immer offensichtlicher Bullshit. Schade, dass das nie jemanden abhält.
Hey wisst ihr was? Wenn ihr Geld zu verbrennen habt, gebt es doch einfach mir!1!!
Das ist immer eine tolle populistische Forderung, weil alle "Experten" sofort zustimmen werden.
Währenddessen werden die Leute rechts und links geransomwared, Active Directory braucht auch keine Memory Corruption Bugs. Shitrix war nicht Memory Safety. Die Exchange-0days gerade waren nicht Memory Safety. Die Gitlab-Bugs waren nicht Memory Safety. etc pp.
Versteht mich nicht falsch. Memory Safety ist gut und wichtig. Aber die Mitigations machen die Ausnutzung inzwischen nervig genug, dass ihr wahrscheinlich eher über andere Lücken aufgehackt werdet.
Die ganzen Atlassian-Bugs waren auch nicht Memory Safety glaube ich.
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen."Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Punkt 1: Das war ein 0day! Da konnte man nichts machen!
Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.
2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.
3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.
5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!
6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.
6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und *papierraschel* Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!
Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.
Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!
Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Fallt also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik. (Danke, Max)
Da haben ein paar Kaspersky-Mitarbeiter auf ihren Telefonen Malware gefunden. Es waren Apple-Telefone. Sie haben die Exploit-Chain mitgeschnitten und bei uns öffentlich verbrannt.
Die Exploit-Chain (und hier müsst ihr möglicherweise meiner professionellen Einschätzung trauen) war insgesamt mindestens 8stellig Dollar wert. Die haben da einmal die aktuelle Toolbox der NSA verbrannt, oder des GCHQ. Das war der Hammer, was die da für 0days hatten.
Es ging los mit einer Memory Corruption im Truetype-Interpreter (bis hier noch nicht so spektakulär). Von da aus hatten sie einen Kernel Exploit, der aus interpretiertem Javascript heraus ging.
Und am Ende schrieben sie dann ein paar magische Werte in eine undokumentierte MMIO-Adresse und dann überschrieb irgendeine Hardware an allen Schutzmechanismen vorbei physischen Speicher ihrer Wahl mit Werten ihrer Wahl.
Der Adressbereich liegt in der Nähe der GPU und ist in älteren Geräten drin, aber auch in M1 Apple Silicon. Das ist ja schon der Hammer, aber um dieses Operation auszulösen, muss man auch einen undokumentierten Hashwert des Requests in ein undokumentiertes MMIO-Register schreiben. Den Hash haben sie jetzt halt reversed und veröffentlicht.
Aber damit scheiden aus meiner Sicht alle gutartigen Erklärungen für diese Funktionalität aus. Für Debug-Funktionanlität braucht man keinen "geheimen Hash".
Sie haben das an Apple gemeldet und Apple hat dann den Adressbereich gesperrt. In der Konfigdatei für gesperrte Bereiche steht normalerweise das Gerät dran, um das es geht. Hier steht: "DENY".
Da werden gerade einige Geheimdienste sehr unglücklich sein.
Und was sieht man, wenn man reinguckt? Ich hab mal kurz auf das erste Dokument geguckt, ScanV_4. Auf Seite 15 sehen wir da Java-Code, der eine Datei "verschlüsselt", indem er XOR mit dem Passwort macht.
Da kann ich das ganze Ding direkt zumachen. So macht niemand Verschlüsselung, der mehr als Kindergarten-Niveau Kontakt mit dem Thema hatte.
Ich hab keine Angst vor diesen Leuten. Viel tiefer kann man in Krypto-Fragen nicht ins Klo greifen.
Ich muss euch aber auch sagen, dass ich ansonsten nicht viel Grund sehe, wieso ich diese Dokumente durchgucken sollte. Die Angriffsoberflächen und Risiken unserer Systeme sind wohl untersucht und bekannt. Welche Art von Daten man sehen und korrelieren kann, ist auch bekannt. Was man tun müsste, um weniger angreifbar zu sein, ist auch bekannt.
Was für Überraschungen gibt es denn, an denen ich Interesse hätte? Die könnten neue Angriffsarten gefunden haben, oder sie könnten bisher unbekannte Lücken in Systemen gefunden haben. Das war's. Daran hätte ich Interesse.
Beides ist hier nicht zu erwarten, und nicht nur wegen der "XOR-Verschlüsselung". Die Dokumente da scheinen Handbücher zu sein (das sage ich ganz oberflächlich angesichts des Layouts, ich habe das nicht zu übersetzen versucht). Da würde man keine 0days dokumentieren, denke ich.
Was könnte da noch drinstehen, was andere Leute interessante fänden? Die könnten da ihre C&C-Protokolle dokumentieren. Finde ich absolut uninteressant. Interessiert mich nicht die Bohne. Mich interessiert, wie man verhindern kann, dass die Ransomware überhaupt aufs System kommt, nicht wie das dann nach Hause telefoniert.
Wieso lese ich diese Dokumente jetzt nicht, um nach den Dingen zu suchen? Weil das echten Nachrichtenwert hätte. Davon hätten wir gehört. Oder wir würden davon hören, wenn das jemand noch findet. Die Wahrscheinlichkeit dafür ist zu gering, als dass ich jetzt tausende von Seiten durchgucke.
Bisschen oberflächlich reingucken kann man mal machen, da findet man dann in dem scanv_1.pdf z.B. eine Sektion, wie man bei einem Brand der Appliance den Feuerlöscher auf die Oberfläche und nicht die Flamme in der Luft lenken soll. In dem amezit.pdf sehe ich Compliance-Blablah, was für Tests durchgeführt werden, um festzustellen, ob das System läuft. *gähn*
Das krystalv2.pdf redet darüber, wie sie das Lecken von Staatsgeheimnissen durch organisationellen Aufbau vermeiden wollen. Schon interessanter, aber das ist auch wohlverstanden und untersucht im Westen. Da erwarte ich jetzt keine neuen Einblicke.
In sandworm.pdf geht es offenbar um Protokolle zwischen den Scannern und Backend. Interessiert mich auch überhaupt gar nicht. Mich interessiert, wie ich das System so baue, dass der Scanner nichts findet. Weiter unten sind dann die üblichen Stichwörter. Die machen einen Portscan und gucken nach CVEs. Wenn man bei euch mit einem Port- und Bannerscan CVEs finden kann, dann habt ihr alle Ransomware verdient, die ihr euch einfangt.
Meine Methodologie war, die Dokumente aufzumachen, zufällig auf eine Seite zu springen, einen Absatz in deepl zu pasten, und dann zu gucken, was der übersetzt.
Dass andere Länder solche Programme haben, ist seit Jahren bekannt. Wir haben sowas schließlich auch, minus hoffentlich der Ransomware. Aber unsere Behörden finden auch, dass sie in offensive Security investieren sollten. Was dachtet ihr denn, was das in der Praxis heißen würde?
Es gibt einen Critical 0day gegen OpenSSL, aber wir verraten ihn euch erst in einer Woche.Hey, mit solchen Leuten willste doch zusammenarbeiten, nicht wahr?Ihr seid jetzt alle gefickt, GEFICKT MWAHAHAHA!!1!
Heute so: Cyber-Wetterbericht, welche Lücken die "chinesischen Cyber-Gangs" gerade am liebsten benutzen.
Da braucht ihr keinen Wetterbericht für. Die benutzen die Lücken, die ihr nicht weggepatcht habt. Und natürlich alle 0days, die sie finden können. Klar.
Ich ärgere mich ja an solchen Stories immer über diesen Teil hier:
Eintrittspforte für die Kriminellen war ein Link in einer E-Mail, der von einem Mitarbeiter im Haus angeklickt worden war.Als ob der Mitarbeiter Schuld ist!
Leute, ihr gebt dem Mitarbeiter ein Mailprogramm, das Links klickbar macht, und ihr gebt dem Mitarbeiter einen Browser für Links in E-Mails, und dann furzt ihr ihn an, wenn er auf Links klickt?
Der Mitarbeiter macht genau das, wofür die Software gebaut wurde, die ihr ihm gegeben habt.
Wenn ihr nicht wollt, dass ihr ständig von Ransomware hopsgenommen werdet, dann solltet ihr vielleicht aufhören, auf eure Mitarbeiter zu zeigen, und euch fragen, wieso die Software so ein Ransomwaremagnet ist, die ihr den Mitarbeitern gegeben habt.
Ich weiß nicht, ob ihr da mal drüber nachgedacht habt, aber ich habe hier eine fette Inbox mit lauter Fremden drin, alle mit Links, und ich klicke da ständig auf die Links, ohne dass Ransomware passiert. Habt ihr mal überlegt, ob es vielleicht nicht der Mitarbeiter ist, der hier das Problem ist?
Ach kommt, macht nur alle weiter Outlook, Active Directory, Exchange und Office. Vielleicht noch eine Packung Citrix drüber, damit auch wirklich jeder Geheimdienst 0days gegen euch hat. Und dann schmeißt mal schön alle eure Mitarbeiter raus, weil sie die Software dafür eingesetzt haben, wofür sie angeschafft wurde.
Ich hab ja die Tage eine wütende Mail gekriegt, ich soll nicht immer Kindergärten verunglimpfen. Im Kindergarten gehen es viel gesitteter zu als bei denen, die ich beschimpfen wollte.
Update: Wieso gibt Kärnten das jetzt doch zu? Nun, auf einer ihrer Online-Pressekonferenzen erschien einer der Ransomwarer und postete Details zu dem Angriff und kündigte Veröffentlichungen an, wenn kein Zahlungseingang festzustellen sei.
Aber hey, die Kosten schlagen wir einfach auf die Kosten für Microsoft-Produkte auf, die wir eh schon haben. Die können wir ja auch nicht inhaltlich rechtfertigen.
Update: Ein Highlight der Pressekonferenz war, als ein ORF-Reporter wissen wollte, wie häufig sie denn Backups machen, und ob sie sicher sind, dass das April-Backup noch sauber ist. Antwort: Des muas der IT-Leiter beantworten... - Wir machen die Backups immer, wenn Microsoft sie bereitstellt, also mindestens einmal im Monat (er meinte Updates)
Oh ach so, von DEM Kompetenzniveau reden wir! Hey, versteht ihr, wieso die Ransomwaregang da einbrechen konnte? Wenn die mit einem derartigen Crack-Team am Start sind? Mehr Kompetenz bündeln geht ja gar nicht!
Ich kann da Entwarnung geben. Exklusivitätszusagen der 0day-Schwarzmarkthändler sind nichts wert. Klar erzählen die Händler den Diensten, dass sie mehr zahlen müssen, weil der 0day sonst an die Ransomwaregangs geht, aber selbstredend verkaufen sie trotzdem alle Exploits an alle.
Das sind fucking Kriminelle, die 0day-Händler! NATÜRLICH sind Zusagen von denen nichts wert!
Dazu jetzt ein Leserbrief:
reicht ja nicht, dass die Lücke von November 2021 bis vorgestern bei Oracle bekannt war, bis sie gepatcht wurde. Es gibt bis heute auch in kaum einer Distribution eine gepatchte Variante des OpenJDKs.Nehmt Java, haben sie gesagt! Das ist secure by design, haben sie gesagt!OpenJDK Projekt? Listet das geplante 17.0.3 Release Datum als 19.04., das letzte GA Release ist aber immer noch 17.0.2: https://wiki.openjdk.java.net/display/JDKUpdates/JDK+17u
Debian? CentOS? openSUSE? Warten wohl alle noch auf den Upstream Build und verteilen inzwischen weiterhin fleißig 17.0.2.
Adoptium? Hat ein fetzen Banner auf der Homepage, dass man sich hier den Buildzustand anschauen kann: https://github.com/adoptium/adoptium/issues/140
Ein fertiges Release gibts leider noch für keine Version.Die einzige bisher gepatchte OpenJDK Version scheint Arch zu haben: https://archlinux.org/packages/extra/x86_64/jdk17-openjdk/
Vermutlich haben die ihren eigenen Build.
Warum dauert das so lang? Offensichtlich gibts keinen Hotfix Prozess und es fallen Tests um: https://github.com/adoptium/aqa-tests/issues/3594
Da fragt man sich, was passiert eigentlich, wenn in Java ne RCE auftaucht? Warten wir dann auch > 2 Tage darauf, dass der Code Change im Binärpaket landet?
Nicht dass CVE-2022-21449 in irgendeiner Form etwas anderes als kritisch wäre...
Ich möchte an der Stelle darauf hinweisen, dass hier offensichtlich Oracle nicht OpenJDK vorab informiert hat, damit die auch einen Patch fertig haben. Das ist eine Sache, die man häufiger beobachten kann, dass Firmen selbst monatelang auf 0days sitzen, und nicht nur ihre Kunden gefährden, sondern auch absichtlich Open-Source-Komponenten uninformiert lassen, denn wenn du die informierst, dann fixen die das natürlich sofort und nicht erst wie du 6 Monate später. Und dann könnte die Welt ja sehen, was du für eine unzumutbare Patchpolitik fährst, indem du deine Kunden mit scharfen Sprengstoffgürteln durch die Gegend rennen lässt.
Aus meiner Sicht haben wir hier doppelt Oracle zu danken. Und es stellt sich die Frage, wieso die Finder dieser Lücke das überhaupt an Oracle gemeldet haben, und nicht bloß an OpenJDK. Den Oracle-Kram setzt doch eh niemand mehr ein!
Gab es da eine Bug Bounty oder was ist da los?
Update: Können wir an der Stelle bitte auch kurz hervorheben, dass wir von Open Source erwarten, dass es nach zwei Tagen funktionierende Patches für alle Plattformen gibt, während bei Oracle offenbar außer mir niemand ein Problem damit hat, dass die SECHS FUCKING MONATE ihre Kunden mit blutender Wunde unversorgt weiterhumpeln ließen?
Ich frage mich ja, wieso der Bug überhaupt an Oracle gemeldet wurde. Man hätte das an OpenJDK melden können. Oracle hätte dann sagen können: oh, äh, ja, das betrifft uns auch. Der nächste Patchtag ist im Oktober 2023!1!!
Update: Improve ECDSA signature support ist ja auch mal ganz großes Hallentennis als Commit Message.
Ein Leser schlägt vor, dass die Bugfilter ihr Geld damit verdienen, dass Bugs offen bleiben, damit ihre Kunden einen Vorteil davon haben, wenn sie deren Service einkaufen, der sie vor Lücken warnt. Insofern könnte das Vorsatz gewesen sein, nur Oracle zu informieren und nicht OpenJDK.
Update: Zwei Leserbriefe dazu kamen rein, die ich hier erwähnen will. Der erste meinte: Der Bug wurde an OpenJDK gemeldet, nicht an Oracle. Aber die Mannschaft hinter OpenJDK ist halt zum Großteil bei Oracle angestellt, insofern hat das nicht geholfen. Der andere meinte: Der Bug tritt angeblich nur unter Windows auf. Huch, muss ich übersehen haben im Advisory.
Update: Nein, hab ich nicht übersehen. Es gibt mehrere Fußnoten mit der Nummer 1. m(
Meine Frage (die du gerne auch öffentlich beantworten kannst): Haben wir (die Leute mit Expertise in Sachen IT-Security) heute nicht geradezu die Pflicht alles in unserer Macht stehende zu tun um russische IT Systeme zu stören oder gar zu zerstören - soweit es in unserer Macht steht. Wohlgemerkt jenseits von irgendwelchen staatlichen Verpflichtungen oder Anordnungen? Einfach nur aus humanitären Gründen, weil wir es können?Kurze Antwort: Nein.Ich fühle mich ein wenig an 1936 erinnert als viele freiheitsliebende Europäer in den Spanischen Bürgerkrieg gegen Franko gezogen sind. Und natürlich hat Putin meiner Meinung nach den derzeitigen Plott quasi 1:1 von Hitler-Deutschland angeschrieben. Die Krim war das Sudentenland.. Und die Ukraine Polen.
Erstens triffst du damit die Zivilbevölkerung, nicht die Regierung.
Zweitens kann Putin das direkt als Begründung für mehr Krieg nehmen.
Drittens musst du immer davon ausgehen, dass du die Situation falsch verstanden hast und falsch beurteilst (außer dein eigenes Leben wird gerade akut bedroht).
Viertens: Wenn du 0days hast, hättest du die melden sollen, nicht bunkern für einen Angriff gegen Russland oder sonstwen. Alles andere ist verwerflich und unmoralisch.
Fünftens wäre ja auch gar nicht klar, wen man da konkret angreifen sollte. Selbst wenn du dir ein klares Ziel aussuchst: Kannst du dir wirklich sicher sein, das richtige System zu treffen? Was wenn das ein Honeypot ist und die nur deine Exploits abgreifen wollen, um sie gegen die Ukraine einzusetzen?
Ich sehe überhaupt keinen auch nur potentiellen Nutzen. Das kann eigentlich nur voll in die Hose gehen.
Es gibt bestimmt noch mehr Gründe aber die würden mir persönlich schon völlig reichen.
Ich glaube den Seehofer müssen wir aussitzen. Manche Leute kriegst du nicht überzeugt. Da musst du einfach warten, bis die in Rente gehen und jemand mit mehr Resthirn nachkommt.
Tja. Das ist aber bedauerlich, dass sie mit ihrem Hackertoolverbot dafür gesorgt haben, dass es keinen Nachwuchs in der Security-Branche gibt, und dass die Alten ihnen nicht helfen wollen.
Wichtig ist ja eigentlich auch nur eine Sache.
Experten schreiben den Angriff der russischen Hackergruppe "Ghostwriter" zu, hinter der der russische Geheimdienst GRU stecken soll.Seht ihr? Die Russen waren es! Da kann man nichts machen.
Die Russen sind bestimmt mit furchtbaren APTs gekommen und haben eine sophisticated supply chain attack gefahren, oder? Aktuellste Erkenntnisse genutzt? Lauter 0days? Ja?
Nun, ... nicht ganz.
Die Angreifer nutzten offenbar auch keine komplexe Software, um die privaten Konten der Abgeordneten zu übernehmen. Vielmehr setzten sie auf sogenanntes Spearphishing und sandten ihnen gefälschte Mails, mit denen sie sich das Vertrauen der Zielpersonen erschleichen wollten.*gähn*
Ja gut, auf der anderen Seite: Richtige Hackerangriffe merken die wahrscheinlich gar nicht.
Es gibt da einige beachtenswerte Details.
Erstens: Die Codequalität und das Design sind auffallend schlecht.
Zweitens: Wenn man einen Bug meldet, mit dem zero-click remote code execution geht, dann stuft das Teams-Team das nicht etwa als critical ein (dafür ist critical gedacht, um genau diesen Fall abzudecken), sondern als … "important, spoofing". Warum "important, spoofing"? Weil das noch in scope ist, um an dem Bug-Bounty-Programm teilzunehmen. Wenn es nicht in scope wäre, wären die Melder juristisch auch nicht an die Teilnahmebedingungen gebunden und könnten direkt 0days an Ransomware-Gangs verkaufen. Das ist also sowas wie der Mittelfinger von Microsoft an die Melder des Bugs.
Drittens:
angular expression filtering can be bypassed by injecting a nullbyte char in unicode \u0000, e.g.{{3*333}\u0000}
Mit dem Nullbyte-Trick haben wir in den 90er Jahren Perl-Webapps aufgemacht. Das ist immer noch ein Problem bei Web-Entwicklern?!Tja und die Remote Code Execution geht dann, weil dieser ranzige Gammelclient in Electron implementiert wurde, das ist im Wesentlichen ein Webbrowser mit Javascript, aber das Javascript hat Zugriff auf Filesystem und Systemresourcen und kann Prozesse starten. WAS FÜR EINE GROSSARTIGE IDEE!! Lasst uns mehr "Anwendungen" mit Electron machen! Wenn es eine Programmierumgebung gibt, in der wir Injection voll im Griff haben, dann ist es ja wohl Javascript!!1! (Danke, Bernd)
Eigentlich müsste man den Satz gar nicht weiterführen nach "jemand".
Cisco hat mal wieder ein paar 0days in der Wildnis beobachtet, und war schockiert — SCHOCKIERT!!1!, dass die gegen Cisco-Anyconnect gerichtet waren! Ansonsten haben auch Kunden von Webex die Arschkarte, und SD-WAN scheint selbst für Cisco-Verhältnisse richtig doll schlecht zu sein.
Wieso kauft denen eigentlich immer noch jemand ihren Ranz ab? Was müssen die noch machen!?
Ja aber aber aber Chrome hat doch eine Sandbox? Ja schon, aber der 2. Teil des Exploits ist ein Sandbox-Ausbruch für Windows. Beide Hälften sind 0days.
Dass wir überhaupt davon erfahren haben wir (mal wieder) Google Project Zero zu verdanken.
Das mit dem Sandbox-Ausbruch gegen Chrome ist übrigens ein großes Problem, denn der Chrome-Sandbox-Code gilt als der Goldstandard unter Windows. Den haben diverse andere Projekte kopiert. Deren Sandbox ist im Moment dann auch außer Betrieb.
Update: Ooooh, stellt sich raus: Edge ist nicht Teil des Patchday-Hirnrisses.
Weil es Netgear offenbar nicht geschafft hatte, innerhalb der bereits verlängerten Frist von fünf Monaten Updates bereit zu stellen, hat die Zero Day Initiative den Sachverhalt jetzt veröffentlicht; Adam Nichols von der Sicherheitsfirma Grimm zog kurz darauf nach.Die will man doch einsetzen, deren Produkte!
2019-10 Security Bulletin: Junos OS: Kernel crash (vmcore) upon receipt of a specific link-local IPv6 packet on devices configured with Multi-Chassis Link Aggregation Group (MC-LAG) #CVE-2019-0067 Respekt! Ein Ping of Death hatten wir schon lange nicht mehr! Ich dachte schon fast, die seien ausgestorben! (Danke, Christian)
Eines meiner Argumente in den Folien zu Hackback war ja, dass die Exploit-Verkäufer dir den Exploit wahrscheinlich nicht exklusiv verkaufen, selbst wenn sie dir das glaubwürdig versichern. Und ein Idiot reicht, um den Exploit zu verbrennen. In diesem Sinne: Vielen Dank, Usbekistan. Verbrennt bitte noch so viele 0days wie ihr Geld über habt! Das ist endlich mal ein hilfreicher Beitrag eines Landes zur digitalen Verteidigung. (Danke, Axel)
Apple-Apologeten bringen ja gerade gerne zu ihrer Verteidigung das Argument, dass Apple ja immerhin kein Geschäftsmodell auf dem Verkauf der Nutzerdaten aufgebaut hat. Ich bin ja nicht optimistisch, dass das so bleibt.
Ich sag ja schon die ganze Zeit, dass VMs viel zu komplex sind und viel zu viel Code haben, als dass man sie einfach so als Security-Boundary einziehen kann. Aber auf mich hört ja keiner.
Krassomat. Viele der 0-days sind wie üblich vom Google Project Zero-Team.
Das ist natürlich kompletter Bullshit. Die wollen nicht Cyber-Security. Die wollen Offensiv-Cyber. Die wollen 0days kaufen, nicht um die Lücken zu schließen, sondern um die Lücken auszunutzen. Die wollen Trojaner bauen, um ihre Bürger verdeckt zu beschnüffeln.
Woher ich das weiß? Weil diese tolle neue Agentur eine Kooperation von Verteidigungsministerium und Innenministerium ist. Das sind genau die beiden Ministerien, die Angriffe machen. Wenn das was mit Verteidigung zu tun hätte, hätten sie die Kohle einfach dem BSI geben können. Haben sie aber nicht.
Insofern glaubt da mal kein Wort von dem Gefasel von wegen Abwehr von Angriffen.
Nicht dass das BSI noch viel Glaubwürdigkeit hätte, seit sie in die Bundestrojaner-Geschichte eingespannt wurden. Aber es ist jedenfalls noch deutlich mehr Glaubwürdigkeit übrig als bei Flinten-Uschi und Heimat-Horst.
Update: OMFG, die Behörde heißt "Agentur für Disruptive Innovationen in der Cybersicherheit und Schlüsseltechnologien (ADIC)". Ich leg mich flach! Das klingt, als hätte sich der CCC das als Satire ausgedacht! Das Forschungsministerium toppt das noch beim Versuch, "disruptive Innovation" zu übersetzen. Raus kam: Sprunginnovation. Heiliger Bimbam, wie schlecht ist DAS denn!
Das passt ja mal wieder wie Arsch auf Eimer! Die fiesen Chinesen! Repressive Monster! Die glauben wohl, wenn sie die Leute unterdrücken, dass die dann ihre 0days der Regierung gebe… wait, what? Oh. Ganz am Ende steht das hier:
Last year, the FBI arrested a Chinese cybersecurity expert with alleged ties to the Chinese government while he was attending a U.S.-based conference. Law enforcement claim the man was responsible for developing a malware variant that had been used in multiple breaches of American companies and organizations, including the Office of Personnel Management.In addition, the Justice Department announced a series of indictments in December against multiple Chinese nationals for their role in hacking and stealing intellectual property from U.S. companies. These individuals appeared to be contractors that took orders from a Chinese intelligence service.
Ja, äh, *hust*, gut, damit könnte das vielleicht eventuell auch was zu tun haben. Dass die ihre Spezialisten nicht von freidrehenden Amis kassiert haben wollen.
Ist gar nicht so schwer! Kann jeder!
Mein IoT-Vortrag schien ganz gut anzukommen, aber das Podium war zu lahm. Heise hatte kurzfristig ein Podium zur Frage "Sind Antiviren Schlangenöl?" eingeplant, nachdem ich da im Blog einen kleineren Schlagabtausch mit Heise Security hatte. Ich war ja erstmal überrascht, dass Heise Events es geschafft hat, für alle fünf Termine jemanden von der AV-Industrie zu finden, der sich da hinsetzt und das debattieren will. Die haben ja im Wesentlichen nichts zu gewinnen in einer Diskussion zu der Fragestellung. Aber sie haben es geschafft, und Hut ab vor den Leuten, die das jetzt machen.
Heute war das Ralf Benzmüller von G Data.
Weil das recht kurzfristig noch ins Programm gehievt wurde, und wir dann an dem Tag noch am Programm herumgeschoben haben, damit das nicht nur 30 Minuten sind wie ursprünglich eingeplant, und wir vorher auch keine Gelegenheit hatten, mal einen roten Faden zu klären, lief das Podium dann ein bisschen unrund, wie ich fand. Erstmal hat Heise vorher und nachher gefragt, wer meine These unterstützen würde, und wer die Gegenthese unterstützen würde, und ich konnte grob niemanden auf meine Seite ziehen, fing auch mit der klaren Minderheitsposition an. Das erwähne ich nur, um euch zu sagen, dass mich das nicht stört. Ich mache das nicht, "um zu gewinnen" oder so. Mich stört aber, dass wir teilweise aneinander vorbei geredet haben.
Ich habe extra versucht, da die technischen Details rauszuhalten, und auf einer ganz fundamentalen Ebene zu argumentieren.
Ich habe u.a. argumentiert, dass ein Virenscanner ja PDF-Dateien scannt, auch wenn ich gar keinen PDF-Viewer installiert habe. Dann wäre ich also ohne Antivirus sicher vor Angriffen via PDF gewesen, und erst durch den Antivirus kommt ein PDF-Parser ins Spiel, der wie jeder Parser-Code potentiell angreifbar ist. Ralf dachte, ich meinte, dass der mit den selben Exploits wie Acrobat angegriffen würde, und versuchte dann auszuführen, dass ein Antivirus ja die PDF-Datei gar nicht wirklich ausführt, sondern nach Heap Spraying und NOP Sleds sucht. Nicht nur verteidigte er damit einen Punkt, den ich nie kritisiert habe; im Publikum verstand das dann auch noch jemand so, als habe er eingeräumt, dass sie da nur oberflächlich ein bisschen draufschauen und das also gar nicht wirklich absichern.
Diese Art von Detail-Kleinkram wollte ich gerade vermeiden in der Debatte, denn da verliert man sich in irgendwelchen für die Diskussion und das Publikum unwichtigen Dingen.
Meine Aussage ist ja, kurz zusammengefasst, folgende:
In meinem rationalen Universum ist mit diesen beiden Punkten alles gesagt. Funktioniert nicht und verursacht Folgeprobleme? Will man nicht!
Und für den Fall, dass die "ist ja bloß ein Grundschutz"-Ausflucht kommt, vielleicht noch garniert mit "100% Sicherheit gibt es gar nicht", hatte ich mir überlegt, wie das wäre, wenn man eine Putzkraft einstellt, und die hinterlässt dann in der Küche einen großen Schmutzfleck, und argumentiert dann: Ist ja nur eine Grundreinigung, der Flur ist aber voll sauber jetzt!
Wieso würde man bei einer Putzkraft höhere Standards anlegen als bei einem Antivirus? Erschließt sich mir nicht.
Aber es stellt sich raus, und das muss ich völlig emotionslos hinnehmen, dass die Leute da draußen wissen, dass Antiviren nichts bringen, potentiell die Dinge schlimmer machen, Geld kosten, und die Werbeversprechen der Hersteller zum Gutteil falsch sind — und das trotzdem für einen nicht nur akzeptablen sondern notwendigen Deal hält.
Ich vermute, dass es da einen bisher unerkannten psychologischen Hintergrund gibt. Meine Vermutung ist, dass das unser Ablassschein dafür ist, dass wir lauter Software einsetzen, der wir nicht vertrauen, und von der wir aus Erfahrung wissen, dass sie unsicher ist. Wir setzen die trotzdem ein, uns müssen diesen offensichtlichen Fehler irgendwie wegrationalisieren. Dafür kaufen wir uns beim Schlangenöllieferanten einen Ablassschein. Dem können wir zwar auch nicht vertrauen, aber das war ja auch nicht der Punkt an der Sache. Den Antivirus kauft man nicht, damit er einen absichert, sondern damit man sagen kann, man habe aber einen Antivirus gehabt.
Ich frage mich, ob man da nicht viel Aufwand sparen kann, und den Leuten das Geld abnimmt, aber ohne einen Antivirus zu liefern. Sankt Fefes Schlangenöl-Ablassbrief. Du setzt Internet Explorer ein? Sag drei Ave Maria und kaufe vier Sankt Fefe Schlangenöl-Ablasszertifikate!
Als Gegenleistung könnte man so richtig schöne Zertifikate drucken. Auf gutem Papier, ihr wisst schon. Wasserzeichen, Prägung, vielleicht noch ein Wachssiegel.
Sollte ich mal vorbereiten und bei solchen Gelegenheiten verkaufen. Aufschrift: Dem Eigentümer dieses Zertifikates wird verziehen, dass er immer noch Firefox einsetzt, obwohl er wusste, was da mit jedem einzelnen Release für unfassbar furchtbare Sicherheitslücken zugemacht werden müssen, und dass es keinen Grund für die Annahme gibt, dass diese Reihe nicht so weitergehen wird. Gezeichnet: Kardinal Rieger.
Auf der anderen Seite kann es natürlich sein, dass so ein Podium gar nicht funktionieren kann, denn es war ja gar nicht mein Ziel, da irgendeinen bestimmten Hersteller rauszuziehen und schlecht zu machen, schon gar nicht den, der sich neben mir aufs Podium getraut hat. Es ist auch nicht mein Ziel, dazu aufzurufen, dass die Leute alle ihre Antiviren deinstallieren. Wir sind hier alle Erwachsene. Wer auf selbstzugefügte Schmerzen steht, dem werde ich da keine Vorschriften zu machen versuchen. Und häufig haben gerade Firmen sowas ja auch aus Compliance-Gründen oder weil sonst die Versicherung im Schadensfall nicht zahlt.
Naja, und so kam am Ende völlig überraschend raus, dass die Fakten völlig unstrittig sind. Wir legen sie bloß fundamental verschieden aus.
Update: Der Vollständigkeit halber: 100% Sicherheit gibt es natürlich doch. Jemand, der keine PDF-Software installiert hat, ist 100% sicher vor PDF-Exploits. Bis er einen Antivirus installiert. Dann nicht mehr.
Update: Ich werde häufig gefragt, was denn mein Vorschlag gegen Malware ist. Hier ist meine Antwort.
Die Malware-Problematik besteht aus zwei zu trennenden Hälften. Erstens Malware, die unter Ausnutzung von Sicherheitslücken auf das System kommt. Zweitens Malware, die völlig legitim auf das System kommt, beispielsweise in einer E-Mail, und die dann vom Benutzer ausgeführt wird.
Die erste Kategorie von Malware kriegt man weg, indem man Softwarehersteller für Schäden in Haftung nimmt, die aus ihren Sicherheitslücken resultieren. Die zweite Kategorie von Malware kriegt man weg, indem man das Modell von Mobiltelefonen übernimmt. Anwendungen laufen nicht mehr in einem großen Universum gleichberechtigt nebeneinander und haben alle vollen Zugriff auf alle Ressourcen, auf die der User Zugriff hat, sondern Anwendungen laufen jeweils in einer Sandbox mit minimalen Rechten, und wenn sie eine Datei öffnen wollen, können sie nur das System bitten, einen "Datei öffnen"-Dialog anzuzeigen. Dateien einfach so mit Dateinamen öffnen oder ohne Rückfrage geht nicht. So ein Modell hat Microsoft mit ihrem App Store zu etablieren versucht, und der Markt hat sie ausgelacht und das nicht haben wollen. Dafür installieren wir uns dann einen Antivirus drüber. Um unser schlechtes Gewissen zu beruhigen.
Update: Hier kommt der Einwand, dass das ja noch dauert, bis wir Produkthaftung kriegen. Das ist also jetzt keine akute Lösung!1!! Ja, und? Gegen 0days zu helfen sagen ja auch Antiviren nicht zu. Und wenn es kein 0day ist, muss man halt immer schön alles gepatcht halten. Dann kann einem die auf Sicherheitslücken basierende Malware auch nichts. Für mich ist das der Gipfel der Unverantwortlichkeit, wenn Konzerne sich ganze Abteilungen mit Bremsklötzen leisten, die dann vorgeblich Patches "prüfen", ob die wirklich ausgerollt werden müssen oder nicht. Und in der Praxis führen die nur dazu, dass steinalte Exploits in dem Laden noch funktionieren. Aber hey, dafür haben wir ja Antiviren installiert!1!!
Und nicht auf Sicherheitslücken basierende Malware kriegt man im Firmenumfeld dadurch weg, dass man den Leuten keinen lokalen Adminzugang gibt und sie nur Programme von der Whitelist ausführen lässt. Ich glaube ja, dass das mit der Tooldiskussion neulich hier im Blog Hand in Hand geht. Firmen tolerieren ein geradezu groteskes Maß an Unwissen und Lernverweigerung. Und die Mitarbeiter nehmen das dankend an, weil sie dann die Unschuld vom Lande geben können. "Ja aber ich hab doch bloß auf das Bild geklickt und die drei Warnfenster sofort ungelesen zugemacht!1!!"
Merkt euch das mal. Demnächst wird wieder jemand kommen und was von Cyber faseln und dass wir der Bundeswehr oder den Geheimdiensten Geld geben müssen für Cyber. DAS IST, was dann passiert.
Die waren ja bei dem NSA-Malware-Dump prominent vertreten.
Cisco fixt jetzt doch mal die 0days der NSA, also die öffentlich gewordenen.
Cisco schmeißt übrigens demnächst mal 20% ihrer Mitarbeiter raus. Ich bin mir sicher, das hat nichts damit zu tun.
Das ist nicht der Punkt. Der Punkt ist das hier:
Vor allem Windows-Nutzern rät Adobe zu einem zügigen Update. Denn die Lücke mit der Kennung CVE-2016-1019 werde derzeit aktiv ausgenutzt. Das geschehe in Windows bis inklusive Version 10 und dem Flash Player 20.0.0.306. Kaspersky zufolge machen sich zwei Exploit-Kits die Lücke zunutze, um die Erpressungs-Trojaner Cerber und Locky auszuliefern.Jetzt vergesst mal bitte kurz den Flash-Teil.
Ihr solltet gerade alle den Arsch auf Grundeis haben.
Was wir hier gerade beobachten können, ist dass nicht mehr nur 0days einen Marktwert haben, sondern jede Sicherheitslücke.
0days sind rar und teuer. Gut, in diesem Fall war es auch ein 0day. Aber denkt euch das mal weg.
Das hier ist die Industrialisierung der Computer-Einbrüche.
Gut, einen Markt für gehackte Rechner gab es schon immer. Botnetz-Betreiber haben damit organisiertes DDoS gegen Online-Casinos und so gemacht.
Aber bei diesen Erpressungs-Trojanern vermute ich den möglichen Payout deutlich höher.
Und die Zeiten von "wieso würde mich denn jemand hacken wollen, ich habe doch keine wichtigen Daten" sind auch endgültig vorbei. Das redet sich hoffentlich niemand mehr ein.
Auf der anderen Seite ist natürlich die Frage, wie das gehen soll, wenn Apple Updates ausliefern kann. Dann kann Apple auch böse Updates ausliefern. Mit Verschlüsselung kann man da nur am Rand was machen. Zumindest der Teil, der die Verschlüsselung macht, und den Schlüssel in der Hand hat, der müsste dann un-update-bar sein.
Angeblich ist ja schon bei den Nachfolgemodellen von dem Telefon, um das es in dieser Sache ging, die Krypto in einem Chip und nicht in Software, und das FBI will die Verzögerung bei falscher PIN-Eingabe umgehen, indem sie die Firmware von diesem Krypto-Chip kaputtupdaten. Rein konzeptionell kann man aber mit physischem Zugriff auf die Hardware immer reinkommen, es ist bloß eine Frage der Kosten. Fragt nur mal die Pay-TV-Industrie und die Spielekonsolenhersteller.
Ich möchte aber auf eine Sache bei der Gelegenheit hinweisen: Code Signing hat nicht geholfen. Viele Leute halten Code Signing für ein Sicherheitsfeature. Ist es nicht.
Oh und nur keine bösen Updates mehr reinzulassen ist nicht genug. Man hat auch immer das Problem, wenn jemand ein gutes Update nicht einspielt. Oder was wenn das FBI Apple richterlich verpflichten lässt, für einen ihnen bekannten 0day keinen Patch auszuliefern?
Erfahrungsgemäß ist die Gefahr groß, dass es sich hier um Semantik-Spielchen handelt, die ein paar Zäune ein paar cm verschieben, aber am Ende ist doch alles wie vorher.
Der/die (wird im Film von einer Schauspielerin nachgesprochen) erregt sich fürchterlich, dass der wunderschöne, subtile, zuverlässige Code der NSA von den Trampeln aus Israel so unilateral verteilt wurde, und dass es jetzt so aussieht, als ob die NSA nicht in der Lage sei, eine Cyberwar-Operation durchzuführen, ohne dabei aufzufliegen.
Ein lustiges Detail war noch, dass die den Zentrifugen-Kaputtmach-Code ja testen mussten, und dafür haben sie die Uranzentrifugen genommen, die ihnen der Gaddafi nach dem Zusammenbruch Libyens überlassen hat. Harr harr harr :-)
An dieser Stelle herzlichen Dank an den edlen Ticket-Spender, der an mich dachte, als ihm terminlich was dazwischenkam!
Update: Ein paar Details noch. Die Infektion war nicht bloß ein "wir gehen hin und machen kaputt" sondern dauerte Monate bis Jahre an. Es gab da ein halbes Dutzend Versionen von Stuxnet, die die Amis immer über Agenten manuell in Natanz aufgespielt haben. Und über die zweiwöchentlich (!) stattfindenden Inspektionen der IAEA haben sie dann live gesehen, wie viel Schaden sie gemacht hatten.
Der Code hat erstmal 13 Tage gewartet und eine Baseline an Messdaten etabliert. Denn es dauert so 13 Tage, bis eine frische Uranbefüllung durch die Kaskade durchgesuppt ist und alle Zentrifugen befüllt sind. Dann hat der Code die aufgezeichneten Daten rausgeliefert, damit die Konsole "alles OK" anzeigt, und hat dann die Zentrifugen zerstört. Die Iraner haben wohl auch reihenweise Mitarbeiter gefeuert, weil sie dachten, das sei Pfusch bei der Konstruktion gewesen.
Israel hat dann darauf bestanden, dass es auch einen Cyber-Infektionsvektor gibt und da den 0day-Kram rangepappt und die Samples in den fünf wichtigsten Zulieferer-Buden ausgesetzt. Deren Techies haben das dann zu Natanz gebracht. Lustigerweise hatte der Code ein Log der infizierten Rechner drin, und anhand der Logs konnte man die ganzen Samples aus der freien Wildbahn auf diese fünf Zulieferer im Iran zurückverfolgen.
Ja wie jetzt. Duh?! Hat das ernsthaft irgendjemand noch nicht mitgekriegt? Die alten Männer mit ihren Filzstiften wollen Zugriff auf alles und jeden, immer und überall. Wenn es existiert, wollen sie Zugriff. Wollen nicht nur. Haben.
Wir reden hier von einer Junta, die mal eben für ein ganzes fremdes Land einen Ausschalter installieren, damit sie willkürlich das andere Land runterfahren können. Seit Jahren scrollen die Meldungen an uns vorbei, was GCHQ und NSA alles abschnorcheln. Und wo sie keinen offiziellen Zugriff kriegen, da beschaffen sie sich halt inoffiziellen Zugriff.
Und jetzt sollen wir denen ernsthaft glauben, dass sie ein gammeliges Iphone nicht entsperrt kriegen?!
Für wie blöde halten die uns eigentlich!?
Nein, liebe Leser, lasst euch da mal nicht verarschen.
Das ist Theater, dieser offene Brief von Apple. Selbstverständlich kann alles entsperrt werden.
Wir reden hier von der Regierung der USA auf der anderen Seite. Die Emails und SMSsen sind eh an der Schnorcheln der NSA vorbei gekommen, die Telefonat-Metadaten stehen in der Datenbank der Telcos, die mit der Polizei kooperieren.
Ich kenn mich jetzt nicht damit aus, wie Apple ihren Cloud-Scheiß technisch macht, aber ich würde mal vermuten, dass man da an die Daten wieder rankommt, wenn man genug Zeit zum PINs durchprobieren hat und an den Computer mit dem Itunes drankommt.
Wenn nicht eh die PIN als Textdatei auf besagtem Computer liegt.
Oder die NSA benutzt einen ihrer Baseband- oder Jailbreak-0days. Oder man wartet halt ein bisschen, bis die 0days von heute die bekannten Lücken von morgen sind, und dann benutzt man eine bekannte Lücke.
Ansonsten habe ich gerade den VW-Emissions-Vortrag gesehen, und der war in der Tat echt krass. Gemeinsam gehalten von einem Autobranchen-Insider, der mal erklärt hat, wie die Branche so intern funktioniert, und Felix Domke, der sich mal eben auf Ebay eine ECU geklickt hat (das ist der Motor-Regulator-Computer, der u.a. den Katalysator regelt und auch die NOx-Entfernung). Dann hat er da über einen Hardware-0day die Firmware extrahiert und in IDA reingeladen und mal ein bisschen reverse engineered.
Die Haupt-Botschaft ist die: Die ECU-Software lizensiert man für viel Geld von Bosch, die tun da ihre proprietäre Software drauf, aber da kommen keine Konstanten vor. Alle Konstanten liegen in einem vom OEM (VW in diesem Fall) manipulierbaren Datenbereich. Bosch hat da mit massivem Forschungs-Investment ein Motormodell entwickelt, bei dem man nur noch die Parameter einstellt, und dann rechnet der genau aus, wieviel "AdBlue" eingespritzt werden soll, um das NOx wegzumachen. Und was Felix jetzt herausgefunden hat, ist dass dieses Modell überhaupt nur für den Fall verwendet wurde, wenn das Auto erkennt, dass es gerade im Abgastestmodus läuft. Er hat sogar die Parameter im Datensegment gefunden, die die Kurve für die Erkennung der Abgastestreihe beschreibt, und gegen die gemessene Kennreihe geplottet. Da bleiben keine Fragen offen.
Ansonsten fährt das Auto in einem "alternativen" Modell, das offenbar überhaupt keine NOx-Unterdrückung macht. Mir war daran erst nicht das Geschäftsmodell klar, weil das Auto ja nicht besser oder schneller fährt oder männlicher klingt, wenn man das NOx nicht aus dem Abgas filtert. Hier die aktuelle Theorie (von Frank): Aber die Kenngröße für einen Katalysator ist die benötigte Fläche, und die ist mit Platin beschichtet. Wenn man also den Katalysator ansonsten nicht braucht, dann braucht man weniger Platin und kann billiger fertigen. Der Vortrag lohnt sich aber auf jeden Fall.
Update: Leute, die sich damit besser als ich auskennen, erklären mir gerade, dass es nicht Platin ist bei Diesel, sondern eine Titanverbindung.
Update: Meine Zusammenfassung war falsch. Im alternativen Modell wird nicht gar kein AdBlue gespritzt, sondern nur viel zu wenig. Felix Domke vermutet, dass sie den AdBlue-Tank zu klein dimensioniert haben, und dann den Verbrauch davon runtergeregelt haben, damit das Auto nicht ständig zum Nachfüllen in die Werkstatt muss. Vielleicht ist das ja zu spät im Testzyklus aufgefallen.
Update: Der Gadi-Vortrag war weit weniger schadenfroh als ich dachte. Im Wesentlichen haben sie da diagnostiziert, dass APT-Reports im Moment reine PR-Geschichten sind, und nicht nur mir als potentiellem APT-Opfer nicht helfen (tolle IDA-Screenshots, wenig bis gar kein was die wollten, wie sie reinkamen, etc. Dann zeigten sie, dass diese den Opfern nicht helfenden Reports aber den Tätern helfen, ihren Scheiß besser auf die Reihe zu kriegen. Am Ende blieb der Aufruf, bessere APT-Reports zu machen, aber wie das konkret aussehen soll, da kam eigentlich nur "give us a heads up, don't wait until they are analyzed and removed from your systems".
Und für die NOx-Geschichte ist mir auch noch eine Erklärung reingekommen, nämlich dass es anscheinend in den USA rechtlich unzulässig ist, wenn der Kunde zwischen zwei Wartungsintervallen irgendwas außer Benzin nachkippen muss am Auto, und weil die da längere Entfernungen zurücklegen, reicht dann der AdBlue-Tank halt nicht.
Je sicherer ein IT-Produkt sei, desto schwerer sei es, in dieses einzudringen und Nutzer zu überwachen, erklärten Sachverständige bei einem Fachgespräch im Bundestag.Ach SO ist das! Na endlich erklärt uns das mal jemand!1!!
Highlight 2:
Einen Handel mit ausnutzbaren Schwachstellen dürfe es zudem nicht mehr geben: Der Wissenschaftler plädierte dafür, "Exploits radikal als Cybercrime zu verbieten".Das finde ich eine bodenlose Frechheit. Warum? Na wer kauft denn die Exploits? Wer hat denn hier eine Nachfrage erzeugt? Wessen Nachfrage sorgt denn dafür, dass es Leute gibt, die professionell 0days bauen? Die Geheimdienste! DER STAAT! Und weil unser tolles Parlament offensichtlich zu unfähig ist, den Geheimdiensten das zu untersagen, sollen jetzt die Hacker kriminalisiert werden. JA SUPER!
Und damit am besten auch gleich verbrannte Erde hinterlassen. Man fühlt sich ja auch gleich viel sicherer, wenn man nicht mehr ständig hört, was alles kaputt ist. Das bleibt dann einfach alles kaputt. Die Geheimdienste kommen überall rein. Alles Scheiße.
Aber hey, Fraunhofer war ja eh schon immer staats- und militärnah. Wahrscheinlich hoffen die, dass sie dann als einzige eine Ausnahmegenehmigung kriegen und Monopolanbieter für 0day für Militär und Dienste werden können. Weiter als bis zur nächsten Drittmittel-Infusion denken diese ganzen Forschungsinstitute ja eh nicht.
Weil ich nicht den Eindruck erwecken will, ich säße auf irgendwelchen 0days. Denn dann kommt man schon mal abends nach Hause und jemand hat den Laptop auf- und inkompetent wieder zugeschraubt. Gemerkt hat Stefan es, weil das Teil plötzlich nicht mehr booten wollte und das "RAM kaputt"-Muster piepste.
Mir fiel hier beim Rumklicken gerade ein besonders schönes Exemplar auf. Das ist ein Whitepaper von RSA über, … ja so richtig klar ist das nicht. Ihr Team? Ihre Produkte? Es geht jedenfalls um Incident Response (auch bekannt als "Feuerwehr" oder "Ghostbusters"-Einsätze) in APT-Fällen (auch bekannt als "Windows-Trojaner"). Normale Malware gibt es ja gar nicht mehr, ist ja heutzutage alles APT. Mit APT können alle leben. Die gehackte Organisation, denn bei APT kann man halt nichts machen, alles 0day und military grade ultra-Geheimdienst-Qualität und so. Die untersuchenden Spezialisten, denn hey, wer kann schon von sich sagen, einen echten APT gefunden zu haben! Gut, inzwischen fast alle, aber wollen wir mal nicht so sein.
Aber gucken wir uns das Whitepaper mal an. Es geht damit los, dass sie eindrucksvoll schildern, wie raketentechnologisch roswellig ihre UFO-Technologie da ist! Während Villariba erst 10% untersucht hat, ist Villabajo dank RSA-Gehirnchirurgenequipment schon 90% fertig (Seite 5).
Da wird man doch neugierig, wie sie das anstellen! Und blättert weiter bis zum Kapitel 3, Analysis Methodology. Und was steht dort?
RSA IR employs a methodology that is founded on industry standards.Wie jetzt, nanu? Ich dachte ihr seid der Industrie 90% voraus! Wie könnt ihr dann die selben Standards nehmen wie der Rest der Industrie? Das liegt bestimmt an dem ganzheitlichen Ansatz!The holistic approach includes the following four core components:- Intelligence gathering and research;
- Host-based forensic analysis;
- Network-based forensic analysis; and,
- Malware analysis.
Oder mit anderen Worten: Was auch alle anderen machen, wie das jeder tut, weil das offensichtlich ist.Plötzlich ist dann von iterativen Ansätzen und wiederholbaren Prozessen die Rede, das klingt dann schon gar nicht mehr so 90% schneller als anderswo, und dann gibt es dieses Highlight:
To complete this work, RSA IR uses several commercial and open source forensic toolsWie, Moment, ihr benutzt anderer Leute von-der-Stange-Tools? Ich dachte, EURE Tools seien der heiße Scheiß!In addition, the Team will leverage available tools and technologies in place within the enterpriseJa, äh, na was soll man auch sonst benutzen an der Stelle?Aber gut, das ist ja immer noch recht abstrakt. Vielleicht werden die Dinge in der Case Study-Sektion klarer?
The RSA IR team used Volatility to analyze the submitted memory dump. Very quickly, while parsing the Application Compatibility cache from the memory image, RSA IR confirmed this server likely had unauthorized activity based on locations and filenames that were executed on the system.Das ist ja mein persönliches Highlight. Erstens: Volatility ist ein Open-Source-Tool. Aber über Formulierungen wie "confirmed this server likely" könnte ich mich stundenlang amüsieren. Likely ist, was man vorher hat. Confirm macht aus likely ein definitely. Bestätigen, dass etwas wahrscheinlich passiert ist, geht nicht. Etwas ist wahrscheinlich passiert, dann bestätigt man das, dann weiß man, dass es passiert ist und braucht kein wahrscheinlich mehr.Ihr seht schon: Whitepapers sind ein Quell der Unterhaltung für Leute, die sich für den sprachlichen Dreizack aus Bullshit, Schlangenöl und Herumwieseln interessieren.
Hey, vielleicht sollte ich auch mal ein Whitepaper schreiben. "Wir machen das selbe wie unsere Mitbewerber. Wir können es nur besser." :-)
Das Problem, um das es geht, ist dass man memprotect als Orakel benutzen kann, um ASLR auszuhebeln. ASLR heißt, dass Code nicht an vorhersagbare Stellen im Adressraum geladen wird, damit man in einem Exploit nicht einfach zu der Stelle springen kann, die tut, was man will. ASLR ist einer der Hauptgründe, wieso stabile Exploits heutzutage so teuer geworden sind.
ZDI hat dieses Problem gefunden, Beispiel-Code gemacht (!), und mit dem bei Microsoft sogar einen Award abgeräumt, oder ein Kopfgeld, wie immer man das nennen will.
Und jetzt droppen sie den 0day, weil Microsoft ihnen zu verstehen gegeben hat, dass sie das Problem nicht fixen wollen.
Was man dazu wissen muss, ist dass Microsofts Verständnis von solchen Bug Bounties ist, dass sie dann die Details "vom Markt genommen haben". Ich denke, dass Microsoft denen das Geld gegeben hat, in der Gewissheit, dass das dann nicht später veröffentlicht wird. Das könnte also noch Stress geben.
Wieso will denn Microsoft das Problem nicht fixen? Weil memprotect ihr Hack ist, um use-after-free-Bugs in IE zu fixen. Das können sie also jetzt nicht abschalten, um ASLR wieder ordentlich zu kriegen, ohne dass sie auch die ganzen use-after-free-Bugs wieder reaktivieren. Und von denen gab es anscheinend eine ganze Menge, denn sonst würde Microsoft das ja jetzt abschalten und fertig ist die Laube.
Ich beobachte sowas ja immer mit einer gewissen Häme aus der Ferne, wenn ein Security-Feature an einem Security-Problem Schuld ist. Das ist jetzt jedenfalls eine ganz beschissene Situation für alle Involvierten.
Stellt sich natürlich noch die Frage, ob man nicht memprotect so umbasteln kann, dass es nicht mehr als Orakel missbrauchbar ist. Ich vermute mal nicht, denn sonst hätten sie das wohl getan.
Ich bin ja kein Freund von so Exploit-Händlern, aber vor ZDI muss man an der Stelle echt den Hut ziehen. Die scheißen echt jedem in den Vorgarten, der seine Bugs nicht in akzeptablem Zeitrahmen fixt. Sogar ihrem aktuellen Eigentümer HP.
Mein Punkt war auch nicht, da einige ausgewählte Antivirenhersteller an den Pranger zu stellen, sondern das als systemisches Problem der Antivirenindustrie darzustellen. Kaspersky, Symantec und F-Secure waren halt, wenn ich mich da richtig erinnere, die Firmen, die öffentliche Statements dazu abgegeben haben. Die AV-Industrie hat eine gut funktionierende Infrastruktur zum Austausch von Malware-Samples, daher kann man davon ausgehen, dass alle AV-Firmen ein Regin-Sample hatten. Das Geheimdienst-Statement kam von Fox IT.
Meine Argumentation, dass man den Schutz nicht privatwirtschaftlichen Unternehmen überlassen sollte, hatte auch eine Begründung, die wohl Platzproblemen zum Opfer fiel. Damit war nicht gemeint, dass ich die Bundesbehörden für sonderlich kompetent halte, die würden das am Ende wahrscheinlich an die Industrie outsourcen und es würden die selben Leute wie jetzt machen. Aber im Moment ist der Aufwand, den wir für die Verteidigung treiben können, dadurch gedeckelt, wieviel Geld wir für Antiviren ausgeben. Minus deren Profitmarge. Wenn der Staat das macht, kann man die Ausgaben dem Bedarf anpassen. Auch das ist eine eher optimistisch-naive Sicht auf die Dinge, das gebe ich zu. Aber mein Eindruck war, dass es bei solchen Zukunftsbetrachtungen auch eher um idealisierte Zukunftsvorstellungen geht.
Der spannene Teil beim Sony-Hack ist, wie Sony es geschafft hat, das von "oh wie peinlich, wir waren zu doof, ordentliche Passwörter zu vergeben" umgelenkt hat zu "OMGWTF DIE TERRORISTEN AUS NORDKOREA WERDEN UNS ALLE TÖTEN!!1". Und Obama ist natürlich sofort aufgesprungen, weil das vom CIA-Folterbericht abgelenkt hat. Ein Musterbeispiel für einen Bullshit-Geysir.
Rein rechnerisch hätte Nordkorea vermutlich gar nicht die Bandbreite, um da bei Sony die ganzen Daten rauszulutschen. :-) Und wenn sie sie hätten, wieso würden sie dann die anderen Filme raustragen und bei irgendwelchen Torrent-Sites hochladen? Dass irgendjemand auf diese völlig abwegige Theorie mit etwas anderem als Gelächter reagiert hat, finde ich nicht nachvollziehbar.
Hier schlagen auch gerade gehäuft Journalisten auf und fragen nach Regin, weil das angeblich im Kanzleramt entdeckt worden sein soll. Naja, äh, klar, warum sollte das Kanzleramt auch immun gegen Malware sein? Solange es Menschen gibt, die auf Dinge raufklicken, wird es eine Malware-Problematik geben.
Aus meiner Sicht ist der Punkt bei Malware, dass es hier zwei Märkte gibt. Auf der einen Seite schaffen die Geheimdienste einen Markt, weil sie für unbekannte offene Sicherheitslücken Geld ausgeben. Solange es diese Nachfrage gibt, wird auch ein Angebot entstehen. Auf der anderen Seite gibt es den Markt der Antiviren-Hersteller. Wir haben hier zwei Märkte mit Angebot und Nachfrage, die sich gegenseitig bedingen. Solange diese Konstellation besteht, wird das Malware-Problem sicher nicht weggehen. Wir müssen also gucken, dass wir diese Märkte beseitigen.
Die mir liebste Lösung wäre, wenn wir Malware international ächten könnten, und dafür sorgen könnten, dass Geheimdienste und Militär sie nicht kaufen. Das erscheint aber nicht sonderlich realistisch. Wenn wir die Nachfrage nicht wegkriegen, dann bleibt nur, das Angebot zu verknappen. Dafür müssten wir dafür sorgen, dass man in der Ausbildung zum Programmierer lernt, wie eine Sicherheitslücke aussieht und wie man sie vermeidet. Leider geht die Kohle der "digitalen Agenda" nicht in die Bildung sondern verstärkt das Problem sogar noch, indem es Malware-Käufern wie BKA und Verfassungsschutz mehr Mittel in die Hand gibt für ihr unmoralisches Tun.
Man könnte das Angebot noch verknappen, indem man dafür sorgt, dass Softwarehersteller für das Ausliefern von Software mit Sicherheitslücken Konsequenzen zu befürchten haben. Das ist im Moment leider nicht der Fall. Ganz lösen kann man das Problem durch Verknappung wahrscheinlich nicht, aber bei Microsoft kann man sehen, dass man so die Preise für 0day dramatisch in die Höhe treiben kann. Früher konnte man mit Windows-Bugs kein Geld verdienen, weil es zu viele davon gab. Heute kostet ein ordentlicher Remote Exploit siebenstellige Beträge. Das ist immer noch im Budget von Geheimdiensten, klar, aber das reduziert deren Munition deutlich. Wenn wir dann eine Lücke finden und schließen, dann tut das den Diensten richtig weh.
Es gibt da noch die Idee, das BSI 0day kaufen zu lassen, und die dann zu verbrennen. Das ist wahrscheinlich nicht die Lösung, weil das den Markt ja befeuert, statt ihn auszutrocknen, aber es wäre immerhin mal eine nicht völlig sinnlose Geldanlage. Besser als ein beklopptes Mautsystem zu bauen jedenfalls. Oder den Berliner Großflughafen.
Aber Vorsicht, das hat nicht nur positive Aspekte. Damit wird Erpressung mit frischen Sicherheitslücken zu einem potentiell sehr lukrativen Geschäftsmodell. Das wird sicher einmal echt viele Leute echt nervös machen.
Vielleicht könnte es auch dazu führen, dass sich die Regierungen mal hinsetzen und ihre 0day-Sammlung lieber zum Verbessern der Situation einsetzen als für ihre Dienste, die damit am Ende eh nur das eigene parlamentarische Kontrollgremium abschnorcheln und Kompromat über die eigenen Politiker akkumulieren.
Jaja, der Schwarzmarkt-Schindler und sein Mafia-Michl.
Oh, und, *umblätter*: Der BND möchte gerne eure SSL-Verbindungen mit 0days mitlesen.
Arsch -> Eimer!
Oh und bei den heißen Eisen, z.B. der "Glasfasererfassung" u.a. am DE-CIX, da war sie dann gar nicht erst eingebunden.
Die kriminelle Energie der Geheimdienste kennt keine Grenzen. Zumachen, abreißen, und alle in den Knast.
Update: Oh und noch ein Detail:
Auf die IT-Sicherheit achte im BND ein gesonderter großer Bereich, führte die Zeugin weiter aus. Sie bat daher um Verständnis, dass sie vom möglichen Ausnutzen von Zero-Day-Exploits keine Kenntnis und das Wort auch gerade zum ersten Mal gehört habe. Sie selbst sei "technisch nicht vorgebildet" und könnte daher etwa mit Quellcode nichts anfanngen
Das muss ja ein langwieriger Auswahlprozess gewesen sein, bis sie eine Datenschutzbeauftragte gefunden haben, die noch nie das Wort 0day gehört hat. Ob das deshalb eine Frau geworden ist, weil die CSU-Wähler beim BND dachten, dann sei gewährleistet, dass die nichts kann und nicht aufmuckt? Dafür hat die aber getan was sie konnte, muss ich ja mal anerkennen. Es wäre noch schöner gewesen, wenn sie das von sich aus an die Medien geleakt hätte, oder von mir aus an den Bundesdatenschutzbeauftragten, als das noch nicht diese furchtbare Voßhoff war.
Das bemerkenswerte daran ist, dass Dan Geer der CIO von In-Q-Tel ist, dem Risikokapitalarm der CIA.
Update: Oh, es gab da noch zwei Updates dazu, inzwischen liegt das Schiff anscheinend in einem Hafen in Korea.
Auch das ist alles seit Jahrzehnten bekannt oder wird laut gemunkelt. Wirklich wissen tut man sowas natürlich nur in den seltensten Fällen. Aber in der Praxis gehe ich zumindest im Umgang mit Software aus den USA immer davon aus, dass da alle möglichen Dienste mal reingeguckt und nach 0day gesucht haben. Bei freier Software weiß man wenigstens, dass auch andere mal reingeguckt haben :-)
Update: Auch 0days werden laut Artikel rausgerückt, aber das bringt den Diensten weniger als den Quellcode rauszurücken. Denn das ist halt nur die Lücke, nicht der Exploit, und wenn man das von Microsoft kriegt, dann weiß man ja auch, dass die gerade dabei sind, das zu fixen. Daher gibt es nur ein sehr begrenztes Zeitfenster, in dem das tatsächlich ein 0day ist. Diese Vorab-Info über Sicherheitslücken an Regierungen ist übrigens auch seit Jahren bekannt.
Nach so einer Sache stellt sich natürlich immer die Frage, wie das denn überhaupt passieren konnte. Hetzner hat das Problem entdeckt, weil sie eine Backdoor in ihrem Nagios gefunden haben. Daraus kann man nicht schließen, dass Nagios auch der Weg war, über den die bei Hetzner eingedrungen sind. Man muss ja leider bei so komplexen Systemen, wie sie heute überall leichtfertig eingesetzt werden, grundsätzlich attestieren, dass da in jeder Komponente vermutlich noch diverse Lücken drin sein werden. Die üblichen Verdächtigen bei solchen Angriffen sind: Software nicht zeitnah geupdated, Fehler in der Konfiguration, eine Weile nichts, dann 0days. Leider lässt sich das im Nachhinein im Allgemeinen nicht aufklären, was da genau passiert ist. Insofern würde ich da jetzt von außen auch keine großen Aufklärungserwartungen stellen. Aber wenn ich Kunde bei Hetzner wäre, würde ich angesichts dieser Reaktion auch Kunde bei denen bleiben. So wie die es getan haben muss man auf sowas reagieren.
Ich würde da gar nicht auf das BSI zeigen wollen. Der CCC ist seit Jahren eher unterzeugt von der Software. Und bei mir hört die Beweisführung schon bei "ist eine Java-Anwendung" auf. Java!! (Danke, Marcus)
We also find that a typical zero-day attack lasts 312 days on average and that, after vulnerabilities are disclosed publicly, the volume of attacks exploiting them increases by up to 5 orders of magnitude.Mit anderen Worten: Antiviren funktionieren ÜBERHAUPT GAR NICHT. Ich sage das ja schon seit Jahren, aber dann kommen immer so Apologeten und erzählen was von verhaltensbasierter Malwareerkennung. Offensichtlich taugt die genau gar nichts, sonst würden die 0days nicht durchschnittlich fast ein Jahr lang unentdeckt bleiben. Lustigerweise arbeiten die beiden Autoren des Papers bei … Symantec. Hups. Da war wohl gerade der Zensor pinkeln.
Ich halte das für glaubwürdig.
Ich hatte in 2010 argumentiert, dass das vermutlich nicht die Amis sein werden, weil die keine Windows-0days hätten verbrennen müssen, sie hätten direkt von Siemens die Hintertüren kriegen können. Inzwischen sind ja Siemens-DLL-Fragmente in Stuxnet gefunden worden, in denen Versionsstrings drin sind, die Siemens nie released hat, und damit kehrt sich die Argumentation von damals um: es war wahrscheinlich, dass das ein westlicher Geheimdienst war. Israel war natürlich seit Tag eins der Hauptverdächtige, und dass die Amis mit im Boot waren, das erscheint schon deshalb glaubwürdig, weil die das bestentwickelte Cyberwar-Programm haben. Israel traut man da zwar auch viel zu, aber nicht SO viel. Insofern gehe ich davon aus, dass das jetzt die Narrativversion für die Geschichtsbücher wird.
Update: Oh und dass das jetzt auf diese Art herauskommt, würde ich mal als Wahlkampfprogramm von Obama werten. Um den "Obama is weak on the Iran issue"-Anfeindungen zuvorzukommen.
Das war die erste Ansage. Bis der Patch rauskommt dauert das immer noch Monate, aber das liegt nicht an den Ingenieuren, sondern weil das zwei Monate durch die Qualitätssicherung läuft, und wenn da irgendwas auffällig ist, dann rollen sie alles zurück und ein neuer Patch muss her. Das ist in diesem Fall mit dem Printer-Spooler-Patch passiert, daher gab es dafür den Patch erst letzte Woche so.
Die zweite Ansage war, dass Microsoft ihre Erkenntnisse sofort mit der Antivirusindustrie geteilt hat. Über eine Mailingliste, auf der einmal alle subscribed sind.
Den Rest könnt ihr euch jetzt ja selber zusammenreimen.
Oh, einen noch. Bruce hat dort auch gezeigt, was das für Bugs waren. Zwei Erkenntnisse waren auffallend: a) das waren sehr, sehr peinliche Bugs für Microsoft. Wenn mir vor fünf Jahren jemand gesagt hätte, dass Microsoft solche Bugdetails auf einem CCC-Congress nicht nur offenlegt sondern freiwillig zugibt, hätte ich ihn ausgelacht. b) da war keine Speicherkorruption involviert. Kein ASLR-Gerate nötig zum Exploiten. 100% Zuverlässigkeit. Ich muss meine Schätzung für die Kosten dieser Bugs also noch nach oben korrigieren. Wir hatten ja in Alternativlos 5 angesagt, das wird so siebenstellig gewesen sein. Jetzt würde ich sagen: nicht knapp siebenstellig, eher so 2-3 Mio Dollar. Wenn nicht noch mehr.
Das könnt ihr euch ja selber überlegen, ob euch das ruhig schlafen lässt, wenn jemand so viel Geld ausgibt, um Industrieanlagen aufzuhacken.
Stellt sich natürlich die Frage, wer sowas tun würde. Da kann ich auch nur spekulieren. Es ist aber m.E. kein westlicher Geheimdienst, denn Siemens ist so nahe mit dem BND verbandelt, die müssten da kein 0day kaufen, um Siemens-Kraftwerke aufzumachen. Außerdem heißt es bei Heise, dass u.a. Anlange in Südkorea, den USA und dem Iran infiziert wurden. Dadurch scheidet für mich auch China aus, denn die würden dem Iran nicht die Kraftwerke hacken, die würden dem Iran lieber billig Kraftwerke chinesischer Fertigung verkaufen. Und angreifen würden sie die auch nicht, immerhin kaufen sie da den Großteil ihres Öls, wenn der Iran da wegen Hackerpanik den Hahn zudreht, dann steht China mit dem Rücken zur Wand.
Bleiben nur noch die Russen von den major players.
Und DAS finde ich erst Recht beängstigend, denn wenn die mal eben vier derartig hochkarätige 0days verbrennen können, dann müssen die auf noch genügend vielen anderen sitzen.
Naja, alles nur Hörensagen. Aber ich dachte, ich teile es mal mit euch.
Update: Die Alternativtheorie ist natürlich Israel.
Update: Beim Rumgoogeln finden sich einige Details. Im Moment scheint einmal jeder Reverse Engineer auf der Welt dabei zu sein, Stuxnet zu untersuchen. Das ergibt alles nur partiell einen Sinn bisher. Aber, spannendes Hörensagen bisher sagt:
In 2008, it dropped its bid for computer-equipment maker 3Com because of Washington's concerns it could gain access to military-related anti-hacking technology.BWAHAHAHAHAHA, 3com! 3COM!!! HAHAHAHAHAHAHAHAHAHADas Risiko, bei 3com irgendwelche Security-Technologie zu finden, halte ich für sehr überschaubar. 3com hat mal Tipping Point besessen, einen der Firmen, die anderer Leute 0day kaufen, um dann damit auszusehen, als könnten sie selber 0day finden. Die hätte man aber auch abspalten können. Und ob man da von Knowhow reden kann… *hust*. Naja, die haben immerhin auch eine Forschungsabteilung.
In diesem Fall kommt noch dazu, dass das Siemens-Software ist. Wer schonmal Siemens-Software benutzt hat, und ich zeige da mal diskret auf BS/2000 und SINIX, der wird wissen, wieso das kein gutes Omen ist.
Das ist also alles an sich schon ein furchtbares Wespennest. Und jetzt sehen wir, dass jemand einen Windows-0day genommen hat, um SCADA zu exploiten. Das ist sehr bedenklich, weil Windows-0day heutzutage nicht mehr unter jedem Teppich zu finden sind, sondern da hat jemand echt Geld in die Hand nehmen müssen. Und die Malware ist gezielt und richtet sich gegen SCADA, wo man dem Vernehmen nach nicht groß Exploits braucht, um da Schaden anzurichten. Das ist so die Kulmination der Horrorszenarien, mit denen der Homeland-Security-Cyberwar-Militär-Verbund immer um Kohle bettelt.
Und jetzt guckt euch mal an, wie Siemens in der Praxis Security betreibt:
Once on systems, the malware looks to use default passwords to connect to the database associated with the SCADA systems to obtain files and run various queries to collect information, Symantec noted in an advisory. Still, Siemens has reportedly advised customers not to change their default passwords, arguing it “may impact plant operations.”Das muss man sich mal auf der Zunge zergehen lassen!Oh und auch sehr besorgniserregend ist das Detail, dass die Malware signiert war, und zwar nicht nur wie initial berichtet mit Realtek-Keys, sondern auch mit einem JMicron-Key. Hier bestätigen sich also auch alle unsere Vorurteile bezüglich Fernost-Firmen und gleichzeitig unsere Ansagen, dass Code Signing keinen Sicherheitsgewinn erzeugt.
Das ist sowas von der perfekte Sturm, dass man schon fast vermuten könnte, dass da eine der US-Cyberwar-Abteilungen versehentlich einen Test-Exploit verloren hat, oder dass das ein Technologie-Demonstrator ist, um mehr Funding zu kriegen.
Jetzt das zum Lachen. Windows. Nein, das war es noch nicht :-) Wenn man unter Windows eine URL hat, und die im Browser öffnen will. Dann gibt es da keine gute Funktion für. Der übliche Weg ist, dass man ShellExecute benutzt, aber ShellExecute ist eben eigentlich für was anderes gedacht. Insbesondere kann man dem auch einen lokalen Pfad geben oder sowas wie "\\evil.com\0day\trojaner.exe", und ShellExecute würde sich das dann per SMB holen und ausführen.
Gut, bei Microsoft ist sowas immerhin dokumentiert. Für Dokumentation geht man zu MSDN. MSDN hat Dokumentation bei ShellExecuteEx, wie man damit sicher eine URL öffnen kann. Guckt euch mal an, wieviel Code man dafür braucht!
Also, liebe Leser, was soll ich da mal hintun? Das schreit ja geradezu nach einem Goatse oder Tubgirl o.ä. Oder kann man da auch ein MP4 hintun und das erscheint dann animiert? Oder hat jemand ein schönes Bild eines gammeligen Apfels? :-)
Wir nennt man das eigentlich, was da passiert? Ist das Co-Abhängigkeit, wie wenn geschlagene Frauen bei ihrem Mann bleiben?
Update: Es ist natürlich Stockholm-Syndrom, nicht Co-Abhängigkeit, wie mir gerade diverse Leute mailen :-)
Update: Boah was habe ich für fiese, gehässige Leser! Die Vorschläge gehen von "linke auf ein 2 GB Movie" über "linke auf ein 10kx20k JPEG" (weil das Iphone angeblich resized) bis zu "linke auf einen Exploit". OK, und ein paar Bildvorschläge kamen auch rein :-)
Nein, ich linke nicht auf Exploits, und ich will Apple-Kunden auch nicht die Telefonrechnung platzen lassen, die sind schon geschlagen genug. Nur ein bisschen Spaß, keine Widerlichkeiten! Denn bei 0days sind wir in einer "wer ohne Schuld ist, werfe den ersten Stein" Situation, wenn ich damit anfange, dann müsste ich paritätisch auch die anderen Plattformen bespaßen, und dann hat gar keiner mehr Spaß am Webklicken.
Und da wundern die sich, dass die Leute alle weg wollen von dieser Krätze und zu HTML5 wechseln.
Man hatte mir vorher diskret zu Verstehen gegeben, dass durchaus erwünscht ist, wenn ich provokante Thesen äußere und damit die anderen Teilnehmer ein bisschen animiere. Außerdem hieß es, ich sei der einzige Techie und das Publikum sei aus dem Gesundheitssektor, und damit war klar, dass ich da keine technischen Details ausbreiten kann.
Ich eröffnete mein Plädoyer also mit dem Satz, ich sei ja hier als Vertreter der Patienten da, weil für die anderen Interessengruppen für ausreichend Vertretung gesorgt sei. Das gefiel den anderen Teilnehmern schon mal gar nicht, besonders Thilo Weichert vom ULD in Kiel und der direkt neben mir sitzende Vertreter des Bundesverbandes der Verbraucherzentralen schienen mir zu zürnen :-)
Normalerweise auf solchen Veranstaltungen kommt das Gespräch dann irgendwann darauf, dass man ja Datenbanken verknüpfen könnte, oder bei einer technischeren Veranstaltung fällt der Begriff Datamining. In solchen Fällen weise ich normalerweise darauf hin, dass man das ja früher Rasterfahndung nannte und total doof fand. Bei dieser Veranstaltung passierte etwas, das mir so noch nie passiert ist: die redeten von sich aus von Rasterfahndung. Der Datenschutzbeauftragte der Barmer war als Vertreter der Krankenkassen auf dem Podium und fing da plötzlich an, seinem Bedauern Ausdruck zu verleihen, dass sie die ganzen schönen Daten ja gar nicht nutzen können, weil es so viel Datenschutz gibt bei uns in Deutschland. Im Schlußwort meinte dann der Vorstandsvorsitzende der Charité auch noch, der Forschungsstandort Deutschland für klinische Forschung sei im Hintertreffen und wir brauchen die Rasterfahndung auf den ganzen Daten, wenn wir ihn retten wollen. Das hat mich ziemlich schockiert. Denen ist klar, dass sie da von Rasterfahndung reden, und sie wollen es alle haben. Und die Krankenkassen glauben wirklich, wir glaubten ihnen, dass sie auf den Daten kein Datamining machen.
Ich habe mitgenommen, dass Herr Weichert böse ist, dass die Konnektoren gerade aus dem Konzept rausfliegen (was ich für einen Gewinn halte, weil es die Komplexität senkt). Herr Etgeton (Verbraucherzentralen) versuchte, einen positiven Gesamteindruck aufzubauen, nach dem Motto "wenn wir uns anstrengen, wird doch noch alles gut", und er hatte da auch ganz hehre (man könnte fast sagen: von jugendlichem Optimismus geprägte) Annahmen wie dass der mündige Bürger rational entscheidet, wem er seine Daten gibt und wem nicht. Insgesamt war Konsens, dass man etwas tun muss, um die Akzeptanz der Gesundheitskarte zu steigern. Irgendjemand sprach dann erfreulicherweise auch den Punkt an, dass die Gesundheitskarte in der aktuellen Planung überhaupt nichts leistet, was nicht auch das bestehende System leistet, und niemand widersprach. Alle nickten. Größter Verfechter der Gesundheitskarte war Herr Bartmann, der Präsident der Ärztekammer Schleswig-Holstein. Er argumentierte vor allem mit der und für die Fallakte (die AFAIK nur optional ist in der aktuellen Planung, nur die Rezepte sind tatsächlich Pflicht) und meinte z.B., im Moment dauere es teilweise Monate, bis der überweisende Arzt mal mitgeteilt kriegt, was die im Krankenhaus mit seinem Patienten gemacht haben, und das ginge ja per Schneckenpost und sei furchtbar ineffizient. Ich kam leider nicht mehr dazu, ihn zu fragen, welche Postdienstleister sie da verwenden, der Monate für die Zustellung braucht, wo doch sogar die gute alte Bundespost inzwischen bundesweit i.A. innerhalb eines Tages zustellen kann.
Meine Thesen waren noch, dass für den normalen Bürger überhaupt kein Unterschied zwischen der eGK und Google Health erkennbar sei, weil er in beiden Fällen irgendwelchen ihm unbekannten Leuten vergleichbare Datensicherheits-Versprechen schlicht glauben muss. Google ist sogar im Vorteil, wenn ihr mich fragt, weil denen ja noch nie irgendwas verloren gegangen ist (wenn man mal von dem China-0day neulich absieht, und das ist ja auch diversen Ministerien bei uns passiert, da ist also unentschieden), während bei der eGK der zuständige Dienstleister T-Systems ist, also die Telekom, und die hat ja nun gerade 2009 kein besonders überzeugendes Bild abgegeben in der Beziehung.
Ich habe auch noch argumentiert, dass wenn ich zum Arzt gehe, und es mir richtig schlecht geht, dass ich dann lieber einen Arzt will, der 80-90% seiner Hirnkapazität dafür frei hat, mir zu helfen, und keinen Arzt, der 40% seines Hirns mit Sorgen über seine komplexe IT-Umgebung verplempert. Das stieß auch auf breiten Widerstand. Alle Beteiligten legten Wert darauf, dass sie moderne Menschen sind und mit Computern umgehen können und das ja wohl selbstverständlich sei. OK, kann man ja nicht ausschließen, dass die Anwesenden da gerade die Ausnahmen in Deutschland sind, die sich auch mit Computern auskennen :-)
Ein Höhepunkt war noch, als Herr Bartmann (Ärztekammer) Ellis (Update: ich dachte Bartmann, aber Herr Krempl sagt Ellis und der hat mitgeschrieben, dem vertraue ich mal mehr als meinem Gedächtnis) dann erzählte, er habe ja mal in Skandinavien gewohnt, und bei denen sei das ja selbstverständlich, dass die da die ganzen Daten offen verknüpfen, und da hätten sie ganz tolle Erkenntnisse draus gewonnen, z.B. Krebsrisiko für Kinder von Schwangeren, die irgendwas nehmen. Nach entsprechender Anonymisierung der Daten kann man sowas auch in Deutschland machen, soweit ich weiß.
Update: Stefan Krempl von Heise war auch da und hat noch dieses tolle Zitat, das ich bestätigen kann:
Eine "Rasterfahndung mit Krebsdaten" zuzulassen sei legitim, da durch Tumore "mehr Menschen sterben als durch Terroristen".
Update: Kriege gerade eine Mail mit einem Screenshot eines Chrome 0day :-)
Die NSA hat da so ein Hackerteam namens Red Team. Der Ami erzählte mir jetzt hier gerade, dass die da aus Behörden-Zuständigkeitsgründen keine Exploits schreiben dürfen. Die dürfen nur Exploits benutzen, die vorher veröffentlicht wurden. Auch keine 0days! Und das ist das Hackerteam der NSA?! Bwahahahahaha
Update: das Red Team ist nur für Defense, es gibt auch ein Angriffsteam, aber die können sie nirgendwo hin schicken, weil die Namen der Leute geheim sind und bleiben sollen.
Dann hat ein professioneller Hacker eine gute Datenbank, die in Sachen Sicherheitslücken auf dem aktuellen Stand ist. Entsprechende Datenbanken in asiatischen Staaten, die von Amts wegen Industrie- und Technologiespionage betreiben, gelten auf dem Gebiet als führend.Blödsinn. Tun sie nicht. Taten sie auch noch nie. Die spielen eher in der Kreisliga mit. Gut, es gibt da einzelne Leute, klar, die gibt es immer. Aber im Großen und Ganzen sind die Asiaten gut darin, manuell aus einem alten Exploit 300 Varianten zu machen, und so lange an Dingen rumzutweaken, bis sie durch Spamfilter und Antiviren kommen. Die Exploits selbst kommen selten bis nie aus Asien und es gibt auch keine Hinweise darauf, dass die aus besonders tollen 0days säßen.
Im Übrigen möchte ich mal darauf hinweisen, dass dieser ganze Exploit-Kram Blödsinn ist. Habe ich ja hier schon mal ausgeführt. Nie und nimmer werden unsere bräsigen Behörden da 0days kaufen und damit Rechner aufmachen. Aber weiter zu diesem Herrn XXX, auf die Frage, warum die "Online-Durchsuchung" bei entsprechender Vorbereitung keine Chance hat:
Weil es Sicherheitseinrichtungen gibt wie das iPsec-Hochsicherheits-Gateway (HSG), die erst durch Entwicklungsprinzipien wie SOA und die XML-Fähigkeit der Datenbanken möglich und sinnvoll wurden.Ich arbeite in dieser Branche. Und selbst für mich ergibt dieser Satz überhaupt keinen Sinn. XML-Fähigkeit der Datenbanken?! SOA?!? Was hat das bitte mit dem Bundestrojaner zu tun? Gar nichts! Dann behauptet er noch, dass er Buffer Overflows unmöglich machen kann (*hust* BULLSHIT! *hust*). Mann Mann Mann. Haben die Zeitungen denn überhaupt keine Standards, was sie da für Leute befragen?
Mein Lieblingszitat:
Es wird nicht deutlich hervorgehoben, dass Sicherheitslücken existieren, die bisher unveröffentlicht sind. Den Behörden sind solche Lücken bekannt, aber sie veröffentlichen sie nicht.Aha, unsere Superbehörden wissen alles, haben alles, und können alles. Klaaaaaar.
Laßt es mich mal ganz klar und deutlich sagen: das BKA ist eine Behörde. Die zahlen Behördengehälter. Man arbeitet da an veralteter Hardware, in gruseligen öffentlichen Behörden-Räumen, mit ruckligem Internet und schlechter Luft, klapperigen Stühlen und Linoleumboden, und kriegt dafür ein völlig unzureichendes Gehalt. Behörde! Da arbeitet genau niemand, der auch nur ein Quäntchen Ahnung von irgendwas hat und auch auf dem freien Markt etwas werden kann. Wenn es jemanden gibt, bei dem ich mir sicher bin, daß die keine 0days haben, dann ist es das BKA.
Stellt sich nur die Frage, wieso der Pohl so einen Blödsinn verbreitet. Vielleicht braucht der Verfassungsschutz auch mehr Mittel, um sich gegen die ganzen 0days der Chinesen (!1!!) zu wehren? Unklar. Also lasst euch mal von sowas nicht verarschen. Ich frage mich ja, wieso die GI so jemanden in ihrem Namen reden läßt. Haben die keine Angst um ihren Ruf?
Nachtrag: Der Begriff "less than zero day" ist nicht nur Bullshit, der ist ein Bullshit-Bingo-Sofortgewinn. Wenn ihr jemand diesen Begriff in den Mund nehmen seht, lacht ihn laut und öffentlich aus, weil er gerade sämtliche Glaubwürdigkeit als IT-Security-Mensch verloren hat. Das ist als wenn ein Germanist "Der Einzigste" sagt.
Während dann im Fernsehen im Referentenraum Podjournalism und TV-B-Gone lief, haben Frank und ich noch schnell die Folien für den Fnord-Rückblick finalisiert, während Ron von der anderen Seite mit Frank noch mal die Folien für ihre Security Nightmares durchging. :-)
Wir haben diesmal ein Wagnis eingegangen; wir haben ja jedes Jahr viel zu viele Einzelmeldungen, um dem Jahr vernünftig Rechnung zu tragen. Dieses Jahr stand ja alles voll unter dem Antiterror-Stern, und so haben wir die zweite Hälfte des Rückblicks als eine Art Fußballspiel abgefackelt, wo wir ein Wettrennen zwischen Eurasien und Ozeanien (hauptsächlich in Form von Air Strip One, falls jemand mit den 1984-Referenzen nichts anfangen kann) spotberichterstattend kommentiert haben. Dabei war jeder Folie nur ein paar Sekunden lang auf dem Schirm und wir haben da auch jeweils nichts weiter zu gesagt. Nach einer Verlängerung gewann Eurasien übrigens 15:11, nicht zuletzt wegen unseres überlegenen Schäuble-Stoiber-Beckstein-Schönbohm-Quartetts. Das Wagnis war, daß wir so insgesamt 140 Folien hatten, aber wir waren dann am Ende doch gut in der Zeit.
Danach gab es noch den Gesundheitskarte-Vortrag, den ich kurzfristig übernommen habe, und wir haben da ein bißchen über das geleakte Dokument diskutiert, einige Ärzte und auch Techies, partiell Insider, waren auch vor Ort, und haben die Sache jeweils aus ihrem Blickwinkel geschildert. Was ja in so einer Höhle des Löwen nicht verwunderlich ist: von Gematik oder Siemens (da gibt es ja zugegebenermaßen eine auffällige Korrelation zwischen Korruptionsskandalen und dem Einsatz von Siemens-Geräten und -Dienstleistungen in Großprojekten der öffentlichen Hand) hat sich niemand zu öffentlichen Statements hinreißen lassen, aber es deutet sich an, daß wir da diplomatische Kanäle eröffnen können. Auf diesen Kanälen kam dann gleich mal die Aussage rein, daß die Kosten-Nutzen-Analyse obsolet sei und z.B. inzwischen von zwei örtlich getrennten Rechenzentren die Rede ist. Das wird dann vermutlich den Break-Even noch weiter nach hinten schieben. Ich habe jedenfalls noch mal ausdrücklich auf den großen Briefkasten des CCC hingewiesen, und wer weiß, vielleicht kommen da ja jetzt ein paar aktuellere Dokumente rein, um da mal ein paar Details zu klären. Der CCC will ja auch nicht Krieg gegen Gematik führen. Es geht vielmehr darum, daß hier kein grober Unfug beschlossen und durchgekloppt wird, und zukünftige Generationen müssen das dann auslöffeln. Die werden es schon schwer genug haben, wenn wir hier nicht mal langsam geordnet Konkurs anmelden oder die Revolution einleiten…
Danach hab es von Honk einen Vortrag über seine Erfahrungen mit Security-Audits in der Kreditkartenindustrie, und da waren eine echte Schenkelklopfer dabei. Tja, Schadenfreude ist doch die schönste Freude.
Den Lawrence Lessig Talk habe ich mir gespart, da war ich mit ein paar alten Kumpels essen. Ich hätte mir sonst vermutlich den PocketPC-Talk angehört.
Im nächsten Slot lagen sehr unglücklich "Automated Exploit Detection in Binaries" von einem mir vorher Unbekannten, "Pornography and Technology" von Tina, "Sie haben das Recht zu schweigen" von Udo "lawblog.de" Vetter und "Rootkits as Reversing Tools" von einem anonymen Vortragenden parallel. Jeden davon hätte ich gerne gesehen, aber ich bin am Ende zu der Exploit Detection gegangen. War ein Fehler. Das Konzept ist, Binaries zu disassemblieren, Basic Blocks hinterher zu laufen, über Wertebereiche Buch zu führen, und dann Schreibzugriffe von vergifteten (vom Angreifer kontrollierbaren) Daten außerhalb des gültigen Buffers. Klang alles nach Star Trek, und statt einer Vorführung gab es den Hinweis auf irgendwelche Sourceforge-Sachen und einen Exploit in Trillian, den sie offenbar unabhängig gefunden haben. Nicht beeindruckend.
Das lustige an dem 4. Vortrag war, daß der Vortragende gar nicht körperlich anwesend war, sondern per VoIP und TOR-Tunnel vortragen wollte. Ob das geklappt hat weiß ich nicht, aber das finde ich einen enorm coolen Stunt.
Am Abend lagen dann wieder drei coole Dinge nebeneinander, "Hacker Jeopardy" (da mußte ich meinen Titel verteidigen), "Powerpoint Karaoke" (dort war ich verpflichtet worden), und "Schlossöffnung bei der Staatssicherheit der DDR" (hätte ich auch brennend interessiert). Ich bin dann anfangs zum Karaoke gegangen, habe dort eine absolut furchtbare Foliensammlung gekriegt, und bin mit wehenden Fahnen untergegangen bei der Präsentation :-) Es ging offenbar um Zitate aus einem Buch (jeweils ein Satz oder Satzfragment, sowas wie "Anton errötete alsdann jungenhaft" und darunter ein Bild, das mit dem Zitat darüber so gut wie keinen Zusammenhang hatte. Es gab auch keinen roten Faden, keine tatsächliche Aussage, und so gelang es mir nicht, da sonderlich viel raus zu holen.
Dann wurde ich rausgewunken aus dem Raum und mußte zu Hacker Jeopardy rüber, das dieses Jahr auch in Englisch gehalten wurde. Zur Begeisterung des Publikums gab es eine Kategorie "Things Fefe Doesn't Know", mit furchtbaren Fragen wie welche DECT-Nummer man anrufen muss, um das Labyrinth zu kriegen (ich habe kein DECT-Phone und bin mit genau dieser Frage schon letztes Jahr baden gegangen), welche Tastenkombination auf einer Apple-Tastatur das @-Zeichen ergibt (WTF?!), was Windows-Taste+D tut (?!?) und noch zwei Fragen aus dieser Kategorie. Ich war zu dem Zeitpunkt eh unter Einfluß von Wodka (den sie uns beim Karaoke zur Auflockerung gegeben hatten) und vom Schlafentzug verlangsamt, und habe so ziemlich versagt, konnte kaum was beantworten. Eine Kategorie war ASCII-Ports, da haben sie dann sowas wie "n" gehabt, man mußte dazu den ASCII-Wert wissen (110), und dann "Was ist POP3?" fragen. Kann ich gar nicht, denn in C kann man sowas wie return i-'a' schreiben, da muss man keinen Integer-Wert nachgucken. Nicht nur das, bei vielen Ports hätte ich nicht mal mit der richtigen Umrechnung den Dienst dazu gewußt :-)
In der Mitte des Jeopardy stand es dann -500, 0, -200, 0 (die letzte 0 war ich, der ich noch nichts hatte beantworten können), und ich wollte mich schon entspannt zurück lehnen, und mal die anderen gewinnen lassen. Ein bißchen Gegenwehr wollte ich aber schon simulieren, und so habe ich zwei Fragen beantwortet, hatte dann 500 Punkte, und es waren als letzte Felder die 100-400 Fragen von "Things Fefe Doesn't Know" frei. Ich wußte in der Tat keine einzige der Sachen aus der Kategorien, aber die anderen auch nicht. Und die fühlten sich offenbar genötigt, da dann lieber was zu riskieren und falsch zu antworten, wodurch ich am Ende doch noch gewonnen habe. Meine Siegprämie war eine große Flasche Humppa-Bier und ein Plüsch-Puffy, über den sich mein Jüngster freuen wird.
Ich hatte noch auf dem Gang ein lustiges Gespräch mit Wim, der meinte, man könnte ja zu FreeBSD nicht mehr Free sagen, weil sie so viele BLOBs im Kernel haben, und daher würden die OpenBSDler sie jetzt Ersatz-FreeBSD nennen :-) Hach ja, friendly fire wärmt einem doch das Herz zur Winterzeit…
Morgen früh haben sie den armen Ilja um 11:30 in den Saal 1 gelegt, hoffentlich ist der um die Zeit schon wach. Guckt euch das mal an, er hat mir schon mal verraten, daß es einen schönen OpenBSD-0day gibt.
"I think the malware industry is making more money than the anti-malware industry," Genes said.SEHR GUT!!! Die Anti-Malware Industrie ist in meinen Augen ein unseriöser Haufen, die das digitale Äquivalent von Überwachungskameras verkaufen — das hilft nicht dabei, Angriffe zu verhindern, oder auch nur die Auswirkungen zu minimieren, sondern man kann damit bloß bekannte Kriminelle/Viren erkennen. Wenn nur die Hälfte der Kohle, die die Volkswirtschaften der Welt für Virenscanner ausgibt, an den Ausgangsstellen (Microsoft, Adobe, …) für Security ausgegeben würde, wären wir viel weiter.Und ich, der ich an genau das tue, fühle mich in meiner Arbeit bestätigt, wenn ich geholfen habe, 0day so selten zu machen, daß die einen derartigen Marktwert haben. Boah wäre das schön, wenn ich pro 0day einen Bonus in obiger Größenordnung bekäme :-)
(Die laienverständliche Version: Intel hat sich einen Exploit aus dem Internet gezogen, und war zu blöde, ihn zu Laufen zu bringen, und hat die Chuzpe, sich dann auf seiner Securitykonferenz hinzustellen, und zu behaupten, daß das dann wohl kein wirkliches Sicherheitsproblem sei, wenn SIE das schon nicht hinkriegen!1!!)