Fragen? Antworten! Siehe auch: Alternativlos
Das Problem habe ich leider jedes Jahr aber so schlimm wie diesmal war es noch nie. Und es hört auch nicht auf! Guckt euch nur mal Palo Alto an. So blöde ist ja hoffentlich keiner von euch, bei denen zu kaufen. Die Meldung da ist vom Juni.
Die stellen also ihr "Expedition"-Produkt ein, das noch nie durch eine vertrauenswürdige Qualitätssimulation aufgefallen ist.
Warum? Nun, das könnte etwas hiermit zu tun haben: auth bypass (schöner Writeup dazu) SQL Injection OS Command Injection.
Ich applaudiere ja Palo Alto, dass sie erkennen, das ihr Produkt Schrott ist und weggeschmissen gehört. Das sollten viel mehr Hersteller machen. Aber wieso bei Expedition aufhören? PAN-OS hat genau solche Bugs auch gehabt. Von anderen Herstellern wie Fortinet oder Cisco mal ganz zu schweigen.
Mich fragte heute jemand, ob die das abreißen, weil zu viele Bugs reinkamen, und sie daher gemerkt haben, wie schrottig das ist. Meiner Erfahrung nach wissen alle Hersteller, wie schlecht ihre Produkte sind. Einige wollen es auf Management-Schicht nicht wahrhaben, und ganz, GANZ selten gibt es auch Produkte, bei denen die Ingenieure nicht wissen, wie Scheiße ihr Produkt ist, aber das ist echt die Ausnahme. Habe ich in knapp 30 Berufsjahren zweimal erlebt. Die meisten Firmen wissen das, und die sehen das als Gelegenheit, mit Supportverträgen Profit zu machen.
Häufig ist das so, dass ein Produkt ein Team hat, das über die Jahre technical debt aufgehäuft hat, und häufig geht der Verantwortliche dann, weil ein Mann von meiner Statur muss sich nicht mit brennenden Mülltonnen herumärgern, und der Rest des Teams erzählt mir beim Audit dann "das ist nicht mein Code, ich habe den bloß geerbt" (soll heißen: Ich habe keine Ahnung, was der tut, und traue mich nicht den anzufassen). Da kann ich echt die Uhr nach stellen bei Audits.
Natürlich will niemand in den Rückbau von technical debt investieren, daher wird das immer teurer und träger und am Ende sitzt man Monate auf Bugfixes (das Palo-Alto-Dingens gerade wurde denen im Juni gemeldet). Und guckt euch mal an, was das für ein geiler Bug ist. Die haben da eine PHP-Datei, per Web erreichbar, die das Admin-Passwort auf "paloalto" zurücksetzt. Ohne Authentisierung, versteht sich. Kann man einfach aufrufen und ist Admin.
Sorry, aber das ist kein "Bug". Das wusste die Firma auch, dass sie das haben. Dafür müsste in einer gerechten Welt jemand in den Knast.
Übrigens, am Rande: Falls ihr euch dachtet, Programmierer würden doch von ihrer Ethik und ihrer guten Erziehung davon abgehalten, brennende Mülltonnen in der Landschaft zu verteilen, dann solltet ihr diesen Artikel lesen. Programmierer sind von allen Berufsgruppen die unethischsten. Alle haben ein schlechtes Gewissen und fühlen sich als Betrüger, wenn sie "KI" fragen und dann so tun als sei das ihre Arbeit gewesen. Außer Programmierern. Die finden das normal.
Zentrale Gründe für das Unbehagen seien das Gefühl, Nutzung generativer KI fühle sich wie Mogeln an (47 Prozent), sowie Ängste, als weniger kompetent (46 Prozent) oder gar faul gesehen zu werden (46 Prozent).Coder sind schlechte Menschen. Nur schlechte Menschen wie Scammer, Spammer, Marketing-Kokser und Coder lassen sich von "KI" helfen und haben kein schlechtes Gewissen.In Deutschland waren es hauptsächlich Nachrichten an Chef (31 Prozent) oder an Kollegen auf der gleichen Hierarchiestufe (27 Prozent), Leistungsbeurteilungen (24 Prozent) oder Ideen-Brainstormings (22 Prozent), bei denen Befragte keine KI-Nutzung eingestehen mochten. Sich beim Coden von der KI helfen zu lassen, wäre hingegen nur neun Prozent peinlich.
Wer kauft diesen ganzen Pfuschern eigentlich ihre Produkte ab? Wieso sind die nicht pleite?!
Cisco hat mal wieder eine Bugdoor in einem ihrer versifften Management-Interfaces.
A vulnerability in the web-based management interface of Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Points could allow an unauthenticated, remote attacker to perform command injection attacks with root privileges on the underlying operating system.Jawohl, meine Damen und Herren. Ein Webserver, der als root läuft, und vor der Authentisierung keine Eingabevalidierung macht.Im Jahre 2024.
Das schafft nur ein wirklich marktführender Konzern, der jahrzehntelang gezielt nicht in kompetentes Personal investiert. Oder ein Konzern, der von der NSA eingeflüstert kriegt, wo er die Backdoors platzieren soll.
Das kann nur ein Konzern machen, dessen Schrott-Produkte trotzdem immer wieder Idioten kaufen. In einem funktionierenden Markt wäre der Laden eine Ruine, von Heuschrecken gekauft, ausgeblutet und vor die Wand gefahren. (Danke, Micha)
The Okta Device Access features, provided by the Okta Verify agent for Windows, provides access to the OktaDeviceAccessPipe, which enables attackers in a compromised device to retrieve passwords associated with Desktop MFA passwordless logins.Ich bin ja immer wieder fasziniert, mit wie vielen völlig unvertrauenswürdigen "Agenten" sich typische Enterprise-Installationen die Geräte vollmüllen. Jeder davon ist zusätzliche Angriffsoberfläche!
Alleine für den Hostnamen "trust.okta.com" für ihre Security Advisories müsste eigentlich ein Regulator diese Firma zerschlagen. Aber ignoriert das mal kurz. Lest mal das Advisory. Das ist so bizarr, dass mir gerade echt die Worte fehlen. Ich zitiere mal:
Okta AD/LDAP Delegated Authentication - Username Above 52 Characters Security AdvisoryNein, wirklich!
On October 30, 2024, a vulnerability was internally identified in generating the cache key for AD/LDAP DelAuth. The Bcrypt algorithm was used to generate the cache key where we hash a combined string of userId + username + password. During specific conditions, this could allow users to authenticate by only providing the username with the stored cache key of a previous successful authentication.Note: A precondition for this vulnerability is that the username must be or exceed 52 characters any time a cache key is generated for the user.
Das klingt jetzt gerade nicht wie ein Buffer Overflow, eher das Gegenteil. Die kleben drei Strings hintereinander, der dritte ist das Passwort. Aber bcrypt hat ein Limit von 56 Bytes. Am Anfang ist die User-ID, die packen sie offenbar als 32-bit-Integer in das bcrypt rein. Bleiben besagte 52 Zeichen, wenn man noch nie von UTF-8 gehört hat. Fucking Amis ey.Einmal mit Profis arbeiten!
Update: Die sind übrigens nicht völlig unfähig bei Okta. Die Krisenkommunikations-Abteilung ist top notch. Die haben wie beim letzten Mal schön alles zurückgehalten bis Freitag nach Dienstschluss. Schön den Schaden maximieren, und hoffen, dass das am Wochenende verdampft, bis die Leute am Montag andere Dinge zu tun haben.
Wisst ihr, wer das jetzt auch sagt? Sophos.
For years, it's been an inconvenient truth within the cybersecurity industry that the network security devices sold to protect customers from spies and cybercriminals are, themselves, often the machines those intruders hack to gain access to their targets. Again and again, vulnerabilities in “perimeter” devices like firewalls and VPN appliances have become footholds for sophisticated hackers trying to break into the very systems those appliances were designed to safeguard.Ach. Ach was. Wartet, das war noch nicht Sophos. Das war die Einleitung von Wired.Wieso sagen die Leute das eigentlich immer erst, wenn es nicht mehr zu leugnen ist?
Sophos versucht es natürlich anders zu spinnen. Sie sind hier die glorreichen Helden, die gegen die verruchten fiesen Chinesen "zurückhacken". Da werden sich aber die üblichen Kompetenzgranaten in Deutschland freuen, die meinen Vortrag dazu noch nicht gesehen haben.
The company went as far as discreetly installing its own “implants” on the Chinese hackers' Sophos devices to monitor and preempt their attempts at exploiting its firewalls.Das ist selbstverständlich illegal, und zwar sowohl unter chinesischen wie auch unter britischem oder EU-Recht. Sophos gibt hier also unumwunden Straftaten zu. Das könnt ihr ja mal mit eurer Einkaufsabteilung besprechen, wenn die bei Sophos eingekauft haben.Aber mal abgesehen davon. Was fand Sophos denn da?
In the process, Sophos analysts identified a series of hacking campaigns that had started with indiscriminate mass exploitation of its products but eventually became more stealthy and targeted, hitting nuclear energy suppliers and regulators, military targets including a military hospital, telecoms, government and intelligence agencies, and the airport of one national capital. While most of the targets—which Sophos declined to identify in greater detail—were in South and Southeast Asia, a smaller number were in Europe, the Middle East, and the United States.Das ist schön ausweichend formuliert, daher lasst es mich noch mal betonen. Alle diese Organisationen wurden über Sophos-Pfusch-Produkte angegriffen. Wenn die auf mich gehört und kein Schlangenöl gekauft hätten, wären die Chinesen auf dem Weg nicht reingekommen.Sophos says it’s telling that story now [...] to break the cybersecurity industry's awkward silence around the larger issue of vulnerabilities in security appliances serving as entry points for hackers.Absolut an der Zeit. Hätten sie auch 20 Jahre früher machen können. Am besten direkt auf ihre Produkte eine fette Warnung aufdrucken! Wer das hier kauft, öffnet den Chinesen eine Hintertür in sein Netz.Ist jetzt natürliche in bisschen ungerecht, so auf Sophos herumzuhauen. Die sind ja nur einer der Player, und der erste, der ein bisschen Anflüge von Ehrlichkeit zeigt in der Beziehung.
In just the past year, for instance, flaws in security products from other vendors including Ivanti, Fortinet, Cisco, and Palo Alto have all been exploited in mass hacking or targeted intrusion campaigns.No shit.Bleibt mir nur eines zu sagen:
TOLD YOU SO. (via)
Cisco meldet mehr als 35 Sicherheitslücken in Firewall-ProduktenImmer dran denken: Firewalls sind Security-Produkte in der TCB. Die werden mit besonderer Sorgfalt entwickelt, damit gar keine Lücken rin sind, denn die sind da, um Lücken anderswo zu kompensieren.
A missing authentication for critical function vulnerability [CWE-306] in FortiManager fgfmd daemon may allow a remote unauthenticated attacker to execute arbitrary code or commands via specially crafted requests.Wohlgemerkt: Nicht "die haben den Erlaubnis-Check verkackt" oder "man kann sich vorbeimogeln". Nein. Es gibt keinen Check.Das ist schlimmer als Cisco! Die haben einen Check aber das Passwort ist fixiert.
Fortinet hat nicht mal einen Backdoor-Acccount. Es gibt keine Accounts an der Stelle.
Das ist wirklich unglaublich. Denkt dran, dass wir hier von einer Firewall reden. Von einer Security-Komponente. Von der TCB. Das ist die kritische Infrastruktur in euren Netzen. Und da haben die "vergessen", nach einem Login zu fragen.
Unfassbar.
Der Laden hat es echt geschafft, in zwei Jahren Cisco Konkurrenz zu machen in Sachen peinliche Sicherheitslöcher. Die haben ja wohl echt mal GAR keine Qualitätssicherung. Unfassbar, was für Pfuscher vor sich hin versagen.
Oh, wo wir gerade bei Fortinet waren. Ratet doch mal, mit wem die sich gerade zusammengetan haben.
Kommt ihr NIE drauf!
Nein, nicht Cisco. Noch großartiger: Crowdstrike!
Genau mein Humor!
"Compromised data: Github projects, Gitlab Projects, SonarQube projects, Source code, hard coded credentials, Certificates, Customer SRCs, Cisco Confidential Documents, Jira tickets, API tokens, AWS Private buckets, Cisco Technology SRCs, Docker Builds, Azure Storage buckets, Private & Public keys, SSL Certificates, Cisco Premium Products & More!," reads the post to a hacking forum.Auffällig: Alles Cloud-Dienste. Ist das am Ende gar keine tolle Idee, seine kritischen Daten in die Cloud hochzuladen?! Hätte uns nur rechtzeitig jemand gewarnt!1!! (Danke, Mark)
Ihr kauft bestimmt auch immer noch alle Cisco, oder?
Natürlich tut ihr das. Ihr kauft ja auch immer noch Active Directory, am besten gleich in der Cloud. (Danke, Magnus)
Da werden aber Lizenzzahlungen an Cisco fällig! Du kannst nicht einfach deren Versagensmodell klauen!1!!
Cisco Systems mit Hauptsitz in San José will in einer zweiten Entlassungsrunde in diesem Jahr noch einmal Tausende von Arbeitsplätzen abbauen, berichten die Nachrichtenagenturen Reuters und Bloomberg. Der Hersteller von Routern und Switches wolle seinen Schwerpunkt auf wachstumsstärkere Bereiche wie Künstliche Intelligenz (KI) und Cybersicherheit verlagern.WENN sich jemand mit Cybersicherheit auskennt, besonders mit hartkodierten Hintertür-Passwörtern, dann ist es ja wohl Cisco!
Ich bin kein Freund von "KI", aber wenn Cisco dann aufhört, unsichere Router und Software zu bauen, dann unterstütze ich das nachdrücklich.
Das klingt jetzt wie eine Strategieänderung, aber es ist keine. Ciscos Geschäftsmodell war schon immer, dumme Idioten von ihrem Geld zu trennen. Das machen sie weiter, aber halt mit anderen Triggerwörtern.
Am Ende ist es eh egal. Wer E-Mail-Gateways von Cisco kaufen würde, würde auch "KI" von Cisco kaufen. Kein Mitleid.
Speziell Antiviren sollen ja jedes Dateiformat kennen und aufmachen können — eine Anforderung, die nicht mal der jeweilige Hersteller schafft! Und die machen nichts anderes!
Aktuelles Beispiel für meine Told-You-So-Reihe: Cisco "Secure" E-Mail Gateway. Diese Produktkategorie ist, wir erinnern uns, dafür da, die von bösen E-Mails ausgehende Gefahr zu bannen. Und tatsächlich stürzt sich Ciscos "Secure" E-Mail Gateway heldenhaft ins Messer. Aber leider leider ist das Design so schlecht, dass ein erfolgreicher Angriff auf das "Secure" E-Mail Gateway eben nicht in irgendeiner Sandbox ohne Zugriff auf irgendwas anderes verendet, sondern das komplette Gateway übernehmen kann.
Herzlichen Glückwunsch!
Da kann man beim Zustand der Industrie leider gerade von ausgehen, dass die Produkte alle so Scheiße sind. Und insgeheim wissen das ja auch alle. Das ist ja im Wesentlichen Theater, wenn mir Leute widersprechen.
Hier sind ein paar davon.
BSI-Chefin Plattner meinte: Ich liebe Checklisten, aber Checklisten werden uns nicht retten. Da freut mich immerhin der hintere Teil von. Ihre Lösung war dann leider, man müsse da eben mehr Dinge automatisieren.
Das finden viele Softwarehersteller auch und automatisieren seit Jahren immer mehr Prozesse. Ergebnis: Der Druck auf dem Opfer, dem Kunden, wächst immer mehr, weil immer mehr Patches rauskommen.
Ich finde, man sollte Patches hier nicht so positiv sehen. Jeder Patch ist ein Nachweis dafür, dass der Hersteller versagt und unsichere oder anderweitig kaputte Software verkauft hat. Ich finde es gut, dass die Hersteller überhaupt Patches machen. Aber erinnern wir uns: Das war nicht die Arbeit des BSI, die das herbeigeführt hat, sondern dass Hacker lauter Exploits verbreitet haben, so dass man das nicht mehr unter den Teppich kehren konnte.
Leider ist über die Jahre ein bisschen unter den Tisch gefallen, dass wir heute nicht wirklich sicherer sind als früher, weil immer noch jede Software die ganze Zeit unsicher ist. Es gibt einen unaufhörlichen Nachschub an Bugs, wir kennen sie nur noch nicht.
Da wo wir wirklich Fortschritt gebraucht hätten, nämlich dass die Software weniger Patches braucht, haben wir das Gegenteil davon gekriegt. Frau Plattner meinte dann auch noch, moderne Software ließe sich besser schützen als alte. Das ist leider auch genau die Linie der Softwarehersteller, die Security nicht als Pflicht sondern als Vertriebsvehikel sehen. Was setzt du denn auch den alten Windows Server ein, kauf doch lieber einen neuen Windows Server!1!!
Plattner hat sich dann auch als "KI"-Fan geoutet, was mich ein bisschen zusammenzucken ließ. Sie sagte dann, was auf dieser Veranstaltung noch mehrere andere sagten: KI hilft Angreifern, wir müssen zur Verteidigung daher genau so schnell auf KI setzen.
Dafür kurz als inhaltliche Klarstellung: Nein. KI hilft Angreifern nicht. KI erzeugt keine Exploits, identifiziert keine Bugs, analysiert keine Patches. In einigen Proof of Concept Fällen kann man möglicherweise eine Demo faken, aber KI hilft Angreifern nicht.
KI kann dafür sorgen, so erklärten dann einige Teilnehmer, dass die Scam-Mails weniger Rechtschreibfehler haben. Die haben nicht verstanden, dass die Rechtschreibfehler absichtlich drin sind. Die Scammer richten sich ja nicht an Leute, die Scams erkennen, und dann möglicherweise Ärger machen und ihr Geld zurück haben wollen oder die Polizei rufen, wenn die noch was machen kann. Die richten sich an naive alte Menschen und filtern mit den Rechtschreibfehlern die anderen raus.
OK, nächste Aussage, die ich lustig fand: Da saß ein Typ von Rohde und Schwarz auf der Bühne in dem einen Podium mit der Plattner, der mehrfach negativ auffiel, indem er sie demonstrativ duzte. Ich würde ja schon grundsätzlich gegen die Anwesenheit von R&S opponieren, aber das fand ich echt auffallend respektlos und eine Frechheit. Jedenfalls, wieso ich den erwähne: Der erzählte (als Anekdote, dass in Deutschland Innovation ja wegen Überregulierung ausgebremst würde), sie hätten ja "KI" einführen wollen, seien aber am Personalrat gescheitert. Wieso ich R&S nicht mag ist weil sie IMSI-Catcher für den Unterdrückungsstaat bauen, und Militär und Geheimdienste mit Spezialequipment beliefern. Aus meinen Augen ist das unethisches Geschäftemachen.
Was haben wir noch ... da saß noch ein Telekom-Mensch, deren Cloud Security-Chef glaube ich, der sich (für Nerds humoristisch) verplapperte, dass man ja im Moment auch Mails von Servern mit abgelaufenen TLS-Zertifikaten annehmen müsse, weil der Zustand der Security-Landschaft da draußen so schlimm sei. Bei SMTP mit TLS präsentiert nur der annehmende Server ein Zertifikat. Der Einsender zeigt gar keines, das abgelaufen sein könnte. Den Versprecher fand ich lustig genug zum notieren :-)
Neben dem Telekom-Typ saß ein Cisco-Schlipsträger auf dem Podium, der dann erzählte, wenn sich Kleinunternehmer keine IT-Abteilung leisten können, dann müssen sie halt managed Services einkaufen von jemandem. Die Telekom daneben nickte. Da hab ich mich ziemlich geärgert, weil sich hier die Täter (die Telekom hat Millionen von schrottigen Plasteroutern im Feld und Cisco hat mehr Hintertüren in ihren Produkten gehabt als alle Konkurrenten zusammen und war gerade an dem Webex-Debakel Schuld) auf der Bühne erzählen dürfen, die Kosten solle mal ihr Kunde/Opfer tragen. Da hätte ich mir gewünscht, dass der Moderator mit dem großen Holzhammer draufkloppt.
Die Keynote von dem BKA-Chef war spannend, weil das mein erstes Mal war, dass ich die BKA-Panikslides sehe, mit denen sie die Politik immer wieder dazu kriegen, ihnen mehr Befugnisse zu geben. Kommunikationstechnisch waren die Slides brillant gemacht. Auf ihnen standen lauter PANIK-PANIK-Zahlen und Grafiken drauf, Milliardenschäden, alles furchtbar, wir sind so gut wie tot, die Kriminellen sind super ausgebildet und besser organisiert als wir und so weiter, aber der Vortrag war das glatte Gegenteil. Der Mann ist ein Karriere-Polizist, ein lockerer Typ mit nach Hamburg klingender Sprache, der da weitgehend ruhig und cool vorträgt, dass das ja alles schlimm aussähe, aber man sei am Ball, die Quote der Lösegeld bezahlenden Ransomwarebefälle sei rückläufig, und man habe ja schon folgende Domains beschlagnahmt und jeweils MILLIONEN von Euros in Bitcoin vom Markt genommen.
Die Folien sagten PANIK PANIK PANIK aber die Worte sagten: Alles im Griff. Wir werden hier nicht von technischen Dingen ausgebremst sondern von den Befugnissen. Wenn ihr nur kurz das Grundgesetz ändert (trug er wirklich so vor!), dann können wir die auch verhaften, bevor sie auch ransomwaren. Vorschlag dazu liegt auf dem Tisch, muss nur noch vom Parlament abgestimmt werden. Alles in Ordnung. Wir handlen das.
Das ist kein leichter Spagat! Auf der einen Seite OH MEIN GOTT IHR MÜSST JETZT SOFORT HANDELN kommunizieren aber gleichzeitig "bei uns ist das in guten Händen, wir haben alles im Griff" zu sagen und noch für eine Grundgesetzänderung für Gefahrenabwehr zu werben, ohne dass das wie Erpressung aussieht (ihr müsst das jetzt machen sonst sind wir alle tot).
Ich muss sagen: Hut ab vor dem BKA-Chef. Der weiß, was er tut, und wie er es tun muss. Der sammelt seit Jahren erfolgreich immer mehr Befugnisse ein, ohne dafür dann irgendwas vorzuzeigen zu haben.
Der nächste Vortrag war dann von ZITIS, hatte ich ja schon erzählt, mit den mobilen Quantencomputern. Der hatte noch ein paar andere haarsträubende Projekte, von denen er erzählte. Er wollte Quantenoptik haben (seine Begrifflichkeit!), damit man vor dem Tür eintreten durch die Wände gucken kann. Das ist meines Wissens nichts, was die Physik-Disziplin der Quantenoptik überhaupt auch nur versucht, geschweige denn als Ziel formuliert, aber da lasse ich mich gerne korrigieren. Desweiteren fand er "KI" transformativ und wir müssen schnell aufspringen, und im Übrigen werden Drohnen immer billiger und wichtiger, das brauchen wir auch, und dann warnte er noch vor kriminellen LLMs, die mit Darknet-Daten trainiert seien, und dann nicht wie bei den guten Menschen von OpenAI einen Filter drin haben, der sich weigert, Bombenbauanleitungen auszuhändigen. ZITIS lässt außerdem an neuronalen Netzen zur Erkennung von Hass im Internet forschen, und hat ein Projekt für die "Robustheit von KI" gestartet (kann ich jetzt schon sagen, dass das scheitern wird), und sie machen sich Sorgen vor der Manipulierbarkeit von "KI". Stöhn.
Den Schenkelklopfer des Tages brachte aber der CISO der Bundeswehr, schön in Ausgehuniform, der sich auch zu Ransomware äußerte (offenbar sehen sich da auch Bundeswehr-Behörden von angegriffen): Davon geht keiner aus, bei uns Lösegeld erpressen zu können. Das Publikum wieherte vor Lachen :-)
Update: Wenn ich hier gefühlt alles kritisiere, was Frau Plattner vorgetragen hat, wieso sah ich ihre Person trotzdem positiv am Ende? Ich hatte den Eindruck, dass die halt noch nicht alle Fakten gehört hat, und möglicherweise umgestimmt werden kann, wenn ihr mal jemand die andere Hälfte der Realität zeigt, und andere Blickwinkel. Den BKA-Chef, der Bundeswehr-CISO, den ZITIS-Typen, die wirst du alle nicht umgestimmt kriegen, egal was du vorträgst. Die machen da halt ihren Job und werden sich nicht von Fakten behindern lassen.
Update: Übrigens, am Rande: Der ZITIS-Chef war vorher Abteilungsleiter für technische Aufklärung beim Bundesnachrichtendienst.
Karl war viermal als Zeuge in den NSA-Untersuchungsausschuss des Deutschen Bundestags geladen. Als Unterabteilungsleiter im Bundesnachrichtendienst war er zuständig für die Übermittlung deutscher Internetdaten an die National Security Agency in der Operation Eikonal und deutscher Telefondaten an die Central Intelligence Agency in der Operation Glotaic.
Ja klar! Was machst du mit so jemandem? Rausschmeißen geht ja nicht, denn dann müsste man ja auch lauter andere Leute rausschmeißen. Bleibt ja quasi nur befördern! Mobile Quantencomputer, ich leg mich flach.
Ich hab zugesagt, weil ich Zeit hatte und das nicht weit weg ist, und es ist am HPI, also der Uni Potsdam, und ich mag Unis. Stellt sich raus: Das ist die Art von Veranstaltung, bei der die Tagesschau Filmaufnahmen macht, die dann abends im Fernsehen laufen. o.O
Die Vorträge waren größtenteils, was man erwarten würde, wenn man Sicherheitsbehörden nach einem Lagebild fragt. WIR WERDEN ALLE STÖRBEN! IMMER MEHR CYBER!! SO TU DOCH MAL JEMAND WAS!!!
Aber es gab ein paar interessante Neuigkeiten. Erstens: Der nächste Hype. Der nächste Hype werden "Mobile Quantencomputer".
Einer der Vorträge war vom Chef von ZITIS. Das sind die hier. Die sehen sich als eine Art DARPA und finanzieren Forschung an Bereichen, die sie in Zukunft für wichtig für den Sicherheitsapparat und das Militär halten, und der gute Mann erwähnte explizit "Mobile Quantencomputer".
Ich dachte, ich hab mich verhört. Ihr wisst schon, wenn man einen Liedtext nicht richtig versteht. Was man gehört hat, ergibt so gar keinen Sinn. Ich muss mich verhört haben.
Dann kam später der CISO der Bundeswehr, in Ausgehuniform, und erzählte, man werde ja in Zukunft auch mobile Quantencomputer brauchen.
Da wusste ich, dass ich mich nicht verhört habe, sondern das der neue heiße Scheiß ist. Blockchain ist ja schon so gut wie tot, KI atmet schon schwer. Mit irgendwas werden die Scammer ja ihr Geld verdienen müssen! Und das werden dann mobile Quantencomputer sein.
Also. You heard it here first. Mobile Quantencomputer!
Für mich war der Tag ein Gewinn, denn auf meinem Podium trugen die anderen natürlich vor, was sie alles für Ransomware-Domains beschlagnahmt haben in riesigen internationalen Kooperationen. Ich habe dann deren Arbeit mit Pokemon verglichen. Gotta catch them all!
Mal gucken, ob es das in irgendeine Presse schafft. :-)
Ich finde das gut und richtig, wenn die Ransomwaregangs hopsnehmen, aber so werden wir das Problem nicht gelöst kriegen. Ich schlug vor, Firmen in die Haftung zu nehmen, wenn sie unsichere Software einsetzen und dadurch ein Schaden entsteht, und die sollten sich das dann zivilrechtlich vom Softwarehersteller zurückholen können, wenn der (auch) Schuld ist.
Kurze Anekdote am Rande noch. Auf der Konferenz lief auch die neue BSI-Chefin herum, und sie hielt auch eine Keynote. Ich habe die vorher noch nie getroffen und sie hinterließ direkt einen viel positiveren Eindruck als alle ihre Amtsvorgänger. Ich dachte mir also, als ich sie beim Social Event sah, dass ich ihr das mal sagen sollte, gehe auf sie zu, und sage: "Ich kritisiere das BSI ja seit 20 Jahren gerne und häufig, ..." woraufhin sie ganz trocken meinte: "Ich hörte davon".
Äh ... wat? Gibt es da eine Liste? Und da bin ich drauf? Und ich habe genug Eindruck hinterlassen, dass die BSI-Chefin meinen Namen kennt?! Ich habe mein Kompliment dann noch rausgekriegt aber war ziemlich geflasht davon :)
Bei den Vortragenden gab es übrigens (abgesehen von mir) Konsens, dass die Kosten für das Absichern von Windows-Infrastrukturen von den Betreibern der Infrastrukturen bezahlt werden sollte. Niemand außer mir fand, dass man als Käufer von Software erwarten kann, dass der Hersteller die ohne Defekte ausliefert, und für Schäden durch Qualitätsmängel haftet.
Besonders großartig war der eine Vortragende in einem anderen Panel, der von Cisco kam. Nicht nur hat der mit keinem Wort erwähnt, dass Cisco für das Webex-Debakel verantwortlich zeichnet, das u.a. das BSI (!) betroffen hat. Der erzählte da, man müsse als Firma ja vorbereitet sein. Man sollte die Support-Telefonnummer für seine Zulieferer bereit haben. Falls was passiert. Kontext: Cisco hat jahrelang nicht mal Security-Patches zum Download angeboten, wenn man keinen laufenden Supportvertrag vorweisen konnte. Die Support-Telefonnummer hätte ich gerne mal genannt bekommen, die einem hilft, wenn man gerade per Webex abgeschnorchelt wurde.
Update: Ein Leser weist darauf hin, dass das HPI nicht Teil der Uni Potsdam sondern eine privatwirtschaftliche gGmbH ist, und die Uni Potsdam im Logo tragen darf, weil es eine gemeinsame Fakultät und eine Kooperationsvertrag gibt. :-)
Das ist natürlich geradezu grotesk bescheuert, dass Cisco überhaupt anbietet, das so zu konfigurieren. Was für Anfänger ey.
Damit sind Cisco und die Bundeswehr noch schlechter als Teams. Und selbstredend wäre selbst Jitsi besser gewesen, die Open Source-Lösung für sowas.
Eine ähnliche Kategorie von "da krieg ich Gewaltfantasien"-Neusprech ist "-scale". Was die alle immer rumgefurzt haben, wie geil ihr Scheiß skalieren würde! Und dann guckst du mal vorbei und wartest 20 Sekunden auf das Laden der Homepage.
Und jetzt ist alles "internet scale" oder zumindest "cloud scale", man sagt nicht mehr "Cloud-Drückerkolonne" sondern "Hyperscaler" (das einzige, was da skaliert, sind die Rechnungen). Furchtbar.
Höchste Zeit also, dass sich ein Depp findet, der mit "AI-native" und "AI-scale" Werbung macht.
Was soll ich euch sagen? Cisco liefert! Ja, DAS Cisco, das mit den ständigen apokalyptischen Sicherheitslücken. Die mit den Dutzenden von versehentlich hart einkodierten Admin-Account-Passwörtern. DIE. Die erzählen uns jetzt nicht nur was von Security sondern machen gleich noch die volle Familienpackung "AI" dran. Vorsicht: Wenn man irgendwas von irgendwas versteht, kriegt man von der Lektüre direkt Ganzkörper-Juckreiz. Das Produkt heißt "Hypershield". Wie Hypeshield aber mit r. Damit man assoziiert, es sei für Hyperscaler (und damit BESTIMMT SICHER GUT GENUG FÜR UNS HIER).
Eine Sache glaube ich ihnen. Dass die Presseerklärung direkt aus einer "KI" fiel. Das ist alles so falsch, dass nicht mal das Gegenteil stimmt.
Auf der anderen Seite kann man Punkte für alle Schlangenöl-Tropes in der IT-Security-Werbung vergeben. Das checkt alle Boxen.
DOCH! Das geht! In der unseriösen Werbung einer anderen Firma: Nvidia. Ihr seht wahrscheinlich schon kommen, was als nächstes passiert:
Cisco [blahsülz] with NVIDIA, is committed to building and optimizing AI-native security solutions to protect and scale the data centers of tomorrow.Und schwupps, mit einer kleinen Handbewegung, ist was eben noch ein Nachteil war (nämlich dass hier ohne Domain Knowledge eine "KI" Dinge halluziniert, die darauf trainiert ist, dass das plausibel aussieht, nicht dass es funktioniert) ein Vorteil! Weil, äh, "AI-native"!!1!Ja aber Moment, Fefe, da stand ja noch gar nicht "empower"! Ohne "empower" geht sowas doch gar nicht!!
"AI has the potential to empower the world's 8 billion people to have the same impact as 80 billion.Das hingegen finde ich ein tolles Zitat. Er sagt hier also: Wenn die Leute alle "KI" machen, dann werden sie zehnmal so viel Ressourcen verbrauchen, ohne einen Vorteil daraus zu ziehen. Glaubt mir, wenn das Vorteile brächte, hätte er die hier erwähnt.Wo wir gerade bei Warnungen waren:
The power of Cisco Hypershield is that it can put security anywhere you need it – in software, in a server, or in the future even in a network switch.Du brauchst dann halt in jedem Ethernetport eine Nvidia-GPU. Das wird das Power-Budget geringfügig senken, das für tatsächliches Computing übrig bleibt in einem Data Center, aber für Nvidias Aktienkurs wird es großartig werden!When you have a distributed system that could include hundreds of thousands of enforcement points, simplified management is mission critical. And we need to be orders-of-magnitude more autonomous, at an orders-of-magnitude lower costBeachtet das "autonomous" her. Eine "KI", die keiner versteht, weil sie nicht programmiert sondern trainiert wurde, soll autonome Entscheidungen darüber treffen, welche Netzwerkpakete erlaubt sind und welche nicht. Oh und wie immer bei "KI" gibt es auch kein Debugging, nur "nach-trainieren", was dann andere Stellen kaputtmacht. Das wird ja eine tolle Zukunft!So, jetzt kommen wir zum technischen Teil. Weiter unten, damit er die Deppen nicht mit Fakten verwirrt.
AI-Native: Built and designed from the start to be autonomous and predictive, Hypershield manages itself once it earns trust, making a hyper-distributed approach at scale possible.Cisco sagt also selbst, dass man dem nicht trauen kann, bis es sich Vertrauen erarbeitet hat. Wenn wir es hier mit denkenden Kunden zu tun hätten, wäre die logische Folge, dass man das nicht einsetzen kann. "manages itself" sollte natürlich auch alle Alarmlampen angehen lassen, genau wie "hyper-distributed" und "at scale", aber vermutlich nicht bei Leuten, die Cisco kaufen. Das ist eine Vorselektion vom unteren Rand des Spektrums.Cloud-Native: Hypershield is built on open source eBPF, the default mechanism for connecting and protecting cloud-native workloads in the hyperscale cloud. Cisco acquired the leading provider of eBPF for enterprises, Isovalent, earlier this month.Langsam zeichnet sich ein Bild ab. Irgendein Sprallo bei Cisco sah die Firma mit der Überflüssigkeit konfrontiert, die aus Software Defined Networking einhergeht (ach, man kann Switches in Software machen? Man braucht gar keine Hardware mehr, von Cisco oder sonstwem?), dann haben sie schnell einen Panikkauf von einer eBPF-Klitsche gemacht und mit einem Hype-Überperformer (am Aktienmarkt, nicht bei den Produkten) geredet, also Nvidia, und sagen jetzt den Investoren: We heard you like AI! We put Nvidia in you eBPF so you can hallucinate while you kernel panic!Ich ruf gleich mal den Notarzt. Wenn DAS keinen Herzinfarkt oder Schlaganfall auslöst, dann bin ich möglicherweise schon tot und werde hier gerade bloß von einer "KI" weitersimuliert. Das kann niemand überleben, der mehr als zwei Hirnzellen übrig hat.
The military in NATO ally Germany is offering communications apps to soldiers and other federal employees on Chinese phone maker Huawei's app store — even though the telecoms giant has been deemed a security risk by the U.S. and European Union, Newsweek can reveal.Ja aber echt mal! Der Bundeswehr-Messenger im Huawei-Appstore?! Das geht ja GAR nicht!1!! Da können die Chinesen den doch analysieren jetzt!1!!Ja, äh, die Chinesen können den selbstverständlich auch analysieren, wenn der im Apple- oder Google-Appstore ist. Noch großartiger: Der Messenger ist Open Source! Da musst du gar nichts reverse engineeren, da kannst du einfach die Sourcen runterladen! Das basiert übrigens auf Matrix. Der Quellcode für das Backend liegt da auch rum.
Germany's Defense Ministry told Newsweek the apps were secure, but security specialist Nathalie Vogel said there were clear risks."They are repeating the same mistakes over and over again and they are threatening allies by giving access to the Chinese," said Vogel, a Research Fellow at the Center for Intermarium Studies of the Institute of World Politics in Washington, D.C.
Es gibt da natürlich tatsächlich Risiken, aber diese Expertin ist zu inkompetent, die zu benennen. Ein Appstore kann dir ja eine andere App geben, als die Entwickler hochgeladen haben. Da müsste man eigentlich prüfen.Die Hardware könnte natürlich auch verwanzt sein, die Firmware könnte dich bescheißen, etc. Eigentlich ist schon die Prämisse unsicher, dass man sicher kommunizieren kann, wenn man das Gerät eingekauft hat. Eine der gruseligsten Snowden-Veröffentlichungen war, dass die NSA Cisco-Lieferungen abfingen und die Hardware im Transit manipulierten. Ist alles eine Frage des Aufwandes, den die Unterdrückungsbehörden zu investieren bereit sind.
Auf dem Spektrum der Kompromisse ist aber "die App ist Open Source und wir tun sie in App Stores" vergleichsweise OK. Erst jetzt, durch den Digital Markets Act, wird Sideloading von Apps eine reelle Alternative gegen die eigentliche Bedrohung hier: Dass die Amerikaner uns Backdoors unterschieben. Vor denen freidrehenden Geheimdiensten würde ich mir deutlich mehr Sorgen machen als vor den Chinesen.
Das peinliche an dieser Theorie ist ja, dass Microsoft tatsächlich in einer einmalig guten Position ist, um so einen Angriff durchzuführen. Die haben remote code execution auf allen Endgeräten, by design. Müssten nicht mal eine Sicherheitslücke ausnutzen oder eine Malware aufspielen, der Code könnte Teil von Windows sein und niemand würde es merken.
Und wenn sie doch Malware aufspielen müssten, könnten sie es via Windows Update machen. Die Beschreibungen der Patches sind absolut wertlos und nicht vertrauenswürdig. Niemand würde merken, wenn die da Malware verteilen würden.
Oh und noch was: Nach Microsofts eigener Definition ist Windows Malware. Der Defender uninstalliert explizit Software, die Werbung anzeigt. Windows zeigt Werbung an.
Unabhängig von dieser Verschwörungstheorie ist das gerade ein Popcorn-Event vom Feinsten. Die fucking Tagesschau diskutiert jetzt offen, ob man Webex überhaupt noch trauen kann. Noch?! Keiner von euch hatte jemals Anlass für Vertrauen in Cisco-Software! Im Gegenteil!
Aber nehmen wir mal an, die Bundesregierung verbannt Webex. Was dann? Zoom? Teams?!? MWAHAHAHAHA
Ihr AHNT ja nicht, was als nächstes passierte!
Der russische Staatssender hat eine Aufzeichnung einer internen Besprechung von Luftwaffen-Offizieren geleakt.Das ist ja unglaublich, Bob!
Was sagt ihr? Ihr wundert euch, dass das die Russen und nicht die Amis abgehört haben? ABER NATÜRLICH haben die Amis das auch abgehört, aber die senden das halt nicht im Fernsehen für die Propaganda dann.
Ich wundere mich ja bei der Industrie schon immer, dass ein geringeres Opsec-Niveau haben als ein paar Nerds beim D&D-Abend. Bei der Bundeswehr wundert mich gar nichts, aber es stellt sich ja wie so häufig die Frage, wieso wir diesen Mount Everest der Inkompetenz auch noch mit Steuergelder besprenkeln. Wieso bezahlen wir die Amerikaner noch dafür, dass sie unsere Telcos abhören können?!
Update: Ein Leser wendet ein, dass die Bundeswehr hier möglicherweise 4d-Schach gespielt haben könnten, indem sie so taten, als hielten sie eine Strategiekonferenz über Webex ab, wissend, dass das abgehört wird, um den Russen ein paar gezielte Botschaften zu senden, wie in diesem Fall: Die Taurus-Gefahr ist echt.
Könnt ihr euch ja selber überlegen, welche Variante ihr für wahrscheinlicher haltet.
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen."Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Punkt 1: Das war ein 0day! Da konnte man nichts machen!
Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.
2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.
3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.
5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!
6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.
6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und *papierraschel* Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!
Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.
Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!
Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Fallt also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik. (Danke, Max)
Unter den Fehlern befinden sich neben SQL-Injections auch Möglichkeiten für Angreifer, beliebige Kommandos auf Appliances des kalifornischen Unternehmens auszuführen.Wie, gar keine Backdoors mit hartkodierten Credentials? So wird das nicht mit der Cisco-Konkurrenz.
RSA digital signatures can reveal a signer’s secret key if a computational or hardware fault occurs during signing with an unprotected implementation using the Chinese Remainder Theorem and a deterministic padding scheme like PKCS#1 v1.5.Der Angriff ist mächtig genug, dass ein einziger beobachteter Fehler reicht.Dann fiel jemandem auf, dass es solche Fehler auch "natürlich" vorkommen, weil Hardware kaputt geht oder vielleicht ist es zu heiß an dem Tag oder irgendein Softwarebug triggert das. Tja und in diesem Paper haben sie mal passiv Verkehr mitgeschnitten und nach solchen Fehlern gesucht, und ... das hat geklappt.
Nun macht SSH aber nicht rohes RSA sondern hat einen Diffie-Hellman-Schritt darüber, und man nahm an, dass es deshalb gegen diesen Angriff immun ist. Ist es aber nicht, sagt dieses Paper jetzt.
In this paper, we show that passive RSA key recovery from a single PKCS#1 v1.5-padded faulty signature is possible in the SSH and IPsec protocols using a lattice attack described by Coron et al. [16 ]. In this context, a passive adversary can quietly monitor legitimate connections without risking detection until they observe a faulty signature that exposes the private key. The attacker can then actively and undetectably impersonate the compromised host to intercept sensitive data.Das ist eines dieser Papers aus der Kategorie "vielleicht doch lieber Rosenzüchter werden?"Der Angriff betrifft SSH und IKE (Schlüsselaustausch für IPsec). Sie haben dann geguckt, was für Geräte betroffen waren, und das waren ein paar alte Cisco und Zyxel Appliances, und dann noch Geräte von Hillstone Networks und Mocana (beides nie gehört), die sie nicht kontaktieren konnten. Cisco und Zyxel meinten, das betrifft nur Versionen, die seit Jahren out of service sind. Immerhin.
Die Prävalenz dieser Fehlerart ist aber bestürzend groß finde ich:
Our combined dataset of around 5.2 billion SSH records contained more than 590,000 invalid RSA signatures. We used our lattice attack to find that more than 4,900 revealed the factorization of the corresponding RSA public key, giving us the private keys to 189 unique RSA public keys.
Meine Überraschung hält sich in Grenzen.
Ich fasse mal die wesentlichen Punkte zusammen:
we can defeat Apple’s low-resolution timer, compressed
35-bit addressing, and value poisoning countermeasures, allowing
us to read any 64-bit address within the address space of Safari’s
rendering processApple hat, wie vor ihnen Microsoft und andere, auf irgendwelche mehr oder weniger nutzlosen Mitigations gesetzt, ohne ihre tatsächlichen Probleme zu lösen. Seit Jahren meine Rede, dass das nicht gut ist.Combining this with a new technique for con-
solidating websites from different domains into the same renderer
processDas erzähle ich in meinen Vorträgen seit Jahren, dass man einen Prozess pro Request braucht, damit die sich nicht gegenseitig die Daten extrahieren können.Finally, we note that Safari
/ WebKit is the only browser engine permitted on iOS devices re-
gardless of web browser app.Dass DAS eine bekloppte Idee ist, war schon klar, bevor Apple es angekündigt hat. Apple-Kunden war das immer egal, ob Apple Dinge tut, die zu ihren Ungunsten sind. You are holding it wrong.Was an dem Angriff jetzt besonders ist, ist dass das halt mal jemand alles gemacht hat. Dass das prinzipiell geht, und dass Apple nichts tun wird, bis jemand die Arbeit investiert, um das zu zeigen, war auch offensichtlich.
Was ich an der Sache am gruseligsten finde:
This research was supported by the Air Force Office of Scientific Research (AFOSR) under award number FA9550-20-1-0425; an ARC Discovery Project number DP210102670; the Defense Advanced Research Projects Agency (DARPA) under contract HR00112390029 and W912CG-23-C-0022; the Deutsche Forschungsgemeinschaft (DFG, German Research Foundation) under Germany's Excellence Strategy - EXC 2092 CASA - 390781972; the National Science Foundation under grant CNS-1954712; and gifts by Cisco and Qualcomm.Wer fehlt auf der Liste? Richtig! Apple!Apple-User lügen sich immer selbst einen in die Tasche, dass Apple schon irgendwie der einzige Tech-Konzern ist, der edel und rein ist und für seine Kunden nur das Beste will.
Kurz: Aus meiner Sicht ist das die Aufregung gerade nicht wert. Ist alles genau so, wie es schon lange klar war. Apple verkauft Mist und weiß es, sitzt auf unfassbaren Bargeldbergen und weiß nicht wohin damit, aber überlässt die Finanzierung derartiger Forschung dem Steuerzahler, Konkurrenten und dem Militär. Ja geil. Da willste doch deine Geräte kaufen!!
X-Atlassian-Token: no-checkBesser noch: Das ist nicht etwa eine Hintertür sondern ein dokumentiertes Feature. Kannste dir gar nicht ausdenken.
Das hat nicht nur mich beeindruckt. Auch Cisco sah das und dachte ich: Hold my beer! Gammelige Web-Interfaces haben wir auch!
Ja gut. Streng genommen wird die CVSS-10-Lücke bei Cisco schon seit Wochen aktiv ausgenutzt. Aber das kennen Cisco-Kunden ja schon. All your base are belong to us.
The new CVE-2023-20198 vulnerability received the highest Common Vulnerability Scoring System (CVSS) score (10/critical). Successful exploitation would grant an attacker full administrator privileges, allowing them to effectively take full control of the affected router and allowing possible subsequent unauthorized activity.Erfahrene Cisco-Admins haben das Web-UI eh gesperrt, mindestens in Richtung Internet. Aber eigentlich muss man sich ja schon die Frage stellen: Warum eigentlich? Wenn das so schlecht ist, dass es alle sperren müssen, wieso existiert das dann überhaupt?Hier ist das Advisory. Money Quote:
Workarounds: No workarounds available
Ein Kumpel meinte dazu so: Vermutlich war ihre Lizenz abgelaufen und das war billiger so.
*schenkelklopf*
Update: Oh hahaha, da gibt es sogar ein schönes Mem-Bild zu :-)
Mastodon-Instanzen durch bösen Toot rootbar.
Ciscos verschlüsseltes VPN kann man von außen entschlüsseln. Besonders schön: Die Funktion heißt "CloudSec". Oder, wie Cisco es ausdrückt:
Using Multi-Site Secure VXLAN EVPN with CloudSec provides state-of-the art Data Center Interconnect with Confidentiality, Integrity, and Availability.WHOA DUDE! Nicht nur VPN! EVPN!!Und nicht nur EVPN! VXLAN EVPN!!
Warte! Nicht nur VXLAN EVPN! Secure VXLAN EVPN!!!
Scheiße, Bernd, heißt das, dass es auch Insecure VXLAN EVPN gibt? Wie sich rausstellt: ja. Ist sogar Standard :-)
Update: Hat sogar noch ein bisschen mehr Availability als geplant!
Ja gut, Adobe ist ja das Cisco bei den Kreativ-Tools, insofern berichte ich nur sehr zurückhaltend über die. Seit die von Kaufen auf Abo umgestellt haben, und ihre Kunden dageblieben sind, habe ich da kein Mitleid mit irgendwem mehr.
Und Farben? Nunja. Ich erinnere mich da an die Telekom-Nummer, als die die Farba Magenta als ihr Eigentum betrachtet haben.
Aber stellt sich raus: Doch, ist wirklich was dran. Ist keine Satire. Cory Doctorow hat die Details. Wenn ihr nur mal den Screenshot sehen wollt: Hier ist ein Tweet damit.
Es geht um Pantone. Geht mal zu deren Webseite und guckt, ob eure Fantasie reicht, euch etwas Bekloppteres auszudenken als diese Firma.
Dabei ist das ganz einfach, sich etwas noch Bekloppteres auszudenken! Ein Rechtssystem, in dem jemand mit dem Benennen von Farben Lizenzgebühren einfordern kann! Genau das haben die getan, und Adobe hat offenbar jahrelang gezahlt. Aber offenbar nicht genug, oder vielleicht wurde Pantone noch gieriger, weil sie ja das Gehalt für ihre Trendexpertin reinkriegen müssen, jedenfalls schmeißt Adobe jetzt Pantone-Farben raus. Wer die haben will, und das sind einmal die meisten professionellen Kunden, der muss sie extra lizenzieren. Wie? Nein, natürlich keine Einmalzahlung. 21 Dollar pro Monat! Für ... immer.
Ja, äh, benutze ich halt die alte Version weiter. Nee, geht nicht, denn das ist jetzt alles Cloud-Software. Das hast du nicht unter Kontrolle, welche Änderungen Adobe an der vornimmt.
Doctorow vergleicht die Situation mit Apple in China. Dass China alle Apple-User mit einem Befehl an Apple in ihr Überwachungsnetz zwängen konnte, lag nicht an China sondern an Apple. Es ist nicht China, was verhindert, dass Leute einfach eine andere VPN-App sideloaden. Es ist Apple.
Und genau so ist das hier, argumentiert Doctorow. Wenn Adobe nicht auf SaaS umgestellt hätte, dann hätte Pantone hier keinen Hebel gehabt. Money Quote:
Pantone started out as a tech company: a way to reliably specify ink mixes in different prepress houses and print shops. Today, it's an "IP" company, where "IP" means "any law or policy that allows me to control the conduct of my customers, critics or competitors."https://locusmag.com/2020/09/cory-doctorow-ip/
That's likewise true of Adobe. The move to SaaS is best understood as a means to exert control over Adobe's customers and competitors. Combined with anti-competitive killer acquisitions that gobble up any rival that manages to escape this control, and you have a hostage situation that other IP companies like Pantone can exploit.
Hostage situation ist eine schöne Zusammenfassung der Situation, wenn ihr mich fragt.
New hotness: Nicht mal den Updateprozess kriegt Cisco hin.
Cisco und Exchange ergänzen sich echt prima. Am besten noch eine Lage Citrix drüber. Dann hat man den perfekten ... Industriestandard in Sachen kritischer IT-Infrastruktur.
Um nicht zu sagen überkritischer IT-Infrastruktur. Stehste? Stehste?
Wie bei Cisco stellt sich auch bei Atlassian die Frage: WARUM?!
There are currently no fixed versions of Confluence Server and Data Center available. In the interim, customers should work with their security team to consider the best course of action. Options to consider include:- Restricting access to Confluence Server and Data Center instances from the internet.
- Disabling Confluence Server and Data Center instances.
If you are unable to take the above actions implementing a WAF (Web Application Firewall) rule which blocks URLs containing ${ may reduce your risk.
Oh wow. Einmal mit Profis.
Aber im Markt wurde es irgendwie nie angenommen. Kein Wunder. So ganz ohne "vergessene" hartkodierte Admin-Accounts und andere Backdoors sind die F5-Produkte einfach nicht Enterprise-fähig.
Aber keine Sorge, F5 denkt mit und baut dann halt auch hartkodierte Admin-Accounts ohne Passwort ein. Man macht einfach einen Post-Request auf bash mit der Kommandozeile als Json, basic authentication, username "admin", passwort leer.
Mal gucken, ob sie wirklich Cisco-Level Enterprise-fähig sind und die Sicherheitspatches ebenfalls nur gegen bezahlten Supportvertrag verbreiten. Sie dürfen natürlich keine Erklärungsversuche bringen jetzt. Das wäre unprofessionell.
Wer kauft eigentlich von solchen Firmen? Kann mir das mal jemand erklären? Warum?!
Nein, nein, keine Sorge. Diesmal waren es keine hartkodierten Backdoor-Passwörter. Diesmal waren es "unintentional debugging credentials". Das ist was GANZ anderes!!1!
Diesmal war es keine Absicht!1!!
So glaubt uns doch!
Oh, warte, das war noch nicht alles!
The other critical hole is CVE-2021-40113, which can be exploited by an unauthenticated remote attacker to perform a command injection attack on the equipment's web-based management portal, thanks to insufficient validation of user-supplied input.Einmal mit Profis!"A successful exploit could allow the attacker to execute arbitrary commands on an affected device as the root user."Was macht die Security-Abteilung bei Cisco eigentlich beruflich?
Die IT-Industrie liefert sich ein Rennen um den schlechtesten Ruf mit der Finanzbranche.
Habt ihr schon eine Warnung gekriegt? Von auch nur einer der betroffenen Organisationen? Ich nicht.
Solarwinds ist da natürlich nicht nur Täter sondern auch Komplize bei der Beweisvernichtung, weil sie erstmal ihre Customer-Liste weggemacht und bei Google angerufen und aus dem Cache dort haben löschen lassen. Nicht mal archive.org liefert.
Ich finde das einen wichtigen Datenpunkt dazu, ob irgendeine der Meldepflichten den Betroffenen in der Praxis irgendwas bringt, oder ob das alles mal wieder bloß Verarschung ist.
Update: Wenn man einen Tag zurückgeht und viel Geduld aufbringt, kriegt man von archive.org doch noch die Kundenliste. Hier ist sie:
Acxiom, Ameritrade, AT&T;, Bellsouth Telecommunications, Best Western Intl., Blue Cross Blue Shield, Booz Allen Hamilton, Boston Consulting, Cable & Wireless, Cablecom Media AG, Cablevision, CBS, Charter Communications, Cisco, CitiFinancial, City of Nashville, City of Tampa, Clemson University, Comcast Cable, Credit Suisse, Dow Chemical, EMC Corporation, Ericsson, Ernst and Young, Faurecia, Federal Express, Federal Reserve Bank, Fibercloud, Fiserv, Ford Motor Company, Foundstone, Gartner, Gates Foundation, General Dynamics, Gillette Deutschland GmbH, GTE, H&R; Block, Harvard University, Hertz Corporation, ING Direct, IntelSat, J.D. Byrider, Johns Hopkins University, Kennedy Space Center, Kodak, Korea Telecom, Leggett and Platt, Level 3 Communications, Liz Claiborne, Lockheed Martin, Lucent, MasterCard, McDonald’s Restaurants, Microsoft, National Park Service, NCR, NEC, Nestle, New York Power Authority, New York Times, Nielsen Media Research, Nortel, Perot Systems Japan, Phillips Petroleum, Pricewaterhouse Coopers, Procter & Gamble, Sabre, Saks, San Francisco Intl. Airport, Siemens, Smart City Networks, Smith Barney, Smithsonian Institute, Sparkasse Hagen, Sprint, St. John’s University, Staples, Subaru, Supervalu, Swisscom AG, Symantec, Telecom Italia, Telenor, Texaco, The CDC, The Economist, Time Warner Cable, U.S. Air Force, University of Alaska, University of Kansas, University of Oklahoma, US Dept. Of Defense, US Postal Service, US Secret Service, Visa USA, Volvo, Williams Communications, Yahoo
Das ist aber nur eine partielle Liste. Da fehlen Kunden, die nicht genannt werden wollten.
Wie? Nein, diesmal keine Hintertür. Diesmal eine wormable remote code execution.
Fortschritt!!
Benutzt ihr Webex deshalb, weil ihr gehört habt, dass bei Zoom unautorisierte Dritte reinkommen und mithören können?
Nicht authentifizierte Dritte konnten sich in Webex-Konferenzen einklinken, ohne dass sie zu einem Meeting eingeladen wurden. Dabei konnten die Eindringlinge die Konferenzen mithören und -sehen, sprechen und teils auf geteilte Medien zugreifen, ohne dabei in der Teilnehmerliste aufzutauchen - wie ein Geist. Der einzige Hinweis auf den Geist sei ein zusätzlicher Beitritts-Piepton gewesen - der bei großen Besprechungen jedoch häufig deaktiviert werde, schreibt IBM in einem Blogeintrag.Ja gut. Glücklicherweise werden in Meetings ja keine vertraulichen Dinge besprochen.
Sonst hätte man das ja von Anfang an nicht in die Cloud verlagern können, nicht wahr?
Ich meine, so blöde werden die Firmen doch nicht sein, dass sie ihre vertraulichen Besprechungen über jemand anderes Infrastruktur abwickeln? Oder? ODER?
All payload are processed in the context of NT AUTHORITY\SYSTEM.Hey, Produkte dieser Firma will man doch einsetzen?! Die Qualität springt einen förmlich an!1!!Ach was reg ich mich auf. Die Deppen da draußen patchen das und vergessen sofort, dass Cisco "vergessen" hat, sie auf diese Lücken aufmerksam zu machen. Dass eine der Lücken ausgerechnet in einem nach Backdoor klingenden Dienst namens SecretServiceServlet ist, das merkt ihr wahrscheinlich gar nicht.
Not my department, says Wernher von Braun.
Ein Einsender schreibt mir gerade::
Unis in Deutschland: Oh nein, völlig überraschend noch ein Online-Semester! Schnell, wir brauchen ein robustes Videokonferenz-System, shut up and take my money *schielt zu Cisco Webex*Daher fragt man für sowas ja auch Leute, die sich mit sowas auskennen.Schulen in Griechenland: Oh nein, völlig überraschend müssen wir wieder Online-Unterricht anbieten, Cisco, schafft ihr das?
Cisco: Kein Proble.. ups.
Ergebnis: WebEx in halb Europa kaputt (vermutlich wegen der plötzlichen, unerwarteten Last, oder wegen des CVEs neulich?):
Alternativen gibt's kurzfristig natürlich keine, aber "Cisco arbeitet an einer Lösung". Ach so, na denn wird ja alles jut.
Übrigens, Lacher am Rande (die Webseite lädt gerade ein bisschen langsam; warum wohl?):
Cisco Webex ist eine sichere, Cloud-basierte Collaboration-PlattformCloud, wir erinnern uns, machte man, damit man auf plötzliche Lastspitzen souverän reagieren kann, indem man einfach Server nachklickt. Und dass sie es wagen, nach dem CVE neulich da noch "sicher" hinzuschreiben, das ist auch echt geil.
Eigentlich müsste man den Satz gar nicht weiterführen nach "jemand".
Cisco hat mal wieder ein paar 0days in der Wildnis beobachtet, und war schockiert — SCHOCKIERT!!1!, dass die gegen Cisco-Anyconnect gerichtet waren! Ansonsten haben auch Kunden von Webex die Arschkarte, und SD-WAN scheint selbst für Cisco-Verhältnisse richtig doll schlecht zu sein.
Wieso kauft denen eigentlich immer noch jemand ihren Ranz ab? Was müssen die noch machen!?
In a previously unreported statement to members of Congress in July seen by Reuters, Juniper said an unnamed national government had converted the mechanism first created by the NSA. The NSA told Wyden staffers in 2018 that there was a “lessons learned” report about the Juniper incident and others, according to Wyden spokesman Keith Chu.Na, äh, den wollen wir doch mal sehen, den Report, oder wie seht ihr das?“NSA now asserts that it cannot locate this document,” Chu told Reuters.Oh ach so. Naja gut, äh, … Softwareproblem. Da kann man nichts machen.
Ich finde das ja geil, dass ausgerechnet die NSA mit der Ausrede durchkommt, sie könnten etwas in ihrem Datenhaufen nicht finden. Ist ja nicht so als wäre genau das genau die Kernkompetenz von denen, für die sie bezahlt werden. Oder anders herum: Wenn die schon so zentral wichtige Dokumente verlieren, wieso dürfen die dann überhaupt andere wichtige Daten horten?
Und ihr solltet euch mal alle fragen, ob ihr irgendeinem US-amerikanischen Tech-Unternehmen vertrauen könnt, wenn öffentlich bekannt ist, dass sowohl Cisco als auch Juniper Backdoors der Geheimdienste hatten.
Hätte uns doch nur rechtzeitig jemand gewarnt!!1! (Danke, Christian)
Wer da Präsentationen hochladen darf, hat Admin-Zugriff.
Update: Hanno Böck hat den Bigbluebutton-Leuten das im Mai (!) gemeldet. Seit dem sitzen die darauf. Stellt sich raus: Man kann da ne Präsentation hochladen und der Server öffnet das dann in Libreoffice. Lasst mich da völlig klar ansagen: DAS IST EINE FURCHTBAR SCHLECHTE IDEE. Dass das Projekt diese Idee überhaupt implementiert hat, ist für mich ein Zeichen, dass ich nie wieder mit Software interagieren will, bei der diese Leute Teil der Entscheidungsfindung waren. Die sind fürs Leben verbrannt. Das ist ungefähr so schlau wie im Winter einen Krieg gegen Russland zu starten. Nicht nur offensichtlich eine schlechte Idee sondern da sind sogar schon vorher andere mit auf die Fresse geflogen. Diese Officeformate sind eine einzige Schlangengrube und die Wahrscheinlichkeit, dass das irgendjemand anständig implementiert kriegt, ist sehr nahe an Null. Aber in diesem Fall musste gar kein Exploit her, denn die Dateiformate haben (völlig ohne Not, möchte ich anmerken!) ein Feature, über das man externe Ressourcen über eine URL einbinden kann. Da kann man natürlich auch eine file://-Url nehmen und sich beliebige Dateien auf dem Server anzeigen lassen.
Vom Niveau her ist das absolut am unteren Ende der Skala. Tiefer sinkt nur Cisco mit ihren ständigen Hintertüren und "vergessenen, versehentlich hart einkodierten Passwörtern".
Attacken sollen vergleichsweise trivial sein. So könnten Angreifer aus der Ferne und ohne Authentifizierung die volle Kontrolle über Systeme erlangen.Ja super!
Konkret handelt es sich um eine als "kritisch" eingestufte Lücke (CVE-2020-10188) im Netzwerkprotokoll Telnet im Netzwerk-Betriebssystem IOS XE.Telnet? Soll das ein Witz sein?
Update: Leserbrief dazu:
Es ist wie immer noch schlimmer: Telnet ist kein Witz sondern Standard. Fuer SSH und alles andere was irgendwas mit "Crypto" zu tun hat braucht man eine "k9"-Firmware, und die kostet (oft) extra fuer teurere Lizenzen und Support: community.cisco.com.
Cisco Webex Meetings Desktop App for Mac Update Feature Code Execution VulnerabilityNICHT MAL DEN UPDATER kriegen die hin!
Cisco Talos recently discovered two vulnerabilities in the popular Zoom video chatting application that could allow a malicious user to execute arbitrary code on victims’ machines.Da bieten sich jetzt natürlich Witze an, wie schlimm das sein muss, wenn sogar Cisco Lücken findet, aber Talos ist zugekauft. Die Frage muss also eher sein, wieso Cisco nicht mal die Talos-Leute auf ihre eigenen Produkte gucken lässt. Vielleicht wollen sie denen einen Schlaganfall ersparen oder so.
IP Encapsulation within IP (RFC2003 IP-in-IP) can be abused by an unauthenticated attacker to unexpectedly route arbitrary network traffic through a vulnerable device.Betroffen ist deren Nexus-Reihe. (Danke, Christian)
five critical vulnerabilities in [...] the Cisco Discovery ProtocolDas betrifft einmal die ganze Hardware-Produktpalette bis hin zu IP-Telefonen.
So langsam muss man sich ja fragen, ob das eine Sache der Mentalität oder behördlicher Drohungen ist.
Workaround:
Remove 'family inet6' from interfaces. Otherwise, there are no available workarounds for this issue.
In a modern telecommunications service provider, new equipment is deployed, configured, maintained and often financed by the vendor. Just to let that sink in, Huawei (and their close partners) already run and directly operate the mobile telecommunication infrastructure for over 100 million European subscribers.(Hervorhebung im Original, und völlig zu Recht)Das ist übrigens ein echt alter Trend. Wir haben uns in den 90ern im CCC über zwei Firmen namens Comverse (später umbenannt zu Verint) und Amdocs besorgte Verschwörungstheorien zugeraunt. Die Israelis haben damals als erste erkannt, dass die Deppen im Ausland eh alle outsourcen, und wenn du da deine Wanzen einbringen willst, dann musst du gar nicht Leute bestechen oder einbrechen oder hacken. Es reicht, wenn du deine inländischen Produkte subventionierst. Dann kaufen die Deppen im Ausland automatisch bei dir.
Comverse und Amdocs haben so Abrechnungssysteme für Telcos verkauft. Also die Systeme, die die ganzen Metadaten sehen. Genau die Daten, die man so haben will als Geheimdienst.
Man könnte sagen, die Amis haben das Modell perfektioniert. Die haben es geschafft, dass die Deppen auch ohne Subventionen den überteuerten Scheiß von Cisco kaufen.
Der Punkt war jedenfalls: Schon seit damals haben sich alle unsere großen Firmen in eine erstickende Abhängigkeit von ausländischer Technologie begeben und da kommen wir jetzt auch nicht wieder raus.
Die Politik schwadroniert gerne von digitaler Souveränität. Der Zug ist abgefahren, und zwar schon echt lange.
Bert fasst die Folgen so zusammen:
The host service provider often has no detailed insight in what is going on, and would have a hard time figuring this out through their remaining staff. Rampant outsourcing has meant that most local expertise has also left the company, willingly or unwillingly.We recently asked a large European service provider why only part of their customers get IPv6 service, and how they pick which parts do or do not get such service. They could not tell us, and informed us they too would like to know
Das kann ich nur unterstreichen. Das Niveau, auf dem da Duplosteine von irgendwelchen mehr oder weniger unseriösen ausländischen Zulieferern zusammengestöpseln werden, ist immer wieder ernüchternd.Ich habe einen Kunden, der an einigen Stellen den ernsthaften Versuch unternommen hat, die beworbene Funktionalität auch zu nutzen. Die sind da gegen Wände gerannt, das glaubt man gar nicht. Rudimentärste Basisfunktionalität funktioniert einfach nicht! Die Israelis sind wenigstens so professionell, dass ihr Scheiß dann auch mehr oder weniger zuverlässig funktioniert. In anderen Bereichen, besonders bei Security-Appliances, ist das häufig nicht der Fall. Die kauft man, stellt sie in die Ecke, kreuzt im Compliance-Report die Checkbox an, und dann ist es völlig wurscht, ob das Gerät irgendwas tut oder nicht.
Bert schildert ein schönes Beispiel für Outsourcing-Ketten:
However, over time, such IT staff also tends to get outsourced. At one major mobile provider the chain is now that the company has outsourced IT to Tech Mahindra and that Tech Mahindra in turn talks to Ericsson, who then finally operate the network.Meanwhile, Ericsson and other vendors in turn have outsourced or shipped many functions to to yet different countries where staff is more affordable.
So sieht es aus.In another example, one large Dutch mobile provider has handed over most of their technical staff to Huawei. Half of their freshly built and well designed headquarters has since stood empty - what remains in the other half are IT Architects who do not get closer to actual operations than an Excel sheet or a Visio diagram.Auch das kann ich bestätigen. So sieht das in der Praxis häufig aus. Besonders beeindruckend finde ich immer, wie die IT-Architekten sich dann im Kreis auf die Schulter klopfen, was für wichtige Arbeit sie doch tun hier. Dabei ist das im Wesentlichen das Anklicken einer "Lösung" aus einem Katalog. Denn was die Zulieferer nicht anbieten, das geht halt nicht. IT-Architekten versuchen dann ihr Selbstbild aufzubessern, indem sie da irgendwelche mehr oder weniger sinnlosen Integrationsanforderungen formulieren. Das ist das Stichwort, auf das die Zulieferer gewartet haben, denn das ist der Schlüssel für die wirklich teuren Rechnungen. Da machen die ihre fetten Profite.Ja, aber Fefe, wo kommt denn dann die Security her? Ganz einfach! Wir schreiben in den Vertrag, dass der Rechnungszulieferer die Daten nur für die Rechnungsstellung benutzen darf.
(Kunstpause)
That's it.
Oh und einen schönen Punkt hat Bert noch: Wenn du bei Ericsson kaufst, weil du denkst, dann hast du Europäische Tech im Haus: Ericsson lässt in China entwickeln.
Als Schlusswort nehme ich mal dieses tolle Zitat von Bert:
As a case in point, one European 15-million subscriber network now relies on a core team of 4 people (one of whom is their manager) to provide all addressing and numbering services. After years of failed attempts, these four people will now also be outsourced.
In this post, I share three (3) full exploitation chains and multiple primitives that can be used to compromise different installations and setups of the Cisco DCNM product to achieve unauthenticated remote code execution as SYSTEM/root. In the third chain, I (ab)use the java.lang.InheritableThreadLocal class to perform a shallow copy to gain access to a valid session.Es ist ja nicht so, als ob noch irgendjemand was von Cisco erwarten würde. Aber das ist selbst für deren Verhältnisse auffallend schlecht. Man muss sich fragen, wieso es bei uns keine Behörde gibt, die diese Firma aus dem Verkehr zieht. (Danke, Kristian)
Ach naja, denkt ihr euch jetzt vielleicht, generiert man halt neue.
Da habt ihr die Rechnung ohne Cisco gemacht!
Self-signed X.509 PKI certificates (SSC) that were generated on devices that run affected Cisco IOS® or Cisco IOS XE software releases expire on 2020-01-01 00:00:00 UTC. New self-signed certificates cannot be created on affected devices after 2020-01-01 00:00:00 UTC. Any service that relies on these self-signed certificates to establish or terminate a secure connection might not work after the certificate expires.LOOOOOL! Warte mal, gibt es nicht Leute, die Cisco einsetzen, weil sie deren Produkte für enterprise-fähig halten?ZWEI WOCHEN VORHER fällt Cisco das auf? Und die verbleibende Zeit ist Weihnachten und Ferienzeit?
Geil!
Das gibt bestimmt eine IT-Apokalypse zum Jahreswechsel. In großen Firmen kannst du gar nicht mal eben deine Cisco-Geräte updaten. Da musst du erstmal ein Wartungsfenster beantragen. Das alleine dauert vier Wochen und du brauchst ein paar Monate Vorlauf, damit du die Leute warnen kannst. (Danke, Markus)
Besonders ermutigend auch dieses Statement:
"Cybersecurity ist ein Teamsport", erklärte Klaus Lenssen, Chief Security Officer bei Cisco. "Sicherheit ist ein Prozess und kein Zustand."Bei euch vielleicht nicht. Anderswo ist Sicherheit auch schon ein Zustand.
Heute als Doppel-Einschlag: Cisco-Schlangenöl!
A vulnerability in the implementation of the Lua interpreter integrated in Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an authenticated, remote attacker to execute arbitrary code with root privileges on the underlying Linux operating system of an affected device.Das setzt Maßstäbe. Der Scheiß läuft als root! Als root!!Ich sollte die Gelegenheit nutzen, mal grundsätzlich vor Appliances zu warnen. Es gibt da ein verbreitetes Missverständnis. Spezialisten sind nicht gut darin, etwas gut zu machen, sondern die sind gut darin, etwas schnell und billig anzubieten. Leute, die Appliances anbieten, sind gut darin, Appliances günstig anzubieten. Und Appliances haben den "Vorteil", dass Kunden im Allgemeinen nicht reingucken dürfen. Da kann man als Hersteller also ganz andere Pfusch-Level fahren (obwohl es da erschütternderweise auch bei Nicht-Appliances wenig Zurückhaltung gibt).
Dass da zentrale Dienste ohne Not als root laufen, das ist im Appliance-Umfeld nicht selten. (Danke, Martin)
The security expert and bug-hunter John “hyp3rlinx” Page discovered an arbitrary code execution vulnerability, tracked as CVE-2019-9491, in the Trend Micro Anti-Threat Toolkit.Hey, ich habe eine Idee. Wir installieren einfach noch eine zweite Packung Schlangenöl! Die schützt uns dann vielleicht vor den Lücken, die das erste Schlangenöl aufgerissen hat!Wie wäre es mit Avast! Oder Norton! Gut, Norton hat den Nachteil, dass dann mein Blog nicht mehr geht. Aber für die Sicherheit muss man manchmal halt Kompromisse eingehen!1!!
Und zur Abrundung was von Cisco!
Und wenn ihr ganz sicher gehen wollt, dann nehmt Kaspersky. Die laden das in ihre Cloud und prüfen dort noch manuell!
ich arbeite für ein nicht so kleines Software Haus. Bei einer Incident Management Schulung wurde ein Fall aus der Vergangenheit durch besprochen:Hahaha, bei Cisco nach einem Update erkundigen ist wie so ein Dickens-Roman.Die hauseigene Cloud war für 2 oder 3 Stunden komplett ausgefallen. Große Panik. Große Kosten.
Später hat sich heraus gestellt, dass irgendwelche Cisco Security Komponenten alle ihre Konfiguration "vergessen" hatten und neu durchgestartet werden mussten. Auslöser war ein Portscan im Zuge eines beauftragten Pen-Tests ...
Da musste ich schon ein wenig an dich denken.
Und dann der sehr schöne Maßnahmenkatalog:
- Cisco fragen, ob es dafür ein Update gibt
- keine Portscans mehr vor 16:00
Thank you Sir, may I have another?
Cisco: Hold my beer! (Danke, Hendrik)
Einmal mit Profis arbeiten!
2019-10 Security Bulletin: Junos OS: Kernel crash (vmcore) upon receipt of a specific link-local IPv6 packet on devices configured with Multi-Chassis Link Aggregation Group (MC-LAG) #CVE-2019-0067 Respekt! Ein Ping of Death hatten wir schon lange nicht mehr! Ich dachte schon fast, die seien ausgestorben! (Danke, Christian)
- At some time in April 2018, the Webmin development build server was exploited and a vulnerability added to the password_change.cgi script. Because the timestamp on the file was set back, it did not show up in any Git diffs. This was included in the Webmin 1.890 release.
- The vulnerable file was reverted to the checked-in version from Github, but sometime in July 2018 the file was modified again by the attacker. However, this time the exploit was added to code that is only executed if changing of expired passwords is enabled. This was included in the Webmin 1.900 release.
- On September 10th 2018, the vulnerable build server was decomissioned and replaced with a newly installed server running CentOS 7. However, the build directory containing the modified file was copied across from backups made on the original server.
- On August 17th 2019, we were informed that a 0-day exploit that made use of the vulnerability had been released. In response, the exploit code was removed and Webmin version 1.930 created and released to all users.
Und ihre Lösung jetzt ist: Wir verlassen uns halt voll auf github. Ja, klar, weil github-Accounts ja auch noch nie gehackt wurden.
So viel Hilflosigkeit auf einem Haufen, da kannst du echt auch gleich zu Oracle oder Cisco greifen.
...denn mehr zu machen geht überhaupt nicht mehr, dafür haben Unternehmen weder das Know-How noch die Manpower noch das Budget.Und das ist nicht nur im Netzwerkbereich so, aber da ist es natürlich noch schlimmer:
- Die Margen bei den Routern / Switchen sind so niedrig, weil man von Anfang an kein Update eingeplant hat. Das machen wir so, das machen unsere Kunden so, und das machen unsere Wettbewerber auch so.
- So ein Cisco-XE-Switch braucht zwischen 7 und 15 Minuten für einen Reboot. Vor zwei Jahrzehnten haben wir Switches im Betrieb neugestartet, weil sie binnen Sekunden wieder oben waren. Das kannst Du heute nicht mehr. Und niemand möchte nachts arbeiten, nur um ein paar blöde Switches (die in 99% der Fälle nichts weiter tun als das, was Switches vor 20 Jahren auch getan haben) neu zu starten.
- Mittlerweile sind die Dinger so kompliziert, dass man erst mal nachsehen muß, was sich mit dem Update alles ändert. Für Infrastruktur, die in den meisten Fälle einfach so funktionieren soll, und über die man nicht nachdenken will, macht das aber niemand. Nicht einmal die Dienstleister, die sie betreuen sollten, denn die schaffen es auch nicht mehr, alle Updatetexte lesen.
Und das liegt auch daran, dass die Updatetexte so verfasst sind, dass man sie nicht verstehen und in endlicher Zeit lesen kann.
Jedenfalls ist die Konsequenz daraus, dass ein Update von einem Stück Netzequipment geplant und mit den Kunden und anderen Beteiligten abgesprochen werden muss, und deshalb ein größerer Akt ist. Das nächste Wartungsfenster? Nach Weihnachten.
- Ich monitore seit einem halben Jahr Kundensysteme, und würde es mitkriegen, wenn die Switches mal neu gestartet worden wären. Sind sie nicht. Nirgends.
Möglicherweise gab es bei einem Kunden in den Werksferien ein Firmwareupdate, da ist mal der ganze Standort herunter gefahren worden, aber ich glaube es nicht.- Unsere Kunden haben sowie kein Budget. Die können Geld ausgeben, um Geld zu sparen. Sprich, ein RZ zu einem billigeren Anbieter umzuziehen. Qualität? Es muß nur gerade gut genug sein, dass man noch arbeiten kann.
Und IT-Abteilungen haben die sowieso nicht mehr. Das ist ja zu uns outgesourcd (mein Arbeitgeber zeichnet sich übrigens mehr durch Mittelmäßigkeit aus als durch Know-How).- Außerdem haben Kunden ein Gedächtnis. Wie viele Tage konnten sie nach dem letzten Updatefiasko nicht telefonieren, weil die doofe VoIP-Anlage irgendwelche Probleme machte? Natürlich schrecken die davor zurück, das zu wiederholen.
Und überhaupt sind Updates ja ziemlich… umstritten.
Wenn uns Windows 10 etwas beigebracht hat, dann das: Wir hassen Updates.
- oft oder sogar meistens betreffen uns die Sicherheitslücken gar nicht.
- verdammt häufig geht nach Updates etwas nicht so, wie es vorher war. Und sei es auch nur, dass ich meine lokalen Drucker nicht mehr in der Liste finde, wohl aber irgendwo in Hintertupfingen.
Updates machte man, um Fehler und Sicherheitsmängel zu beheben. Man erhofft sich Produktivitätssteigerung und Sicherheitsgewinne, und nimmt dafür Unbequemlichkeiten und kurzfristige Produktivitätsverluste in Kauf.
Mittlerweile ist das aber anders: Updates stehen für neue Fehler, nicht dafür, dass das Produkt besser wird.
Updates kosten Zeit, Geld, Planung, Absprachen und Nerven. Und sie bergen Risiken. Unter diesen Umständen updated man nur, wenn man *muß*.
Das war anders, als Update und Upgrade noch verschiedene Dinge bedeuteten.
du musst jetzt tapfer sein. Updates im Netzwerkbereich werden gemacht wenn die Hardware getauscht wird. Oder wenn einen funktionalen Bug gibt der die Arbeit stört. Also meistens zumindest. Ausnahmen bestätigen die Regel.Der Kollege hat inhaltlich natürlich völlig Recht. Genau so sieht das in der Industrie aus. Aber ich habe mir noch nie einen schönen Rant voller gerechtem Zorn von Fakten oder der Realität kaputtmachen lassen!1!!Beispiele:
- Vor vielen Jahren hab ich in einem Projekt man ein Tool zum Config Backup (rancid) aufgesetzt und mit einem Tool zum Config Audit (nipper, war damals noch OpenSource) verheiratet.. Dazu noch ein wenig Shell und es gab eine mehr oder weniger schöne Webseite mit einem Report. Das ganze für einen Laden eine hohe zweistellige Anzahl von Cisco "Firewalls" speziell für site-2-site VPNs im Einsatz hatte. Musste ich wieder abstellen weil zu viel Rot. Und Updates wären zu viel Arbeit. Gut, wahrscheinlich waren viele der Verwundbarkeiten überhaupt nicht relevant für den Einsatzzweck, aber für die Security eines Outsourcing Ladens ist das schon eine komische Einstellung.
Der Laden nahm ITIL sehr ernst und als es ein Ticket zu "die CheckPoint braucht mal dringend Updates und vor allem mehr RAM" für die interne Firewall gab wurde das wegen eines zu hohen Risikos abgelehnt. Ein paar Tage später ist sie dann ausgefallen und es konnte gar nicht schnell genug gehen bis sie wieder ging.
- Vor etwas weniger Jahren hab ich mich mal um das Netz eines Kunden gekümmert. Inkl. BGP zur Außenwelt. Einer der großen Hersteller (IIRC Juniper) hatte einen Bug in der BGP Implementierung. $Carrier schickte eine Mail das sie ganz dringend Updates machen. Das Update erforderte einen Reboot. Nur: Die BGP Session stand noch 2 Wochen danach. Dann gab es Tagsüber einen kurzen Schluckauf. Wahrscheinlich hat irgendwer im Internet mal die passenden Pakete an den Router geschickt und das Teil hat rebootet. Da das nicht noch mal passiert ist, gehe ich davon aus, dass mit dem Reboot auch die neue Softwareversion hoch kam.
- Vor noch weniger Jahren hab ich für einen anderen Kunden Netzkram gemacht. Da lieft mir in irgendeinem IRC Channel ein Hinweis zu einem Cisco Bug über den Weg. Betraf alle der Hauptswitche im Office. Habs abgestellt, den Kollegen von der Security und den Netzwerkern am anderen Standort den Link geschickt. Die Security fand das cool das einer mitdenkt und hat sich bedankt. Von den Kollegen am anderen Standort gab es 2 Wochen später eine Reaktion. Da haben sie von dem Problem bei Heise gelesen und musst mich ganz dringend auf den Bug hinweisen.
- Und dann war da noch der Laden mit dem Cisco WLAN Controller der das WLAN absichern sollte. Also eigentlich eine Kiste zum Management von Accesspoints. Sowas will man in einer großen Umgebung haben und die Dinger funktionieren im Normalfall sogar. Der Fall war nicht normal, weil die viele tausende Euro Appliance hing einfach so im Rack. Ohne Netzwerkkabel und vor allem ohne Strom.
- Cisco hatte da mal eine ganze tolle Management Software. Da konnte man dann u.A. zu allen IOS Versionen im Netz die passenden Bugs raus suchen. Mir hat das Teil beim Kunden immer was davon erzählt, dass es keine Bugs gibt. Bis ich dann mal mit tcpdump / Wireshark geschaut habe. Das Tool rief eine Webseite von Cisco auf (http!) und bekam einen 404 zurück.
Ich glaube übrigens nicht, dass die Software bei anderen Herstellen besser ist. Von den anderen hört man nur weniger. IIRC hab ich auch noch nie einen anderen Hersteller gesehen der selbst Bugs auf Security Mailinglisten veröffentlicht.
Der Lacher ist ja, dass keiner von deren Kunden dazulernt. Die werden auch in 10 und in 100 Jahren noch Cisco-Produkte einsetzen, und sich wundern, wieso sie so hohe Personalkosten für das ständige Nachpflegen haben, und wieso keines ihrer vielen Cisco-Security-Produkte verhindert hat, dass sie gehackt wurden.
Na? Wieviel Millionen hat eure Firma schon von Cisco gekriegt für die unsichere Software, die sie euch geliefert haben?
Völlig klar! Da braucht man Endpoint Protection! Gegen Malware. Oder man könnte auch sagen Advanced Malware Protection for Endpoints!
Ist dann natürlich doof, wenn die Advanced Malware Protection for Endpoints auch unsichere Scheiße ist, über die eine Malware ihren Zugriff ausdehnen könnte.
Aber hey, wer Cisco kauft, hat sicher Sinn für diese Art von Humor. (Danke, Jens)
Fexed beteuert natürlich, dass es sich um ein bedauerliches Missverständnis handelt. Wie damals mit den Cisco-Backdoors, die während der Lieferung eingebaut wurden, nehme ich an?
Hey, psst, wir müssen endlich was gegen Huawei machen!1!! Die könnten Backdoors haben!!1!
Ich stell mir das ja vor wie damals Dick Cheney auf der Wachteljagd, der ordentlich die Wachteln ins Visier nahm und dann stattdessen seinen Anwalt anschoss.
Update: Hups, das ist die selbe wie die hier. Man kann schonmal durcheinander geraten bei so vielen Cisco-Backdoors.
Der Vollständigkeit halber hat die Gruppe auch direkt einen Remote Root Exploit dazu veröffentlicht.
Das ist nicht patchbar.
Der Trust Anchor ist als externer FPGA implementiert, aber der Bitstream dahin ist nicht signiert. Da lädst du halt einen anderen Bitstream hin, Angriff fertig. In dem Bitstream kann man dann auch abschalten, dass er sich zukünftig ein Update reinkippen lässt.
Wie? Nein, nicht Huawei. Cisco schon wieder.
Na, wer setzt Geld darauf, dass die EU jetzt Cisco verbietet? Aus Sicherheitsgründen? Nicht? (Danke, Stephan)
Die schlechte Nachricht: Leider können sie sie uns nicht zeigen.
Beweise scheint die CIA nicht vorgelegt zu haben. Der Verdacht sei stark, allerdings nicht felsenfest ("strong but not cast-iron classification of certainty").Im krassen Gegensatz zu den Beweisen dafür, dass US-Geheimdienste Cisco-Produkte zum Installieren von Hintertüren bei ihren Opfern benutzt haben.
Eines der Verdachtsmomente:
Zu den Verdachtsmomenten zählt, dass Huawei-Gründer Ren Zhengfei Mitglied der Volksbefreiungsarmee war.OK also damit ist die Sache ja wohl völlig klar. Dann kaufen wir lieber Produkte von Checkpoint. Wenn Siemens noch eine erwähnenswerte Produktpalette hätte, würde ich hier ein paar EU-Projekte verlinken, bei denen Siemens vom Staat finanziert wird. Und gerade bei Ex-Militärs im Telco- und Security-Markt sollten die USA mal ganz leise sein. Das ist das Land, das uns Blackwater gebracht hat, wir erinnern uns. In den USA sind gefühlt ein Drittel bis die Hälfte der IT-Security-Leute Ex-FBI, Ex-Polizei, Ex-Militär oder Ex-Geheimdienst. Was für ein absurdes Schmierentheater.
Wie wäre es, wenn wir einfach niemandem glauben, und den Quellcode selber verifizieren?
Oder (Achtung: Jetzt wird es völlig abwegig!) wir könnten ja auch selber strategisch investieren, damit wir Marktteilnehmer in wichtigen Zukunftsmärkten haben, und nicht im Ausland kaufen müssen!
Several devices manufactured by WAGO contain an undocumented account with administrative privileges. The password for this account is device dependet, but easily brute-forcable.Cisco leistet so viel, um für das Thema Hintertür-Admin-Accounts Awareness zu schaffen, und es finden sich IMMER noch welche! Unglaublich.
Das merken die NIE! (Danke, Christian)
Certain versions of the NetApp Service Processor firmware were shipped with a default account enabled that could allow unauthorized arbitrary command execution.Ach komm, halb so schlimm. Wer will schon auf einer Netapp Kommandos ausführen? Siehste! (Danke, Daniel)
Ja. SCHON WIEDER.
Ob das eine Strategie ist? Die Kunden so lange mit Sicherheitslücken bombardieren, bis sie das für normal halten? Scheint zu funktionieren!
Aber keine Sorge. Ist bloß Superuser-Zugriffe für Angreifer.
Keine der Lücken gilt als kritisch.Na dann ist ja nicht so schlimm, nicht wahr?
PS: Heise hat aus irgendwelchen Gründen diese Meldung nicht in ihrem Newsticker verlinkt. Ob sie sich für den oben zitierten Satz geschämt haben?
"Es gibt Risiken, die mit 5G und einer möglichen Beteiligung von Huawei daran verbunden sind", sagte Schindler dem Redaktionsnetzwerk Deutschland (RND) am Mittwoch. Wer die neue Technik bereitstelle, der sei auch "in der Lage, Kommunikationsinhalte abzugreifen".Ja und nein. Das ist wie zu behaupten, der Hersteller von Zellentüren könne Gefangene ausleiten. Stimmt, aber dann ist der erstmal nur aus der Zelle raus, nicht aus dem ganzen Knast. Ein Huawei-Router kann natürlich Daten routen. Aber nur an Ziele, zu denen er eine Leitung hat. Und der nächste Router auf dem Weg könnte den Traffic sehen. Telcos machen Traffic-Überwachung. Solange die nicht alles von Huawei kaufen (und Monokulturen sind sicherheitstechnisch inhärent problematisch), heißt das nicht automatisch, dass eventuelle Ausleitungen auch erfolgreich und unerkannt wären.
Aber gut, geben wir Schindler mal den Punkt. So geht es weiter:
"Die Technologie von Huawei ist anderthalb bis zwei Jahre weiter als unsere", erläuterte Schindler.Wait, what!? Was genau meint er denn bitte mit "unsere" hier? Die vom BND? Die haben ihre Abhörschnittstellen noch nicht fertig oder was?!
Dass Huawei da auf UFO-Technologie sitzt, das kann ich ausschließen. Und zwar ohne die Technologie von denen konkret gesehen zu haben. Die Standards sind alle verfügbar. Die kann man beschaffen und das nachimplementieren. Niemand hat da außerirdische Raketentechnologie. Das sind prinzipiell offene Standards. Gut, sie könnten noch offener sein, geschenkt.
Zum Vergleich: Videocodecs werden auch standardisiert, aber bei MPEG kriegt man nur eine Definition des Bitstreams und eine Beschreibung, wie man das dekodiert. Encoder können immer noch proprietäre Raketentechnologie drin haben. So ist das bei Netzwerk-Equipment nicht. Auch nicht bei 5G. Insbesondere ist bei LTE und noch mehr bei 5G ja gerade der Punkt, dass man proprietäre Bitfrickelscheiße rausschmeißt und lieber IP mit TCP, HTTP und JSON drüber macht. Das ist die Antithese zu Raketentechnologie. Das ist absichtlich so gewählt, dass es jeder Depp ohne Raketen-Knowhow bauen kann.
Aber wartet, das war noch nicht der Hammer. Das hier ist der Hammer:
"Wir sind also gar nicht in der Lage, zu beurteilen, was da eingebaut wird.Das Statement ist eine Lüge und eine Frechheit. Der Schindler und seine BND-Spezialexperten sind vielleicht nicht in der Lage. Andere sind es selbstverständlich schon. Huawei legt im Gegensatz zu ihren Konkurrenten den Quellcode für Inspektionen offen. Und im Gegensatz zu Cisco ist Huawei auch noch nicht mit Hintertüren erwischt worden. Das ist eine absolute Frechheit, was der Schindler sich hier zurechtlügt. Schämen sollte der sich. Aber das wird einem wahrscheinlich beim BND abtrainiert. Schamgefühl.
Update: Kontext, mehr, noch mehr. Schindler, falls das jemand verpasst hat, ist jetzt übrigens Consultant. Mit lauter anderen Ex-Funktionären. Wenn ihr mal bei Schindler auf "mehr" klickt, kommt als Beschreibung seiner Kernkompetenz beim BND:
Weltweite Informationsbeschaffung
Wie jetzt, Herr Schindler, aber die Information, dass Huawei als einzige Einblick in ihren Quellcode gewähren, die konnten Sie nicht beschaffen?! Das war ja wohl GAR nichts. Wer die wohl gerade beauftragt? Die Amerikaner vielleicht? Oder hat sonst noch jemand ein Interesse an der Darstellung, dass Huawei weiter als alle anderen Marktteilnehmer ist? Ihre Konkurrenten ja wohl eher nicht, oder?
Es gibt da noch einen interessanten Aspekt. Nehmen wir mal an, Huawei flöge aus dem 5G-Ding komplett raus. Hier sind die anderen Marktteilnehmer:
Es ist also alles andere als klar, dass nach einem Huawei-Rausschmiss die Leute alle Cisco kaufen. Wenn das das Ziel der Amis war, dann sieht das Verfahren nicht zielführend aus.
So und jetzt guckt euch mal diese Meldung hier an.
Ein Präsidialerlass in den USA gegen Ausrüster aus China könnte auch einen Ausschluss von Ericsson und Nokia beim Mobilfunk zur Folge haben. Beide Ausrüster haben Fertigungen in China.Oh ach SO ist das! Gut, dann muss man den Fokus vielleicht ein bisschen erweitern. Stellt Cisco ihre Platinen etwa nicht in China her? Das wäre mir neu.
Auch ansonsten: Wenn man sich das Produktportfolio von Cisco anguckt, dann haben die schlicht gar nicht fertige Produkte für die ganzen Komponenten, die sie ersetzen müssten, weil die im Moment von Huawei kommen. Und so ist meine aktuelle Arbeitstheorie, dass die Anti-Huawei-Aktionen der Amis keinen tatsächlichen Hintergrund haben. Das ist bloß Trump, der den Chinesen für seine Verhandlungen glaubwürdig simulieren will, dass er ihnen Schaden zufügen kann.
Erstmal, rein technisch: Nein, 5G ist nicht gefährlicher. Inhaltlich ist "5G" eh praktisch vollständig Marketing-Geblubber. Das ist im Wesentlichen die identische Technologie wie LTE, aber das Frequenzspektrum soll langfristig erweitert werden. Ihr solltet generell alle, die euch was von "soundsovielte Generation" erzählen, als Marketing-Idioten betrachten, die euch über den Tisch zu ziehen versuchen (nicht nur bei Mobilfunk, auch Intel macht das bei ihren Prozessoren). Das ist Bauernfängerei. Richtet euch nach dem technischen Details, nicht nach irgendwelchen nebulösen "Generation"-Ansagen. Seriöse Anbieter benutzen solche Terminologie nicht.
Dass das jetzt bei 5G so hochkocht, liegt daran, dass Chinas Strategie funktioniert. Die haben in praktisch allen Hochtechnologiesparten den Markt komplett übernommen, indem sie billiger fertigen als alle anderen, einen riesigen Markt haben, und ausländischen Marktteilnehmer zwingen, bei Produktion in China einen chinesischen Partner im Boot zu haben. Daher haben praktisch alle westlichen Tech-Unternehmen mit Fertigung Joint Ventures in China. Huawei hatte ein Joint Venture mit 3com, einem Konkurrenten von Cisco. Als die Kooperation fertig war, hat Huawei die Rechte am Code gekauft und die restlichen rauchenden Trümmer an HP weiterverscheuert. Es gab dann irgendwann ein Gerichtsverfahren von Cisco gegen Huawei, die hätten von ihnen den Code geklaut. Hier ist die Heise-Meldung von damals. Die Auflösung von dem Verfahren war, dass Huawei diese Reihe von Routern eingestellt und nur noch die aus dem 3com-Joint-Venture verkauft hat. Das wurde damals von vielen Beobachtern als Eingeständnis gewertet, dass die beanstandeten Router tatsächlich von Cisco geklauten Code drauf hatten. Ich habe da keinen Codevergleich angestellt und kann das daher nicht beurteilen, aber die Ähnlichkeiten waren wohl echt überwältigend, inklusive von Bugs bei Huawei, die Cisco in ihrem Fork schon gefixt hatte.
Jetzt bietet sich natürlich eine schöne Verschwörungstheorie an: Der Westen hat kein Problem mit Huawei, solange deren Code auf kopierten Westcode basiert, wo die Dienste die Sicherheitslücken kennen oder selber eingebaut haben, aber die erste Generation von Huawei-Produkten, die auf eigenem Code entwickelt, da werden die plötzlich nervös.
Das passt zwar zeitlich halbwegs, aber wie ich anderenorts schon schrieb: Huawei ist mit ihrem Quellcode sehr offen und lässt diverse Regierungen reingucken. Westliche Dienste sollten kein Problem haben, auch da Sicherheitslücken zu finden, wenn sie nur ein bisschen gucken. Huawei ist nicht für ihre überdurchschnittlichen Security-Fähigkeiten bekannt (wobei das Niveau aber generell eher niedrig ist in der Branche).
Ich glaube, das kocht jetzt so hoch, weil die Strategie ist, jetzt anlässlich der drohenden Milliarden-Investitionen für den "5G-Ausbau" einen Präzedenzfall für "Huawei geht gar nicht" zu schaffen und dann den Austausch der ganzen alten Huawei-Infrastruktur für die älteren Standards zu erzwingen. Für mich sieht das alles wie ganz normale Industrieförderung der Amerikaner aus, natürlich mit dem schönen Seiteneffekt, dass die Welt dann amerikanische Produkte einsetzt, bei denen die NSA die Exploits schon fertig in der Tasche hat.
Update: Das stimmt nicht ganz, dass 5G und LTE dasselbe sind. Es gibt schon Änderungen. Das Signaling wird von Diameter auf JSON+HTTP/2 umgestellt. Das eröffnet ganz neue Angriffe, weil das existierende Tooling für Angreifer besser ist.
Demnach sollen künftig die Lieferanten der Netzbetreiber ihre Produkte unter Sicherheitsaspekten zertifizieren lassen und Sicherheitsgarantien abgeben. Diese Auflagen würden dann für alle gelten.Wie üblich in der Politik klingt das kraftvoll und agil aber ist tatsächlich bloß heiße Luft. Security-Zertifikate gibt es wie Sand am Meer. Die einzigen, die sowas wie eine Aussage haben, sind amtliche Zertifikate nach Common Criteria, die werden dann vom BSI zertifiziert und da gibt es verschiedene Abstufungen (die tatsächliche technische Prüfung führt aber auch das BSI nicht selbst durch sondern beauftragt damit andere). Das Spektrum geht von Bullshit-Blablah über Quellcode-Audits bis hin zu formaler Verifikation. Ich weiß aus zuverlässiger Quelle, dass solche Zertifikate nie verweigert werden, sondern bloß wie beim TÜV Bedingungen gestellt werden, die halt Zeit und Geld kosten, und so eine Zertifizierung braucht dann auch mindestens ein Jahr, so als Hausnummer. Es geht hier um 5G. Die Hersteller sind froh, bei 5G überhaupt was anbieten zu können. Keiner der Hersteller kann da formale Verifikation vorweisen.
Die eigentliche Schranke ist daher meinem Verständnis nach, dass man von Huawei verlangen würde, dass sie ihren Quellcode rausrücken, damit der ordentlich auditiert werden kann. Und in der Tat ist das für viele Branchen und Unternehmen direkt ein Ausschlusskriterium. Allerdings nicht für Huawei. Hauwei hat bereits mit den Briten und Australiern entsprechende Vereinbarungen unterschrieben, und die laufen auch schon seit vielen Jahren. Zwei der Five Eyes hatten also schon Zugriff, dann kann man das auch dem Rest der Welt zeigen. Und in der Tat erzählte mir heute ein Kumpel, dass Huawei in Brüssel ein Cyber Security Zentrum eröffnet hat, wo EU-Regierungen Einblick in den Quellcode nehmen können, und auditieren lassen, bis sie blau anlaufen.
Soviel also zur ersten Seehofer-Anti-Huawei-Forderung. Die ist damit ein Rohrkrepierer. Die zweite war: Sicherheitsgarantien abgeben. Da kann ich ja nur heiser lachen. Wer mein Blog schon länger liest, weiß, wie häufig ich hier aktuelle Cisco-Fuckups verlinke. Cisco ist besonders schlimm, aber die anderen Hersteller sind nicht so viel besser, dass sie ernsthaft Sicherheitsgarantien geben könnten im Sinne von "Sicherheitsschwankungen gibt es nicht, sonst haften wir". Das ist völlig illusorisch. Die kochen alle mit altem Spülwasser. Daher wird damit eher etwas gemeint sein wie "garantiert Updates innerhalb von diesem Zeitrahmen", und das kann Huawei natürlich genau so anbieten wie alle anderen. Das ist also auch ein Rohrkrepierer.
So und jetzt haben wir zwei Möglichkeiten. Entweder unser Horst ist zu blöde, um eine Formulierung zu finden, die Huawei wirklich ausschließt — ooooder unser Horst ist so schlau, den Amis eine Nebelwand-Formulierung hinzulegen, um die ruhigzustellen, damit dann doch alle Huawei kaufen (weil die preislich einfach mal die Hälfte der Konkurrenz aufrufen), und den Amis zu sagen, es tut uns leid, wir haben unser Bestes gegeben. Da bin ich gerade ein bisschen in der Zwickmühle. Ich würde mir natürlich gerne vorstellen, dass unser Innenminister schlau genug ist, die Amis so zu verarschen. Aber … der Seehofer?! Da fehlt mir gerade dir Vorstellungsgabe dafür.
Update: Noch ein Gedanke am Rande: Zertifizierung ist inhaltlich die Antithese zu agiler Softwareentwicklung. Eigentlich ist es schockierend, dass Hersteller das überhaupt mitmachen. Windows hat mal eine Zertifikation gekriegt, und das war dann unter praxisnahen Annahmen wie "hat kein Diskettenlaufwerk und keine Netzwerkkafte". Das ist lange her, sieht man ja schon an den Diskettenlaufwerken, die damals noch üblich waren. Ein Zertifikat ist natürlich wertlos und müsste neu gemacht werden, wenn die Software gepatcht wird. Aber wir patchen schneller als wir ein Zertifikat nachprüfen können. Insofern kann eigentlich grundsätzlich kein Softwareprodukt ein Security-Zertifikat haben oder gar damit werben, das den Namen auch verdient. Entweder das Zertifikat trifft zu, aber dann wurde die Software nicht mehr gepatcht seit dem und ist deshalb unsicher, oder es gab Patches aber dann zertifiziert das Zertifikat nicht die eingesetzte Version und ist damit hinfällig.
Update: Übrigens sei nochmal der Hinweis gestattet, dass wir bei Huawei keinerlei Unterlagen haben, die beweisen würden, dass Geheimdienste Hintertüren einbauen. Bei Cisco gab es solche Unterlagen in den Snowden-Unterlagen.
Update: Und noch eine Bemerkung am Rande: Hier geht es jetzt erstmal nur um 5G, aber bei der Verbreitung in existierenden Netzen (LTE z.B.) ist Huawei sehr stark. Man muss diesen Vorstoß der Amerikaner jetzt also so lesen, dass die den Fuß in die Tür kriegen wollen. Wenn die EU jetzt tatsächlich beschließt, dass Huawei nicht in unserer kritischen Infrastruktur eingesetzt werden darf, dann müsste man ja auch die alte Hardware aus den Racks reißen und durch andere Hardware ersetzen. Wir reden da von Milliardenkosten!
Update: Stellt sich raus: Huawei hat auch in Bonn schon seit November 2018 ein "Security Innovation Lab", wo sie dem BSI Quellcodeanalysen ermöglichen wollen.
Stellt sich raus: Nicht nur die. Auch die Technologiedecke über dem Scherbenhaufen, den wir Internet nennen, hält es nicht aus, wenn man mal die dafür vorgesehenen Flags im BGP-Header setzt. Und schockierenderweise fällt das auf, weil ein paar Forscher das mal ausprobiert haben — mit Ansage. So wohlerzogen sind die Teilnehmer alle, dass das ein externer Forscher ausprobieren muss, weil es sonst nie vorkommt. Das heißt: Die wussten alle, wie fragil das ist, und haben daher immer die Luft angehalten in der Nähe ihrer Router.
Bonus:
So hatte im Jahr 2010 ein Experiment mit ungenutzten BGP-Attribute zur Folge, dass Router von Cisco abstürzten.(Danke, Thomas)
Als Gegenstelle zum Spielen eignet sich Youtube, wo man das anschalten kann. Und beim Rumspielen kamen in der Tat schon einige Videos in AV1, als ich das angeschaltet habe.
Der Encoder ist aber noch vergleichsweise unakzeptabel langsam gewesen bei meinen Tests — es gibt andererseits einen Alternativ-Encoder in Rust, der angeblich schneller ist. Ich denke mal, von AV1 werden wir in Zukunft noch mehr hören.
Chrome kann schon länger AV1, aber wer benutzt schon Chrome.
New hotness: Juniper mit hardkodiertem Backdoor-Account erwischt!
Finde ich gut. Verteilt sich das ein bisschen. (Danke, Nicole)
Und überhaupt. "Kauft lieber Cisco, da sind nur unsere Geheimdienste drin!1!!" oder was?
Un-glaub-lich.
Sagt der gerade ernsthaft:
Deswegen müssen Sie überall, an allen Stellen, Security an Platz 1 stellenAch. Ist das so, Cisco?
Cisco ist da und wirbt mit Malwareschutz.
Die Schufa ist da und wirbt mit Provisionen (für wenn eine Sparkasse ihnen Kundendaten gibt oder wie?).
IBM ist da und wirbt mit Quantencomputing.
Die Schufa zahlt Provisionen? Cisco macht Malware-Bekämpfung? Quantencomputer werden noch gehyped? Eine Überraschung nach der nächsten! :-)
Das mit den Schufa-Provisionen erklärt aber in der Tat einiges.
Der Vortrag selbst war mit Kopfhörern. Das Publikum kriegt Kopfhörer, der Vortragende ein Mikrofon, und dann muss man keinen Saalton haben und stört niemanden. Dafür sieht das von der Bühne aus, als würde Doctor Who ein paar Cybermen umprogrammieren. Die Kopfhörer haben an der Seite auch noch so einen farbigen LED-Ring, an dem man den Funk-Kanal sehen kann, den der gerade hört. Man erzählte mir, dass ein paar Schlipsträger sofort den Kanal wechselten, als ich von Blockchain anfing. Das ist echt Dark Mirror.
Aber beim Rumfragen kam raus, dass das auch schon andere erlebt haben, und deren Erfahrung war, dass die Leute konzentrierter folgen können, wie bei einem Podcast, weil sie weniger Seitengeräusche hören.
The future is now!
PS: Das IBM-Zeug ist eher Forschung, wie ich in einem netten Gespräch mit einem IBM-Mitarbeiter erfahren habe. Wenn man das nicht weiß, kann man aber am Stand einen anderen Eindruck kriegen. Immerhin haben sie da 16-20 Qubits und man kann in der Cloud mit einem Simulator rumspielen (oder auch Zugang zur echten Hardware kriegen).
Da verlierste echt den Glauben an die Menschheit. Mir fällt gerade keine andere Firma ein, die so häufig und so krass übelste Mängel beheben musste, und zwar nicht vom Niveau "wenn die Sterne in dieser Konstellation stehen, dann ist möglicherweise …" sondern eher "es gibt da einen Backdoor-Account mit hartkodiertem Passwort". Und die Leute reißen denen ihren Scheiß aus den Händen!
Wir brauchen mal wieder so eine richtige Dot-Com-Apokalypse glaube ich. Einen Meteoreinschlag, der alles kaputtmacht, damit wir nochmal frisch anfangen können. Oder vielleicht einfach aufhören, gegen den Klimawandel kämpfen zu wollen.
In der Software von Business Switches steckt ein bislang undokumentierter Account. Diesen könnte ein Angreifer aus der Ferne unter nicht näher ausgeführten Umständen aktivieren und sich so ohne Authentifizierung Zugang zu Geräten verschaffen, um Befehle mit Admin-Rechten auszuführen.Wie kann diese Firma überhaupt noch am Markt vertreten sein? Was müssen die noch machen? (Danke, Manuel)
Ernsthaft? IMMER noch?!
Wie, fragt ihr, der Client hat doch gar keinen Port offen? Nein, aber er installiert einen Service, und der hat einen Port offen.
The summary is: when the WebEx client is installed, it also installs a Windows service called WebExService that can execute arbitrary commands at SYSTEM-level privilege. Due to poor ACLs, any local or domain user can start the process over Window's remote service interface (except on Windows 10, which requires an administrator login).Ja super! (Danke, Bernhard)
Mit Klassikern wie "Root-Passwort im Plaintext im Filesystem abgelegt", "der Webserver kann dir die Datei mit dem Plaintext-Passwort geben" und "Shell Command Injection via Webserver".
Hey, D-Link? Was macht ihr eigentlich beruflich?
Update: Die wollten halt nicht das Feld Cisco überlassen.
Das die immer noch ein "nach dem Update ist alles sicher" pullen und die Presse und ihre Kunden sie immer noch damit durchkommen lassen, ist mir echt unbegreiflich.
Hey Fefe, Cisco waren doch die, zu denen man geht, damit man keine Ausfälle hat, oder?
A vulnerability in Cisco Video Surveillance Manager (VSM) Software running on certain Cisco Connected Safety and Security Unified Computing System (UCS) platforms could allow an unauthenticated, remote attacker to log in to an affected system by using the root account, which has default, static user credentials.
Wie, echt jetzt? Immer noch?!?
Wie häufig muss Cisco euch eigentlich kaputte Produkte verkaufen, bis sie als Vendor durchgefallen sind?
Nein, wirklich, echt jetzt?!? Wie häufig und wie schlimm müssen die eigentlich verkacken, damit ihr mal aufhört, deren Produkte einzusetzen!?!?
Ist mir ein völliges Rätsel, dass die überhaupt noch namentlich Erwähnung finden bei Marktstatistiken, und nicht unter "Sonstige" laufen. WTF!?
Diesmal waren es schon wieder einkompilierte Standard-Passwörter.
Hmm, hey ich weiß! Das waren bestimmt die Russen!1!!
Das hier scheint der ausgenutzte Bug zu sein.
Die Ausrede der Amis ist natürlich, dass das erlebnisorientierte Jugendliche waren und nichts mit der Regierung zu tun hatten. Ihr erinnert euch vielleicht, dass Putin genau das selbe sagte, als die Amis ihm Cyber-Cyber vorwarfen, und dass die US-Presse das selbstverständlich überhaupt nicht geglaubt hat?
Oder ersetze IBM durch Microsoft. Oder Cisco. Immer die gleiche Nummer. Die können gar nicht so übel verkacken, dass die Leute ihnen nicht mehr ihren Scheiß abkaufen.
Und dann, 20 Jahre später, merkte ich, dass das auch umgekehrt so läuft. Noch niemand ist gefeuert worden, weil er von den Russen gehackt wurde. Egal was passiert, man sagt einfach, man sei von den Russen gecybert worden, und dann ist der Job sicher. Niemand wird gefeuert, weil die Russen ihn gecybert haben. Egal wie krass der vorher verkackt hat. Spielt keine Rolle. Ist wie mit IBM, nur andersherum.
Das Prinzip ist sehr mächtig. Achtet mal drauf. Ich glaube sogar, dass das das eigentlich Muster ist, und die IBM-Geschichte ist davon abgeleitet.
Ich war mal mit ein paar Freunden in einem Escape Room. Lauter Nerds. Alle selbstredend davon überzeugt, besonders intelligent zu sein. Für alle war es also unakzeptabel, einen Escape Room nicht zu schaffen. Daher haben wir selbstredend den schwersten genommen, den noch nie jemand geschafft hatte vor uns. Wir haben ihn auch nicht geschafft. Aber gegen den dicksten Endboss im ersten Anlauf zu verlieren ist keine Schande. Ich habe mich nachträglich geärgert, dass ich da nicht stärker gegen opponiert habe damals. Aber diese Muster greifen halt überall.
Mir fällt das gerade ein, weil in Berlin immer so Plakate aushängen, für ein Theaterstück. Es heißt "Ich bin's nicht gewesen, Adolf Hitler ists gewesen". Hier ist eine schöne Kritik von dem Stück.
Naja und eigentlich bin ich drauf gekommen, weil ich diese Meldung hier las. Das Militär vertreibt Hundertausende aus der muslimischen Hinderheit in Myanmar. Und wer ist Schuld? Facebook! Klarer Fall von: Ich war's nicht, Facebook ists gewesen!
Noch nie ist jemand gefeuert worden, weil er sich von Facebook zum Hass hat anstacheln lassen!1!! Facebook ist das neue "die Russen". Oh, Facebook war Schuld? Na dann kann man da wohl nichts machen. Dann können wir ja alle weitermachen wie bisher *achselzuck*
Ich hatte vor ner Weile ein Gespräch in einer Organisation, die angeblich von den Russen mit einem APT gehackt wurde. Die Presse so: APT!! DIE RUSSEN!!! Und der Typ so, zu mir: Nix APT, eher so Back Orifice-Style megapeinliche Uralt-Malware… Aber hey, "DIE RUSSEN HABEN UNS MIT APT GECYBERT", … dann sprach der Mann einen Satz aus, der mir bis heute im Gedächtnis geblieben ist: Damit konnten alle gut leben.
Ja, meine Damen und Herren. So läuft das.
Facebook ist Schuld.
Die Russen haben uns gecybert.
Die Reichen werden immer reicher und die Armen immer ärmer.
Damit konnten alle gut leben.
Update: Das gilt natürlich auch außerhalb der IT und der Politik, aber ich wollte Beispiele nehmen, die aus meiner Lebenserfahrung kommen. Ein Leser kommentiert:
Anderswo hört man: "Das ist der Marktführer" und meint: Das wäre er nicht, wenn er nicht besonders gut wäre und da kann man ex definitione nix falsch machen. Beispiel: Spedition. Verkackt einen Termin, Geschäft platzt, Riesenschaden. Versandleiter: "Aber XY ist der Marktführer hier!" Geschäftsführer: "Ja, dann kann man nichts machen." Zu mir: "Sie machen keine Fixtermine mehr!"
Warum eigentlich? Was müssen die NOCH verkacken, damit die Leute aufhören, bei denen zu kaufen? Aktuell geht es um hard-coded passwords.
The reasons are that an attacker can infect another device on the same network and use it as a proxy for his SSH connection to the vulnerable Cisco PCP instance, allowing for remote, over-the-Internet exploitation.Wurmbar!
Hey Cisco? Was, würdet ihr eigentlich sagen, ist eigentlich eure Kernkompetenz?
Bedroht sind nur Nutzer, die die VPN-Funktion aktiviert haben. Ist das der Fall, müssten Angreifer Cisco zufolge lediglich präparierte XML-Pakete an das webvpn-configured-Interface schicken, um Speicherfehler auszulösen. Anschließend erfolgt ein Reload des Gerätes oder Angreifer könnten sogar die volle Kontrolle übernehmen.Schon toll, so Security-Lösungen. Wie die einen immer vor Angreifern schützen!
Aber mir glaubt ja immer keiner, wenn ich sage, dass man Komplexität senken und Angriffsoberfläche minimieren soll. You had me at XML.
Lange nicht mehr las ich etwas so herzzerreißendes wie dieses tränendrüsenstimulierende Winsel-Posting des "founder and chairman of MPEG", die die Welt über die letzten 35 Jahre mit ihrer Patent-Scheiße in Geiselhaft genommen haben. Und die gerade merken, dass ihr Businessmodell tot ist, denn bei Audio gibt es was besseres und lizenzfreies (Opus) und bei Video demnächst auch, denn Google und Mozilla haben die Schnauze genauso gestrichen voll gehabt wie alle anderen.
Google hat daraufhin die Firma hinter VP8 gekauft und VP9 gestartet, und Mozilla hat den Leuten hinter Xiph.org (denen wir Vorbis und Opus zu verdanken haben!) finanziell unter die Arme gegriffen, und Cisco ist dann auch noch aufgesprungen und jetzt gibt es die "Alliance for Open Media", und deren Codec AV1 soll demnächst rauskommen. Ich kann es kaum erwarten. Der wird open source und frei benutzbar und für die Implementation fallen keine Patentgebühren an. Und von der Qualität soll es besser als HEVC werden — was übrigens so gut wie tot ist, falls ihr das nicht mitgekriegt habt. Chrome spielt es nicht ab, Microsoft hat den Codec aus Windows 10 geschmissen (kann man wohl noch über den Store nachinstallieren), und dass Nvidia an Bord ist, zeigt, dass die bei ihren Grafikkarten auch keinen Bock haben, diesen unerträglichen Patenttrollsumpf um die MPEG-LA zu finanzieren, nur damit ihre Grafikkarten HEVC beschleunigen dürfen.
Technisch ist HEVC ziemlich cool eigentlich. Wenn AV1 wirklich besser als das wird, dann ist das eine enorme Errungenschaft.
Those devices can’t do the job alone: users need to sign up for Cisco’s StealthWatch service and let traffic from their kit flow to a cloud-based analytics service that inspects traffic and uses self-improving machine learning algorithms to spot dodgy traffic.BINGO!!
Ernsthaft? Immer noch? Auf welche Meldung wartet ihr eigentlich noch? Die hier vielleicht?
Die Schwachstelle findet sich im Authentifizierungsmodul. Setzt ein Angreifer dort an, soll er sich aus der Ferne ohne Log-in-Daten Super-Admin-Rechte verschaffen können.Aber nicht doch, mein Herr, das ist keine NSA-Hintertür, das ist ein … bedauerlicher Bug! Kommt ja immer wieder vor!1!!
"Sophos Web Protection" blockt die Killswitch-Domain für Wannacrypt. Das ist die Domain, die das Teil zu erreichen versucht, um zu gucken, ob er sich selbst umbringen soll. Die erreicht er dann dank Sophos wohl nicht und verbreitet sich doch weiter.
Und mir wollten die Leute auf der Heise-Show nicht glauben, dass Schlangenöl das Risiko sogar steigern kann.
Update: Auch Fortinet und Kaspersky finden die Domain böse.
Update: Ein Einsender schickt einen Screenshot, dass auch Cisco Ironport die Domain filtert. (Danke, Christian)
Echt? Da gibt es doch seit Jahren schon keine Entschuldigung mehr für…!?
Gut, dass man bei Cisco immer den Wartungsvertrag mitkauft, gell? *nudge* *nudge*
McAfee ePolicy Orchestrator DataChannel Blind SQL Injection VulnerabilityUnd das kommt von Talos, die gehören zu Cisco. Cisco, wir erinnern uns, waren die mit dem WebEx-Totalschaden. Und Prime Home.
Wenn DIE bei dir Bugs finden, dann weißt du, dass du WIRKLICH verkackt hast. :-)
Gute Nachrichten: Ihr braucht keine Fernwartungssoftware mehr!
New hotness: BND weiß von NSA-Hintertüren in Videoüberwachungs-Hardware, die am Frankfurter Flughafen verbaut ist, sagt niemandem was, lässt ihre angeblich schutzbefohlenen Bürger ins Messer laufen. Das jedenfalls sagt das ARD-Magazin "Fakt" in seiner Sendung heute abend um 21:45.
Wie lange weiß der BND davon?
Laut geheim eingestuften Dokumenten, die Fakt einsehen konnte, hatte der deutsche Bundesnachrichtendienst (BND) bereits im Februar 2005 von einer vertrauenswürdigen Quelle von dieser Spionagemöglichkeit erfahren.Seit 2005! 2005!!
Naja, Flughafen, denkt ihr euch jetzt vielleicht, najaaaaa, nicht soooo kritisch. Die NSA will ja keine Terroranschläge machen!1!!
Na dann schaut mal hier:
Laut dem Geheimpapier aus dem Jahr 2005 beobachtete der BND damals, dass NetBotz massiv versuchte, Behörden und Unternehmen im Bereich Hightech und Rüstung als Kunden zu gewinnen. Unter anderem verhandelte die US-Firma mit dem Auswärtigen Amt in Berlin. Um einen Wettbewerbsvorteil zu haben, verkaufte NetBotz seine Überwachungslösungen sogar unter Wert und lehnte Anfragen einer Einzelhandelskette ab, die mehr Umsatz gebracht hätten.Die Strategie geht auf die Israelis zurück, die auf dem Weg in den Telcos dieser Welt mit ihren "Sicherheits- und Abrechnungssystemen" marktbeherrschend vertreten waren. Ob sie es heute noch sind, weiß ich nicht.
Jetzt fragt ihr euch vielleicht, wieso der BND nichts gesagt hat. Ich meine, immerhin ist das ja eine klare Verletzung ihres Auftrags.
Aber der BND verschwieg sein Wissen ganz bewusst, wie es in dem Papier aus dem Jahr 2005 heißt. Der Dienst fürchtete, eine Offenlegung könne politische Auswirkungen haben.Denn die Kooperation mit den Amerikanern ist dem BND wichtiger als der Schutz seines Vaterlandes, seines Auftraggebers und seiner Geldgeber. Ich finde, wir sollten daraus umgehend die offensichtlichen Konsequenzen ziehen und denen den Auftrag und das Geld streichen und sie des Landes verweisen. Sie können ja zur NSA in die USA ziehen.
Merkt euch das mal. Demnächst wird wieder jemand kommen und was von Cyber faseln und dass wir der Bundeswehr oder den Geheimdiensten Geld geben müssen für Cyber. DAS IST, was dann passiert.
Die waren ja bei dem NSA-Malware-Dump prominent vertreten.
Cisco fixt jetzt doch mal die 0days der NSA, also die öffentlich gewordenen.
Cisco schmeißt übrigens demnächst mal 20% ihrer Mitarbeiter raus. Ich bin mir sicher, das hat nichts damit zu tun.
Das Beste aber ist die Punchline am Ende. Die Daten enden 2013, weil das der Zeitpunkt war, an dem Snowden seinen Leak veröffentlichte, und da haben die NSA alle ihre Tentakel schnell zurückgezogen. D.h. Snowden hat verhindert, dass die Russen da jetzt mehr Daten haben. Er schließt mit "You're welcome, NSA. Lots of love."
Badumm tssssss
Update: Jemand, der sich mit sowas besser als ich auskennt, erklärt mir gerade, dass das durchaus legit sein kann. Mutterplatine ist ein bisschen ranzig, also lötet man da von Hand nen Patch drauf. Das Velcro fand ich jetzt ein bisschen ... nuja. Aber hey. Wer Cisco kauft, wird schon wissen, warum.
Update: Ursprünglich kommt das wohl aus diesem Reddit-Thread, und die halten das anscheinend nicht für ne Wanze sondern für ganz normale Produktfälschung.
Oh und unter uns: Wenn euer Code so kacke ist, dass schon Cisco in ihm Remote Code Execution findet, dann solltet ihr über einen Karrierewechsel nachdenken.
Pre-Auth Remote Code Execution per UDP, in einer Komponente, die für die Sicherheit da ist!
Herzlichen Glückwunsch, Cisco. Da muss die NSA ja gar keine Backdoors einbauen, wie bei Juniper.
Indeed, it quickly came to light that Juniper have a page where they say that the VPN devices in question here “do utilize Dual_EC_DRBG, but do not use the pre-defined points cited by NIST”.Das war genau der Zufallszahlengenerator, der von der NSA kam, und den NIST nach Snowden zurückziehen musste. Mit anderen Worten: Der Eigengeruch dieser Backdoor erinnert relativ deutlich an die NSA.Reports indicate a backdoor designed by NSA has been repurposed by America's adversaries and used against us:-)Oh und noch ein wichtiges Statement hat er geäußert, zur Deppen-Entgegnung "na wer ist schon so doof und kauft Juniper":
This thinking misses the point. Juniper just *closed* backdoors in their product. Cisco's still wide open.Ich würde mich ja jetzt nicht so weit aus dem Fenster lehnen wollen, dass das die einzigen Backdoors bei Juniper waren. Das meinte Snowden auch nicht, aber zur Sicherheit, falls jemand auf die Idee kommt, das so zu lesen.
Nun ist das nicht sofort schlüssig, was das soll, denn es gibt ja schon zwei Versuche, einen patentfreien, offenen Next-Gen Video-Codec zu bauen, einmal VP9 von Google und einmal Daala von der Xiph Foundation (die uns auch schon Theora, Vorbis und Opus geschenkt haben). Aber da will man bei Cisco nicht mitmachen, man will lieber einen eigenen offenen Codec haben — vermutlich um ihn dann später wieder zuschließen und Patentgebühren verlangen zu können. Einen anderen Vorteil einer neuen Codecentwicklung sehe ich gerade nicht.
Ich blogge das aber vor allem wegen dieser großartigen Formulierung hier:
The next generation codecs are just beginning to emerge. There are two of note – Google’s proprietary VP9 codec, and the industry standard H.265 (HEVC) codec, which is the successor to H.264 (AVC).Wait, what? VP9 ist proprietary und H.265 ist der Industriestandard?! BWAHAHAHAHAHA, nee, klar, Cisco. Du kannst dich wieder hinsetzen. Das war ja mal GAR nichts. Au weia.
Verizon said (PDF) that a decision favoring the US would produce "dramatic conflict with foreign data protection laws." Apple and Cisco said (PDF) that the tech sector is put "at risk" of being sanctioned by foreign governments and that the US should seek cooperation with foreign nations via treaties, a position the US said was not practical.The Justice Department said that global jurisdiction is necessary in an age when "electronic communications are used extensively by criminals of all types in the United States and abroad, from fraudsters to hackers to drug dealers, in furtherance of violations of US law."
Die sagen offen an, dass sie sich weltweit für zuständig halten. Weil das Verbrechen ja auch international sei!1!! Bisschen viel Superheldenfilme geguckt, wie?
Founding backers of the Initiative include Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation.Yeah!Update: Ich höre gerade aus gewöhnlich gut informierten Quellen, dass sich OpenBSD bei der Linux Foundation um diese Kohle bewirbt :-)
Analysts had expected Cisco’s business in emerging markets to increase 6%, but instead it dropped 12%, sending shares of Cisco plunging 10% in after-hours trading.This completely unexpected turn, which Chambers said was the fastest swing he had ever seen in emerging markets
Tja, dumm gelaufen, liebe US-Regierung. Aber hey, ihr könnt das ja über mehr Militär-Käufe mit frisch gedrucktem Geld kompensieren, ganz wie früher!
Ciscos Hack ist, dass sie jetzt einen H.264-Codec als Plugin verschenken, ordentlich lizenziert. Das darf sich dann jeder installieren und damit H.264 abspielen, ohne dass Lizenzgebühren fällig werden.
Sieht erstmal elegant aus, aber ist in vielerlei Hinsicht ein Desaster. Erstens haben wir uns damit erpressen lassen. Damit hat das System "Lizenzgebühren für internationale Standards" gewonnen. Soweit hätte es nie kommen dürfen, aber jetzt ist klar: Der Widerstand dagegen ist gescheitert.
Zweitens heißt das, dass man jetzt für H.264 das Cisco-Modul verwenden muss, dann muss man keine Lizenzgebühren zahlen. Wer wäre unter diesen Umständen so doof, ein anderes Modul zu nehmen? Niemand. Wenn sich dieses System einbürgert, dann haben wir alle verloren, weil für die nächste Iteration von Standard nicht mehr ein Konkurrenzkampf an Implementationen die Qualität hochtreiben wird, sondern es wird genau einen Binärblob von Cisco gehen.
Damit sind wir beim dritten Problem. Was, wenn da ein Bug drin ist? Ein Sicherheitsloch? Eine Hintertür? Damit wäre dann die ganze Welt davon abhängig, dass Cisco den Kram wartet. Und um Cisco ranken sich seit mindestens 20 Jahren Gerüchte, dass sie im Gegenzug für Exporterlaubnisse Hintertüren für die US-Regierung eingebaut hätten. Dieser H.264-Blob wäre quasi das perfekte Einfallstor für die NSA. Die NSA wäre doof, da nicht sofort aufzuspringen.
Oh und nehmen wir mal an, das wird jetzt der große Erfolg, nach dem es aussieht. Wieso würde das dann beim nächsten Codec nicht genau einen Lizenznehmer geben? Wer sich unter diesen Umständen noch eine Lizenz von denen kauft, ist doch doof! Das muss sich auch die MPEG-Mafia gerade durch den Kopf gehen lassen. Und die einzige Antwort ist, diese Klausel rauszunehmen für die nächsten Codecs.
Ich persönlich halte es daher jetzt für noch wichtiger als bisher, H.264 loszuwerden, und hoffe auf Daala.
Der Typ hinter Ogg Vorbis und Daala sieht das übrigens ziemlich ähnlich.
Die schlechte: RSA BSAFE benutzt das als Default-RNG. Und nicht nur die, NIST hat eine Liste. Cisco, Apple, Juniper, McAfee, Blackberry, … bei den meisten wird das allerdings nicht Default sein.
Die gute Nachricht: BSAFE wird von keiner freien Software eingesetzt. Wenn ihr also Firefox unter Linux einsetzt, seid ihr sicher.
Ich bin mir gerade nicht sicher, wie das unter Windows ist. Da gibt es ein TLS vom System namens "SChannel". Das wird meines Wissens u.a. von IE und Chrome verwendet. Benutzt der BSAFE? Vermutlich. Es gab mal eine Zeit, da konnte man RSA und co gar nicht ohne BSAFE legal einsetzen in den USA, aus Patentgründen. Das müsste mal jemand herausfinden, wie das ist, und ob Windows den NSA-RNG einsetzt.
OpenSSL ist auch auf der Liste, aber die haben schon angesagt, dass sie das nur implementiert haben, weil ihnen jemand dafür Geld gegeben hat, und das ist nur an, wenn man den FIPS-Modus aktiviert, von dem sie im Übrigen dringend abraten und was nicht der Default ist.
As a result of Cisco's technology, Falun Gong members suffered false imprisonment, torture, and wrongful death, according the lawsuit, which was filed on behalf of the religious group by the Washington, D.C.-based Human Rights Law Foundation.Da bin ich ja mal gespannt, wie sich das entwickeln wird!
Oh und wo wir gerade bei Cisco waren: auch Ciscos Gebäudeautomatisierungssystem befindet sich voll auf dem Qualitätsniveau, das man von Cisco-Lösungen gewohnt ist. Weia.
Update: War Ciscos Schuld, nicht Apples.
Update: Nicht nur Cisco ist in der Partnerschaft überfordert. Die andere Hälfte, Intelsat, hat gerade ein Piratenfernsehproblem :-)
These errors occur when an energy level within the chip … changes, most often due to cosmic radiation.Kann man sich gar nicht ausdenken, sowas.
Update: die erste plausibel klingende Erklärung liegt vor. Dieses Phänomen triff auf, wenn die Bosse zwar Geld für die Expansion brauchen, aber damit den Wert ihrer Optionsscheine nicht verwässern wollen. Der Aktienrückkauf erhöht den Wert der Optionen, und die Anleihen bringen das Kapital für die Expansion rein.