Fragen? Antworten! Siehe auch: Alternativlos
Hier sind ein paar davon.
BSI-Chefin Plattner meinte: Ich liebe Checklisten, aber Checklisten werden uns nicht retten. Da freut mich immerhin der hintere Teil von. Ihre Lösung war dann leider, man müsse da eben mehr Dinge automatisieren.
Das finden viele Softwarehersteller auch und automatisieren seit Jahren immer mehr Prozesse. Ergebnis: Der Druck auf dem Opfer, dem Kunden, wächst immer mehr, weil immer mehr Patches rauskommen.
Ich finde, man sollte Patches hier nicht so positiv sehen. Jeder Patch ist ein Nachweis dafür, dass der Hersteller versagt und unsichere oder anderweitig kaputte Software verkauft hat. Ich finde es gut, dass die Hersteller überhaupt Patches machen. Aber erinnern wir uns: Das war nicht die Arbeit des BSI, die das herbeigeführt hat, sondern dass Hacker lauter Exploits verbreitet haben, so dass man das nicht mehr unter den Teppich kehren konnte.
Leider ist über die Jahre ein bisschen unter den Tisch gefallen, dass wir heute nicht wirklich sicherer sind als früher, weil immer noch jede Software die ganze Zeit unsicher ist. Es gibt einen unaufhörlichen Nachschub an Bugs, wir kennen sie nur noch nicht.
Da wo wir wirklich Fortschritt gebraucht hätten, nämlich dass die Software weniger Patches braucht, haben wir das Gegenteil davon gekriegt. Frau Plattner meinte dann auch noch, moderne Software ließe sich besser schützen als alte. Das ist leider auch genau die Linie der Softwarehersteller, die Security nicht als Pflicht sondern als Vertriebsvehikel sehen. Was setzt du denn auch den alten Windows Server ein, kauf doch lieber einen neuen Windows Server!1!!
Plattner hat sich dann auch als "KI"-Fan geoutet, was mich ein bisschen zusammenzucken ließ. Sie sagte dann, was auf dieser Veranstaltung noch mehrere andere sagten: KI hilft Angreifern, wir müssen zur Verteidigung daher genau so schnell auf KI setzen.
Dafür kurz als inhaltliche Klarstellung: Nein. KI hilft Angreifern nicht. KI erzeugt keine Exploits, identifiziert keine Bugs, analysiert keine Patches. In einigen Proof of Concept Fällen kann man möglicherweise eine Demo faken, aber KI hilft Angreifern nicht.
KI kann dafür sorgen, so erklärten dann einige Teilnehmer, dass die Scam-Mails weniger Rechtschreibfehler haben. Die haben nicht verstanden, dass die Rechtschreibfehler absichtlich drin sind. Die Scammer richten sich ja nicht an Leute, die Scams erkennen, und dann möglicherweise Ärger machen und ihr Geld zurück haben wollen oder die Polizei rufen, wenn die noch was machen kann. Die richten sich an naive alte Menschen und filtern mit den Rechtschreibfehlern die anderen raus.
OK, nächste Aussage, die ich lustig fand: Da saß ein Typ von Rohde und Schwarz auf der Bühne in dem einen Podium mit der Plattner, der mehrfach negativ auffiel, indem er sie demonstrativ duzte. Ich würde ja schon grundsätzlich gegen die Anwesenheit von R&S opponieren, aber das fand ich echt auffallend respektlos und eine Frechheit. Jedenfalls, wieso ich den erwähne: Der erzählte (als Anekdote, dass in Deutschland Innovation ja wegen Überregulierung ausgebremst würde), sie hätten ja "KI" einführen wollen, seien aber am Personalrat gescheitert. Wieso ich R&S nicht mag ist weil sie IMSI-Catcher für den Unterdrückungsstaat bauen, und Militär und Geheimdienste mit Spezialequipment beliefern. Aus meinen Augen ist das unethisches Geschäftemachen.
Was haben wir noch ... da saß noch ein Telekom-Mensch, deren Cloud Security-Chef glaube ich, der sich (für Nerds humoristisch) verplapperte, dass man ja im Moment auch Mails von Servern mit abgelaufenen TLS-Zertifikaten annehmen müsse, weil der Zustand der Security-Landschaft da draußen so schlimm sei. Bei SMTP mit TLS präsentiert nur der annehmende Server ein Zertifikat. Der Einsender zeigt gar keines, das abgelaufen sein könnte. Den Versprecher fand ich lustig genug zum notieren :-)
Neben dem Telekom-Typ saß ein Cisco-Schlipsträger auf dem Podium, der dann erzählte, wenn sich Kleinunternehmer keine IT-Abteilung leisten können, dann müssen sie halt managed Services einkaufen von jemandem. Die Telekom daneben nickte. Da hab ich mich ziemlich geärgert, weil sich hier die Täter (die Telekom hat Millionen von schrottigen Plasteroutern im Feld und Cisco hat mehr Hintertüren in ihren Produkten gehabt als alle Konkurrenten zusammen und war gerade an dem Webex-Debakel Schuld) auf der Bühne erzählen dürfen, die Kosten solle mal ihr Kunde/Opfer tragen. Da hätte ich mir gewünscht, dass der Moderator mit dem großen Holzhammer draufkloppt.
Die Keynote von dem BKA-Chef war spannend, weil das mein erstes Mal war, dass ich die BKA-Panikslides sehe, mit denen sie die Politik immer wieder dazu kriegen, ihnen mehr Befugnisse zu geben. Kommunikationstechnisch waren die Slides brillant gemacht. Auf ihnen standen lauter PANIK-PANIK-Zahlen und Grafiken drauf, Milliardenschäden, alles furchtbar, wir sind so gut wie tot, die Kriminellen sind super ausgebildet und besser organisiert als wir und so weiter, aber der Vortrag war das glatte Gegenteil. Der Mann ist ein Karriere-Polizist, ein lockerer Typ mit nach Hamburg klingender Sprache, der da weitgehend ruhig und cool vorträgt, dass das ja alles schlimm aussähe, aber man sei am Ball, die Quote der Lösegeld bezahlenden Ransomwarebefälle sei rückläufig, und man habe ja schon folgende Domains beschlagnahmt und jeweils MILLIONEN von Euros in Bitcoin vom Markt genommen.
Die Folien sagten PANIK PANIK PANIK aber die Worte sagten: Alles im Griff. Wir werden hier nicht von technischen Dingen ausgebremst sondern von den Befugnissen. Wenn ihr nur kurz das Grundgesetz ändert (trug er wirklich so vor!), dann können wir die auch verhaften, bevor sie auch ransomwaren. Vorschlag dazu liegt auf dem Tisch, muss nur noch vom Parlament abgestimmt werden. Alles in Ordnung. Wir handlen das.
Das ist kein leichter Spagat! Auf der einen Seite OH MEIN GOTT IHR MÜSST JETZT SOFORT HANDELN kommunizieren aber gleichzeitig "bei uns ist das in guten Händen, wir haben alles im Griff" zu sagen und noch für eine Grundgesetzänderung für Gefahrenabwehr zu werben, ohne dass das wie Erpressung aussieht (ihr müsst das jetzt machen sonst sind wir alle tot).
Ich muss sagen: Hut ab vor dem BKA-Chef. Der weiß, was er tut, und wie er es tun muss. Der sammelt seit Jahren erfolgreich immer mehr Befugnisse ein, ohne dafür dann irgendwas vorzuzeigen zu haben.
Der nächste Vortrag war dann von ZITIS, hatte ich ja schon erzählt, mit den mobilen Quantencomputern. Der hatte noch ein paar andere haarsträubende Projekte, von denen er erzählte. Er wollte Quantenoptik haben (seine Begrifflichkeit!), damit man vor dem Tür eintreten durch die Wände gucken kann. Das ist meines Wissens nichts, was die Physik-Disziplin der Quantenoptik überhaupt auch nur versucht, geschweige denn als Ziel formuliert, aber da lasse ich mich gerne korrigieren. Desweiteren fand er "KI" transformativ und wir müssen schnell aufspringen, und im Übrigen werden Drohnen immer billiger und wichtiger, das brauchen wir auch, und dann warnte er noch vor kriminellen LLMs, die mit Darknet-Daten trainiert seien, und dann nicht wie bei den guten Menschen von OpenAI einen Filter drin haben, der sich weigert, Bombenbauanleitungen auszuhändigen. ZITIS lässt außerdem an neuronalen Netzen zur Erkennung von Hass im Internet forschen, und hat ein Projekt für die "Robustheit von KI" gestartet (kann ich jetzt schon sagen, dass das scheitern wird), und sie machen sich Sorgen vor der Manipulierbarkeit von "KI". Stöhn.
Den Schenkelklopfer des Tages brachte aber der CISO der Bundeswehr, schön in Ausgehuniform, der sich auch zu Ransomware äußerte (offenbar sehen sich da auch Bundeswehr-Behörden von angegriffen): Davon geht keiner aus, bei uns Lösegeld erpressen zu können. Das Publikum wieherte vor Lachen :-)
Update: Wenn ich hier gefühlt alles kritisiere, was Frau Plattner vorgetragen hat, wieso sah ich ihre Person trotzdem positiv am Ende? Ich hatte den Eindruck, dass die halt noch nicht alle Fakten gehört hat, und möglicherweise umgestimmt werden kann, wenn ihr mal jemand die andere Hälfte der Realität zeigt, und andere Blickwinkel. Den BKA-Chef, der Bundeswehr-CISO, den ZITIS-Typen, die wirst du alle nicht umgestimmt kriegen, egal was du vorträgst. Die machen da halt ihren Job und werden sich nicht von Fakten behindern lassen.
Update: Übrigens, am Rande: Der ZITIS-Chef war vorher Abteilungsleiter für technische Aufklärung beim Bundesnachrichtendienst.
Karl war viermal als Zeuge in den NSA-Untersuchungsausschuss des Deutschen Bundestags geladen. Als Unterabteilungsleiter im Bundesnachrichtendienst war er zuständig für die Übermittlung deutscher Internetdaten an die National Security Agency in der Operation Eikonal und deutscher Telefondaten an die Central Intelligence Agency in der Operation Glotaic.
Ja klar! Was machst du mit so jemandem? Rausschmeißen geht ja nicht, denn dann müsste man ja auch lauter andere Leute rausschmeißen. Bleibt ja quasi nur befördern! Mobile Quantencomputer, ich leg mich flach.
Aber keine Sorge. TP-Link hat einen Patch zur Verfügung gestellt.
Die sind echt Helden der Arbeit, denn der betroffene Router ist End of Life (abgekündigt, Support eingestellt).
Wartet. Geht noch weiter. Die Sicherheitslücke ist ewig alt (von 2014).
Ja gut, denkt ihr euch jetzt. Der Router muss dann halt auch steinalt sein.
Nein. Der ist vom Juli 2022. Was ist das denn bitte für eine bodenlose Frechheit!? Die sind bei mir direkt auf der schwarzen Liste gelandet. Ich kauf doch nicht von Firmen, die nur ein halbes Jahr Support für brandneue Produkte anbieten! (via) (Danke, Johannes)
Klar, die Telcos möchten gerne Supportkosten sparen, indem sie möglichst jedem dasselbe Gerät geben.
Aber ab und zu gibt es dann halt eine Plasterouterapokalypse: Aktuell in Geräten von Buffalo und Arcadyan. Unter anderem in Deutschland verbaut als Speedport Smart 3 bei der Telekom, und als Easybox bei Vodafone.
Der Einsender schreibt:
Diverse Vodafone Easyboxen sowie Speedport Smart 3 (Standard-Router bei der Deutschen Telekom) und viele weitere Provider-Router bei KPN, British Telecom, Verizon etc. haben derzeit ein bisschen (Remote) Authentication Bypass. Also z.B. Zugang auf die Konfig-Dateien der Router und auf die dort enthaltenen Credentials (SIP, PPP-Logindaten usw.)Das klingt jetzt nicht so schlimm, aber mit deinen Credentials kann sich dein Nachbar als du anmelden und Telefonate für dich annehmen. Oder über deinen Anschluss Bittorrent anwerfen und du kriegst dann die Post von den Abmahnkanzleien. (Danke, Jakob)Bei vielen OEM-Modellen ist der Punkt derzeit ungepatcht, aber gleichzeitig eben auch öffentlich.
Weil heutzutage aus Legacy-Gründen alle hinter einem NAT-Plasterouter hängen, hat croc da noch eine Relay-Infrastruktur in der Cloud.
Update: Link entfernt, weil die Site Fefe-Lesern einen Stylesheet untergeschoben hat. Nein, das ist kein Bug, dass man bei mir externe Stylesheets setzen kann. (Danke, Veit)
Der Cloudflare-Timeout gestern? Das war mein Aprilscherz.
Aber das Niveau an Paranoia unter meinen Lesern empfinde ich in diesen schweren Zeiten als sehr positiv. :-)
Und keine Sorge. Ich habe keinen von euch tatsächlich zu Cloudflare geschickt, auch nicht für Ressourcen auf der Timeout-Seite.
MIPS Technologies ist 1984 als Stanford-Ausgliederung entstanden, und MIPS geht auf die Arbeit des legendären John Hennessy zurück, der mit "Computer Architecture, A Quantitative Approach" eines der bis heute wichtigsten Standardwerke geschrieben hat, zusammen mit seinem Kollegen David Patterson von Berkeley, wo SPARC herkommt, ein anderer Pionier unter den RISC-Architekturen.
1992 hat Silicon Graphics dann MIPS übernommen, aber sich dann kurz vor der Jahrtausendwende für den Wechsel auf Intels "Itanic" IA-64 entschieden und ist damit endgültig baden gegangen. MIPS wurde dann von Imagination Tech gekauft, die eigentlich für ihre ranzigen "PowerVR" 3d-Chips bekannt waren. Imagination wurde dann von chinesischen Investoren übernommen, die haben den Laden dann aufgespalten und an andere Heuschrecken verhökert. Dabei ging MIPS an einen Laden namens Wave Computing, die Venture-Kapital sammelt, um damit "KI-Beschleuniger" (heiseres Lachen) herzustellen. Die gingen dann pleite und jetzt haben sie ihre Umstrukturierung offenbar überlebt und wollen sich umfirmieren und unter dem Namen MIPS weitermachen *augenroll*
Wie das halt häufig so ist im Tech-Umfeld. Alte Tech stirbt nicht, sie wird weiterverhökert. Myspace und Winamp gibt es ja auch noch.
Schon schade um MIPS. Die waren mal eine echte Legende unter den Architekturen. Aber gegen Intel kamen sie halt alle nicht an, die so viel Kohle im Massenmarkt eingesackt haben, dass sie damit auch ihre eigentlich minderwertige Architektur konkurrenzfähig halten konnten.
Hier ist die Pressemitteilung von Wave Computing, mit diesem zentralen Satz, der eigentlich alles sagt, was es da zu sagen gibt:
MIPS is developing a new industry-leading standards-based 8th generation architecture, which will be based on the open source RISC-V processor standard.Davor war ihre Ansage, sie würden Deep Learning revolutionieren.Lief wohl nicht so gut.
Wenn ihr es nicht wisst, aber einen Plasterouter einsetzt, dann ist die Antwort wahrscheinlich: Ja.
Sie haben ein Remote Code Execution-Bug gefunden, im DNSSEC-Codepfad.
Kurze Erklärung, wie Netflix funktioniert. Die stellen ihre Video-Server bei eurem ISP auf. Wenn ihr Netflix guckt, dann kommt das nicht von Übersee, im Allgemeinen nicht mal von jenseits des DE-CIX, sondern aus dem fucking Netz eures fucking ISPs. Die einzige Infrastruktur, die da also überlastet sein könnte, wäre die des ISP. Und wisst ihr, was passiert, wenn Netzinfrastruktur überlastet ist? Dann werden Pakete gedroppt. Und wisst ihr, wer das sofort merkt? Euer Client. Und der holt sich dann automatisch die nächstkleinere Auflösung, weil er annimmt, DASS DIE FUCKING INFRASTRUKTUR ÜBERLASTET IST.
Noch nicht überzeugt? Euer ISP kann selbstredend auch Traffic künstlich runterpriorisieren. Das nennt sich Traffic Shaping. Einfach Netflix und Youtube runterdrehen. Wisst ihr, woran ihr erkennt, dass sie das machen? tagesschau.de flutscht noch, aber euer Youtube ruckelt. Oder noch besser: Gar nichts ruckelt.
Es gab hier keinen Handlungsbedarf. Die EU hat Netflix kaputtgemacht.
Im Übrigen sei der Hinweis erlaubt, dass Netflix einer der technisch besten Streaming-Anbieter ist, wenn es um schonende Bandbreitennutzung geht. Amazon streamt z.B. deutlich verschwenderischer. Daran könnt ihr sehen, dass es hier nicht um die Sache ging, sondern ein EU-Fuzzy wollte gerne beim Handeln gesehen werden. Leadership!!1!
Update: Nach Netflix jetzt auch Youtube. Für die gilt alles oben gesagte ebenfalls.
Update: Kurze Anmerkung noch dazu: Auch wenn die Netzneutralitätsleute das nicht gerne hören: Traffic Shaping ist ganz normal. Geht mal davon aus, dass euer Internet auch Traffic Shaping macht. Und zwar nicht nur euer ISP, auch euer Plasterouter. Denn wenn der Plasterouter das nicht machen würde, dann würde bei euch bei jedem Upload gar nichts mehr gehen. Verbindungen sind im Internet paketbasiert. Wenn du was downloadest, schickt dir die Gegenseite immer ein großes Paket mit dem nächsten Datenhappen, und dann schickst du der Gegenseite ein kleines "ist angekommen"-Paket. Weil die Internetprovider kapitalistische Schweinebacken sind, haben sie euer DSL genau so ausgelegt, dass vom Internet zu euch hin die Bandbreite dick ist, und von euch zum Internet hin ist sie dünn. So dünn, dass es genau reicht, um für einen die Leitung auslastenden Speed-Test alle "ist angekommen"-Pakete rauszuschicken. Warum erzähle ich das? Ohne Traffic Shaping würde ein Upload euer Internet komplett zum Erliegen bringen, weil die kleinen "ist angekommen"-Pakete nicht mehr oder nur stark verspätet rausgehen würden. Daher machen alle Plasterouter Traffic Shaping und priorisieren die "ist angekommen"-Pakete. Die heißen übrigens ACK.
Trafficpriorisierung funktioniert in der Praxis gerne so, dass lange Bulk-Verbindungen (Downloads, Backups) die kleinste Priorität kriegen, dann Streaming-Dienste, dann Videokonferenzen und Fernwartung, dann DNS und interaktive Dienste wie SSH und die höchste Priorität haben ACKs.
Wer sich für die Details interessiert, wie man sowas unter Linux selbst konfiguriert: Die Referenzdokumentation von Bert Hubert.
Update: Dieser Angriff betrifft die Server-Seite im pppd, d.h. eher die Access-Konzentratoren bei den ISPs. Außer euer Router hat einen VPN-Modus, bei dem er mehr als Client ist.
Update: Ilja schreibt mir gerade:
So it affects the server and client. Both eap_request() and eap_response() are vulnerable (and have the exact same bug). Further more, there is no check to see if you’ve actually configured eap and are using eap prior to hitting the parser. So even if it’s not configured, you’re still vulnerable. Oh, and it’s pre-auth.
Es trifft also doch alle eure Plasterouter. UND die Access-Konzentratoren. Und man kann es ausnutzen, ohne einen gültigen Account zu haben, und ohne dass EAP konfiguriert sein muss. Das ist der perfekte Sturm.
Oh und wenn euer Unix pppd setuid root installiert hat, ist das auch eine local privilege escalation.
Ich glaube ja, dass POWER tot ist. Diese Initiative richtet sich ja auch gar nicht auf Server sondern auf sowas wie Plasterouter oder so FPGA-Frickelkram. Und da ist der Zug auch abgefahren, seit es RISC-V gibt.
Technisch gesehen ist der Instruction Set von POWER auch eher warzig und historisch gewachsen. Wieso IBM glaubt, das würde jemand haben wollen, erschließt sich mir nicht. MIPS ist ja auch schon Open Source gegangen Ende letzten Jahres. Das hat ja auch nicht zu einer MIPS-Renaissance geführt.
Drittens: Die Hersteller der Geräte bauen ihre Software alle ohne -fPIE, ohne -fstack-protector und ohne RELRO. Über Stack Protector und RELRO kann man unter Umständen verhandeln, weil die eine Abwägung beinhalten. Aber PIE sollte echt immer an sein, da gibt es keine Ausreden.
Wer sich jetzt denkt, hey, die haben da bestimmt schwarze Magie angewendet, um diese Messungen durchzuführen! Für den habe ich gute Nachrichten: Es gibt da ein einfaches Tool für und hier gibt es eine knappe Erklärung, was die einzelnen Teile bedeuten.
Update: Hier gibt es eine noch gewartete Version von checksec.sh.
Und Fließtext dann:
sagte BSI-Präsident Arne SchönbohmIs nich wahr!1!! Den kenn ich doch!
Der von Brancheninsidern als „Cyberclown“ verspottete Schönbohm liefert keinerlei Indikation für technische ExpertiseHach komm, Fefe, seit wann braucht man technische Expertise, um sich als Experte bezeichnen zu lassen?
Na siehste. Wie immer. Wie Arsch auf Eimer.
Update: Weiter unten im Artikel, habt ihr hoffentlich alle gesehen:
Jedoch müssten die Kunden IT-Sicherheit einfordern, sagte Schönbohm.
Das sagt der, der gerade verhindert hat, dass die eingeforderten sicheren Plasterouter stattfinden. (Danke, Markus)
Und da haben sie sich echt ins Zeug gelegt! Also gut, eher in die Jauchegrube.
Das Normenwerk sei "ein erster Schritt" für die Anwender, betont das BSI darin. Es handle sich um ein Instrument, auf dessen Basis "der Stand der Technik" fortgeschrieben und Router sicherheitstechnisch weiterentwickelt werden könnten.Ach so! Die wollten gar nichts verbessern. Die wollten bloß den beschissenen Zustand beschreiben! Damit … es besser werden könne. Von alleine, versteht sich. Schade eigentlich, dass wir keine Behörde haben, die sich um sowas kümmert. Oder zuständig wäre.
In der Richtlinie "einen bestimmten Zeitraum festzuschreiben, in dem die Hersteller Sicherheitsupdates bereitstellen müssen, erzeugt nicht automatisch mehr IT-Sicherheit", heißt es in Bonn. Es sei sinnvoller, wenn die Gerätefabrikanten diese Spanne "dynamisch kommunizieren" könnten, statt sich frühzeitig "zu Lasten der Kunden" auf eine Periode festzulegen.In welchem Paralleluniversum leben die denn da eigentlich? In einem, offensichtlich, in dem Hersteller eh schon 20 Jahre Support liefern, und wenn das BSI jetzt 5 Jahre fordert, dann gehen dem armen gebeutelten Kunden die anderen Supportjahre verloren!1!!
Zu Lasten der Kunden. Ich leg mich flach.
Die von den Hackern ins Spiel gebrachte Option, alternative freie Firmware wie OpenWrt auf den Netzwerkgeräten installieren zu können, bietet nach Ansicht der Behörde "keinen pauschalen Sicherheitsgewinn".Nee, nur in 99,9% der Fälle. Aber hey, liebes BSI, daher war das ja auch als "das muss gehen" formuliert, nicht als "die müssen das damit ausliefern". Der eine hypothetische, bisher noch nicht wissenschaftlich dokumentierte Fall, in dem ein Hersteller eine Firmware ausliefert, die besser als openwrt ist, in dem hat der CCC nicht vorgeschlagen, dass da openwrt rübergeprügelt werden muss.
Unabhängig davon könne alternative Software genutzt werden, nachdem sie vom Hersteller bestätigt worden sei.Und wieder so ein absurder Konjunktiv. Wenn die Hersteller das täten, hätte der CCC das gar nicht als Forderung formulieren müssen!
Wenn ihr jetzt "nein" antworten wolltet, dann irrt ihr wahrscheinlich. Das ist in einer Menge Plasterouter verbaut. Drei davon sind Remote Code Execution.
Update: Und in WLAN-APs, UMTS-Sticks und Android.
Die FTC hatte D-Link verklagt, weil die so unsichere Plasterouter ausgeliefert hatten. Die FTC als Regulierungsbehörde fand, dass das negative Auswirkungen haben sollte, die weiter gehen als "wir machen mal nen Patch, den wir dann shippen, wenn er halt fertig ist, und den könnt ihr euch auf eigene Kosten runterladen und aufspielen".
Das hat nicht geklappt. Damit leben wir jetzt ganz offiziell in einer Welt, in der es keine negativen Auswirkungen hat, unsicheren Elektroschrott auszuliefern.
JA SUPER!
Die Liste der Probleme ist einmal alles:
Bei den Lücken handelt es sich unter anderem um Hintertürzugänge mit fest eingestellten Passwörtern, zu laxen Datei-Rechten, auf dem Gerät unsicher gespeicherten Passwörtern und einem DHCP-Client, über den Angreifer eigene Befehle mit Admin-Rechten ausführen können. Außerdem überprüfen die Geräte Firmware-Updates nicht oder nur ungenügendJa super! Von so einer Qualitätsfirma will man doch Qualitätsprodukte kaufen!1!!
udp.c in the Linux kernel before 4.5 allows remote attackers to execute arbitrary code via UDP traffic that triggers an unsafe second checksum calculation during execution of a recv system call with the MSG_PEEK flag.Das klingt jetzt schlimmer als es ist, denn MSG_PEEK wird selten benutzt, UDP wird selten benutzt, und MSG_PEEK bei UDP wird noch seltener benutzt. Mir ist persönlich kein Fall bekannt.Ich habe dieses Flag in meiner Laufbahn 1-2 Mal benutzt. Man nimmt es, wenn man von einem Socket ein paar Bytes lesen will, ohne die zu lesen (d.h. wenn man danach nochmal read aufruft, kriegt man die Bytes wieder). Ich benutze das in gatling, um zu sehen, ob Daten auf einer SSL-Verbindung wirklich wie ein SSL-Handshake aussehen — allerdings auf einem TCP-Socket.
Kurz gesagt: Ich mache mir da jetzt keine großen Sorgen. Die DNS-Implementationen von glibc, dietlibc und djb benutzen jedenfalls nicht MSG_PEEK, und wenn es um UDP geht, ist DNS der übliche Verdächtige.
Ich will das nicht kleinreden, das ist ein ganz übler Bug und die sollten sich was schämen. Aber es ist kein "OMG die NSA hat mich gehackt, ich reinstalliere und mache alle Keys neu"-Bug. Außer ihr fahrt auf eurem Server irgendwelche UDP-basierten Protokolle.
Update: Im OpenVPN-Code findet grep auch kein MSG_PEEK. VPN und VoIP wären die anderen in Frage kommenden Codebasen.
Update: Ein paar Leser haben bei Debian und Gentoo mal ein bisschen rumgesucht und fanden als potentiell verwundbare Pakete dnsmasq und VNC-Implementationen. dnsmasq läuft praktische allen Plasteroutern. Das wäre in der Tat potentiell katastrophal.
Update: Einsender weisen darauf hin, dass systemd angeblich MSG_PEEK benutzt, und dass möglicherweise noch Chrome in Frage kommt als Angriffspunkt, wegen QUIC.
Welche ARM- (oder von mir aus auch MIPS oder PowerPC) Kleingeräte gibt es für wenig Geld zu kaufen, bei denen man dann einen Standard-Kernel selber bauen kann, und der funktioniert auch?
Das andere Gerät, bei dem ich in dieses Problem lief, ist ein Plasterouter, auf dem ich mal ein DD-WRT installieren wollte zum Testen, und da gab es nur eine Version von 2008 oder so, und neuere Kernel gehen nicht. Ja, äh, dann kann ich auch gleich Windows nehmen, wenn ich da keinen eigenen Kernel drauftun kann!
Ich empfinde es als zutiefst unseriös, ein Gerät als "da läuft Linux drauf" zu bewerben, auf dem dann nur ein spezifischer Gammelkernel läuft.
Auch auf Android-Smartphones scheint das ein massives Problem zu sein, wie ich aus zweiter Hand hörte. Sobald da mal was anbootet, ist das halt der Kernel für das Gerät und es wird nur noch das Userland außenrum geupdated, und vielleicht im krassen Notfall mal ein Security-Patch für den Kernel rückportiert.
Das kann doch nicht wahr sein? Ist das wirklich so?!
Update: Einsender empfehlen:
Ein anderer Einsender meint zu Allwinner noch:
ist dein RPI-Clone zufälligerweise ein Allwinner-Gerät? Das sind die beliebtesten China-SoCs. Sie sind ein wunderbares Beispiel für das Problem des "Code Vomittings". Die GPL zwingt Hersteller dazu, Code zu veröffentlichen? Wunderbar, erzeugen wir halt einen Code-Drop auf Github. Es gibt mit linux-sunxi.org eine Seite, auf der der Status für den Support im Upstream-Kernel sowie im eigenen "Fork" dokumentiert sein sollte. Die Situation ist nicht die beste, könnte aber schlimmer sein...
Update: Ein anderer Einsender meint:
the Allwinner ARM Chips do not belong on pole position. Too many critical missing features. A lot has changed in Kernel 4.11 but far from complete especially for the recent Allwinner ARM chips. too much red and WIP...
RaspberryPi is better supported and now also with mainline 64bit Kernel on RPi3.
https://michaelfranzl.com/2016/10/31/raspberry-pi-debian-stretch/
https://github.com/michaelfranzl/rpi23-gen-image
https://michaelfranzl.com/2017/03/21/zero-client-boot-kernel-root-filesystem-network-raspberry-pi2-pi3/
Haben sie euren Telefonanschluss auf IP umgestellt? Und ihr fragt euch jetzt, wieso altbekannte und beliebte Dienstmerkmale wie Anklopfen, Makeln, Rückfragen oder Dreierkonferenz nicht gehen?
Nein, nicht eure Fritzbox ist schuld. Das hat die Telekom noch nicht implementiert.
"Och komm, Timotheus, ditt rolln wa aus! Das merken die NIE!!1!"
Und das merken wahrscheinlich viele tatsächlich nicht, denn die Speedport-Plasterouter emulieren das halt auf Clientseite, wo es geht (bei Makeln und Konferenz).
Update: Aus einigen alten Forenbeiträgen geht hervor, dass das schonmal implementiert war. Vielleicht haben sie das bei einer der krassen Infrastrukturapokalypsen ausgeschaltet? (Danke, Tobias)
Jetzt gibt es gerade wieder so einen Fall. Die Plasterouter, die von den Herstellern keine Security-Updates kriegen, weil die Hersteller doof sind und nach Lulu riechen lieber ihren Profit als die Sicherheit ihrer Kunden maximieren. Da haben auch alle möglichen Experten gemeckert, aber ich sehe das inzwischen als positiv an, wenn man irgendwo überhaupt noch plausible deniability hat. Denn Freiheit definiert sich am Ende als der Raum, in dem wir Dinge tun können, die nicht uns attribuierbar sind. Der Raum, in dem wir noch unerkannt bleiben können. Unsere Gesellschaft hat sich von der Technologie und den Security-Fetischisten vor den Karren spannen und durchs Dorf ziehen lassen, so dass jetzt dank Überwachungskameras und anfallenden Daten von Mobiltelefonen und Kreditkarten praktisch das gesamte Leben nachvollziehbar ist. Damit sind wir das Verbrechen nicht losgeworden, auch das Sicherheitsgefühl hat meiner Beobachtung nach nicht zugenommen. Wir sind nur immer weniger frei geworden.
Jetzt gab es gerade einen Fall, wo jemand von den "Rechteinhabern" eines Hollywood-Films verfolgt wurde, und der hat dem Richter erklärt, er vermute, dass sich jemand über eine Sicherheitslücke in seinem Plasterouter Zugang zu seinem Internetzugang beschafft haben könnte, und der habe dann auch so diese fiese Raubmordkopiererei durchgeführt.
Und überraschenderweise fand der Richter: Stimmt, das diese Möglichkeit müsse vom Rechteinhaber hinreichend widerlegt werden, und das sei nicht geschehen, daher … Filesharing-Klage abgeschmettert.
Es liegt natürlich die Vermutung nahe, dass da nur ein Richter in Notwehr die Prozesslast durch die Contentmafia einschränken wollte, und dann ein "suchen Sie sich mal ein anderes Gericht für ihre lächerlichen Gängelklagen" gepullt hat. Aber so als Fanal der Hoffnung ist das schon sehr schön. Ich für meinen Teil hoffe, dass sich ab jetzt weniger Leute beklagen, dass ihre Plasterouter nicht updatebar sind.
Das ist der erste große Breitband-Internet-Anbieter, der so offen die Netzneutralität verletzt. Insofern ist der Beißreflex jetzt natürlich, da voll gegenzukloppen. Ich bin da Kunde und daher "Betroffener".
Leider ist die Sache nicht so einfach, wer da jetzt der Gute ist. Ich will mal ein paar Details auflisten. Erstens drosselt KDG schon immer. Ich habe auf dem Papier 32 MBit Downstream. Tagsüber habe ich um die 2 MB/sec Downloadrate, nachts um die 4 MB/sec. Ich finde auch 2 MB/sec in Ordnung, bei der Telekom hab ich in Stoßzeiten noch deutlich weniger als die Hälfte der Bandbreite gesehen.
Zweitens ruckelt Youtube bei KDG nicht. Das war für mich eine völlig neue Erfahrung. Da war bei der Telekom nicht dran zu denken. Das ging gar nicht. Wenn das Shaping der Preis dafür ist, dass Dienste wie Youtube nicht ruckeln, bin ich das zu zahlen bereit.
Ich habe mich vorhin mit ein paar Kumpels darüber unterhalten. Da kamen dann ein paar Argumente, die ich spannend finde. Erstens: Das ist ein Shared Medium, da muss man shapen. Zweitens: sollen sie doch shapen, aber dann sollen sie auch ungeshaped Internet anbieten.
Ich finde beide Argumente falsch. Erstens weil alle Internetzugangstechnologien ein Shared Medium sind. Auch DSL wird massiv überbucht. Mir als Kunde ist das wurscht, ob die Daten nicht bei mir ankommen, weil das letzte oder das vorletzte Stück Leitung überlastet ist. Das Argument "aber das ist ein shared medium" kann ich nicht gelten lassen.
Das Argument "aber dann sollen sie bitte auch ungeshaped anbieten" klingt sinnvoll. Aber mal auf den Tisch mit den Fakten. Wenn man in großen Kontingenten Traffic einkauft, kommt man für 100 MBit nicht auf 30 Euro pro Monat, eher so 150, mit Kosten für die Infrastruktur und Wartung des Providers sagen wir mal 200. Gut, sagt jetzt vielleicht der eine oder andere, das wäre ich zu zahlen bereit. Aber wäre nicht das erst die eigentliche Netzneutralitätsverletzung? Der Grund, warum wir Netzneutralität haben wollen, ist doch gerade weil wir so ein zweigleisiges Modell vermeiden wollen, bei dem die Reichen gutes Internet haben und beim Rest ruckelt Youtube. Insofern finde ich das akzeptabler, wenn es kein Premium-Angebot ohne Ruckeln gibt, denn auf der feinen Linie zwischen Qualitätsmaximierung und Profitmaximierung nimmt das Premiumangebot allen Zweifel, dass es um Letzteres geht.
Ich finde die Netzneutralitätsdebatte im Übrigen generell ziemlich verlogen. Erstens ist Traffic Shaping gut und wird von fast allen gemacht, ob sie es wissen oder nicht. Eure Plasterouter priorisieren wahrscheinlich Voip vor Downloads, wenn sie nicht noch aus dem letzten Jahrtausend sind. Und das will man ja auch so haben, weil Internet anders völlig unerträglich ist. Und dieses "aber aber dann müssen die ja DPI machen und DPI ist böse!1!!" ist auch verlogen, denn man kann das natürlich auch ohne DPI machen, indem man ein paar gute Ports whitelistet und den Rest shaped. Dann funktioniert es aber weniger gut und das ist am Ende im Sinne von niemandem, weder dem Kunden noch dem Provider. Wir als Kunden wollen, dass das Internet nicht ruckelt, und der Weg dahin heißt Traffic Shaping und QOS. Das kann man nicht einfach verbieten und gut ist.
Die einzige andere Möglichkeit ist, wenn man den Providern gesetzlich vorschreibt, dass sie die Bandbreite nicht überverkaufen dürfen. Könnte man drüber reden, aber überlegt euch mal, wie die Welt dann aussieht. Dann haben wir wieder 1 MBit Internetanbindungen. Und um Anfeindungen wegen Netzneutralitätsverletzung aus dem Wege zu gehen würden die Provider dann immer noch shapen, aber halt in die andere Richtung — keiner darf dann mehr gutes Internet kriegen, wenn Kapazitäten frei sind, sondern dann muss das auch für den einzigen aktiven Teilnehmer schmerzen und ruckeln.
Fakt ist: 32 MBit Internet zuhause ist nicht real. Das geht nur, wenn man mehr Bandbreite verkauft als man hat. Und das ist ja nicht nur bei Internet üblich, sondern auch bei Flugzeugen und der Bahn. Und wenn dann mehr Leute zugfahren als Sitzplätze da sind, dann müssen die eben stehen, und beim Flugzeug können die dann halt nicht mitfliegen und die Fluglinie hat ein Problem und muss Gutscheine verteilen. Auch unsere Straßen und das Telefonnetz sind nicht darauf ausgelegt, dass sie alle zur gleichen Zeit benutzen. Denen verbietet das ja auch keiner. Von Banken mal ganz zu schweigen, die verleihen ja auch mehr Geld als sie Einlagen haben.
Ich glaube daher, Netzneutralität ist die falsche Baustelle. Das wirkliche Problem ist, wenn Provider ihre Netze nicht ausbauen. Da kann man aus meiner Sicht Kabel Deutschland gerade vergleichsweise wenig Vorwürfe machen. Mein Vorschlag wäre daher, nicht die Netzneutralität festzuschreiben, sondern andersherum:
Ich persönlich finde auch das Shaping tagsüber auf die Hälfte im Grunde auch akzeptabel. Das ist der Preis, den ich dafür zahle, dass ich für 30 Euro dickes Internet kriege. Aber man kann auch das Gegenteil argumentieren: Sollen sie lieber mehr Bandbreite ranschaffen und die Kosten auf die Kunden umlegen. Wem das zu teuer ist, der kann ja zum alten Preis das halbe Internet nehmen. Was wir eigentlich erreichen wollen ist ja, dass die Leute sich grob auf die Bandbreitenangaben ihres Providers verlassen können.
Update: Das sollte jetzt kein Manifest zur Netzneutralität werden, sondern nur ein paar Details zum Shaping ansprechen. Die eigentliche Netzneutralitätsverletzung kommt, wenn Rapidshare zu KDG geht und fragt, wieviel Geld sie auf den Tisch legen müssen, damit sie höher als Mediafire priorisiert werden, und KDG dann eine Zahl sagt. Auf der anderen Seite würde niemand was sagen, wenn Rapidshare bei KDG im Rechenzentrum Platz anmietet und dort ihre Server hinstellt. So einfach ist die Situation eben nicht, dass man das mal eben übers Knie brechen kann.
Dann kommt hier noch der Einwand, dass Netzneutralität nicht um Shaping nach Trafficsünderei geht sondern um Diskriminierung von Diensten. Wer Lesen kann ist klar im Vorteil:
Die neue Regelung soll neben Peer-to-Peer Netzwerken unter anderem auch One Click Hoster betreffen.
Erst mal die generellen technischen Daten. Die werben mit "bis zu 32 MBit". Davon sieht man nichts. Bei mir kommen bei Rückenwind bergab mit Anlauf 10 MBit an. Da ist offensichtlich ein Shaper am Start, und zwar rund um die Uhr. Aber gut, 10 MBit ist auch schon mal mehr als 3 MBit. Die Round Trip Zeit zu typischen Hosts ging von 50 auf 30 ms runter.
Doch seit heute habe ich fett Packet Loss auf der Leitung. Zwischen 5 und 15%. Web-Klicken und SSH zögert sich unter diesen Umständen minutenlang hin, manche Sites (inklusive www.kabel-deutschland.de) laufen komplett in einen Timeout. Gut, kann immer mal passieren, sowas. Aber begeistert bin ich ja bisher nicht von dem Angebot.
Mal gucken, ob mir die Telekom dann doch mal irgendwann VDSL legen kann. Da sagt mir die tolle VDSL-Webseite "nicht verfügbar, klicken Sie doch auf der Verfügbarkeitswebseite", und wenn man da klickt, dann sagt die "ist verfügbar", aber bestellen kann man es nicht. Pfusch am Bau, wo man hinguckt.
Es ist ja nicht so, dass ich unbedingt 32 MBit Internet zuhause brauche, aber wenn man dranschreibt, dass da bis zu 32 MBit rauskommen kann, dann muss das zumindest nachts um 4 zu mindestens einer gut angebundenen Site auch möglich sein. Und dieser Packet Loss geht mal gar nicht.
Update: Ah, anscheinend hat heute vormittag ein Nachbar Kabelinternet gekriegt oder sich da was legen lassen. Dann war bzw. sein Elektriker schuld an dem Paketverlust jetzt.
Update: Wird immer schlimmer.
--- ioctl ping statistics ---:-(
38 packets transmitted, 25 packets received, 35% packet loss
round-trip min/avg/max = 25.692/72.618/960.972 ms
Update: Hab auf Anraten der Hotline das Modem resettet, das hat dann statt der angesagten 2-3 Minuten 17 gebraucht, bis es wieder hoch kam, aber seit dem tut alles. Und ich habe auch rausgefunden, wieso ich nicht vollen Durchsatz bekam: der Plasterouter, den die mitgeliefert hatten, hat QoS enabled gehabt, aber die Upstream-Bandbreite fälschlicherweise auf 128 kbit geschätzt. Das hat dafür gesorgt, dass mein Router die ACKs geshaped hat, und das limitiert auch die einkommende Bandbreite. *stöhn*