Fragen? Antworten! Siehe auch: Alternativlos
Woher weiß denn die US-Regierung das? Na weil Blockwarte von der Uni das Lab verpfiffen haben.
Georgia Institute of Technology (GIT), commonly referred to as Georgia Tech, and its contracting entity, Georgia Tech Research Corporation (GTRC), are being investigated following whistleblower reports from insiders Christopher Craig and Kyle Koza about alleged failures to protect controlled unclassified information (CUI).
Wer ist denn dieser Whistleblower?The case was originally brought in July 2022 by Craig, who is still affiliated with Georgia Tech as the associate director of cybersecurity, and Koza, a Georgia Tech grad and former principal infosec engineer at GIT.
Ah, neidische Konkurrenten, die die Forschungsmittel haben wollen. Sagt das doch gleich!Bleibt noch eine Frage: Hat diese Abteilung unser Mitgefühl verdient? Eher nicht, fürchte ich.
Dr. Emmanouil "Manos" Antonakakis runs a Georgia Tech cybersecurity lab and has attracted millions of dollars in the last few years from the US government for Department of Defense research projects like "Rhamnousia: Attributing Cyber Actors Through Tensor Decomposition and Novel Data Acquisition."
Aha. Soso. Cyber-Attribuierung. Millionen von Dollar.m(
Hey, psst, habt ihr schon euer Schlangenöl aktualisiert? Am besten bei der Gelegenheit gleich noch eine Schicht oben drauf pappen!
Lasst mich mal kurz die ketzerische Frage stellen, warum die alle betroffen waren!
Ja warum denn, lieber Fefe? Na weil das fucking BSI denen vorgeschrieben hat, sie müssen ihre EDV "nach Stand der Technik" mit Schlangenöl tapezieren!
Und jetzt passiert völlig überraschend, was schon immer klar war: Das Zeug ist Software und hat auch Fehler.
Eigentlich sollte das BSI mal sich selbst in die Pflicht nehmen, wieso sie den Firmen gesagt hat, dass sie diesen Mist brauchen. Glaubt mal gar nicht, dass Carbon Black irgendwie besser ist, oder wie die Konkurrenten alle heißen. Das ist alles derselbe Klärschlamm, der da die Getriebe mit Sand füllt.
Also, liebes BSI. Ich finde auch, dass Microsoft und Crowdstrike in die Pflicht genommen werden sollten. Microsoft sollte endlich für ihre Ranzsoftware haften, und Crowdstrike sollte für die Schäden aufkommen, inklusive der Gehälter der IT-Leute, die hinter ihnen herräumen mussten. Das soll ruhig mehrere Milliarden kosten, Crowdstrike hat eine unfassbar große Marktkapitalisierung.
Aber stoppt da nicht. Nehmt als nächstes das BSI in die Pflicht. Es soll bitte von diesem pseudowissenschaftlichen Esoterik-Scheiß weg und evidenzbasiert arbeiten. Angriffsoberfläche kann man messen, und man kann sie minimieren. Potentielle Auswirkung von Sicherheitslücken kann man quantifizieren und das Risiko minimieren. Aber DAS schlägt das BSI irgendwie nie vor. Sie faseln lieber was von "secure by default" (was völlig sinnentleert ist und nichts konkretes bedeutet) und empfehlen flächendeckende Schlangenöl-Kontamination.
Und wenn dann was passiert, dann zeigen sie auf Microsoft und Crowdstrike.
Microsoft könne seine Produkte nicht im gleichen Maße abschirmen wie Apple, sagte ein Firmensprecher dem Wall Street Journal (Paywall). Nach einer Beschwerde habe Microsoft im Jahr 2009 eine Vereinbarung mit der EU getroffen, wonach Hersteller von Sicherheitssoftware den gleichen Zugang wie Microsoft zu Windows erhalten müssen.Das ist ja wohl er absolute Oberlacher! Die Nummer 1 Quelle von Sicherheitsproblemen, um die sich eine ganze Industrie gegründet hat, um deren Kunden vor deren Ramschsicherheit zu beschützen, DIE haben jetzt die Stirn und sagen, SIE hätten UNS nicht vor dem Schlangenöl-Ramsch beschützen können wegen der EU!
Alter, den Schlangenöl-Scheiß GÄBE es gar nicht, wenn ihr ordentliche Produkte bauen würdet!
Das ist doch dasselbe Geschäftsmodell! "Schöne EDV-Infrastruktur haben Sie da! Wäre ja schade, wenn der etwas zustöße!"
Gut, außer dass die Schlangenölindustrie euch Software gibt, die eure Angriffsoberfläche maximiert und damit zukünftige Angriffe ermöglicht, wo sie vorher nicht möglich waren. Nur mit Schlangenöl kannst du über ein Wordperfect-File gehackt werden, ohne Wordperfect einzusetzen!
Ich frage mich ja manchmal, ob die Schlangenölbranche der Ransomwarebranche Kick-Backs zahlt. Oder vielleicht andersherum?
Und wovon wurden wir jetzt tatsächlich runtergefahren? Von amerikanischem Schlangenöl.
Genau mein Humor an der Stelle: Die Tagesschau so: "Es sind keine Cyberangriffe". Nicht? Fühlt sich aber so an für mich. Wieso denn nicht?
Oh, weil wir die Angreifer noch dafür bezahlt haben? Mann sind wir bekloppt!
Können sie nicht, weil es nicht funktioniert. Und die sind ja nicht doof. Nur Schlangenölverkäufer, nicht doof.
Stellt sich raus: Doch, die sind so doof. Das wird natürlich genau so wenig funktionieren wie der Rest von deren Produkten. Und ihre Kunden werden so blöde sein, und einmal für die originäre "KI" zu zahlen, und dann nochmal doppelt für die "Korrektur"-"KI".
Achtet mal drauf: sie nennen es absichtlich nicht Korrektur sondern CriticGPT! Aus Korrektur könnte man ja ableiten, dass sie versprechen, dass die Korrekturen a) nur Fehler korrigieren und b) Fehler korrigieren. Beides wird natürlich nicht so sein.
Hey, vielleicht sind die doch nicht doof. Vielleicht haben die einfach nur gewartet, bis der Markt hinreichend verblödet ist, dass er für so ein "Produkt" reif ist.
Na dann… herzlichen Glückwunsch, lieber Markt. Gut gemacht.
Aber was rege ich mich auf. Ihr setzt ja auch Exchange ein, und Antiviren. Ihr mögt auch BSI-Checklisten. Ihr habt euch auch schon bei Blockchain und IoT verarschen lassen, und aktuell schwappt gerade eine riesigen Quanten-Verarsche-Welle über das Land.
Na macht ihr mal ruhig alle. Ist ja nicht mein Geld, das ihr da verbrennt.
Oh warte. Doch. IST mein Geld, das ihr da verbrennt. Fucking Hell!
Na klar! Du schichtest noch eine Schicht Schlangenöl davor!
Ja lacht nicht! Das ist durchaus üblich da draußen! Neu und innovativ ist hier lediglich, dass Checkpoint ihren Opfern, äh, ihren Kunden auch noch die zweite Schichte Schlangenöl verkaufen wollte. Normalerweise kauft man die bei einem anderen Betrüg... äh ich meine Anbieter! (Danke, Stephan)
Wenn du aber irgendein anderes kommerzielles Schlangenöl installierst, dann säckelt das Tray-Icon nicht. Wie kann das sein?!
Nun, es gibt da ein API, das man als kommerzielles Schlangenöl aufruft, um Windows zu sagen, dass man ein anderes Schlangenöl installiert. Das API hat Microsoft geheimgehalten und nur den Schlangenölherstellern gegeben, jeweils unter NDA.
Jetzt ist passiert, worauf alle seit Jahren warten: Jemand hat das API reverse engineered.
Lasst es mich kurz machen: TOLD YOU SO.
Das läuft natürlich genau so, wie ihr euch jetzt wahrscheinlich gedacht habt.
Bis 2040 sollen die neuen Panzer beiden Staaten zur Verfügung stehen.Das glauben die hoffentlich selber nicht.
Es gehe nicht um die Weiterentwicklung der aktuellen Panzer, sonder um "etwas völlig Neues", das mehrere "miteinander vernetzte Gefechtsfahrzeuge" umfasse und mit künstlicher Intelligenz ausgestattet sei, sagte Pistorius.Oh aber natürlich! Mit künstlicher Intelligenz!
Auch mit Quantum-Kram? Und Blockchain? Cloud? Metamaterialien?
Die McKinsey-Beratung kann ich ja bis hier riechen!
Ich hoffe mal, dass da auch alle sinnlosen BSI-Checklisten abgearbeitet werden. Ohne mindestens 12 Lagen Schlangenöl kann man ja nicht in den Krieg ziehen. Hat den Vorteil, dass man nicht so weit kommt mit dem schwerfälligen Gefährt. Das reduziert den Weg zur Werkstatt und die Logistikkosten.
Laut Lecornu sind die Unternehmen Rheinmetall, KNDS und Thales mit der Entwicklung und dem Bau des Systems beauftragt.Ah, die üblichen Verdächtigen! Bei uns haben die Tech Bros noch nicht übernommen.
Und hey, von denen würde ich auch künstliche Intelligenz kaufen. Was denn sonst? Natürliche?! BWAHAHAHAHA
Liegt ja auch auf der Hand, dass wir einen neuen Panzer brauchen. Der Leopard geht ja jetzt nicht mehr, nachdem wir denen den Russen gegeben haben.
Das passiert uns nicht nochmal, sage ich euch. Bis Russland kommt der neue Panzer sicher nicht. Bei dem werden wir froh sein, wenn er es bis Westdeutschland schafft.
Der Gehackte konnte dann einfach behaupten, "alles getan zu haben", denn gegen EiNe RegIErUnG kann man nichts machen.
Der tatsächliche Angreifer kann ungestört weiterhacken, denn gegen EiNe RegIErUnG kann unsere Polizei ja nichts machen.
Unsere Polizei kann ein paar Monate die Akten Moos ansetzen lassen und dann ungetaner Dinge die "Arbeit" einstellen, denn gegen EiNe RegIErUnG kann unsere Polizei ja nichts machen.
Die unseriösen Security-Klitschen, deren Schlangenöl die Gehackten eingesetzt hatten, sind auch nicht ein Erklärungsnot, denn gegen EiNe RegIErUnG kann man sich ja eh nicht verteidigen.
Auch bei der Nordstream-Explosion haben alle sofort gesagt, das wird eine Regierung gewesen sein, aber da scheint das gerade nach hinten loszugehen, denn die Versicherungen wollen jetzt nicht zahlen. Begründung: Wenn das eine Regierung war, dann war das eine kriegerische Handlung, und gegen sowas versichern wir nicht.
Ja, äh, Scheiße, Bernd! Auf der anderen Seite auch abzusehen. Das Geschäftsmodell von Versicherungen beschränkt sich auf das Kassieren. Auszahlen war noch nie so deren Ding. (Danke, Karim)
Eine ähnliche Kategorie von "da krieg ich Gewaltfantasien"-Neusprech ist "-scale". Was die alle immer rumgefurzt haben, wie geil ihr Scheiß skalieren würde! Und dann guckst du mal vorbei und wartest 20 Sekunden auf das Laden der Homepage.
Und jetzt ist alles "internet scale" oder zumindest "cloud scale", man sagt nicht mehr "Cloud-Drückerkolonne" sondern "Hyperscaler" (das einzige, was da skaliert, sind die Rechnungen). Furchtbar.
Höchste Zeit also, dass sich ein Depp findet, der mit "AI-native" und "AI-scale" Werbung macht.
Was soll ich euch sagen? Cisco liefert! Ja, DAS Cisco, das mit den ständigen apokalyptischen Sicherheitslücken. Die mit den Dutzenden von versehentlich hart einkodierten Admin-Account-Passwörtern. DIE. Die erzählen uns jetzt nicht nur was von Security sondern machen gleich noch die volle Familienpackung "AI" dran. Vorsicht: Wenn man irgendwas von irgendwas versteht, kriegt man von der Lektüre direkt Ganzkörper-Juckreiz. Das Produkt heißt "Hypershield". Wie Hypeshield aber mit r. Damit man assoziiert, es sei für Hyperscaler (und damit BESTIMMT SICHER GUT GENUG FÜR UNS HIER).
Eine Sache glaube ich ihnen. Dass die Presseerklärung direkt aus einer "KI" fiel. Das ist alles so falsch, dass nicht mal das Gegenteil stimmt.
Auf der anderen Seite kann man Punkte für alle Schlangenöl-Tropes in der IT-Security-Werbung vergeben. Das checkt alle Boxen.
DOCH! Das geht! In der unseriösen Werbung einer anderen Firma: Nvidia. Ihr seht wahrscheinlich schon kommen, was als nächstes passiert:
Cisco [blahsülz] with NVIDIA, is committed to building and optimizing AI-native security solutions to protect and scale the data centers of tomorrow.
Und schwupps, mit einer kleinen Handbewegung, ist was eben noch ein Nachteil war (nämlich dass hier ohne Domain Knowledge eine "KI" Dinge halluziniert, die darauf trainiert ist, dass das plausibel aussieht, nicht dass es funktioniert) ein Vorteil! Weil, äh, "AI-native"!!1!Ja aber Moment, Fefe, da stand ja noch gar nicht "empower"! Ohne "empower" geht sowas doch gar nicht!!
"AI has the potential to empower the world's 8 billion people to have the same impact as 80 billion.
Das hingegen finde ich ein tolles Zitat. Er sagt hier also: Wenn die Leute alle "KI" machen, dann werden sie zehnmal so viel Ressourcen verbrauchen, ohne einen Vorteil daraus zu ziehen. Glaubt mir, wenn das Vorteile brächte, hätte er die hier erwähnt.Wo wir gerade bei Warnungen waren:
The power of Cisco Hypershield is that it can put security anywhere you need it – in software, in a server, or in the future even in a network switch.
Du brauchst dann halt in jedem Ethernetport eine Nvidia-GPU. Das wird das Power-Budget geringfügig senken, das für tatsächliches Computing übrig bleibt in einem Data Center, aber für Nvidias Aktienkurs wird es großartig werden!When you have a distributed system that could include hundreds of thousands of enforcement points, simplified management is mission critical. And we need to be orders-of-magnitude more autonomous, at an orders-of-magnitude lower cost
Beachtet das "autonomous" her. Eine "KI", die keiner versteht, weil sie nicht programmiert sondern trainiert wurde, soll autonome Entscheidungen darüber treffen, welche Netzwerkpakete erlaubt sind und welche nicht. Oh und wie immer bei "KI" gibt es auch kein Debugging, nur "nach-trainieren", was dann andere Stellen kaputtmacht. Das wird ja eine tolle Zukunft!So, jetzt kommen wir zum technischen Teil. Weiter unten, damit er die Deppen nicht mit Fakten verwirrt.
AI-Native: Built and designed from the start to be autonomous and predictive, Hypershield manages itself once it earns trust, making a hyper-distributed approach at scale possible.
Cisco sagt also selbst, dass man dem nicht trauen kann, bis es sich Vertrauen erarbeitet hat. Wenn wir es hier mit denkenden Kunden zu tun hätten, wäre die logische Folge, dass man das nicht einsetzen kann. "manages itself" sollte natürlich auch alle Alarmlampen angehen lassen, genau wie "hyper-distributed" und "at scale", aber vermutlich nicht bei Leuten, die Cisco kaufen. Das ist eine Vorselektion vom unteren Rand des Spektrums.Cloud-Native: Hypershield is built on open source eBPF, the default mechanism for connecting and protecting cloud-native workloads in the hyperscale cloud. Cisco acquired the leading provider of eBPF for enterprises, Isovalent, earlier this month.
Langsam zeichnet sich ein Bild ab. Irgendein Sprallo bei Cisco sah die Firma mit der Überflüssigkeit konfrontiert, die aus Software Defined Networking einhergeht (ach, man kann Switches in Software machen? Man braucht gar keine Hardware mehr, von Cisco oder sonstwem?), dann haben sie schnell einen Panikkauf von einer eBPF-Klitsche gemacht und mit einem Hype-Überperformer (am Aktienmarkt, nicht bei den Produkten) geredet, also Nvidia, und sagen jetzt den Investoren: We heard you like AI! We put Nvidia in you eBPF so you can hallucinate while you kernel panic!Ich ruf gleich mal den Notarzt. Wenn DAS keinen Herzinfarkt oder Schlaganfall auslöst, dann bin ich möglicherweise schon tot und werde hier gerade bloß von einer "KI" weitersimuliert. Das kann niemand überleben, der mehr als zwei Hirnzellen übrig hat.
Der Experte erklärt ihnen dann, dass sie mehr Schlangenöl ausrollen müssen, und andere Punkte von den BSI-Checklisten. Nehme ich an. Denn andere Antworten hat das BSI ja noch nie gehabt.
Das wird bestimmt voll super!
Stellt sich raus: Die finden die Lücke gerade nicht, obwohl sie bei der Firma des Lesers siebenstellige Summen pro Jahr für die "Dienst""leistung" aufrufen.
Warum nicht? Weil NVD die Arbeit eingestellt hat. Das ist eine Vulnerability-Datenbank einer US-Bundesbehörde.
Ja! Richtig gehört! Ein Dienst, der nur diesem einen Kunden ne Million pro Jahr in Rechnung stellt, sammelt nicht etwa selber seine Sicherheitslücken zusammen, sondern scraped bloß die NVD-Datenbank der US-Regierung für lau. Und wenn die dann mal nicht geupdated wird, dann haben die auch keinen Plan B, wie sich das für unseriöse Schlangenölverkäufer gehört.
Ich erwähne den Namen des Schlangenölverkäufers nicht, weil das natürlich ein systemisches, branchenweites Problem ist.
Niemand sollte solchen Anbietern auch nur einen müden Pfennig zahlen für ihre Compliance-Bullshit-Scanning-Schlangenölscheiße.
A CISA spokesperson said in a statement that “there is no operational impact at this time” from the incident and that the agency continues to “upgrade and modernize our systems.”
Gehen Sie weiter! Gibt nichts zu sehen hier!Ist alles sicher jetzt, denn Microsoft wird uns retten. Das Microsoft, das die Hacker nicht aus ihren eigenen Systemen rausoperiert kriegt. Das Microsoft, das russische Hacker eine dezentrale Kopie ihrer Quellcode-Kronjuwelen machen ließ. DIE werden uns schützen.
Oh, und natürlich die Compliancetheaterbehörden, ob sie jetzt CISA oder BSI heißen. Hey, habt ihr schon die neue Lage Schlangenöl über euer Active Directory gesprenkelt? Jede Woche ein "Security-Produkt" mehr, wisst ihr doch!
The complaint says Avast violated millions of consumers' rights by collecting, storing, and selling their browsing data without their knowledge and consent while misleading them that the products used to harvest their data would block online tracking.
Ich setze ja grundsätzlich kein Schlangenöl ein, auch keine anderen Produkte von Schlangenölherstellern. Wenn die an der einen Stelle so unseriös sind, dann werden sie bestimmt auch an anderen Stellen unseriös sein.Aber hey Fefe, wieviel Daten können das denn schon sein!1!!
"Moreover, the volume of data Avast released is staggering: the complaint alleges that by 2020 Jumpshot had amassed "more than eight petabytes of browsing information dating back to 2014."
Ach. Ach was. Die sammeln schon länger, ja?Nie vergessen: Die optimieren damit eure Online-Experience! Endlich kriegt ihr Fetisch-Porn, der auf euren Fetisch passt!
Ich denke mir bei sowas ja immer, wie schön das wäre, wenn es in der EU auch sowas gäbe. Wissenschon. Regulierungsbehörden, die für die Bürger kämpfen. Grandioses Konzept, das! Wieso kommen da nur die Amis drauf?
Wenn sich der User bei einer Microsoft-Webseite einloggt, dann sieht Microsoft alle Passwörter.
Damit sind sie kein Geheimnis zwischen eurer IT und eurem User mehr, sondern ein Geheimnis, das ihr mit Microsoft geteilt habt. Mit anderen Worten: GAR KEIN GEHEIMNIS MEHR.
Was geht in Leuten vor, die bei sowas mitmachen?
Ich mache seit wirklich vielen Jahren IT-Security, und es ist frappierend, dass ich die Durchschnittsintelligenz der Leute da draußen offenbar immer noch regelmäßig überschätze.
Unfassbar.
Ein unter dem Pseudonym CtrlAlt auftretender Sicherheitsforscher hat einem Spiegel-Bericht zufolge eine Schwachstelle im eID-Verfahren aufgedeckt. Damit sei es ihm gelungen, im Namen einer fremden Person ein Konto bei einer großen deutschen Bank zu eröffnen.Nota bene: Das war genau das Szenario, das das Verfahren verhindern sollte.
Vielleicht sollte da doch mal jemand jemanden fragen, der sich mit sowas auskennt?
Ich könnte ja viel gelassener auf sowas reagieren, wenn es nicht meine Steuergelder wären, die da für Cyberclown-Securitytheater verbrannt würden.
Aus dem Blogpost des Forschers:
A responsible disclosure process was conducted with the BSI (Bundesamt für Sicherheit in der Informationstechnik), during which the BSI acknowledged the presence of the vulnerability. Their defense centers on the user’s responsibility for maintaining the security of their client devices.War ja klar. BSI so: Habt ihr auch alle 17 Lagen Schlangenöl gestapelt? Ja? Dann macht mal sicherheitshalber noch eine 18. Lage drüber!1!!
Lasst mich das an dieser Stelle nochmal absolut unmissverständlich sagen: Wenn du davon ausgehst, dass die Endgeräte sicher sind, DANN BRAUCHST DU KEINEN NPA ZU VERTEILEN! Vollpfosten, allesamt.
However, users typically exhibit poor security practices. In addition, this paper demonstrates that the attack remains successful even when all BSI recommendations are followed and client devices are updated.
Ach. Ach was. Das war bloß Ass-Covering? Nur Security-Theater? Hätte uns nur rechtzeitig jemand gewarnt!!1!Hey, Fefe, ich habe gehört, die neue BSI-Chefin kommt aus der Informatik. Die ist gar kein Cyberclown! Mit der wird bestimmt alles besser jetzt!1!!
Kommt, liebes Publikum, rollt noch eine Ehrenrunde Schlangenöl über eurer Infrastruktur aus. Wer zuerst über sein Schlangenöl geransomwared wird, muss eine Runde ausgeben!
Update: OK, nochmal mit ein bisschen Abstand. Sicherheitsforscher mit Pseudonym, Blogpost auf Medium und PDF auf Dropbox, da gehen direkt alle Unseriositätslampen an. Bei euch hoffentlich auch. Inhaltlich haben wir es hier mit einer Eigenheit der Apple-Plattform zu tun, nicht mit einem Bug in der App, und die App kann da inhaltlich auch nicht so viel gegen tun jetzt.
Meine Einstellung dazu ist: Apple sind ein paar Tech-Bros aus Amerika, mit einem beschissenem Security-Track-Record. Die sind durch die BSI-Empfehlungen überhaupt erst zu einer satisfaktionsfähigen Plattform geworden für nPA-Scheiß, und da hat das BSI schlicht niemanden, auf den sie jetzt zeigen können. Das ist deren Verkacken, aus Gründen von Realpolitik. Aber aber aber der Minister verwendet ein Apple-Telefon!!1! Da können wir doch nicht ... ja, äh, doch. Könnt ihr nicht nur, das wäre genau eure Aufgabe gewesen, ihr Cyberclowns. Nicht dass Android fundamental besser wäre.
Wenn du findest, das das Gerät vertrauenswürdig sein sollte, dann ist Anforderung Nummer 1, dass da kein Code nachinstallierbar ist. Damit sind wir dann aber bei einer Gerätekategorie wie einem Analogtelefon oder einer Supermarktkasse.
Das ist übrigens alles gaaaaanz kalter Kaffee. Windows NT hat damals Ctrl-Alt-Del für den Login-Screen eingeführt, den sogenannten Secure Attention Key. Das war genau diese Kategorie von Problem. Wie verhindern wir, dass eine Anwendung so aussieht wie ein Login-Screen, und User ihre Passwörter dort eingeben? Du brauchst einen Weg, wie der User erkennbar einen sicheren Eingabepfad hat, und da darf sich dann auch niemand einklinken und mitlesen können. Das ist dann aber alles Software und möglicherweise hackbar. Eigentlich geht das nur, wenn da keine Software nachinstallierbar und die Hardware verplombt ist.
Hier haben wir es mit einer anderen Art von einklinken zu tun, aber die Kategorie Problem ist dieselbe.
Update: Wisst ihr, wer 2010 auf die Problematik mit den sicheren Eingabegeräten hinwies? Anlässlich des "neuen elektronischen Personalausweise" und der SuisseID? Der CCC! Schade nur, dass nie jemand auf die Experten hört. War wichtiger, auszusehen, als würde man Digitalisierung vorantreiben.
Update: Fortsetzung. (Danke, Tenshi)
Oder vielleicht doch dieses hier?
Warum kaufen Leute bei solchen Anbietern?! Mein Kumpel Kris wundert sich auch.
Immerhin kriege ich immer weniger Gegenwind für meinen Kategorienbegriff "Schlangenöl". Ihr glaubt ja gar nicht, was ich mir da früher für anhören musste. Das sei ja unseriös, die Hersteller alle über einen Kamm zu scheren, und im Übrigen seien das ja dekorierte Experten, die Erfahrung in Kriegszonen haben. Nee, klar.
Ich frage mich ja schon eine Weile, wieso die Leute ihr Geld lieber Ransomware-Gangs geben als meinen (öffentlichen! kostenlos verfügbaren!) Vorschlägen zu folgen. Denen geht es halt allen noch zu gut.
Ich schlage als Indikator für den Ernst der Lage vor, wie viele Active-Directory-Webinare Heise anbietet. Wir sind glaube ich bei vier gerade. Da geht also noch was. Techstage hat noch keines im Angebot.
Mir ist ja immer wichtig, dass niemand sagen kann, er sei nicht rechtzeitig von mir gewarnt worden. *zurücklehn*
Lasst mich bei der Gelegenheit noch eine Sache sagen, nach der ich neulich gefragt wurde. Nein, SBOM wird uns nicht vor der Supply-Chain-Apokalypse retten. Das ist Compliance-Theater von verängstigten alten Leuten, die in ihrer selbstverschuldeten Unmündigkeit verharren.
Das ist ein klarer Fall von "bitte kauft unser Schlangenöl". Gar nicht erst ignorieren.
Update: Hier ist noch jemand unzufrieden mit der Story und sprenkelt ein paar tolle Puns drüber. Tooth factor authentication gefällt mir. Können wir behalten.
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen."Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Punkt 1: Das war ein 0day! Da konnte man nichts machen!
Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.
2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.
3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.
5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!
6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.
6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und *papierraschel* Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!
Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.
Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!
Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Fallt also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik. (Danke, Max)
Formulated with a variety of vitamins (including a high dose of the B’s) and supplements—many sourced from ancient Ayurveda—this helps re-balance an overtaxed system. Replenishing the nutrients you may be lacking may improve energy levels and diminish stress.
Und Infowars zum selben Scheiß:Top scientists and researchers agree: we are being hit by toxic weapons in the food and water supply that are making us fat, sick, and stupid. It’s time to fight back with Brain Force Plus, the next generation of advanced neural activation.
Auch die Produktnamen sind zielgruppengerecht optimiert worden. Bei Goop heißt es "Why Am I So Effing Tired?" (nein, wirklich!) und bei Infowars heißt es "Brain Force Plus" *wieher*Die Goop-Kunden möchten halt gerne hören, dass sie arme Opfer von kosmischen Umständen sind und sich jetzt mal etwas teures gönnen sollten, weil sie als arme Opfer sich das verdient haben.
Die GOP-Kunden (see what I did there?) möchten gerne hören, dass sie als Einzige schlau sind und genug Hirn haben, um die Dinge rational und wissenschaftlich fundiert analysiert zu haben, und sie sollten jetzt diesen überflüssigen Kack kaufen, weil das faktenbasiert ist und so.
Sehr schön auch, dass beide den alten Scammer-Trick anwenden, schön Typos in ihren Produktbeschreibungen zu haben, neben den Bullshit-Fantasieworten. Damit Leute mit Hirn, die schlau genug sind, das danach als Betrug zu erkennen und sie zu verklagen, von Anfang an nicht drauf reinfallen. Zielgruppe: Vollidioten.
War auch Zeit, finde ich. Nie war jemand Schuld, das war immer schlechtes Wetter und hochgradig kriminelle Energie von kriminellen Kriminellen. Höchste Zeit, dass der EuGH da mal Tacheles redet.
Hat er aber nicht. Es ging zwar ganz vielversprechend an:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellenAber hier ist der Fall, um den es ging: In Bulgarien hatte das Finanzamt Besuch einer Ransomware-Gang und danach tauchten die personenbezogenen Daten der Bürger in einschlägigen Darkweb-Verkaufsstellen auf.
Daraufhin hatten mehrere Bürger geklagt und das oberste Verwaltungsgericht Bulgariens hat den EuGH gefragt, ob die Bürger jetzt nachweisen müssen, dass die Daten wirklich vom Finanzamt kamen, dass das Finanzamt da ihre Security verkackt hat, und ob da weitergehender Schaden entstanden ist (Identitätsdiebstahl o.ä.).
Die Frage hätte sich mir gar nicht gestellt. Wenn jemand im Darkweb einen Finanzamts-Datenreichtum verhökert, und da sind meine Daten drin, dann hätte sich mir die Frage gar nicht gestellt, ob das Finanzamt Schuld ist. Wer denn bitte sonst?!
Der EuGH sagt jetzt: Das Finanzamt kann nicht einfach behaupten, sie hätten alles richtig gemacht, und das sei schlechtes Wetter gewesen. Und du als Betroffener musst nicht nachweisen, dass jemand mit den Daten im Darkweb bei dir Schaden angerichtet hat.
Auf der anderen Seite sagt das Gericht aber auch, dass alleine aus der Tatsache, dass die Daten veröffentlicht wurden, nicht geschlossen werden kann, dass die Schutzmaßnahmen ungeeignet waren. Das müsse im Einzelfall geklärt werden.
In der Praxis wird das Finanzamt dann auf ihr Schlangenöl zeigen und sagen:
WiR hABeN aLleS GeTAn!1!!
Kein Problem! In Zukunft kann man dann einfach 119 anrufen, schlägt das BSI vor. Da wird einem dann geholfen. Von Schlangenölverkäufern, die einem "Endpoint Security" verkaufen, nehme ich an. Denn andere Lösungen als das und Reporting-Pflichten sind mir beim BSI bisher noch nicht aufgefallen.
Liegt bestimmt an mir. Da arbeiten bestimmt voll fähige Leute, die Dinge verstanden haben, und uns alle retten werden. Die reden nur nicht mit mir.
Wie? Nein, nicht für euch ist die gut, die Nachricht. Für mich ist die gut. Meine Rente ist sicher.
Und wie so häufig stellt sich die Frage: Wie krass muss Microsoft eigentlich versagen, wie schlimm müssen sie Bankrott anmelden, bis ihr aufhört, denen ihre Produkte abzukaufen.
Diese Amis immer mit ihrer Pillen-Mentalität! Nein, nein, wir müssen das nicht von Anfang an ordentlich machen. Wir müssen das nicht so konstruieren, dass die Probleme nicht auftreten. Wir nehmen einfach eine Pille, wenn es weh tut, und dann ist alles gut.
Wir kleistern einfach eine Packung Schlangenöl-Klebstoff an die Brücke, dann kracht es schon nicht so doll. Oder jedenfalls erst dann, wenn der Klebstoff-Verkäufer weitergezogen ist.
Wer will noch mal, wer hat noch nicht? Hilft auch gegen Haarausfall und Impotenz!
In dieser Umfrage geht es um Cyberkriminalität. Wichtige Zahlen:
Damit liege der Schaden zum dritten Mal in Folge über der Marke von 200 Milliarden EuroFür mich der perfekte Moment für ein bisschen Zurücklehnen und die Teilnehmer von der Tribüne aus Beschimpfen :-)[...]
Erstmals fühlten sich 52 Prozent der Betriebe durch Cyberangriffe in ihrer Existenz bedroht
[...]
75 Prozent der befragten Firmen halten die Sicherheitsbehörden gegen Angriffe aus dem Ausland für machtlos.
Na, liebe Firmen? Rückblickend immer noch zufrieden mit euren Entscheidungen, das tödliche Trio (Windows + Active Directory + Office) einzusetzen? Würdet ihr das jetzt wieder so machen, nichts in Security zu investieren, und stattdessen sinnloses Compliance-Theater zu fahren?
Bitkom würde jedenfalls, denn deren Lösung ist ...
Er forderte eine Meldepflicht für Firmen im Fall von Cyberangriffen.Oh ja, Meldepflichten! Die haben ja auch zu einer massiven Verbesserung der Sicherheitslage bei Kritis-Unternehmen geführt! (Das war Sarkasmus)
Ich bin ja immer noch stocksauer über den gestern verlinkten Podcast. Die haben sofort ans BSI gemeldet, und gebracht hat es natürlich gar nichts. Dann haben sie die Bundeswehr um Hilfe gebeten und der bundesweite Steuerzahler hat die Kosten übernommen. KLAR wird das dann nicht besser, wenn nie jemand für sein Versagen die Kosten tragen muss!
Der Landkreis hat jahrzehntelang die Kosten für ordentlich machen gespart und dann die Kosten für die Reparatur nicht tragen müssen, sondern sich da als Opfer geriert und den Katastrophenfall ausgerufen. Könnt ich mich endlos drüber aufregen!
Die Ursachenforschung war dann nach "naja wir haben halt nie die Zeit gehabt, das ordentlich zu machen" abgeschlossen. Und dann hatten sie noch die Stirn, diesen IT-Typen da zum Helden zu stilisieren, weil der jetzt Überstunden fährt bei der Reparatur des von ihm verursachten Problems, und sich heldenhaft nicht rasiert, bis das repariert ist.
Gegen Ende hab ich den Podcast abgebrochen, weil sie da ernsthaft zu diskutieren anfingen, welcher Russe das ihrer Meinung nach gewesen sein könnte, und was der sonst so für kriminelle Dinge tut. Leute, wenn bei euch jemand reinhackt, ist das in praktisch 100% der Fälle eure Schuld. Es gibt Ausnahmen, aber die sind Rundungsfehler in der Häufigkeitsverteilung.
Wenn ihr Hilfe beim Identifizieren der Verantwortlichen braucht, dann guckt am besten kurz in den Spiegel. Oh, da ist er, der Verantwortliche!
Update: Wohlgemerkt: In den Schadenssummen sind die Kosten für Schlangenöl und co noch nicht drin. Das sehen die Bitkom-Heinis und die verstrahlten Befragten ja nicht als Schaden sondern als Investition. Das kommt noch obendrauf.
Auf die Meldung warte ich ja seit Jahren, dass das mal einem Cloudanbieter passiert. Money Quote:
The hosting company's statements revealed that some of the firm's servers had been infected by ransomware despite being protected by firewalls and antivirus.
Ach. Sagt bloß. Das ist ja fast, als würde Schlangenöl gar nichts bringen?! Hätte uns doch nur jemand gewarnt!!
BleepingComputer tested a malicious archive shared by Group-IB, who discovered the campaign, and simply double-clicking on a PDF caused a CMD script to be executed to install malware.
Damit wurden offenbar über Monate Crypto-Wallets aufgemacht und ihr Inhalt gestohlen. Schnell updaten also, wenn ihr das einsetzt.Update: RAR wird auch von hunderten von 3rd-Party-Tools entpackt. Die verwenden dafür entweder den Open-Source-Unrar-Code oder unrar.dll oder unrar64.dll. Diese DLLs zumindest sind wohl auch betroffen. Das inkludiert dann vermutlich einmal alle Schlangenöl-Installationen auf diesem Planeten.
Es ging um den Verkauf eines Gebrauchtwagens, die Rechnung sollte per E-Mail rausgehen. Der Verkäufer schickt also die E-Mail, aber drei Minuten später geht eine zweite E-Mail mit einer leicht modifizierten Rechnung beim Käufer ein. Die Kontonummer war eine andere und zeigte auf ein Konto, das nicht dem Verkäufer gehörte.
Das merkte der Käufer nicht und überwies dorthin. Der Verkäufer wollte sein Geld haben. Das Landgericht hat die Klage abgewiesen, weil der Käufer ja gezahlt hatte, wenn auch nicht an den Verkäufer. Das OLG hat jetzt andersherum entschieden.
Die Details sind nicht sehr schön, finde ich:
Um 11:46 Uhr erhielt der Geschäftsführer der Beklagten eine weitere E-Mail von der E-Mail-Adresse der Klägerin mit einer neuen Rechnung im Anhang.Das ist trivial fälschbar, sogar weitgehend ohne technische Kenntnisse. Die relevante Frage wäre gewesen, ob die Mail vom Mailserver des Verkäufers kam. Das kann man im Header der Mail sehen. Dann hätte man sagen können, wer sich hier von bösen Hackern hat hacken lassen. Wenn sich der Verkäufer hacken lässt, hätte ich gesagt, dass der auch auf dem Schaden sitzenbleibt. Wenn der Verkäufer sich verarschen lässt, hätte ich gesagt, dass der auf dem Schaden sitzen bleibt. Aber das haben die hier offenbar gar nicht nachgeschaut.
Danach kommt dieser bemerkenswerte Abschnitt:
Die Klägerin hat ihr E-Mail-Konto beim Anbieter W. Es ist mit einem Passwort geschützt, das zwei Personen im gesamten Betrieb der Klägerin bekannt war und alle zwei bis vier Wochen durch eine der beiden Personen geändert und der anderen mündlich mitgeteilt wurde. Computer und Software der Klägerin sind über die Windows Firewall geschützt, die regelmäßig aktualisiert wird. Darüber hinaus sind Computer und Software über die Vollversion von „X.-Internet-Security“ geschützt.Wie viele Leute im Betrieb das Passwort kennen ist irrelevant. Die E-Mail bei einem externen Dienstleister haben ist ein schlechtes Zeichen. Damit erweitert sich die mögliche Tätergruppe auf diesen Dienstleister, und wer da alles Zugriff hat, das wissen die Kunden ja nicht mal.
Passwortrotation ist Theater. Nicht nur nutzlos sondern sogar kontraproduktiv. Wen du dich bei einer Firma bewirbst, und die rotiert die Passwörter, dann ziehe die Bewerbung sofort zurück. Die machen dann auch alles andere falsch.
Die "Windows Firewall" tut natürlich gar nichts gegen den Abfluss von Passwörtern, weder vom E-Mail-Provider noch bei der Firma selbst.
Und dass sie noch irgendein nutzloses Schlangenöl drüberinstalliert haben, ist auch ein schlechtes Zeichen. Die wissen offensichtlich nicht, was sie tun. Und geholfen hat es ihnen ja auch nicht.
Der Käufer hat dann noch folgendes zu seiner Exkulpation auszuführen versucht:
Die Beklagte behauptet, es sei zum Versand der zweiten E-Mail an sie durch einen Dritten dadurch gekommen, dass auf das E-Mail-Konto der Klägerin eine Hacking-Attacke ausgeführt worden sei, die das Ausspionieren der Geschäftsbeziehung der Parteien und der Rechnungs-E-Mail ermöglicht habe. Dies sei durch mangelnde Vorsichtsmaßnahmen der Klägerin ermöglicht worden, wofür ein Anscheinsbeweis spreche; konkret nennt die Beklagte insoweit die nicht erfolgte Verwendung des „sender policy framework (SPF)“ bei der Kommunikation sowie eine unterlassene Verschlüsselung der pdf-Datei. Nach den Ausführungen im angefochtenen Urteil, die die Beklagte sich im Berufungsverfahren zu Eigen gemacht hat, sei der Klägerin vorzuwerfen, dass sie keine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung verwendet habe. Die Beklagte macht sinngemäß geltend, die Verwendung der genannten Verfahren sei im Geschäftsverkehr zwischen Unternehmen wie den Parteien des Rechtsstreits üblich und zu erwarten.Ende-zu-Ende-Verschlüsselung kann man nur machen, wenn man vorher Schlüssel ausgetauscht hat. Mit jemandem, der auf schlecht gefälschte Rechnungen reinfällt, kannst du auch keinen Schlüssel sicher austauschen.
Wenn tatsächlich eine der beiden Seiten gehackt war, dann kannst du auch keinen Schlüssel austauschen, ohne dass ihn der Angreifer abgreifen kann.
Eine Transportverschlüsselung hilft überhaupt nichts gegen gehackte Mailserver.
Kein SPF haben ist kein Anzeichen für gehackt worden sein.
Der Versender hätte Adobe-Krypto-Kram kaufen und benutzen können, dann wäre sein PDF signiert gewesen. Aber wieso wir davon ausgehen sollen, dass der Käufer gemerkt hätte, dass nur das eine PDF signiert war, leuchtet mir nicht ein. Und natürlich hätte auch das Angreifer-PDF signiert worden sein können, dann halt von irgendeinem anderen Zertifikat, vielleicht mit einer Tippfehler-Domain oder so.
Meine Zusammenfassung des Falls ist: Hilflose Leute sind hilflos und machen hilflose Handbewegungen. Am Ende sagt man: Softwareproblem. Kann man nichts machen. Und das Leben geht weiter.
Das BSI warnte eine Woche lang vergeblich vor einer maximal schädlichen Lücke in Ivanti-Schlangenöl, über die bereits 12 Ministerien in Norwegen hopsgenommen wurden. Das Digitalministerium tat nichts.
Bis jemand dann der Süddeutschen ein paar Daten gegeben hat, die er über die Lücke aus dem Digitalministerium befreit hatte. Ich würde hier auf die Süddeutsche linken, aber die haben das hinter Paywall und sich damit selbst ins Aus geschossen. Schlaue Strategie!
Was mich bei sowas ja immer am meisten ärgert: Alle sind schockiert, dass das Ministerium den Patch nicht eingespielt hat. Niemand ist schockiert, dass das Ministerium diese Software überhaupt installiert hatte. WARUM?!
Auch ich hatte vor einer Weile einen Vortrag dazu gehalten und ins Netz gestellt, wo ganz andere Dinge rauskamen. Wie kann das sein?
Nun, das liegt an zwei Dingen. Erstmal ist Zero Trust inzwischen so ein Buzzword, das der Sinn auf dem Weg flöten gegangen ist. Jeder verkauft gerade unter dem Label Zero Trust alles. Googelt nur mal Zero Trust AI und staunt.
Mein geschätzter Kollege Kris Köhntopp hat auch einen langen Erklär-Thread gepostet, wo er nochmal auf andere Ergebnisse kommt als das BSI und ich. :-)
Eine Sache möchte ich aber mal kurz klären. Zero Trust heißt nicht assume breach. Zero Trust heißt, dass du von Perimetersicherheit als Modell wegkommst. Perimetersicherheit ist die Idee, dass wir ein vertrauenswürdiges internes Netz haben, und ein böses Internet, und dazwischen tun wir eine Firewall und dann sind wir sicher. Stellt sich völlig überraschend raus: Wenn du böse E-Mails durch die Firewall lässt, und ein VPN, dann kannst du dir die Firewall im Wesentlichen auch ganz sparen.
Zero Trust ist daher die Idee, dass alle Rechner so gebaut werden, auch und gerade die im Intranet, dass sie starke Authentisierung haben wollen, und Daten nur verschlüsselt übertragen.
Zero Trust sagt nicht, dass die Kisten Secure Boot haben müssen, oder Binaries signiert werden, oder dass da Telemetrie gemessen und ausgewertet wird. Oder dass die Software Least Privilege wird und man die TCB minimiert. Das ist alles orthogonal.
Zero Trust heißt, dass du einkommender Kommunikation nicht auf Basis ihrer IP-Adresse vertraust.
Lasst euch also vom BSI nicht aufschwatzen, dass ihr Endpoint Security für Zero Trust braucht, oder ein SIEM, etc pp. Und lasst euch von Kris nicht erzählen, dass das die Strukturen unbeweglich macht. Kann es, muss es aber nicht. Denkt lieber aus der anderen Richtung drüber nach. Wenn jemand rumspielen will, braucht der halt Erlaubnis in Form von Keys für seine Kommunikation. Den Keys kann man dann minimale Zugriffsrechte geben, und man kann auf der Serverseite sehen, welcher Key reinkam, und entsprechend erkennen, welcher Service mit welchen anderen Services redet. Das ist VIEL besser als im Moment, wo niemand sich traut irgendwas jemals wieder anzufassen, weil gar nicht bekannt ist, was sonst alles davon abhängt und wie das verzahnt ist.
Die Barmer stellt in der Mitteilung klar, dass kein unbefugter Zugriff auf ihre eigenen IT-Systeme stattgefunden habe.Ich verspüre ja immer so einen Jemandem-in-die-Fresse-hauen-Reflex, wenn ich sowas lese. Geht euch das auch so?
Nein, lieber Barmer, das ist GENAU VOLLKOMMEN EURE SCHULD. Wenn ihr eure Kundendaten einem unfähigen Dienstleister gebt, dann ist das nicht deren Schuld, sondern eure.
Ich bin kein Barmer-Kunde, aber andere Krankenkassen machen das natürlich ähnlich. Alle outsourcen ihren Scheiß an irgendwelche Auftragsdatenverarbeiter.
Und lasst mich mal eine Sache völlig glasklar machen hier. Die Auftragsdatenverarbeiter sehen das so: Was können wir dafür, wenn jemand so blöde ist, uns ihre Kundendaten zu geben?
Ja aber Fefe, steht in solchen Fällen nicht im Vertrag zwischen Barmer und dem Dienstleister drin, dass der Dienstleister haftet? Nein. Aber selbst wenn. Der geht dann halt schnell pleite.
Mich kotzt das ja nur noch an, wie die Firmen alle glauben, sie könnten ihre Verantwortung über Verträge und wenn es hoch kommt Compliance-Online-Schulungen für ihre Dienstleister outsourcen.
Früher gab es mal so ein Konzept namens Risikomanagement. Das ist komplett in Vergessenheit geraten. Heute macht man nur noch Ass Covering über "aber wir haben doch alle Schlangenöl-Varianten installiert!1!!"-Bullshit und "das war aber nicht bei uns, das war bei diesem indisch-bulgarischen Dienstleister"-PR.
Was wir brauchen, ist das mal ein paar Aufsichtsräte in den Knast gehen. Vorher wird das nicht besser. (Danke, Marcel)
Warum sind die tot? Steht da nicht. Aber anhand der vorgeschlagenen neuen Dimensionen kann man riechen, von wo der Wind weht:
Das neuere DIE-Sicherheitsmodell (Distributed, Immutable, Ephemeral) ist ein Konzept in der Informationssicherheit, das auf die drei Aspekte Verteilung, Unveränderlichkeit und Vergänglichkeit von Daten abzielt.Na? Gemerkt? Hier wird Ergebnis-Kontrolle durch Implementationsdetails ersetzt. Und zwar Cloud-Heini-Implementationsdetails.
Das ist wie wenn du eine Kategorie "Objekt-Orientierte Datenhaltung" einführst. Das bedeutet nichts. Das hilft niemandem. Das ist Verkaufs-Blablah von Cloud-Heinis, die nicht auf die tatsächlichen Auswirkungen ihrer Vorschläge angesprochen werden wollen. Das ist "It's got electrolytes", falls ihr Idiocracy kennt.
Bislang, wenn jemand deine Daten geklaut hat, war die Confidentiality (Vertraulichkeit) beschädigt. das war nicht zu verhandeln. Wenn jemand deine Daten per Ransomware verschlüsselt, war die Availability weg. Wenn jemand deine Daten ändert, war die Integrity futsch.
Die neuen Kategorien geben diese Analyse nicht her. Die lügen dir direkt ins Gesicht, dass es sowas wie "vergängliche Daten" gibt. Gibt es nicht. Daten werden nicht schlecht. Wenn ich die heute auslese, kann ich die morgen, nächste Woche oder in 100 Jahren gegen dich verwenden.
Das neue Modell lügt dir ins Gesicht, dass das für dich als Kunden relevant ist, ob der Dienst die Daten verteilt oder zentral speichert. Spielt überhaupt gar keine Rolle für dich. Für dich ist wichtig, ob jemand unbefugt rankommt.
Was sollen denn die neuen Kategorien dann? Das sind Cloud-Kategorien! Da geht es nicht um Sicherheit, sondern es geht um das Errichten einer Nebelwand. Oh, und natürlich will dir hier jemand was verkaufen. So Golfplatz-mäßig. Habt ihr schon verteilte Datenhaltung?
Immutable kann helfen, wenn es um die Integrität von Daten geht. Wenn es um die Verfügbarkeit oder Vertraulichkeit geht, hilft das nicht. Distributed kann helfen, wenn es um die Verfügbarkeit geht, aber für Integrität tut es nicht viel und für die Vertraulichkeit ist es sogar kontraproduktiv.
Wieso also hier von Zielen auf Implementationsdetails umschwenken? Weil die Leute keinen Bock haben, ihre sinnlosen Schlangenöl-Maßnahmen gegen tatsächliche Auswirkungen bewerten zu lassen. Die Leute wollen lieber "wir haben die Daten verteilt" sagen, als sich auf Diskussionen einzulassen, was dem Kunden das bringt. In praktisch allen Fällen bringt das nämlich gar nichts. Aber man kann sich gegenseitig auf die Schultern klopfen und so tun, als haben hier nicht Geld verbrannt sondern einen Fortschritt erzielt.
Darum geht es hier aus meiner Sicht. Leute haben keinen Bock, ihre Leistung nach Auswirkungen oder anderen konkreten Kriterien bewerten zu lassen. Weil man dann sieht, dass sie nicht nur gar nichts geleistet haben, sondern die Sache sogar schlimmer gemacht haben, weil es jetzt eine Komplexitätsexplosion gab, die in der Zukunft im Weg stehen wird.
Lasst euch also nicht von irgendwelchen Cloud-Heinis verarschen, die euch irgendwelche Modelle reindrücken wollen, die die fundamental in einer Cloud-Umgebung nicht erbringbaren Anforderungen mit Neologismen und Schlangenöl-Bullshit zu übertünchen versuchen.
Besteht weiterhin auf einer Bewertung nach den konkreten Auswirkungen. Lasst euch nicht mit "aber wir haben da drüben eine Komponente immutable gemacht" abspeisen. Wichtig ist, ob eure Daten geklaut werden können oder nicht.
Darunter auch der Intel OEM Private Key für Bootguard.
Wenn jemandem der private key geklaut wird, dann heißt das, dass der pivate key aus dem Netz erreichbar war. Dafür alleine sollte man diese Firma direkt und für immer aus seiner Einkaufsliste streichen. Aber selbst wenn man nicht bei MSI kauft, sondern sagen wir bei Lenovo oder Supermicro: Der Key ist jetzt halt geleakt. Danke, MSI!
Update: Wobei an der Stelle nochmal der Hinweis erlaubt ist, dass ich seit Jahrzehnten sage, dass Code Signing Schlangenöl ist. Genau weil sowas geradezu zwangsläufig passiert.
In dem Paper geht es um das "Software-TPM", das bei AMD in dem PSP läuft, dem Platform Security Processor, inzwischen auch umbenannt zu AMD-SP (AMD Secure Processor).
Ist mir ja ein Rätsel, wieso die ständig ihren ganzen Scheiß umbenennen müssen. Wobei. Immer nach einem vollen Bruch der Security, oder? :-) Nene, lieber Kunde, das hier ist was GANZ anderes als der unsichere Schlangenöl-Scheiß von neulich!1!!
In dem Paper greifen sie einmal den internen State des Software-TPM ab und können dann damit Bitlocker (full disk encryption unter Windows) aufmachen. Das ist eine ziemliche PR-Katastrophe für AMD. Die haben gerade eh Stress, weil deren CPUs so eine heiße Scheiße sind, dass sie sich durchs Mainboard schweißen können.
Während bei AMD die Prozessoren in Flammen stehen, ist es bei Intel die Quartalsbilanz. Gerade keine gute Zeit für CPU-Bauer.
Update: So, hab mal reingeguckt in das Papier. Die verwenden Hardware-Angriffe, also Voltage Glitching. Dafür muss ein Angreifer physischen Zugang zum System haben.
Die meisten Threat Models gehen nach wie vor davon aus, dass man einen Angreifer mit physischem Zugang nicht aufhalten kann. Allerdings behaupten ja TPMs implizit genau das. Insofern ist das gut, dass das mal jemand geprüft hat. Auf der anderen Seite ist die Überraschung jetzt nicht ganz so groß wie wenn sie, sagen wir mal, bloß von einem USB Stick gebootet hätten oder so, und dann nachträglich die Measurements übernageln könnten. So ist das ein bisschen ... antiklimaktisch gerade.
Gut, aber was heißt das in der Praxis? Na das, was Experten schon immer gesagt haben. Bitlocker macht man mit TPM und mit einer starken Passphrase. Damit verhindert man zwar nicht, dass jemand mit physischen Hardwarezugriff den Bitlocker aufmachen kann (der Zoll z.B. kann dir eine Hardware-Wanze unterschieben, die die Passphrase von der Tastatur mitliest und nach Hause telefoniert). Aber das war schon immer das Bedrohungsmodell unter Paranoikern. Wenn jemand physischen Zugriff auf meine Hardware hatte, ist es nicht mehr meine Hardware. Darum erkennt man Paranoiker daran, dass sie beim Referentendinner ihren Laptop dabei haben. :-)
Wie schlimm ist es? So schlimm:
Der DAX-Konzern ermittele derzeit das Schadensausmaß und stehe mit zuständigen Behörden im engen Austausch. "Mit Blick auf die laufenden Ermittlungen kann zu Details derzeit keine Stellung bezogen werden", erklärte Rheinmetall-Sprecher Hoffmann.Die wissen noch nicht mal, wie schlimm es ist. So schlimm ist es.
Pass uff, Atze, wir machen am besten weiter Windows, Active Directory und Office. Packen wir halt noch eine Schicht Schlangenöl drüber. Wieviel haben wir dann? 17? Das wird ja wohl reichen nächstes Mal!1!!
Nun, Eher nicht.
The US Cybersecurity and Infrastructure Security Agency (CISA) has issued advisories on 49 vulnerabilities in eight industrial control systems (ICS) this week, which are used across multiple critical infrastructure sectors.The vulnerabilities identified by CISA were tracked in products from ICS providers including Siemens, Hitachi, Rockwell, Delta Electronics, VISAM, and Keysight.
Ah. Gut. Sind auch andere betroffen. Dann sehen wir vielleicht nicht alleine bekloppt aus.Siemens systems have the most vulnerabilitiesTwenty-three out of the 49 vulnerabilities in the advisory are from the Siemens systems, seven of which are yet-to-be-patched exploits in Siemens’ Ruggedcom APE1808, an industry-grade application processing engine (APE) module.
Seht ihr? Weniger als die Hälfte!1!!Naja, was willst du erwarten. Von einer Firma, die Windows, Office und Active Directory einsetzt. Und dann Schlangenöl drüberkübelt.
Das hat bestimmt die CIA herausgefunden. Die finden ja alles raus. Alles finden die raus!1!!
A digitally signed and trojanized version of the 3CX Voice Over Internet Protocol (VOIP) desktop client is reportedly being used to target the company’s customers in an ongoing supply chain attack.
Ja aber aber das kommt doch per Autoupdate und ist signiert! Was sagt ihr, Autoupdate ist ein Risikofaktor? Ein Angriffsvektor? Hätte uns doch nur jemand gewarnt! (Danke, Manuel)
Wieso würde jemand denen Netflow-Daten geben, fragt ihr? Ganz einfach!
Team Cymru, the company ultimately selling this data to the FBI, obtains it from deals with ISPs by offering them threat intelligence in return. These deals are likely conducted without the informed consent of ISPs’ users.
Weil die alle doof sind! Threat Intelligence ist natürlich absoluter Bullshit. Reines Schlangenöl. Wir müssen unsere Sicherheitslücken nicht zumachen, weil wir ja bekannte Angreifer filtern!1!! Oh warte, wir können die gar nicht filtern. Dann, äh, wird das Teil unsere Monitorings! Dann kann man danach in den Logs sehen, die eh keiner liest, dass wir vorhin gehackt wurden!!1!Schlangenöl.
In der EU ist das ziemlich offensichtlich eine DSGVO-Verletzung würde ich denken, aber ... hmm. Weiß zufällig jemand von ISPs in der EU, die Netflow-Daten rausgeben? Vermutlich "anonymisiert" dann.
Der Artikel hat noch ein Lowlight:
After Motherboard reported the U.S. Army and other purchases of Team Cymru data, the Tor Project, the organization behind the Tor anonymity network, said it was moving away from infrastructure that Team Cymru had donated. The Tor Project told Motherboard it expects that migration to be completed this Spring.
Old and busted: Ping of Death. New hotness: Ping with Remote Code Execution! Auf einmal allen Windows-Versionen.
Die, die da nicht stehen, sind aus dem Support gefallen.
Das, falls das jemandem nicht auf Anhieb klar ist, ist das nächste Eternalblue. Das ist ein Wurm-Vektor. Da werden jetzt einmal alle Institutionen drüber geransomwared werden, weil das 3/4 mal wieder nicht patchen werden. Und am Ende wird jemand nach dem Staat rufen.
Unsere Spezies kriegt genau den Untergang, den sie verdient hat. Das war ein Unfall, dass wir am oberen Ende der Food Chain rauskamen.
Update: Grund zur Sorge ist auch, dass sie "Exploitation More Likely" sagen. Normalerweise sagen sie less likely. Die glauben also, dass das besonders leicht auszunutzen ist.
Update: Ah nee, doch nicht. Unten bei FAQ steht, dass jemand auf dem System einen Raw Socket offen haben muss. Damit ist das doch nicht automatisch ein Wurm, über den einmal die gesamte Infrastruktur hopsgenommen werden wird. Raw Sockets werden für Sniffer verwendet, oder für VPN-Implementationen, oder für Failover-Lösungen oder vielleicht Netzwerkmanagement-Software. Schlangenöl vermutlich auch. Oh und ping.
Prior Art 1: Mit einer "KI" erkennen, welche Teile einer Konfigurationsdatei Keywords und welche variable Werte sind. Dann Konfigurations-Fuzzing!
Prior Art 2: In Echtzeit Konfigurationen unternehmensweit durchrotieren, so dass die Funktionalität bestehen bleibt, aber ständig andere Parameter nötig sind für die Inanspruchnahme von Diensten. So reduziert sich die Angriffsoberfläche automatisiert und man belästigt Exploiter!1!!
Prior Art 3: Auf Mobiltelefonen haben Apps einen serialisierten State, den sie dem System sagen, und anhand dessen sie in genau denselben Zustand wiederhergestellt werden können. So kann man eine App killen und später neustarten, ohne dass für den Benutzer erkennbar ist, dass die App in der Mitte weg war. Das könnte man auch auf Servern machen! Dann in der Mitte des Unternehmens einen Orchestrator haben, der ständig Dienste killt und neu startet mit dem State, vorher meinetwegen dafür sorgt, dass die solange aus dem Load Balancer genommen werden. So verhindert man, dass irgendwo ein Angreifer Schadcode injected hat.
Prior Art 4: Antivirus / Firewall / AI based anomaly detection für den hinterlegten State. Observability. Einmal das ganze Programm!!1!
Prior Art 5: Serviceangebot: Wir fahren Angriffe auf Ihr Unternehmen, aber nicht um Schwachstellen zu finden, sondern damit Ihre "KI" Anomalien zum Trainieren hat!1!!
Hat noch jemand brillante Ideen, bei denen man den Patentanwälten mal in den Pool pinkeln müsste?
Update: Ein paar Kumpels meinen, Prior Art 3 werde jetzt schon so gemacht. Man nenne das "Rejuvination". Einer meinte gar, das sei bei der Mondlandung so gemacht worden.
Update: Aus Prior Art 1 könnte man auch noch eine Firewall und Anomaly Detection "erfinden".
Update: Prior Art 6: Bei der Passwortrücksetzung könnte man einen KI-Chatbot haben, der vorher schon mit dir gechattet hat, und dich dann wiedererkennt anhand früherer Konversationsthemen und -Meinungen. Quasi sowas wie Schrittmustererkennung, nur halt für Textchat!
Prior Art 7: Eine KI benutzt das über dich vorhandene Wissen aus dem Netz, um Kandidaten für die Sicherheitsfrage zu bewerten (abzulehnen) bei der Accountregistrierung.
Prior Art 8: KI-assistierte Partnersuche. Die KI matcht Leute, die online über dieselben Dinge und Leute Hatespeech verbreitet haben.
Wir sind uns ja wohl alle einig, dass die betroffenen Institutionen alle sämtliche verfügbaren Schichten an Bullshit-Schlangenöl ausgerollt hatten. Das ist ja heutzutage eine Compliance-Frage!
Hand aufs Herz. Habt ihr irgendwo (außer hier, natürlich) jemanden darüber nachdenken sehen, ob das vielleicht alles nutzloser Tand ist?
Wahrscheinlich muss man dankbar sein, dass die Berliner Verwaltung überhaupt noch einen eigenen Mailserver betreibt und das nicht alles in die Cloud geschoben hat.
Ist mir ja ein völliges Rätsel, wieso das jemand einsetzen würde. Das ist wie das Ergebnis von einem Trinkspiel, ob jemand NOCH MEHR Angriffsoberfläche in mein Arbeitsgerät eingebaut kriegt.
A remote code execution vulnerability exists in VS Code 1.71 and earlier versions for malicious notebooks. These notebooks could use command uris to execute arbitrary commands, including potentially dangerous commands
You had me at "command url".Mit anderen Worten: Das war kein Unfall und kein Hack. Jemand hat dieses Feature für Remote Code Execution eingebaut und jetzt wundern sich alle, dass jemand darüber Remote Code Execution macht.
Ich frage mich ja bei sowas immer, wie häufig und doll eine Organisation eigentlich auf der Weltbühne verkacken muss, bevor die Leute aufhören, denen ihren Scheiß abzukaufen.
Ach komm, Fefe, da machen wir noch schnell ein paar Lagen Schlangenöl drüber, mit cloud-basierter KI zur Anomalieerkennung. Dann berichtet Heise darüber, als sei das normal, sowas zu brauchen. Und dann sind die Leute wieder eingeschläfert und kaufen die nächste Iteration von unserem Scheiß. Und auf dem Weg holen wir noch eine Schuldumkehr raus. Wie, du hattest keinen Antivirus laufen? Na DANN ist das DEINE Schuld!!1!
Ja ist ja komisch! Ist ja fast als wäre Code Signing bloß Schlangenöl!?
Also das ist ja wohl mal ein klarer Fall, wo wir jemanden gebraucht hätten, der uns da rechtzeitig warnt!
Ist doch immer dasselbe. Es wurden schon alle Fehler gemacht, nur noch nicht von jedem. Erfahrung ist, wenn du die Fehler wiedererkennst, die du machst.
Damit markieren die Daten, die sie auf der Kiste gefunden haben, die sie nicht in die Cloud hochladen. Das ist natürlich ein seltener Sonderfall. Modernes Schlangenöl lädt immer alles in die Cloud hoch und betreibt da riesige Big Data Pools. Daraus generiert dann häufig irgendeine Statistik-Software ein Dashboard bei denen, mit dem sie dann Pressetermine machen, und/oder irgendeine "KI" läuft drüber und findet entweder viel zu viel oder viel zu wenig :-)
Aber egal. Geht hier nicht um Schlangenöl sondern um das Wort, das mir sehr gut gefällt. Uncloudable. Das muss ich mal in meinen Wortschatz aufnehmen.
Hey, Rüdiger, können wir das in die Cloud schieben?
Nein, Dieter, das ist geht nicht. Das ist uncloudable.
Harr Harr
Ja, der Schönböhm ist ein Cyberclown. Aber er war wenigstens ein berechenbarer Cyberclown. Wir wussten, woran wir waren. Der hat zwar nicht viel gemacht, aber immerhin stand er auch nicht viel im Weg herum oder hat da erratisch wichtigen Projekten in den Rücken gedolcht. Im Vergleich zu den Vollversagern im BMI und der Politik ist der Mann geradezu GOLD!1!!
Den Kommentar von Jürgen Schmidt hatte ich ja schon verlinkt, hier noch mein geschätzter Kollege Manuel Atug. Money Quote:
ein gutes Duo mit überdurchschnittlicher #Digitalkompetenz, gemessen an den sonstigen Akteuren.Eine humoristisch sehr schöne Formulierung. "Klar kann der nichts aber hast du mal das restliche Gruselkabinett gesehen?!" :-)
Wir müssen da glaube ich trennen zwischen inhaltlichen Punkten und taktischen Erwägungen. Inhaltlich ist der Schönbohm meiner Beobachtung nach eine absolute Lusche. Der rennt zu allen Veranstaltungen, kommt denn 5 Minuten zu spät, damit alle mitkriegen, wie wichtig er ist, dann lässt er ein paar Wortblasen ab, dass Sicherheit ja wichtig sei, und seine Behörde tut absolut nichts für Vorbeugung. Die verkaufen lieber wertlose Zertifikate, empfehlen Schlangenöl und machen Blockchain-Kram und SSI-Blödsinn.
Der Mann betreibt seine Behörde wie Junior-Entwickler ihren Lebenslauf! Springen auf jeden Hype auf, machen dann schlechte Projekte, die sie mangels Erfahrung verkacken, und feiern sich dann als Experten und verweisen auf ihre "Erfahrung".
Hat er das BSI vorangetrieben, wie Honkhase behauptet? Wenn man das nach Bürokratie-Metastasierung misst, dann vielleicht. Inhaltlich sicher nicht.
Finde ich, dass der Schönbohm wegen der KGB-Firma zurücktreten sollte?
Nein. Das ist an den Haaren herbeigezogen.
Ich finde, er sollte gehen, weil er schlechte Arbeit macht.
Der wohlgemerkt nicht das Loch stopft, sondern Firewall- und Schlangenöl-Regeln herumreicht, um den Exploit zu behindern?
Ja klar kennt ihr so eine Software! Microsoft Exchange! Das war die Software, wir erinnern uns, deren erste Version "4.0" hieß, damit Käufer den Eindruck haben, die sei ausgereift und wohlgetestet. Die Werbung hat das den Kunden auch direkt ins Gesicht gelogen. Gut abgehangen! Gegen alles getestet! Stabil und zuverlässig! Nichts davon war der Fall.
Ich erinnere mich noch damals an der Uni, dass ein Exchange-Server platt war, und es stellte sich raus, dass der mit einem Unix-Mailserver (qmail?) zu interagieren versucht hat, sich nicht an die RFCs hielt, und damit eine Neuversuch-Schleife auslöste, die auf dem Unix-Server keine messbare Last erzeugte, aber den Exchange plattmachte.
Das war auch noch irgendwas lächerliches wie ob Zeilen mit LF oder CR-LF terminiert werden.
Exchange war schon immer das absolut letzte. Ich war schon immer fasziniert, dass Leute sowas wirklich einsetzen. Freiwillig! Und noch dafür zahlen!!
Das geilste ist ja, dass die Cloud-Version nicht betroffen ist. Es gibt also eine nicht betroffene Version. Aber sie wollen ja die On-Prem-Kunden bei der Gelegenheit erziehen, in die Cloud zu kommen, wo sie dann nicht mehr weg kommen. So eine Firma ist das.
Um aufzulösen: Ich kenne außer Exchange keine Software, die so einen Service braucht.
Was mich ja an dieser Nummer am meisten ärgert: "BSI warnt vor Sicherheitslücke in Exchange". Ja wieso warnen die denn nicht vor Exchange selbst?!? Hallo McFly? Jemand zuhause?
Das schöne für die Ransomwarer: Der ist ordentlich signiert und gilt als "legitim", kann daher nicht einfach geblacklistet werden.
Da wächst zusammen, was zusammen gehört! (Danke, Felix)
Nun werden die meisten nicht ursächlich deshalb verschlüsseln, damit die Polizei nicht drankommt, sondern eher damit Kriminelle nicht drankommen, aber der Übergang hat sich ja teilweise als bedrückend fließend herausgestellt. Insofern guckt mal hier:
Ein Ermittlungsverfahren wegen des Vorwurfs der Bildung einer kriminellen Vereinigung im Zuge des Verbots der linksradikalen Internetplattform linksunten.indymedia.org ist nach fünf Jahren eingestellt worden. [...] Für den Vorwurf habe die Staatsanwaltschaft keine Beweise finden können, die bei Razzien im Jahr 2017 beschlagnahmten Datenträger seien bis heute nicht zu entschlüsseln gewesen.Ich weiß ja nicht, wie euer Threat Model aussieht, gegen wen ihr euch mit Verschlüsselung schützen wollt. Aber bei mir sind spätestens seit den letzten paar Willkür-Updates für die Polizeigesetze auf jeden Fall neben den Geheimdiensten und ausländischen Militärs auch inländische Sicherheitsbehörden auf der Liste.
Und ja. Wenn ich was verschlüssele, dann ist das erklärte Ziel, dass das auch die besten Geheimdienste mit den übelsten Willkür-Befugnissen nicht ohne meine Kooperation entschlüsselt kriegen.
Wenn ihr euch das mal genauer anguckt, was die Behörden inzwischen in den meisten Bundesländern machen dürfen, dann brauchen die gar keine Beweise mehr, um dich ohne Nachweis von irgendwas auf unbegrenzte Zeit einzusperren. Dann kannste also auch gleich ordentlich verschlüsseln, finde ich.
Oh, wo wir gerade bei Sicherheitsbehörden waren... Schaut mal, wie sie linksunten.indymedia verboten haben:
Förmlich handelte es sich um ein Vereinsverbot – die Betreiber wurden von den Behörden als Verein eingestuft. Dagegen hatten mehrere Personen Klage eingereicht, die Existenz des Vereins dabei aber bestritten. Deswegen waren sie 2020 vor dem Bundesverwaltungsgericht aus formalen Gründen gescheitert, denn zur Anfechtung eines solchen Verbots sei "regelmäßig nur die Vereinigung" befugt.Alles lupenreine Rechtsdurchsetzungsbehörden! Du bist verhaftet, weil du ein Flump bist! Aber ich bin doch gar kein Flump?! Diese Verteidigung steht nur Flumps offen!1!!
Hätte uns doch nur rechtzeitig jemand gewarnt, dass dieses ganze Schlangenöl Mist ist!1!!
Sehr perfide auch: Es geht um "Schwachstellenmanagement", was ich ja generell schon immer kritisiere, weil es ein Codewort dafür ist, dass Firmen Schwachstellen nicht alle einfach sofort immer wegpatchen, sondern dafür ein "Management" einführen, was dazu führt, dass bekannte Schwachstellen offen bleiben. Sein schlechtes Gewissen betäubt man dann, indem man die eiternden Wunden mit ein paar Schichten Schlangenöl und Monitoring zudeckt.
Wenn ihr euch jetzt fragt, wieso das Monitoring den Exploit kennen soll, wenn die Firma schon nicht in der Lage war, den Patch gegen die Lücke zeitnah einzuspielen, dann habt ihr natürlich völlig Recht. Niemand erkennt da jemals irgendwas relevantes.
Aber in diesem dreisten Regierungsdokument geht es unter diesem eh schon verbrannten Namen um etwas noch übleres: Um das Management von Sicherheitslücken durch ... die Geheimdienste. Die entscheiden, ob sie eine Lücke melden oder lieber selber verwenden, um damit unschuldigen Bürgern die Geräte zu hacken.
Es geht hier also in keinem Aspekt um eine Strategie, um die Cyberstrategie zu verbessern. Es geht um eine Strategie, die Bürger künstlich noch unsicherer zu halten als sie eh schon (katastrophal!) sind.
Splunk Enterprise deployment servers in versions before 9.0 let clients deploy forwarder bundles to other deployment clients through the deployment server. An attacker that compromised a Universal Forwarder endpoint could use the vulnerability to execute arbitrary code on all other Universal Forwarder endpoints subscribed to the deployment server.
Ja Scheiße, Bernd! Hätte ich das gestern gewusst, hätte ich das in meine Folien eingebaut. Da ist eine Folie bei: Wenn Sie Network Monitoring machen, müssen Sie den Agenten und Sensoren und deren Cloud trauen. Die kommen in Ihrer Firma überall hin. Wenn die jemand hackt, der auch.Aber mir glaubt sowas ja immer keiner. Die glauben ja auch noch alle, dass Schlangenöl nicht die Angriffsoberfläche erhöht.
Update: Die Splunk-User sind gerade ziemlich angefressen. Hier eine repräsentative Mecker-Mail:
ist noch viel grossartiger.
Zusätzlich zu der verlinkten SVD-2022-0608 gibts auch noch die 607, die die Authentifizierung am Deploymentserver aushebelt. Hoppla. Die ist auch seit mindestens 2020 bekannt. Sprich: wenn ich den Deploymentserver kenne und da rankomme, dann kann ich dem, ohne selbst subscriber zu sein irgendwas unterjubeln.
Nun kommt noch obendrauf, dass die Veröffentlichung dieser Schwachstelle einherging mit der Splunkkonferenz der vergangenen Woche, auf der dann die taufrische Splunk Version 9.0.0 präsentiert wurde.
Splunk Cloud Platform (das SaaS angebot) ist nicht betroffen, aber bitte betatestet den neuen Release doch mal auf eurer Produktion.
Die Solution des Fixes wurde auch (möglicherweise mehrfach) editiert, was für mich darauf hindeutet, dass die selber erstmal gar nicht so genau wussten, was man denn nun alles updaten muss um die Schwachstelle zu beheben.
Nun und offenbar wurde die Remote Code Execution intern gefunden beim Rewrite der Security Architektur, war also vermutlich nicht wirklich bekannt. Die Schwachstelle dann mit der neuen (.0.0) Version zu veröffentlichen, die alle möglichen Kinderkrankheiten mitbringt und im Enterpriseumfeld sicherlich niemand auf Produktion nutzen will, halte ich dann auch für nen tierisch schlechten Marketing move. Die hätte man vielleicht wenigstens bis zum nächsten Minor Release, mit dem ich aus bisheriger Erfahrung mit .0er Releases im Herbst erwarten würde, vielleicht in der Schublade liegen lassen können.
(Danke, Andreas)
Erste Erkenntnis aus den anderen Vorträgen heute: Blockchain ist noch nicht ganz tot. Da fantasieren immer noch welche von Self-Sovereign-IDs herum. Anscheinend haben sie in Italien Flüchtlingen SSI-"Zertifikate" in die Hand gedrückt, mit denen denen dann in Deutschand Hochschulen Dinge anerkannt haben. Nichts davon benötigt eine Blockchain, aber das Memo haben die noch nicht gekriegt.
Dann gab es da noch einen Vortrag von Microsoft über das "Sovereign Cloud"-Projekt. Da geht es um Digitale Souveränität, was eigentlich meint, dass Deutschland in der IT autarke Handlungsfähigkeit erreichen bzw. bewahren muss. Der Zug ist natürlich schon abgefahren. Unsere Computer und alle Teile darin kommen aus China oder Taiwan. Die Software darauf kommt aus den USA. Dass ausgerechnet Microsoft mit unseren Behörden ein Projekt zur digitalen Souveränität macht, ist also schon inhärent ein Treppenwitz eigentlich. Aber wartet.
Der Mann erzählte dann da, was sie alles nachentwickeln mussten, um das zum Laufen zu kriegen. Unfassbar viele Manntage Aufwand, erzählte der. Was das gekostet hat! Jahre haben wir da schon investiert!! Ja was haben sie denn da so teuer nachentwickelt, fragt ihr euch jetzt vielleicht? Nun, ... Lizenzserver. Damit man das Office 365 in der "souveränen" Cloud ordentlich lizenzieren kann. Warum können die sich nicht ganz normal ihre Lizenzen holen? Na weil die Cloud nicht am Internet hängen soll.
Warte, was? Ja! Das BSI fand, die Cloud sei nur dann sicher, wenn keiner mit der reden kann. smart.gif!
Ja aber liebes BSI, eure Compliance-Bullshit-Checklisten fordern doch Aktualisierungen für Windows und für Schlangenöl und so?!
Ja, dafür haben wir eine digitale Laderampe vorgesehen, mit einer Datendiode.
Das musste er dann gar nicht mehr erklären, dass diese brillante Idee auf das BSI zurückging.
Ich weiß gar nicht, welchen Teil davon ich am absurdesten finden soll.
Jetzt fragt ihr euch vielleicht, wieso die souveräne Cloud so viel Hardware-Skalierbarkeit brauchen soll, dass man Cloud-Kram überhaupt braucht. Gut, dass ihr aufgepasst habt und das fragt! Antwort: Mit der Rechenleistung kann man dann prima für SSI eine Blockchain fahren. Erzählte stolz der Microsoft-Beauftrage.
m(
Update: Der Begriff "Datendiode" kommt von Genua. Das BSI betreibt hier also Klientelpolitik / Wirtschaftsförderung für Genua.
Update: Oh ach gucke mal, stimmt gar nicht, auch secunet hat eine "Datendiode".
Ach. Ach was. War das am Ende alles Propaganda? Kaffeesatzleserei von Schlangenölern mit einer Panik- und Verkaufsagenda?
Scheiße, Bernd! Hätte uns doch nur rechtzeitig jemand gewarnt, dass wir verarscht werden!
Wisst ihr, was wir jetzt bräuchten? Ein Blog. Von jemandem, der sich in dem Gebiet ein bisschen auskennt. Der könnte uns dann warnen!
Erstens: Zu Zero Trust kam bisher nur eine Zuschrift dazu rein, wieso das eingeführt wurde. Der Rest heulte über die Auswirkungen verkackter Einführungen. Ich deute das so, dass niemand wirklich weiß, wieso das angeschafft wurde. Es wird angeschafft, weil der Buddy auf dem Golfplatz von der anderen Firma fragte, ob wir das schon haben, und wir haben es noch nicht, also brauchen wir es jetzt.
Zweitens: Zu dem Krypto-Vortrag. Ich habe eine Tonne Feedback dazu gekriegt. Der Vortrag hat inzwischen über 50k Views. Das Ding hatte deutlich mehr Impact als ich vorher gedacht hätte. Bei so viel Konsumenten nahm ich an, dass ich dann auch gutes Feedback [Anm.: im Sinne von: Hilft mir was, erweitert meinen Horizont, kann ich was von lernen! Nicht im Sinne von positives Feedback] kriegen würde. Dass mir Leute Dinge erzählen würden, die ich vorher nicht wusste, oder die wenigstens meine Bewertung erschüttern und meiner Perspektive erweitern.
Stattdessen kam da ein Kübel Gülle von irgendwelchen strunzdämlichen Opfern, die ihre kognitive Dissonanz an mir abzuarbeiten versuchten. Die lächerlichsten Argumente hatte ich ja schon im Blog.
Aber es gab auch zwei-drei inhaltliche Kritikpunkte, die ich hier mal aufarbeiten möchte.
Kritikpunkt 1: Der Fefe hat gesagt, die Blockchain passt nicht auf handelsübliche Festplatten. Leute, der Vortrag ging an Wirtschaftler. Ich habe nicht gesagt, man könne keine Festplatten kaufen, auf die das passt. Die Terminologie richtete sich am Publikum aus. Passt die Blockchain auf dein Smartphone? Nein. Passt die Blockchain auf dein Lifestyle-Notebook? Nein! Mein Reisenotebook hat 256 GB Storage. Ein neues Macbook Air hat 256 GB. Kann man das upgraden? Ne externe Platte anschließen? Klar kann man. Das war ja auch nicht meine Behauptung, dass man das nicht kann. Sorry, aber der Kritikpunkt ist unseriöse Wortklauberei. Die Blockchain ist unhandlich verglichen mit konkurrierenden Zahlungssystemen. Auf eurer Bankkarte ist auch Storage drauf. Ein paar Kilobytes. Das reicht dort.
Kritikpunkt 2: Der Fefe hat gesagt, Blockchain sei zentralisiert und verteilt, aber wir sagen doch immer, das sei dezentral. Leute, ihr sagt auch seit Jahren, Blockchain sei eine Währung (sind per Definition vom Staat oder einem Staatenverbund; das Wort kommt von Gewähr. Die Gewähr, dass du damit auch zahlen kannst, wird vom Staat gesetzlich garantiert) oder Blockchain sei Geld (Geld ist eine Repräsentation für Wert, die man tauschen kann; Bitcoin ist kein Geld sondern eine Buchhaltung. Die Tokens funktionieren ohne die Buchhaltung nicht. Damit ist es kein Geld.) Nur weil uninformierte Schlangenölverkäufer Dinge behaupten, heißt das nicht, dass das stimmt.
Das Telefonnetz ist dezentral. Wenn ich aus Berlin meinen Kumpel in Paris anrufe, dann sieht das die Telco in Guatemala nicht. Die New York Times ist zentral aber verteilt. Die haben ganz viele Kopien der Ausgabe, aber da steht überall dasselbe drin. Du kannst überall auf der Welt in eine Ausgabe gucken und sehen, was das 3. Wort auf Seite 5 ist. Der zentrale Verlag bestimmt zentral, was da steht. Twitter ist zentralisiert. Es gibt eine zentrale Datenbank, wo alles drinsteht. Die Blockchain ist zentralisiert. Es gibt einen zentralen Punkt, wo man alle Transaktionen sehen kann. Der ist außerdem auch noch verteilt, aber das ändert nichts daran, dass es ein zentraler Punkt ist.
Das sind die Begriffe. Wenn ihr damit überfordert seit, wohldefinierte Fachbegriffe korrekt anzuwenden, wieso redet ihr dann mit mir über die Fachbegriffe?
Kritikpunkt 3: Lightning. Fefe hat gesagt, in Lightning müssen beide Seiten Geld in Escrow tun, aber das Protokoll erlaubt auch unidirektionale Kanäle. Mag sein, dass das Protokoll das erlaubt, aber das ist offensichtlich nicht wofür Lightning gedacht ist. Die Idee bei Lightning ist, dass man einmal ein Netz aus Kanälen in der Blockchain von Bitcoin etabliert, und die laufen dann ewig weiter, weil man Zahlungen in die eine Richtung mit Zahlungen in die andere Richtung verrechnen kann. Im Übrigen könnt ihr ja mal als Hausaufgabe in das Paper zu Lightning gucken (ja, es gibt da "das Paper". Wenn ihr das nicht wusstet, wieso belästigt ihr mich dann mit eurer Meinung zu Lightning?!), und dann zählt ihr mal wie häufig bidirectional vorkommt, und wie häufig unidirectional vorkommt.
Tja, und so bleiben die Dinge, wie sie auch vor meinem Vortrag waren. Enttäuschend.
Rückblickend würde ich an dem Vortrag nur eine Sache ändern: Ich würde mehr zu Lightning sagen. Meine Einschätzung der Lage vorher war, dass das ein experimentelles Spielzeug-Gebastel ist im Moment, wo Hobbyisten sich lustige Raspberrys auf den Fernseher legen, und Test-Transaktionen rumschicken. In der Informatik gibt es eine Weisheit, die von euch vielleicht nicht alle gehört haben. Jede zusätzliche Größenordnung macht daraus ein völlig neues Problem. Wenn du ein Programm hast, das 1000 Anfragen pro Minute machen kann, und du willst 10000 Anfragen pro Minute haben, und das Programm war noch nicht darauf ausgelegt, dann wirst du da nicht ein paar Schrauben drehen sondern du wirst wahrscheinlich einen gänzlich neuen Ansatz brauchen. Weil das eben mit so viel mehr Anforderungen ein völlig neues Problem ist. Wenn ihr mir also schreibt, Lightning sei ja bereits im Produktiveinsatz und habe bereits bewiesen, dass es funktioniert, dann kann ich euch nur heiser ins Gesicht lachen.
Meine Einschätzung zu Lightning hat sich nicht geändert, aber mein Bild davon, was aus Sicht der Bitcoiner der Stellenwert von Lightning ist, hat sich geändert. Praktisch alle Kritiken zum Bitcoin-Teil lassen sich praktisch ausschließlich mit "aber aber aber Lightning!!1!" zusammenfassen. Mein Eindruck jetzt ist, dass die Bitcoiner Bitcoin aufgegeben haben und sich alle an Lightning als Fanal der Hoffnung klammern. Lightning ist der Angriff Steiner, mit dem das alles in Ordnung kommen wird.
Gut, die Zeit hätte ich nicht gehabt, aber wenn ich mehr Zeit gehabt hätte, und das vorher gewusst hätte, hätte ich mehr zu Lightning gesagt. Denn da gibt es noch eine Menge zu sagen. Zum Beispiel hätte ich ausführen können, wieso ich die Annahme, dass sich das alles in dem Netz ausgleichen lässt, für fahrlässig und falsch halte, und wieso der Versuch zu unvorhergesehenen Effekten führen wird wie dass Gehaltszahler für das Netz so wichtig sein werden (als Ausgleich für die ganzen Transaktionen in die Gegenrichtung), dass sie vom Netz Gebühren nehmen können statt andersherum.
Psychologisch am krassesten finde ich aber, wie leicht es ist, Leute zu verarschen. Hier eine typische Konversation:
A: Lightning-Nodes sind doch Banken! Banken sind unmoralisch und verwerflich und fiese Abzocker. Die wollten wir doch gerade weg haben!
B: Ja schon aber du kannst deine eigene Bank sein! Du kannst auf die Seite der Abzocker wechseln!
A: (hat Dollar-Zeichen in den Augen, vergisst seine moralischen Einwände)
Update: Man kann im Lightning auch Kanäle bidirektional betreiben, wenn nur eine Seite Escrow hinterlegt hat. Das ist hier glaube ich das Kern-Missverständnis. Wenn ich einen 1000€-Kanal "unidirektional" zum Rewe aufmache, und dann 100€ zahle, dann kann Rewe mir bis zu 100€ zurückschicken, und wir reduzieren dann einfach den Kontostand zwischen uns im Kanal entsprechend. Rewe kann dann aber halt nur soviel mit mir verrechnen, wie ich bereits an sie gezahlt habe. Insofern geht das schon mit Escrow nur in eine Richtung, aber ergibt halt nicht viel Sinn für mich, denn ich bin ja die 1000€ erstmal los, die ich vorstrecken musste. Das ist wie eine Mietkaution. Die ist dann nicht verfügbar, bis ich ausziehe. Hat von euch schonmal jemand morgens nach dem Aufstehen gedacht: Hey, ich pack jetzt mal 1000€ wohin, wo ich nicht mehr rankomme! Damit ich Liquidität in einem abstrakten Netz schaffe, und vielleicht in Zukunft Gebühren kassieren kann? Oder vielleicht kassiert auch jemand von mir Gebühren, weil ich nur mit deren Zahlung in die Gegenrichtung meinen Kanal wieder balanciert kriege und sonst Bitcoin-Gebühren zahlen muss?
Könnt ihr euch ja von mir aus einreden, ihr privilegierten, satten Einwohner einer westlichen Industrienation, die Spielgeld rumliegen haben, das sie für nichts akut brauchen. Überzeugt mich aber nach wie vor nicht.
Moshen Dragon's TTPs involve the abuse of legitimate antivirus software belonging to BitDefender, Kaspersky, McAfee, Symantec, and Trend Micro to sideload ShadowPad and Talisman on compromised systems by means of a technique called DLL search order hijacking.
Na sowas! Das klingt ja fast so, als würden sogenannte "Antivirus"-Produkte neue Angriffsoberflächen schaffen!!1!Meine Güte, Fefe! Das ist ja furchtbar! Hätte uns nur jemand rechtzeitig gewarnt! (Danke, Norbert)
Update: Oh, wartet, an der Story ist noch mehr dran! Die haben ja eine Reverse Shell aufgemacht, dann ihren Exploit zu Virustotal geschickt, und der Exploit hat sich dann bei ihrer Shell gemeldet — aber offenbar nicht von Virustotal sondern von einem gammeligen Schlangenölhersteller, der sich von Virustotal die Samples weiterleiten lässt! *wieher* (Danke, Holger)
Ich nehme an, sie haben nicht auf den Mail-Anhang geklickt. Gute Güte, diese Disziplin!
Auch bei dem aktuellen Angriff handele es sich um eine neue Schadsoftware, die in der Ukraine weltweit zum ersten Mal nachgewiesen worden sei.Oh. Nee. Sie haben doch drauf geklickt. Glücklicherweise hatten sie einen heldenhaften Schlangenölverkäufer in der Nähe, der die Gelegenheit für kostenlose PR genutzt hat!
"Die Gefahr für Energieversorger und Betreiber kritischer Infrastrukturen erhöht sich durch Industroyer2 massiv", warnt Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrat Deutschland e.V., in einer Stellungnahme gegenüber dem SWR.Warte mal, der Cyber-Sicherheitsrat e.V.? War das nicht diese furchtbare Lachnummer? Das Biotop, in dem der gemeine Cyberclown wachsen und gedeien kann!
Hey, diese Panikmache, haben wir es hier etwa mit dem nächsten BSI-Präsidenten zu tun?
Wie sich rausstellt: Nein! Selbst dem BSI ist das Geschwurbel der Cyberclowns zu unseriös:
Dem SWR teilte die Behörde auf Anfrage mit, eine einfache Übertragung oder Wiederverwendung bei deutschen Energieversorgern sei "unwahrscheinlich”. Das IT-Sicherheitsniveau im Energiesektor sei hoch, bisher hätten die Betreiber kritischer Infrastrukturen angemessen auf Angriffe reagiert.Wenn ihr mich fragt, haben wir es hier mit einer Debatte zu tun, in der Blinde über Farben streiten. Eine resiliente Infrastruktur erkennst du nicht daran, dass sie "angemessen auf Angriffe reagiert", sondern dass sie auf Angriffe vorbereitet ist und gar nicht reagieren muss. Stattdessen suhlen die sich alle im Schlangenöl und tauschen "Treat Indicators" aus wie früher Kinder auf dem Schulhof Klebebilder von Fußballern getauscht haben. Hey, jetzt wo ich drüber nachdenke: Das sind dieselben Kinder, die früher Klebebilder gesammelt haben! Die sind halt jetzt so sozialisiert.
Vielleicht sollte man denen was sinnvolles zu sammeln geben. Gehaltsauszahlungen an die Mitarbeiter. Wer am meisten auszahlt, und die Firma überlebt es, hat gewonnen!
Hier ist ein wunderschöner Reisebericht zur Zentralkonferenz der Bitcoin-HODLer.
Der Hersteller dieses Formel-1-Rennspiels kriegte seine Lizenz nicht verlängert, daher sind die NFTs jetzt alle wertlos, die die verkauft hatten.
Nicht dass das eine große Rolle spielt, weil der "Markt" eh seit zwei Jahren tot ist.
Circle, BlockFi, Pantera Capital, NYDIG and others suffered a data breach over the weekend through HubSpot, a vendor that stores users’ names, phone numbers and email addresses for marketing purposes.
Hey, das sind doch Leute, denen du deine Finanzen anvertrauen willst!1!! (Danke, Peter)
Poor research practice suggests that the true impact of homeopathy may be substantially overestimated, finds an analysis of the current body of evidence on the effectiveness of this type of complementary medicine
Das hat bestimmt die CIA herausgefunden! Die finden ja alles raus. Alles finden die raus!Many clinical trials haven’t been registered, with the main outcome changed in a quarter of those that have been. And many remain unpublished. All this indicates “a concerning lack of scientific and ethical standards in the field of homeopathy and a high risk for reporting bias,” say the researchers.
Na komm, wieso sollten die Ergebnisse publizieren, die keine Wirkung nachweisen können? Dann könnte man ja daraus schließen, dass das gezielter Betrug ist, bei Homöopathie eine Wirksamkeit zu behaupten!1!!Außerdem entspräche das wissenschaftlichen Normen. Seit wann macht "Alternativmedizin" DAS denn? Noch nie! Sonst gäbe es sie nicht.
Komm, hier, nimm noch einen Löffel potenziertes Schlangenöl. Hilft gegen Impotenz und Haarausfall.
Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten.Ach. Ach was.
Das fällt euch jetzt auf?
Oder ist das erst jetzt ein Problem für euch, wenn ausländische Firmen eine verschlüsselte privilegierte Hintertür in alle Systeme der deutschen Industrie haben?
Hätte uns doch nur jemand rechtzeitig gewarnt!!1!
Vielleicht ist jetzt der richtige Moment, um mal ein bisschen die Gründer der Player zu googeln. Der Gründer von Mandiant kommt von der US Air Force. Crowdstrike wurde einem Russen gegründet.
Wie wäre es mit McAfee? Ein für seinen krassen Drogenkonsum und seine Herumhurerei bekannter Playboy?
Fireeye wurde von einem Pakistani gegründet. Ist das vertrauenswürdiger als ein Russe?
Bitdefender kommt aus Rumänien, ESET aus der Slovakei. Kann man da annehmen, dass die unbestechlich und unkorrumpierbar sind?
Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.Oh und das kann in anderen Ländern nicht passieren?!
Hey, ich hab eine radikale Idee. Wie wäre es, wenn ihr einfach gar keinem eine privilegierte Backdoor in alle eure Systeme gebt?
Von Trend Micro gar, die hier schon mehrfach zu Gast waren mit ihrer unterhaltsamen Produkt"qualität"?
Money Quote aus dem Advisory:
The Trend Micro Deep Security Agent does not perform proper input sanitization, which allows a local unprivileged attacker to inject and run code as `root` user.Nein nein, Fefe, Schlangenöl erhöht gar nicht die Angriffsoberfläche, wie du seit Jahren gebetsmühlenartig ausführst!!1!
Da wächst zusammen, was zusammen gehört.
Das war mit Ansage im Juli oder so. Ein halbes Jahr lang ist das jetzt bekannt.
Hatte ich das nicht sogar schon im Blog? Ja, hatte ich.
Daraufhin hat der Kunde bei Microsoft herumgemeckert. Microsoft hat ihnen dann erklärt, dass das so nicht funktionieren kann. Und außerdem macht man das so nicht, das sieht ja aus wie etwas, das ein Virus machen würde.
Daraufhin der Kunde so:
The customer liaison explained that it’s quite the opposite: The customer is a major anti-virus software vendor! The customer has important functionality in their product that that they have built based on this technique of remote code injection, and they cannot afford to give it up at this point.
Ja. Überrascht mich ehrlich gesagt überhaupt nicht. Ich kann da wegen NDA immer keine Details ausplaudern, aber wenn ich gegen die Schlangenölbranche wettere, dann ist das nicht bloß ein Bauchgefühl, soviel kann ich euch versichern.Das ist wie bei Pispers' Antiamerikanismus :-)
Was soll die tun? Erkennen, wenn der PC angegriffen wird, und dann die Heuristiken hochtunen. Klar haste dann auch lauter False Positives, die den Admin ablenken, aber irgendwas ist ja immer.
Und wisst ihr was? Die Unternehmen werden ihnen das mit abkaufen. Na klar! Lieber noch eine Decke aus magischen Schlangenöl-Globuli drüberpacken als dass irgendwer mal drüber nachdenkt, sein Verhalten zu ändern. Nein, nein, wir fahren weiter Windows mit Office und Active Directory. Wie alle anderen. Und wenn wir dann hopsgenommen werden, dann zeigen wir auf Defender und sagen: Schaut her, wir haben doch alles getan!!1!
Und unser Staat befördert das auch noch, indem das BSI und Bafin den Einsatz von Schlangenöl explizit empfehlen oder gar vorschreiben. Klar hilft das nichts. Aber wir können nachher sagen, wir hätten was getan.
Außer natürlich man ist da Kunde.
Aber dasselbe Muster gibt es auch anderswo! Die Cops nehmen auch seit Jahren immer wieder plakativ den größten Warez-Server vom Netz, und jetzt aktuell irgendwelche Ransomware-Gangs, und da wird dann auch immer erklärt, es sei das größte Cybercrime-Ding der Welt gewesen.
Ich würde also gerne mein Muster erweitern. Nur gibt es in beiden Fällen keine offensichtlichen Top-Täter wie bin Laden. Was also tun?
Auf Drogenbusts könnte man das eigentlich auch mal anwenden, und auf Waffenlager.
Nach wem benennen wir das also am besten? Fangen wir aus aktuellen Anlass mit den Ransomware-Busts an. Die heißen ab jetzt: Sie haben die rechte Hand Putins erwischt:
Während in Deutschland eine Stadtverwaltung nach der anderen von Verschlüsselungserpressern lahmgelegt wird, wurde das gefährlichste dieser kriminellen Syndikate von US-Strafverfolgern, Geheimdiensten und europäischen Polizeibehörden zerschlagen.Da könnte man jetzt Einwände haben.
Kommt in der Praxis nicht vor. Es waren IMMER die Russen. Gerade wenn nicht dransteht, dass es die Russen waren, wissen doch alle: Es waren doch die Russen. So haben wir die Bevölkerung jetzt konditioniert, so ist es also ab jetzt.
Da mache ich mir im Moment nicht viel Sorgen, aber selbst wenn. Das hat uns bei bin Laden ja auch nicht gestört.
Finde ich nicht gut. Erstens will ich diesen Attribuierungsscheiß nicht noch validieren, indem ich deren Narrativ übernehme. Zweitens kapiert das außerhalb der Branche niemand.
Stimmt inhaltlich auffallend, aber zu der Transferleistung sind glaube ich da draußen viele nicht fähig und das funktioniert auch nur, wenn du den Namen schonmal gehört hast.
Weitere Vorschläge nehme ich unter der bekannten E-Mail-Anschrift entgegen.
Aber mir glaubte ja nie jemand, wenn ich sagte, Code Signing sei Schlangenöl.
Ja wie kommt das eigentlich, fragt sich vielleicht der eine oder andere. Deutschland war ja mal führend in Sachen IT-Sicherheit. Nicht zuletzt deshalb, weil bei uns das Studium keine Studiengebühren hatte und man keinen Stress bekam, wenn man ein paar Semester länger studierte, weil einen noch etwas interessierte, und man da noch ein bisschen Zeit mit verbringen wollte. Deutschland hatte einige der besten Security-Leute auf dem Planeten!
Dann hat die CDU der Reihe nach alles kaputtgealtmaiert.
Erst haben sie Hacken verboten, dann Hackertools verboten, dann offene WLANs mit dem Urheberrecht weggeschossen. Studiengebühren eingeführt. Tja und dann stellte sich völlig überraschend heraus: Die existierenden Leute mit Fachkompetenz wollen diesem Scheißstaat nicht freiwillig helfen, nicht mal bezahlt. Den Nachwuchs hat die Regierung ja mit den ganzen Maßnahmen abgetrieben. Völlig überraschend ist man jetzt ein Land der Ahnungslosen, die Regierung muss ihre Staatstrojaner (und Firewalls und Router) im Ausland kaufen, und sämtliche "Erkenntnisse" sind unprüfbares Hörensagen aus den USA.
Warum erwähne ich das? Weil es gerade mal wieder einen Swatting-Fall gab. Einer der letzten noch nicht verprellten Security-Leute findet eine krasse Lücke, meldet sie wohlmeinend dem Hersteller, und kriegt dann von diesem Staat auch noch ein SWAT-Team in die Wohnung geschickt, das ihm sein Arbeitsgerät wegnimmt.
Ja super! Wisst ihr, wer euch ganz sicher nicht helfen wird, wenn ihr das nächste Mal ein Problem habt? Dieser Typ.
Mich habt ihr als Helfer ja schon vor Jahren verloren. Das muss jetzt einmal so richtig krachen, bevor ich auch nur in Erwägung ziehe, irgendjemandem in diesem Staat zu helfen.
Baut ihr mal weiter Zertifizierungs-Schlangenölpipelines mit dem BSI auf. Und setzt alle schön Windows, Active Directory und Outlook ein. Hey, was setzt eigentlich das BSI ein? Fragt lieber nicht, die Details könnten die Bevölkerung verunsichern.
Ich wundere mich über kein einziges der Blockchain- und KI-Projekte gerade. Na klar fördern die Blockchain und KI und Biometrie-Datenbanken. Die haben keinen einzigen Berater mehr gefunden, der auch nur den Hauch einer Ahnung hat.
NA KLAR glauben diese Vollpfosten dann den Amis, dass man Cyberangriffe zurückverfolgen kann, und dass das zufällig nie die Amis waren. Der Russe war's!!1!
Update: Weil hier gerade neue Leser aufschlagen: Altmaiern versuche ich gerade als Begriff für vorsätzliche Zerstörung von für die Gesellschaft nützlichen und/oder überlebenswichtigen Dingen zu etablieren. In Anlehnung an seine "Arbeit" zum Rückbau von Solar und Wind. Das impliziert nicht, dass Altmaier persönlich involviert war, nur dass das Ausmaß der Zerstörung grob mit Altmaiers Taten vergleichbar ist.
Also den Teil, der offensichtlich kriminell ist. Den wollen die Ransomware-as-a-Service-Anbieter lieber nicht selber machen.
Ja, äh, warte mal. Wenn du so einen RaaS-Dienst anbieten würdest, und deine Kunden wären alles Kriminelle, was hält dich dann eigentlich ab, die über den Tisch zu ziehen? Wieso würdest du die eingenommenen Lösegelder in der versprochenen Höhe mit deinen "Kunden" teilen?
Stellt sich raus: Diese Idee kam auch den RaaS-Leuten. :-)
Cyber criminals using a ransomware-as-a-service scheme have been spotted complaining that the group they rent the malware from could be using a hidden backdoor to grab ransom payments for themselves.
Was für eine Gemeinheit!! Man findet aber auch kein vertrauenswürdiges Personal mehr!
Da brauche ich auch noch einen Blick auf die andere Schlangenölbranche.
Oh Mist. Das war kontraproduktiv. Jetzt hab ich noch schlechtere Laune.
Ich traue mich gar nicht, den Artikel zusammenzufassen. Das ist so ein Feuerwerk aus Money Quotes. Wenn ich eines wählen sollte, wäre es das hier:
Die Staatsanwaltschaft Münster geht jedoch davon aus, dass die Kryptowährung Onecoin nie existiert hat.LOL! (Danke, Bartosz)
Jodtinkturen sind eigentlich eine feine Sache. Helfen prima gegen Tetanus und andere Bakterien und sogar ein paar Pilze. Gegen Viren hilft Jod nur sehr bedingt.
Jod zu gurgeln ist aber keine gute Idee, das ist für externe Anwendung. Wenn man das einnimmt, dann kann das die Schilddrüse schädigen oder Autoimmunkrankheiten befördern.
Wenn man Jod einnimmt, dann weil ein Facharzt das verschrieben hat, nicht weil man im Internet was gehört hat!
Wir sollten mal einen Wettpool aufmachen, was das nächste Wundermittel ist. Und wieviel Wundermittel die verschleißen müssen, bevor sie merken, dass sie von unseriösen fahrenden Schlangenölhändlern verarscht werden.
Nee, keine Schlangenöl-Links ... wobei. Auf eine Art ist das ja auch Schlangenöl.
Cory Doctorow ranted seitenweise, wie pleite Uber ist und dass das von Anfang an bloß kreative Buchführung war. (Danke, William)
Bisher ist die einzige Gruppe, die dieses Feature nachfragt, Leute, die ihr Unternehmen in die Cloud geschoben haben, und denen dann auffällt, dass sie eigentlich keinen Grund haben, dem Cloud-Betreiber zu vertrauen. Die wollen dann Schlangenöl zum beruhigen ihrer inkompetenten Schlipsträger haben.
Heute gibt es mal wieder ein schönes Beispiel: Microsoft hat ein paar Rootkits signiert.
Wieso würde man auch annehmen, dass das nicht passieren kann? Was ist hier die Erwartungshaltung? Dass Microsoft alle Treiber disassembliert und reverse engineered und dann nach alle Schwachstellen findet? Das schaffen die ja nicht mal mit ihren eigenen Komponenten, und da haben sie den Quellcode!
Mit anderen Worten: Wer das dafür verkauft, ist ein unseriöser Schlangenölverkäufer.
Ist euch auch schon aufgefallen, dass bei allen Blockchainprojekten IBM dran steht?
Hatten die nicht mal sowas wie einen Ruf?
Blockchain kann die Integrität sichern, wenn die Submitter ein Interesse daran haben, richtige Daten einzureichen. Und auch dann nur unter Vorbehalt. Und nur wenn es eine globale Blockchain ist. "Private Blockchains" sind aus Prinzip schon Schlangenöl.
New hotness: Das Schlangenöl ist der Crypto-Miner. (Danke, Simon)
Cuomo’s office announced on March 2 that testing had begun on the joint IBM system, known as Excelsior Pass. The “pass” itself is a smartphone app that displays a QR code to be scanned before entering an indoor business or other public gathering place; when verified by another device, it attests that the bearer has been vaccinated against Covid-19 or received a recent negative test result.
Na? Kommt euch das bekannt vor?Nicht wirklich, oder? Ist noch nicht bullshittig genug.
Blockchains are typically public, their contents transparent to anyone with an internet connection, but the one behind Excelsior Pass will be private, meaning only parties sanctioned by IBM will be able to check the contents.
Ah, jetzt!Gut, ist noch nicht Bullshit genug für 5 Blockchains, aber private blockchain ist an sich eigentlich schon kaum noch steigerbar in Sachen Bullshitdichte.
Wer das Memo noch nicht gekriegt hat, wieso private blockchain Schlangenöl ist, das von unseriösen Bullshit-Künstlern verkauft wird: Ich hatte das mal in diesem Folienset gegen Ende erklärt. Blockchain ist ein Konsensfindungsverfahren für eine dezentrale Datenbank zwischen Teilnehmern, die sich gegenseitig nicht trauen und finanziellen Anreiz haben, sich gegenseitig zu bescheißen. Wenn IBM hier eine "private Blockchain" macht, haben sie entweder nicht verstanden, was eine Blockchain ist, oder sie belügen dich, um dir unnötigen Tand anzudrehen. Funktionell ist eine "private Blockchain" dasselbe wie ein Server mit einer SQL-Datenbank, nur deutlich weniger flexibel in der Benutzung.
Ist euch zu fundamental, meine Kritik? Kein Problem:
“There is zero reason for blockchain to be involved in this problem,” said Matthew Green, an associate professor of cryptography at Johns Hopkins University and the creator of Zerocash, a software protocol designed to improve the privacy of the Bitcoin blockchain. “Blockchain solves a very specific problem around not trusting people, and the problem with this vaccine stuff is you do trust people; you have to trust the data being entered into the blockchain is an actual trusted reflection of who’s vaccinated or not.”
Ich hatte den auch kurz im Blog.
Ich bin bei solchen Leuten immer daran interessiert, mal zu sehen, wie die aussehen, was für ein Typ die sind. Falls es euch auch so geht: Der hat gerade einen Video-Podcast mit Bret Weinstein aufgenommen.
Das könnt ihr euch ja mal angucken. Ich halte den immer noch für einen Schlangenölhändler, der hier gerade die Konkurrenz zu seinem Schlangenöl kleinzureden versucht.
Das ist ja schonmal grundsätzlich eine ganz schlechte Idee, weil es Signal zu einem Ziel für Scammer macht. Im Moment ist es nur ein Ziel für Geheimdienste. Schlimm genug.
Aber Signal baut nicht nur Payments ein. Nein, nein! Signal baut Blockchain ein.
Das ist der letzte Sargnagel. Ich habe schon aufgehört, Signal zu empfehlen, seit sie dieses desaströse Pin-Update eingebaut haben. Inhaltlich hat das bedeutet, dass sie dein Telefonbuch in die Cloud hochladen. War nicht so klar kommuniziert, aber das war das. Sie machen eine Packung Bullshit-Voodoo über deine Pin, dann verschlüsseln sie damit dein Telefonbuch, und dann laden sie es in die Cloud hoch.
Weil Smartphones sich überhaupt nicht für die Eingabe von Text oder Passwörtern eignen, ist die Pin entweder unbrauchbar, weil man sie nicht eingegeben kriegt, oder sie ist unbrauchbar, weil sie zu wenig Entropie hat und auf dem Server einfach durchprobiert werden könnte.
Und Signal hat diese verkackte Pin nicht Opt-In gemacht sondern einmal allen aufgezwungen. Das war der Moment, seit dem ich Signal nicht mehr benutze.
Aber jetzt? Auch noch ein Blockchain-Bullshit-Sandwich draus machen?
Und nicht mal eine echte Blockchain sondern so ein Voodoo-Handwaving-Hybrid-Schlangenöl.
Ich habe mir das letztes Jahr mal näher angeguckt. Das gesamte Ding fußt auf Intel SGX. Das ist Intels Enklaven-Voodoo-Tech. Laut Signal funktioniert das so: Deren Krypto-Blockchain-Voodooware ist Open Source und du kannst sie selber bauen. Dann kannst du davon eine kryptografische Checksumme nehmen. Dann fragst du einen proprietären unprüfbaren closed-source Cloud-Dienst von Intel, und der sagt dir dann die Checksum von dem Kram in der SGX-Enklave. Dann kannst du sehen, dass die Software unmodifiziert war.
Woher weiß denn der proprietäre unprüfbare closed-source Voodoo-Dienst von Intel in der Cloud die Checksumme von der Software in der SGX-Enklave? Nun, der verlässt sich auf proprietäre unprüfbare closed-source Voodooware von Intel in deiner Intel-CPU (in der Management-Engine, die Intel allen Kunden unausschaltbar aufzwängt) mit SGX.
Ihr merkt schon: Lange hat mich nicht mehr ein Konzept so dermaßen wenig überzeugt. Die Anzahl der Schichten an "guck hier mal nicht so genau hin"-Level Krypto ist atemberaubend. Die Humanisten unter euch werden die Wortbedeutung von Krypto kennen und an der Stelle die Ironie genießen, dass Krypto-Voodoo hier als Flimflam-Zutat für ein Bullshit-Cocktail aus wilden Ablenkungs-Handbewegungen hergenommen wird, das man sonst nur von Hütchenspielern und Bühnenzauberern kennt.
Ach komm, Fefe, werdet ihr jetzt sagen. Intel ist doch vertrauenswürdig! Ach ja? Intel, wir erinnern uns, musste mehrere Milliarden Entschädigung an AMD blechen, weil sie sie mit unfairen Methoden zu behindern versucht haben. Intels Compiler erzeugte jahrelang (bis heute?) Binaries, die auf AMD-Prozessoren künstlich mit angezogener Handbremse liefen. Und DIE sollen jetzt die Grundlage für unser Vertrauen in Signal sein?!
Aber Fefe, sagt ihr jetzt vielleicht, Intel hat doch gar keinen Anreiz für Beschiss an der Stelle!!1! Ach ja, ist das so? Wir reden von einem fucking Payment-Dienst! Wer da bescheißen kann, kann sich anderer Leute Geld überweisen! Da seht ihr keinen Anreiz?!
Nee, sorry. Signal hat über die Jahre eine Menge Vertrauen aufgebaut. Das ist jetzt weg.
Oh, übrigens, erwähnte ich, dass deren "Open Source"-Serverkomponenten seit nem Jahr nicht mehr geupdated wurden? Und auf deren Servern andere Software läuft als was sie im open source-Repo veröffentlichen?
Ja, äh, klar stinkt das, aber komm, wir schmieren da jetzt ein paar Lagen Krypto-Blablah drüber und dann decken wir das mit einer Decke unvertrauenswürdigen Intel-Versprechungen zu. Hier, noch ein bisschen Pseudo-Open-Source-Parfüm drübergespritzt, dann riecht man das gar nicht mehr so!1!!
Ich habe ja neulich schon bei der Meldung zu den hopsgenommenen Krypto-Messengern angedeutet, dass in Zukunft die wichtigste Eigenschaft von Krypto-Messengern sein wird, ob sie auch dann noch vertrauenswürdig einsetzbar sind, wenn die Infrastruktur von schattigen Behörden oder Geheimdiensten oder Kriminellen übernommen wurde.
Alle Messenger, die dich nicht selber Key-Management über QR-Codes o.ä. machen lassen, sind direkt durchgefallen. Dazu gehört leider auch Signal.
Ich persönlich schiebe die Schuld an dieser ganzen Misere ja den Sprallos in die Schuhe, die seit Jahren PGP madig reden. PGP ist die einzige fucking Krypto-Software, die explizit mit dem Ziel entwickelt wurde, dass du nicht dem Netz, nicht der Cloud, nicht irgendwelcher von Dritten betriebenen Infrastruktur glauben musst, sondern zur Not alles zur Hand bootstrappen und betreiben kannst. Diese ganze Hipster-Kacke, die heute unter Krypto läuft, kannst du alles einmal in der Pfeife rauchen. Ja, auch Browser-Krypto. Oder hat jemand von euch schonmal manuell Zertifikats-Hashes im Browser verglichen? Und dann verstanden, dass nächstes Mal ein anderes Zertifikat kommen könnte und man das bei jeder HTTPS-Verbindung einzeln verifizieren müsste eigentlich?
Ja, kommt, ihr Apple-Hipster. Erzählt mir mehr darüber, wie man ordentliche Krypto macht. Aber aber aber Signal ist doch viel einfacher zu bedienen!!1! Ja, der bedient sich sogar ganz von selbst und lädt deine Daten in die Cloud hoch!
Apropos Signal. Lacher am Rande. Bei dem Facebook-Datenreichtum ist ja auch der Datensatz von Mark Zuckerberg drin gewesen. Jemand hat die Telefonnummer in sein Adressbuch eingetragen. Und wisst ihr, was als nächstes passierte? Signal hat ihm gesagt: Zuckerberg ist auf Signal! Connect with him! Wie, ach, das habt ihr gar nicht auf dem Schirm gehabt als mögliches Privatsphäreproblem?
Na sowas.
Sic transit gloria mundi.
Update: Oh, guck mal einer schau. Signal hat gestern abend den Open Source Serverteil aktualisiert. Ein Schelm, wer Böses dabei denkt!
Update: Bei Signal kann man übrigens Kontakte manuell verifizieren. Ja, sogar mit QR-Code. Weiß nur keine Sau, weil das so geschickt in der UI verborgen ist. Haben sie irgendwann nachgerüstet und keiner hat's gemerkt. Man geht in die Kontakte-Liste, dann öffnet man einen Gesprächsverlauf mit jemandem, dann geht man im Menü auf Conversation Settings, dann scrollt man runter, denn diese unwichtige Randgruppenoption ist die letzte in der Liste: View Safety Number. Wenn man da raufgeht, dann kommt ein Screen namens Verify Safety Number. Dann muss man nur noch ein paar Jungfrauen in einem Pentagramm opfern und lateinische Inkantationen sprechen.
Und zwar haben die ein "Alkoholschloss", bei dem der Fahrer negativ testen muss, bevor er losfahren darf. Das haben die Helden bei einem privaten Anbieter gekauft, und es ist cloudbasiert und man muss sich einloggen (wegen … hey warum nicht?! Ist modern!1!!) und hat gerade einen Ausfall.
Bonus: Der Hersteller heißt auch noch Dignita (lat. dignitas = Würde). Ja, klar, so ein erzwungener Alkoholtest, das ist geradezu ein Fanal der Würde!
Bei der Gelegenheit will ich mal kurz einen Rant raushauen, an dem ich mich schon länger reibe. "Deutsche Unternehmen wollen ihre Netze modernisieren". NEIN! Hört endlich auf mit dem "modernisieren"! Modernisieren ist das neue Harmonisieren und davor war es das Reformieren! Das ist alles Geldverbrennung, solange ihr immer nur dieselben Fäkalien einmal durchrührt.
Das Ziel ist nicht "modern". Das Ziel ist "ordentlich". Macht es einmal ordentlich! Scheißt auf Konventionen und Zeitungen und Schlangenölverkäufer, die euch irgendwelche Bullshit-Trends reindrücken wollen. Ihr braucht keine Blockchain, keine Microservices, kein Node.js, ihr braucht keine verteilten Systeme, kein Kubernetes. Ihr braucht keine Key-Value-Stores mit "eventual consistency". Ihr braucht keinen Message Bus, kein MongoDB, ihr braucht nichts von dem ganzen Scheiß. Was ihr braucht ist ein klares Konzept, eine ordentliche Anforderungsdefinition, ein Verständnis dafür, was ihr eigentlich erreichen wollt. Ein Verständnis für das Umfeld, in dem eure Lösung arbeiten soll.
Ich glaube ja, ich habe jahrelang einen Fehler gemacht, als ich Software Engineering und Software Development für synonym gehalten habe. Die Agile-Fraktion versteht unter Software Development eher sowas wie Film Development. Nicht den Architekten, der eine Brücke baut. Eher einen Naturfilmer, der einem Korallenriff beim Wachsen zuguckt. Agile sieht in der Praxis für mich immer mehr nach Merkel-Politik aus. Man wartet solange, bis das Umfeld nur noch eine alternativlose Option offen lässt, und die macht man dann. Da kommt dann halt kein Diamant raus sondern eher ein Broccoli.
Der Ingenieur sieht seine Aufgabe darin, das Gerüst zu schaffen. Der Entwickler hat einen Film, auf dem die Fotos schon drauf sind, und sieht es nicht als seine Aufgabe, dass da am Ende was brauchbares rauskommt. Aus dessen Sicht sind die Würfel schon gefallen.
Gut, ein bisschen Ingenieur ist auch in den meisten Developern drin, daher versucht dann jedes Team nochmal eigene Freiheiten herbeizudefinieren, innerhalb derer sie Dinge besser als das bescheuerte andere Team da drüben regeln können. So hat dann jeder einen eigenen Server in einer eigenen JVM in einem eigenen Container, zieht all die Dependencies nochmal in Kopie rein, hat am besten auch nochmal eine private Datenhaltung in der eigenen Datenbank, loggt am besten auch nochmal auf die eigene Platte, und es gibt eine eigene Gruppe an Admins, die für die Administration zuständig ist. So blüht dann auf jedem Server aus dem Bakterienschleim eine schöne Eiterblase, und am Ende sieht das aus wie ein Broccoli beim Reifen. Jedes Team eine eigene Blüte, und alle konkurrieren sie um Einfluss im Strunk, der mit dem Gewicht des Gesamtkonstrukts überfordert ist. (Danke, Philipp)
Aber die andere Seite der Medaille ist, dass Microsoft immer noch Monate bis Jahre zum Fixen von Bugs braucht, und wenn dann ein Bug leaked, bevor sie einen Fix haben, dann holen sie die große Bullshit-Rhetorik raus. Die sind auch treibende Kraft hinter diesem "responsible disclosure"-Scheiß, die einfach so tut, als sei das Veröffentlichen des Exploits hier der Teil, bei dem jemand unverantwortlich handelt! Nein, ist es nicht. Der unverantwortliche Teil war, die kaputte Software überhaupt erst an die Kunden auszuliefern. Insbesondere, wenn die dafür auch noch Geld gezahlt haben!
Tja, und als Microsoft dann Github gekauft hat, haben schon die ersten Cassandras gemeint, dass dann wohlmöglich demnächst Schluss ist mit Security-Kram auf Github veröffentlichen. Haben die meisten nicht wahrhaben wollen, aber jetzt ist es nicht mehr zu leugnen. Github hat einen Proof of Concept Exploit für das Exchange-Problem gelöscht, weil es angeblich ihre Acceptable Use Policies verletzt habe.
Ich weiß nicht, ob die Konkurrenz da besser ist. Github ist ja auch schon durch den Rauswurf von Entwicklern aus dem Iran negativ aufgefallen, und ein besoffenes Hackertoolverbot haben wir ja hier auch in Deutschland.
Wenn wir jetzt ernsthaft das Narrativ etablieren, dass Proof of Concept Exploits etwas böses sind, dann ist bald ganz aus mit Security. Dann heißt Security nur noch Blockchain und Schlangenöl. Schon heute wird unter Security viel zu häufig "aber wir haben doch HTTPS" und "aber wir haben doch ACLs" verstanden, oder, was noch weiter das Thema verfehlt: "aber wir haben doch Telemetrie" und so Tausch von IoCs, wie man früher Fußball-Aufkleber fürs Sammelalbum auf dem Schulhof getauscht hat. Keiner wusste, warum man das eigentlich sammeln sollte, und einen Zweck (außer die Kids an Glücksspielsucht heranzubringen) hatte das auch keinen, jedenfalls nicht für den Sammler.
Das geht echt alles zusehends vor die Hunde.
A command injection vulnerability in the license-check daemon of Juniper Networks Junos OS that may allow a locally authenticated attacker with low privileges to execute commands with root privilege.
Der Einsender kommentiert:Diese Arten von Vulnerabilities sind die Besten: Wenn DRM und Lizenzkram am Ende den Kopf kosten.Geht mir genau so. Das wird nur noch getoppt von Remote Code Execution in Schlangenöl.
Tracked as CVE-2021-1647, the vulnerability was described as a remote code execution (RCE) bug that allowed threat actors to execute code on vulnerable devices by tricking a user into opening a malicious document on a system where Defender is installed.
War das nicht die Software, die man einsetzt, damit man geschützt ist und auf Dokumente draufklicken kann, weil das Schlangenöl die Malware rausfiltert?Frage für einen Freund.
Ich hatte ja schon erzählt, dass sie ihr FTP-Passwort auf Github in ein öffentlichen Repository eingecheckt hatten.
Stellt sich raus: Das war gut getarnt. Es war "solarwinds123". Wenn das jemand in einem Repo findet, geht er doch mit Sicherheit davon aus, dass das ein Fake-Passwort ist, ein Dokumentations-Stellvertreter. Niemand wäre so dermaßen inkompetent, DAS als Passwort zu nehmen!
Ja gut, aber das FTP-Passwort reicht ja noch nicht, um den Buildserver zu kompromittieren. Oh warte, auch auf dem Buildserver war das Passwort solarwinds123 (war der Updateserver, nicht der Buildserver). Und wenn dir das zu kompliziert ist: Der User "nobody" hat auch Zugang zum Buildserver und wird nicht nach einem Passwort gefragt. (das war ein Missverständnis, damit war Citrix gemeint)
Gut, der CEO muss weg. Keine Sorge, ist in Arbeit. Sein Nachfolger steht auch schon fest:
Sudhakar Ramakrishna, the former chief executive of Pulse Secure.
Pulse Secure? Nenn micht altmodisch, aber von einer Firma mit diesem Track Record würde ich niemanden einstellen wollen.Auf der anderen Seite ist das bei Solarwinds wahrscheinlich auch egal. Die hatten die trojanisierten Updates auch Tage später noch auf ihrem Updateserver online.
Lustigerweise hatte Solarwinds als Best Practices dokumentiert, dass man ihren Scheiß beim Schlangenöl ausschließen soll. Nicht dass das Schlangenöl was gebracht hätte, klar, denn die DLLs waren ja digital signiert, und Schlangenöl skippt gewöhnlich digital signierte Dateien. Denn die sind ja digital signiert!1!! (Mal abgesehen davon, natürlich, dass Schlangenöl grundsätzlich nicht funktioniert)
Update: OK da läuft gerade einiges durcheinander. Das war nicht der Buildserver, von dem Reuters berichtet hat, sondern der Updateserver. Das klingt als sei es dasselbe, ist es aber nicht. Der Buildserver ist die Kiste, die den Quellcode nimmt, den Compiler anwirft, Binaries erzeugt, und die dann signiert. Der Updateserver ist ein FTP-Server irgendwo, auf dem die Dateien dann zum Download liegen. Mit dem Passwort zum FTP-Server wäre also geklärt, wie man da Fake-Updates aufspielt, aber nicht wie man eine korrekte digitale Signatur aufbringen konnte. Dieser Key liegt im Allgemeinen nicht auf dem Updateserver. Gut, auszuschließen ist das natürlich auch nicht, bei einer Firma, die "firmenname123" als Passwort nimmt.
Das Statement von Microsoft zu der Nummer liest sich übrigens nochmal deutlich apokalyptischer, die reden da von dem SAML-root-Cert, mit dem man beliebige andere SAML-Tokens ausstellen kann, die dann Zugriff unter einem beliebigen Account auf beliebige Geräte in der Firma haben. Das ist sozusagen der absolut schlimmste denkbare Fall, was jemand in die Hände bekommen kann. Das liegt auch nicht auf dem Buildserver sondern noch weiter hinten in der Infrastruktur. Mit diesen SAML-Tokens kamen die dann nicht nur innerhalb der Firma an alle Infrastruktur ran sondern auch auf alle deren Cloud-Infrastruktur. SAML ist die Basis für Single-Sign-On-Infrastrukturen. Die Tokens sehen dann aus wie normale Tokens. Wenn sowas einmal passiert ist, kannst du auch nicht mehr den Checkins in den Repositories trauen. Laut SEC Filing hatten die Angreifer diese Art von Totalzugriff seit März. Die Firma kannst du nur noch planieren und komplett neu aufsetzen nach sowas.
Im Übrigen gilt das im Prinzip auch für alle Kunden von denen. Denn mit so einer Monitoring-Software würdest du ja alle Server monitoren wollen, inklusive deiner eigenen SSO-Infrastruktur. Im Grunde kannst du da jetzt nur mit der großen Abrissbirne einmal die gesamte Kundenbasis von denen zum Parkplatz machen und dann nochmal von 0 anfangen und neue Gebäude bauen. (Danke, Kris)
Da gibt es drei wichtige Fragen.
Erstens: Wie kommt man rein?
Zweitens: Wie kommt man die Daten ran, ohne dass es auffällt?
Drittens: Wie kriegt man die Daten rausgeschickt, ohne dass es auffällt?
Gehen wir da doch mal systematisch ran. Wie kriegt man am besten Software in eine Firma? Wenn die Firma das selbst aufspielt! Und was spielen Firmen selber auf? Na Updates für ihre gekaufte Software! Ich erinnere mich dunkel, seinerzeit vor automatischen Updates als Angriffsvektor gewarnt zu haben, aber auf mich hat ja wie üblich niemand gehört. Anstatt Software so zu bauen, dass sie keine Updates braucht, hat die Industrie im Gegenteil auf möglichst viele Updates in möglichst kurzem Abstand optimiert.
Gut, also. Unser Geheimdienst sucht sich also eine Software, die die Firmen eh schon installiert haben, und hackt sich da in den Updatemechanismus rein.
Bleibt die Frage, wie die Malware dann an die Daten kommt? Am einfachsten ist es, wenn die Software, deren Updater wir übernommen haben, selber dafür da ist, an alle Daten ranzukommen. Die optimale Lösung wäre ein Schlangenöl, aber alles, das mit Monitoring zu tun hat, funktioniert auch prächtig. Am besten wäre die Monitoring-Komponente von einem Schlangenöl.
Gut, bleibt die Frage, wie man die Daten aus dem Netz des Opfers rauskriegt. Im Allgemeinen merken Leute nicht, wenn aus ihren Netzen Sachen auch in großem Volumen rausgeschickt werden, außer das Volumen ist so groß, dass der Rest der Anwendungen ruckelt oder Fehler wirft. Aber heutzutage ist so viel Cloud Computing, dass man selbst großvolumige Exfiltration problemlos einfach machen kann, solange die Gegenseite nach einem Clouddienst aussieht, am besten sowas wie Dropbox oder Sharepoint oder Onedrive oder so.
Warum erzähle ich das alles? Genau das ist passiert. Die Monitoring-Software heißt Solarwinds Orion. Über diese Software sind "die Russen" (nein, wirklich!) auch bei Fireeye reingekommen. Fireeye, wir erinnern uns, behauptet, sich mit Security auszukennen. Und setzt dann eine externe Monitoring-Software ein. Und merkt monatelang nicht, wie ihre Daten rausgetragen werden. Und gelten immer noch als Security-Experten!! Nicht nur das, die versuchen das gerade in eine PR-Op umzuwandeln, genau wie Heise damals, als sie von Emotet hopsgenommen wurden.
Was ich an der Stelle mal herausstellen will: Die Industrie setzt gerade in großem Stil auf Code Signing als Lösung gegen Malware. In diesem Fall war die Malware von Solarwinds signiert. Code Signing ist Schlangenöl!
Update: Übrigens, Spaß am Rande: Offenbar gab es da den einen oder anderen Insiderhandel in der Führungsriege von Solarwinds. Hey, von so einer Firma willst du doch deine Monitoring-Software kaufen!
Update: Solarwinds hatte ihre FTP-Zugangsdaten wohl in einem öffentlich Github-Repo veröffentlicht. Also mit so viel Niedertracht bei den Russen konnte ja wohl niemand rechnen. Gehen die öffentliche Github-Repositories durch und suchen nach Passwörtern! Haben die denn gar keine Scham!?!?
Die sind neulich gehackt worden. Und was haben die Angreifer da rausgetragen?
During our investigation to date, we have found that the attacker targeted and accessed certain Red Team assessment tools that we use to test our customers’ security.
Deren Angriffstools!Hey, genau wie bei der CIA damals! Und der NSA!
Das ist jetzt nicht gerade die Art von Nachricht, mit der man sich an seine Kunden richtet, daher haben sie da ein schönes Shit-Sandwich gebaut. Die Einleitung ist:
FireEye is on the front lines defending companies and critical infrastructure globally from cyber threats.
Und am Ende steht das hier:Every day, we innovate and adapt to protect our customers
Falls ihr das Konzept nicht kennt: Das ist ein "Life Hack", wenn man schlechte Nachrichten hat, aber den Gegenüber für einen jähzornigen Vollidioten hält, entweder mit der Selbstkontrolle eines trotzigen Kleinkindes oder mit der Rationalität eines Demenzpatienten im Altersheim.Dass Fireeye diese Taktik hier mit ihren Kunden pullt, das ist eine recht deutliche Aussage darüber, was Fireeye von ihren Kunden denkt.
Ich für meinen Teil glaube, dass sie da völlig Recht haben. Leute, die sowas kaufen, würde ich auch nicht für zurechnungsfähig halten.
Old and busted: Homomorphic encryption (du kannst sorglos Datenbank in der Cloud machen, ohne dass jemand die Daten abgreifen kann).
New hotness: "InstaHide" (du kannst sorglos neuronale Netze veröffentlichen, ohne dass jemand deine Trainingsdaten rekonstruieren kann).
Es gilt halt immer die Faustregel: Wenn es zu gut um wahr zu sein klingt, ist es wahrscheinlich nicht wahr.
Setzen Angreifer erfolgreich an der Schwachstelle (CVE-2020-28575) im Kernel-Hook-Modul (KHM) von ServerProtect an, könnten sie einer Warnmeldung zufolge einen Speicherfehler auslösen (heap-based buffer overflow) auslösen und sich höhere Nutzerrechte verschaffen. Das soll auch aus der Ferne funktionieren.Hätte uns doch nur rechtzeitig jemand gewarnt, dass Schlangenöl die Angriffsoberfläche erhöht!
Eigentlich soll die Sicherheitslösung McAfee Endpoint Security (ENS) Windows Computer schützen. Aufgrund von drei Schwachstellen ist nun aber das Gegenteil der Fall.No shit! Hätte uns doch nur vorher jemand gewarnt!
Der Insolvenzverwalter hat die EY-Mitarbeiter von ihrer Verschwiegenheitspflicht entbunden. Aussagen wollen diese im Wirecard-Untersuchungsausschuss dennoch nicht.Ja gut, das wäre ja auch Geschäftsschädigung. Für Wirtschafts"prüfer"unternehmen jetzt. Wenn rauskäme, was die tatsächlich tun, wenn sie mit einer Prüfung beauftragt wurden.
Der Einsender kommentiert:
Wirtschaftsprüfer sind auch so eine SchlangenölbrancheWirtschaftsprüfer bescheißen ja nicht den Kunden sondern das Finanzamt. Die machen genau das für ihre Kunden, was die Kunden haben wollten, nämlich beim Bescheißen des Finanzamts zu assistieren. Insofern ist das so direkt nicht vergleichbar finde ich.
Hätte uns doch nur rechtzeitig jemand gewarnt!
Ach komm, das betrifft uns nicht. Wir haben noch zwei andere Schlangenöle parallel installiert!1!!
Am schönsten ist der Name des betroffenen Produkts (von Trend Micro). "Worry-Free Business Security". Genau mein Humor!
Going from Bad to Worse: From Internet Voting to Blockchain Voting
Und hier sind die Conclusions:- Blockchain technology does not solve the fundamental security problems suffered by all electronic voting system §3. Moreover, blockchains may introduce new problems that non-blockchain-based voting systems would not suffer from.
- Electronic, online, and blockchain-based voting systems are more vulnerable to seriousfailures than available paper-ballot-based alternatives (§2). Moreover, given the state of the art in computer security, they will continue to be so for the foreseeable future.
- Adding new technologies to systems may create new potential for attacks. Particular caution is appropriate in security-critical applications, especially where political pressures may favor an expedited approach. (§3.4)
Das beruhigt mich, dass auch andere die Schmerzen spüren und sich zu äußern genötigt fühlen. Inhaltlich ist das jetzt kein Blitzschlag der Erkenntnis, aber das war ja auch nicht zu erwarten. Ab und zu braucht es einfach mal jemanden, der den Bullshit-Zyklus schon ein paar Mal miterlebt hat, und der die ganzen unseriösen Geschäftemacher um Blockchain mal als das enttarnt, was sie sind: Schlangenölverkäufer.Ich würde noch hinzufügen: Nur weil man ein paar trendige Hypebomben wie "homomorphe Verschlüsselung", "zero knowledge" oder "Byzantine fault tolerance" abwirft, macht das das vorgeschlagene System noch nicht zu einer guten Idee. Im Allgemeinen sogar im Gegenteil. (Danke, Amir)
Heise hat diesen Sprung gerade bei Schlangenöl vollzogen.
Die Funde bestätigen einmal mehr die von heise Security bereits 2007 in Antiviren-Software als Einfallstor dokumentierte Tatsache, dass eigentlich immer, wenn ein Sicherheitsforscher "auf Antiviren-Software drauf haut", unten kritische Sicherheitslücken herauspurzeln.Seht ihr? Heise ja doch schon immer gesagt, dass Antiviren die Angriffsoberfläche erhöhen!1!!
Das illustrierten Forscher 2014 erneut und es scheint sich nicht grundsätzlich geändert zu haben.Ist ja ein Ding!
Das Grundproblem ist, dass AV-Software unzählig viele Dateiformate analysieren und dazu auspacken muss.Hey, die Argumentation kommt mir irgendwie bekannt vor. Wenn ich mir nur erinnern könnte, wo ich das zuerst gehört habe…
Nun, liebe Heise Security, herzlich willkommen im Club. Freut mich, dass ihr den Sprung geschafft habt!
Ich will nicht unerwähnt lassen, dass ihr die Erkenntnis auch schon deutlich früher hättet haben können. Aber hey. Wichtig ist, was hinten rauskommt.
Jetzt müsst ihr nur noch aufhören, den MS Defender zu loben. Denn auch der funktioniert nicht. Sonst gäbe es keine Ransomware.
Schwere Zeiten für die AV-BrancheDas höre ich gerne, aber an der Stelle sei auch mal gesagt: No thanks to you, Heise! Seit Jahrzehnten schreibt ihr regelmäßig, dass alle sich Schlangenöl installieren sollen. Und jetzt plötzlich:
Sie müssen sich neue Geschäftsfelder und -modelle erarbeiten – und konkurrieren dabei mit innovativen Firmen, die ohne den Klotz "Antivirus" am Bein oft agiler auftreten können.Jetzt ist das plötzlich ein "Klotz"?
Ich meine, versteht mich nicht falsch, ich freue mich ja immer, wenn sich die von mir vertretene Position durchsetzt, aber da hätte ich doch ein bisschen mehr Selbstreflektion erwartet an der Stelle.
Immerhin berichtet ihr ja seit Jahren auch über die nicht abebbende Ransomware-Welle, die ja völlig mysteriös existiert, obwohl alle auf euren Rat Schlangenöl installiert haben. Da hätte man ja schon auf die Idee kommen können, irgendwann auf dem Weg, dass vielleicht die Versprechungen der Schlangenölbranche alle nicht das Papier Wert sind, auf dem ihr die Wieselformulierungen nicht ausgedruckt habt?
Jetzt einfach so zu tun als sei das ja alles eh die ganze Zeit klar gewesen, das finde ich ziemlich unehrlich von euch.
Mich ärgert auch, dass ihr in dem Artikel "der Defender von Microsoft ist gut genug" behauptet. Wenn er das wäre, dann gäbe es keine Ransomware.
Bei der Gelegenheit möchte ich darauf hinweisen, dass der Security-Chip damit eine zusätzliche, vorher nicht vorhandene Angriffsoberfläche geschaffen hat, und die sich als angreifbar herausgestellt hat.
Das ist bei Antiviren seit vielen Jahren eine meiner Kernthesen, dass das so ist, und die, bei der ich am meisten Gegenwind kriege (obwohl das ja völlig offensichtlich ist). Es gilt auch bei anderen Security-Technologien und ist eines der am häufigsten ignorierten Risiken.
Das heißt nicht, dass alle Security-Technologien Schlangenöl sind, aber der Nutzen muss unter dem Strich halt höher als die neuen Risiken sein. Wenn jemand an der Stelle schon anfängt, Risiken zu ignorieren oder kleinzureden, dann solltet ihr ab dann keiner anderen Aussage aus derem Munde mehr trauen.
Damit keine Malware auf Linux-Servern landet, sollten Admins die eigentlich schützende Software ServerProtect for Linux (SPLX) von Trend Micro auf den aktuellen Stand bringen. Das von der Lücke ausgehende Risiko gilt als "kritisch".Hat zufällig jemand eine Statistik greifbar, wie viel Linux-Malware Trend Micro so "erkennt"? Und in ihrer Firmengeschichte insgesamt abgewehrt hat? Ist jemandem ein einziger Fall bekannt?
Sprecht mir nach: Antiviren sind Schlangenöl!
Abonnenten meldeten, dass AVG und Avast die taz vom 14.8. als gefährlich einstufen, siehe Virustotal.Die Witze schreiben sich praktisch von selbst!Auf Nachfrage hat Avast bestätigt, dass das kein false positive ist ("Our virus specialists have been working on this problem and they informed me that this detection is correct.").
Nun habe ich die Datei mal einer bisection unterzogen und es liegt an der Seite 15.
Dort ist ein Link auf http://antifa.de/ im Text.
Und wenn ich jetzt mit Libreoffice ein Dokument mache, wo nur ein paar Worte mit dem Link zu http://antifa.de/ drin sind, dann schlagen AVG und Avast auch darauf an.
Mir fehlen die Worte.
Kauft mehr Schlangenöl! Wegen der Sicherheit!!
Update: Wartet, geht noch weiter!
Achso, und dass von der entsprechenden Komponente des Virenscanners deswegen der ganze Server dl.taz.de als Malwareserver ("infiziert mit URL:blacklist") eingestuft und Verbindungen dahin unterbrochen werden, versteht sich von selbst.
Das scheint ja jetzt so Konsens zu sein, dass wir alle mit unbeherrschbaren Systemen arbeiten, deren Komplexität uns mehrere Größenordnungen über den Kopf gewachsen ist. War ein Softwareproblem. Niemand ist schuld. *schulterzuck*
Popcorn und Taschentücher bereithalten!
Update: Och schade, nach seiner Enttarnung als Troll hat der Typ den ganzen Account gelöscht. Schade, war hochwertige Unterhaltung!
Exploiting Bitdefender Antivirus: RCE from any websiteJa gut, deshalb hat man ja auch mehrere Schlangenölschichten übereinander. Damit die sich gegenseitig schützen!!1!
Geht mir gleich viel besser!
Aufgrund einer kritischen Sicherheitslücke im Netzwerk-Betriebssystem PAN-OS von Palo Alto sind verschiedene Geräte verwundbar. In einigen Fällen könnten sich Angreifer Admin-Rechte verschaffen und die volle Kontrolle erlangen.Hätte uns doch nur jemand gewarnt!!1!
Wie? Nein, kein Schlangenöl! Wobei ... nee doch, ist eigentlich doch Schlangenöl. Jemand hat bei Balancer die Kohle rausgetragen. Das ist alles "Crypto"-Jargon, der mit dem einen Ziel geschaffen wurde, eine Nebelwand zu errichten, um zu verschleiern, was hier wirklich passiert ist. Ich versuche mal eine Erklärung.
Es geht hier um Smart Contracts, d.h. Codestücke in der Blockchain, die "automatisch ausgeführt werden", vom System sozusagen. Die doppelte Steigerung von "keiner ist Schuld". Erstens: Software. Zweitens: "Das System" führt sie aus. Da kann nun wirklich niemand was für.
Was war geschehen? Jemand hat die Dokumentation gelesen.
Nein, wirklich. Das ist alles. Ich zitiere mal:
Decentralized finance (DeFi) liquidity provider Balancer Pool admitted early Monday morning that it had fallen victim to a sophisticated hack that exploited a loophole, tricking the protocol into releasing $500,000-worth of tokens.
Hier muss man mal mit der heißen Machete durch den Bullshit-Jargon durchschneiden, damit man versteht, was passiert ist. "DeFi" ist z.B. ein Nebelwand-Bullshit-Codewort für Crypto-Bullshitwährungen. Das De steht für Decentralized, das stimmt ja sogar, und das Fi ist halt Marketing-Wunschtraum. Wir sind ein Finance Player!!1!Zurück zum Inhalt. Es gab keinen Hack. Es war auch kein Mensch, der hier Entscheidungen gefällt hat, sondern ein "protocol". Gemeint ist: Code. Sie haben Code geschrieben, der Geld verschenkt. Das ist die Bedeutung des Begriffes "liquidity provider". Liquidität ist in einem Markt, wenn Geld für Transaktionen verfügbar ist. Die Idee ist, dass es Angebot und Nachfrage gibt. Wenn es mehr Angebot als Nachfrage gibt, geht der Preis runter. Wenn es mehr Nachfrage als Angebot gibt, geht der Preis hoch. Solange der Markt liquide ist, gibt es aber immer jemanden, der die Waren abnimmt, oder der Waren verkauft. Nur halt möglicherweise zu einem sehr ungünstigen Preis.
Liquidität am Markt zu haben ist schon bei großen Aktenbörsen teilweise ein Problem, und es gibt dafür Mechanismen (die sogenannten Market Maker). Bei diesen ganzen unseriösen Bullshit-Crypto-Abzockgeschichten gibt es sowas aber natürlich nicht, es gibt ja auch keine Regulierung, das ist alles Wilder Westen. Damit man zumindest eine Bullshit-Geschichte zum Erzählen an Opf... äh zukünftige Kunden hat, wurde dieser Mechanismus geschaffen.
Der verschenkt natürlich nicht einfach an beliebige Passanten Geld, sondern nach Regeln.
Jemand hat jetzt die Dokumentation gelesen, was für Regeln das sind, und die dann künstlich herbeigeführt. Und zwar, wie sich das bei Zockern gehört, auf Pump. Damit der Hebel größer wird.
the attacker had borrowed $23 million-worth of WETH tokens, an ether-backed token suitable for DeFi trading, in a flash loan from dYdX. They then traded, against themselves, with Statera (STA), an investment token that uses a transfer fee model, and burns 1% of its value every time it’s traded.
Was fällt als erstes auf? Kein Hack. Es gab keinen Hack. Jemand hat valide Transaktionen am Markt durchgeführt. Mit eigenem Einsatz. Gut, geliehen, aber er haftet ja für geliehenes Geld.The attacker went between WETH and STA 24 times, draining the STA liquidity pool until the balance was next to nothing. Because Balancer thought it had the same amount of STA, it released WETH that equated to the original balance, giving the attacker a larger margin for every trade they completed.
Der Code, der das Geld ausschüttet, hat gemäß seinen Regeln Geld ausgeschüttet.“The person behind this attack was very sophisticated smart contract engineer with extensive knowledge and understanding of the leading DeFi protocols,” 1inch said in its blog post on the breach.
OH NEIN! CHEF WIR HABEN EIN PROBLEM! DER ANGREIFER KANN LESEN!!1!Ja gut, damit konnte niemand rechnen. Wo kommen wir da hin, wenn Angreifer sich vorher die Dokumentation durchlesen?
the team behind Statera batted away accusations that the protocol had either failed or been designed intentionally for this sort of attack to take place.
Was für ein Angriff? Jemand hat das System regelkonform benutzt, und zwar genau dafür, wofür es gedacht war.Ergebnis:
The project added that it was not in a position to be able to refund the attacker’s victims.
Ach Gottchen. Lange habe ich nicht mehr so viel Elend gesehen! Mein Mitleid kennt keine Grenzen!Dies ist glaube ich die richtige Gelegenheit, nochmal den "Smart Contracts"-Teil meines Hypetech-Vortrags zu verlinken. Es ist mir aber an der Stelle wichtig, dass das kein Hackerangriff war. Der Angreifer hat den Code genau dafür angewendet, wofür er gedacht war. Nur haben die Deppen, die den Code geschrieben haben, sich halt vorher nicht ordentlich Gedanken gemacht. Das macht es nicht zu einem Hackerangriff. Eher zu einem Fall von "hättet ihr mal jemanden gefragt, der sich mit sowas auskennt".
Was ich ja immer wieder faszinierend finde: Dass jemand Startups in dem Umfeld noch Geld gibt.
Update: Wird noch besser!
If this sounds familiar, it's because we saw similar attacks happening earlier this year. Back in February, tokenized margin trading and lending platform bZx suffered two attacks, which were defined as not an oracle attack, but "a clever arbitrage execution."
Der Angriff war bekannt, aber sie haben ihn nicht verhindert, weil es nicht ihr Geld war, das sie da verteilt haben.
Wie? Nein, kein Schlangenöl. Besser: Boris Johnson!
Aaaaalso. Die Amerikaner haben doch eines Tages GPS gebaut, damit ihre Raketen damit ihr Ziel treffen. Anfangs war da noch ein Rauschen auf dem zivilen Signal, damit DER RUSSE das nicht für ihre Raketen benutzt, aber als die EU dann irgendwann meinte, hey, wenn ihr euer Signal nicht entrauscht kriegt, dann bauen wir halt unser eigenes Satellitennavigationssystem, Galileo.
Nun ging es bei Galileo nie darum, ein Satellitennavigationssystem zu bauen. Die wollten, dass die Amis ihr künstliches Rauschen abstellen. Das hat Bill Clinton dann auch prompt gemacht. Aber die EU merkte: Hey, wenn wir das Projekt jetzt einstampfen, haben wir eine tolle Ausrede für Industrieförderung verplempert! Also lief Galileo weiter. Bis heute.
Nun, wie gesagt ist der wichtige Teil bei Galileo die Industrieförderung. Fast Forward 2020: Die Briten verlassen die EU. Damit fällt das goldene Füllhorn der EU weg.
Ihr könnt euch sicher schon vorstellen, wo die Story hingeht.
Boris Johnson so: Hey, pass uff, wie bauen einfach unser eigenes Satellitennavigationssystem. Es reicht nicht, dass es das der Amis, das der Russen, das der Chinesen und das der EU gibt. Wir brauchen unser eigenes. Das klingt absurd, bis man sich erinnert, dass es bei dem Projekt ja nicht um Satellitennavigation geht, sondern um Industrieförderung.
Aber man wollte wenigstens so tun als versuchte man auch den Bau eines Satellitennavigationssystems. Leider hat man dazu niemanden gefragt, der sich mit sowas auskannte. Denn als sich die Gelegenheit bot, für die OneWeb-Insolvenzmasse zu bieten, deren Satelliten auf einer für Navigationssatelliten ungeeigneten Höhe fliegen, hat Boris auf Ebay "kaufen" geklickt.
"Ja, wir haben die falschen Satelliten gekauft", zitiert der Guardian Dr. Bleddyn Bowen von der Universität Leicester.Aber keine Sorge. Das macht nichts. Die Briten haben sich nie dem Euro angeschlossen, die können einfach Geld nachdrucken. Und wenn die Entwertung zu krass wird, dann pullen sie einfach ein Frankreich und streichen ein paar Nullen am Ende.
Konkret handelt es sich um eine als "kritisch" eingestufte Lücke (CVE-2020-10188) im Netzwerkprotokoll Telnet im Netzwerk-Betriebssystem IOS XE.Telnet? Soll das ein Witz sein?
Update: Leserbrief dazu:
Es ist wie immer noch schlimmer: Telnet ist kein Witz sondern Standard. Fuer SSH und alles andere was irgendwas mit "Crypto" zu tun hat braucht man eine "k9"-Firmware, und die kostet (oft) extra fuer teurere Lizenzen und Support: community.cisco.com.
Ein weiteres Beispiel dafür, dass Schlangenöl mehr Sicherheitslücken aufreißt als es schließt. Hätte uns doch nur rechtzeitig jemand gewarnt!
Allerdings sind die Symptombeschreibungen aus den USA und Europa subtil unterschiedlich. Vielleicht handelt es sich daher um zwei Ausfälle, die nur zufällig gleichzeitig stattfanden.
Weiß da zufällig jemand genaueres?
Update: Auf einer Pressekonferenz zur Corona-App hat der Telekom-Vorstand angesagt, die 5G-Umstellung sei Schuld gewesen. Das klingt erstmal wie die schlechteste Ausrede aller Zeiten, aber mir hat auch jemand erzählt, wie sie das intern ihren Mitarbeitern erklärt haben. Da klingt die Geschichte so: Die haben versehentlich eine für 5G benötigte Konfiguration frühzeitig freigeschaltet, woraufhin ihnen irgendein Schlangenöl die Infrastruktur runterfuhr, um den "Angriff" abzuwehren, und das hat halt auch die Mobilfunkkunden abgewehrt.
Symantec "Endpoint Protection" ermöglicht Privilege Escalation.
Dann schrieb mir ein Leser, dass die Symantec Cloud down war. Das ist lästig, wenn man seine Mail dort durchleitet. Wie das z.B. Otelo macht, schreibt der Leser.
Oder vielleicht verwendet ihr ja nicht Symantec sondern Trend Micro: Über deren Rootkit-Entferner kann man Rootkits installieren.
Eigentlich sollen Symantecs Endpoint Protection (SEP) und Symantec Endpoint Protection Manager (SEPM) Computer schützen. Aufgrund von fünf Lücken könnten Angreifer jetzt PCs attackieren.Ach komm, da packst du einfach noch eine Packung Schlangenöl vom Konkurrenten drauf! Wie hoch sind die Chancen, dass beide unsicher sind!1!!
TLDR: Es hat gereicht das Enduser-Self-Service-Portal oder die Admin-GUI public erreichbar zu haben um geowned worden zu sein.Ich sage euch, diese Antivirenbranche! Hätte uns doch nur jemand rechtzeitig gewarnt, dass das bloß Schlangenöl ist! (Danke, Sebastian)Und Ersteres zumindest haben vieeele. Der gemeine Enduser muß ja sein VPN selber klicken können. Erst Recht zu Homeoffice-Zeiten...
(Durfte gestern/heute >25 Systeme durchgehen. Nicht eines hats nicht erwischt.)
Es gibt ja die Variante: 'Hotfix automagisch eingespielt + Dir ist nix passiert' oder 'Hotfix automagisch eingespielt + you were 0wned'.
Pre-Auth-SQL-Injection, sportlich. Finde leider keine technischen Details zum Angriff selber, man könnte ja meinen im Testing wird mit allem möglichen drauf eingehauen.
PS: Aber, auch das (noch gepflegte, ältere) Schwesterprodukt "Sophos UTM" hatte so seine Themen die Tage:
https://www.heise.de/security/meldung/Sophos-zieht-problematisches-Firmware-Sicherheitsupdate-9-703-fuer-UTM-zurueck-4704634 .html
#Lindner beklagt, dass man den Virus mit dem Mitteln des Mittelalters bekämpfe. Er fragt: "Wo sind die #Apps?" Deutschlands digitale Defizite mache sich nun negativ bemerkbar.Ja aber echt mal. Die Mittel des Mittelalters! Genanalyse und RNA-Nachweise! Antikörpertests! Feinfiltermasken! Beatmungsgeräte! Computerstatistik! Doppelblindstudien für Impfstoffe!
Wusste gar nicht, dass der Lindner ein Fan von Alternate History Fiction ist!
Laut WHO können durch den Einsatz von künstlicher Intelligenz und Big Data Prognosen über die weitere Verbreitung des Virus' gestellt werden. Und nicht zuletzt sollen dabei sogar Infizierte ermittelt werden können, die noch gar keine Symptome aufweisen.BINGO!!!Die Blockchain-Technologie hat aber nach Ansicht von Experten auch das Zeug dazu, die Pandemie in anderer Hinsicht ausbremsen zu helfen und weitere gesundheitliche Gefährdungen der Bevölkerung in der Zeit des globalen Güterhandels zu verringern.
Wer hängt denn da alles an der Titte des Staates, um die labende Muttermilch der Subventionen abzugreifen?
Darunter sind IT-Konzerne wie IBM, Oracle, Microsoft und das Blockchain-Unternehmen Hacera.m(
Die Produkte sind über fünf Sicherheitslücken angreifbar – vier davon gelten als "kritisch".Kritisch heißt, dass ein Angreifer über das Netzwerk euren Rechner übernehmen kann. Mit anderen Worten: Das Schlangenöl schleppt genau die Art von Problem ein, für dessen Lösung sie gekauft wurde.
Hätte uns doch nur rechtzeitig jemand gewarnt, dass Schlangenöl die Angriffsoberfläche erhöht!
Wer darin jetzt einen schönen Bug findet, kann damit einmal alle Kunden von Avast hopsnehmen.
Damit man beim Bugsuchen nicht so viel Schmerzen hat, hat der gute Tavis das unter Linux lauffähig gekriegt. Viel Spaß!
Veraltetes Schlangenöl, dessen Lizenz sich nicht verlängern lässt!
Ich hoffe ja in meiner Naivität, dass das jetzt ein Erwachensmoment ist. Gab es ja auch schon in Scifi-Plots zuhauf. Durch irgendeinen Act of God ist der Nachschub an der überlebenswichtigen Droge alle. Erst rationieren die Leute, dann ist alle-alle. Plötzlich merken die Leute, dass sie die Droge gar nicht brauchten. Oder noch besser: Dass die Teil eines Plots war, die Bevölkerung stillzuhalten und heimlich ihre Produktivität abzusaugen.
Und am Ende so ein Happy End ala "you had it in you the whole time!!1!"
Man wird doch noch mal träumen dürfen!
New hotness: Hacker hacken Citrix, halten sich monatelang in deren Netz auf, tragen in aller Ruhe Daten über Mitarbeiter und Kunden raus.
Hey, da willste doch deine Firma von abhängig machen!
Aber warte mal, wird noch geiler. Wie hat Citrix das gemerkt? GAR NICHT!
In March 2019, the Federal Bureau of Investigation (FBI) alerted Citrix they had reason to believe cybercriminals had gained access to the company’s internal network. The FBI told Citrix the hackers likely got in using a technique called “password spraying,” a relatively crude but remarkably effective attack that attempts to access a large number of employee accounts (usernames/email addresses) using just a handful of common passwords.
Naja, äh, also gegen sowas kannste dich ja auch nicht wehren, nicht wahr? Völlig unmöglich, sowas abzuwehren. Da halfen auch unsere 15 Schlangenöl-Produkte nichts!1!! Die kommen halt überall rein, die Chinesen mit ihrer APT-UFO-Technologie!!1!
Der für Windows-PCs geschriebene Verschlüsselungstrojaner RobinHood fliegt unter dem Radar von Antiviren-Software, um Computer zu befallen. Das ist an sich nicht neu, aber die Art und Weise wie das funktioniert, hat es bislang noch nicht gegeben.Oh, ach? Das ist an sich nicht neu? Wollt ihr etwa sagen … Schlangenöl funktioniere nicht?!?
Und euch ist das seit Jahren bekannt?!?
Hätte uns doch nur rechtzeitig jemand gewarnt!!1!
Viele dieser Firmen haben ja eine kostenlose Version für Privatgebrauch.
Dazu kommt, dass Schlangenöl ja alle eure SSL-Verbindungen aufbeißt und reinguckt. Wegen der Sicherheit und so.
Sag mal, Fefe, das wären doch für die Werbemafia hochgradig wertvolle Datenschätze, oder?
Bei Avast gab es einen Datenreichtum bei deren Geheimverträgen und daher wissen wir jetzt: Wo ein Trog ist, da kommen die Schweine.
They show that the Avast antivirus program installed on a person's computer collects data, and that Jumpshot repackages it into various different products that are then sold to many of the largest companies in the world.
Und weil es so viele Idioten gibt, die sich Schlangenöl installieren, haben die einen enormen Hebel im Markt.Avast claims to have more than 435 million active users per month, and Jumpshot says it has data from 100 million devices.
Na? Ihr habt doch sicher alle brav das Kleingedruckte gelesen, bevor ihr das weggeklickt habt, oder?Oder?
Interne Daten wurden geklaut und "ein kompletter Neuaufbau der IT-Infrastruktur wird […] angeraten", heißt es im forensischen Bericht zum Emotet-Befall.Ich möchte an dieser Stelle darauf hinweisen, dass das nicht an Emotet liegt. Wenn eine IT von Emotet befallen werden kann, dann war sie schon vorher ein Totalschaden.
Oh und noch ein Hinweis sei erlaubt: Die haben Schlangenöl von McAfee am Start gehabt. Warte mal, war die Existenzberechtigung von Schlangenöl nicht, dass es gegen Malwarebefall hilft? Hätte uns doch nur jemand gewarnt!!1!
Dazu zählt das Versagen der Endpoint Protection Lösung von McAfee, fehlende Filter und Netzwerksegmentierung, lokale Administratoren und mangelnde Log-Dateien.Na? Erkennt sich jemand wieder?
Filter und Netzwerksegmentierung sind nett, aber verhindern natürlich einen Malwarebefall nicht. Das ist eine Nebelkerze. Und Logdateien hätten auch nicht geholfen, denn die Eindringlinge haben erstmal das Windows Event Log geputzt. Da waren also Logs. Sie waren nur leer.
Das eigentliche Problem ist ein anderes. Windows. Outlook. Active Directory. Das ist die tödliche Kombination. Das Kammergericht hat nochmal obendrauf auf voller Front versagt, indem sie lokale Admins zugelassen haben. Das würde ich unter Windows außerhalb von Development-VMs und anderen Testumgebungen als grobe Fahrlässigkeit einordnen, wenn mich jemand fragen würde.
Mich hätte noch deren Patchmanagement interessiert, auch wenn das für den Emotet-Befall vermutlich den Kohl nicht fett gemacht hätte.
Oh und ich hätte gerne gewusst, ob das für irgendeinen der IT-Zuständigen jetzt Konsequenzen hat. Wenn sie das nicht komplett outgesourced haben, und dann *schulterzuck* kann man ja eh nichts machen.
Das Argument würde natürlich viel ernster genommen, wenn es Malware gäbe, die über einen 0-day im Antivirus reingekommen ist.
Nun, … *drumroll* … die gibt es jetzt.
Hackers exploited a Trend Micro OfficeScan zero-day to plant malicious files on Mitsubishi Electric servers
Ich finde ja bei sowas immer, dass man nicht warten muss, bis die 0-days ausgenutzt werden. Remote Desktop und Antiviren sind beides Dinge mit viel zu viel Komplexität. Das kann praktisch gar nicht sicher sein.Benutzt ihr Wordperfect? Wem das nichts sagt: Googelt das mal. Das ist eine Textverarbeitung von früher, bevor alle nur noch bei Microsoft gekauft haben.
Habt ihr wahrscheinlich nicht. Aber der Antivirus muss einen Parser dafür haben. Könnte ja Malware drin sein. Schwupps habt ihr mehr Angriffsoberfläche. Die Schlangenöler sagen immer, wie viele Viren sie angeblich erkennen. Fragt mal euren Vertriebsbeauftragten, wieviele Dateiformate sie können. Stellt die Frage am besten so, dass es klingt, als hieltet ihr das für vorteilhaft, wenn das Ding viele Dateiformate versteht.
Der Verzicht auf unnötige Angriffsoberfläche ist die älteste Maßnahme in der IT Security. Dienste zumachen, die man nicht braucht. Ports zumachen, die man nicht braucht. IPs filtern, die nicht erreichbar sein müssen. Software deinstallieren, die nicht gebraucht wird. Schlangenöl ist die Antithese davon, und irgendwie scheint es niemand wahrzunehmen. Schlangenöl ist das Gegenteil von Security.
Update: Oh ach gucke mal, ich war ja gar nicht der einzige Rufer in der Wüste: Thierry und Sergio haben auf der Cansecwest 2008 auch was dazu vorgetragen. *winke*
Oder ihr installiert euch ein Schlangenöl und ab da passt ihr nicht mehr so genau auf, bevor ihr wo draufklickt?
Diese beiden Effekte gibt es auch bei Fahrassistenzsystemen.
Wird hier ernsthaft das ganze Land auf Prinzip Hoffnung gefahren? Floriansprinzip?
Ach komm, Fefe, mach nicht so viel Wind. Da schmieren wir drei Lagen Schlangenöl drüber, und dann machen wir weiter mit Windows und Office. Weil das so alternativlos ist!
Und schau mal, wenn das SO VIELE betriff, dann ist ja niemand wirklich Schuld! Dann ist "kein Schutz" halt der Industriestandard. Daher steht in Gesetzen auch immer statt konkreter Maßnahmen "Stand der Technik". Der Stand der Technik ist dann in Deutschland halt "unser Arsch hängt blank im Netz".
Warum stehen die Schlange? Nun, die Uni Gießen war nach einem Ransomware-Incident offline. Dann sind sie einmal rumgelaufen und haben desinfiziert (mit dem Schlangenöl-Image von der c't und nicht für Rotgrünblinde geeigneten Farbaufklebern zum Markieren der "fertig desinfizierten" PCs).
So und jetzt hat die Uni allen die Account-Passwörter resettet und man muss sich ein neues abholen. Das hat zu obiger Schlangenbildung geführt, weil man dafür persönlich hingehen und seine Identität mit dem Personalausweis o.ä. nachweisen muss.
Wer also bei der Schlange an die Schlange an der Essensausgabe in einem Dickens-Roman dachte, liegt nicht völlig falsch. Auf eine Art stehen hier unterprivilegierte Menschen für Internet an :-)
Update: Wenn ihr euch übrigens fragt, wie es kommen kann, dass eine Uni so runtergefahren wird, dann hat dieser Artikel die Antwort:
Der Präsident nennt es eine "digitale Naturkatastrophe".
Oh, eine Naturkatastrophe! Kommt aus heiterem Himmel und man kann nichts machen? Ja gut, dann ist das auch nicht verwunderlich, wenn die Uni Gießen komplett auf dem falschen Fuß erwischt wird und erstmal eine Woche offline ist.
Ich hätte ja gerne mal Statistiken, wie viele geile Forschungserkenntnisse jetzt fertig geworden sind, wo man endlich ohne Ablenkung und Störungen durcharbeiten kann.
Die Uni Gießen ist übrigens immer noch offline. Am Wochenende wollen die jetzt eine Schlangenöl-Aktion machen.
Das HRZ hat für das kommende Wochenende eine Hotline zur ersten Welle des Viren-Scans eingerichtet.Ist wie bei Kunst. Der Schlüssel ist die willentliche Aussetzung der Ungläubigkeit. Ist ja auch eine Art Performance-Kunst, was die da gerade machen.
Die benutzen im Backend Node.JS.
Gut, da könnte man eigentlich schon mit dem Lesen aufhören, aber wartet, das war noch nicht die Punchline!
We were running 4,000 Node containers (or "workers") for our bank integration service. The service was originally designed such that each worker would process only a single request at a time. This design lessened the impact of integrations that accidentally blocked the event loop, and allowed us to ignore the variability in resource usage across different integrations.
Das war die Punchline. Sie fahren Node, was man aus genau einem Grund einsetzt, nämlich weil es in JS mehrere Requests parallel bearbeiten kann, mit einer Event Loop, was mal als besonders effizient galt. Das wird halt zu einem Problem, wenn der Entwickler zu blöde ist, seine Reaktion auf ein Event dann nicht schnell und non-blocking hinzukriegen. Lustigerweise halten sich alle Leute, die Node einsetzen, erstmal für kompetent genug, dass SO ein Anfängerfehler nur DEN ANDEREN passieren würde, doch nicht mir! Ich bin doch der Größte!1!!Jedenfalls ist denen offensichtlich genau das passiert. Und ihre Antwort war: Wir machen einfach 4000 Instanzen von Node in jeweils einer eigenen VM auf.
Die Schlaueren unter euch werde sich jetzt fragen: Was ist denn, wenn mehr als 4000 Requests zur Zeit reinkommen?
Ja, äh, guter Punkt!
But since our total capacity was capped at 4,000 concurrent requests, the system did not gracefully scale.
No shit, Sherlock!Der ganze Artikel ist ein einziger Brüller. Hier ist noch eine gute Stelle:
We hypothesized that increasing the Node maximum heap size from the default 1.7GB may help. To solve this problem, we started running Node with the max heap size set to 6GB (--max-old-space-size=6144 command-line flag), which was an arbitrary higher value that still fit within our EC2 instances. To our delight, this fixed the "allocation failed" messages in production.
Die experimentelle Verifikation des "eine Million Affen"-Gedankenexperiments!So und jetzt die geistige Transferleistung: Wenn dieser Anbieter so gruselig ist, was glaubt ihr, wie die anderen Anbieter in dem Umfeld aussehen?
Richtig! Genau so!
Wie dieser Mann es bei so viel Zorn über das Verhalten der Medien und der Polizei und Strafverfolgungsbehörden in den Medien immer wieder schafft, mit chirurgischer Präzision bei den Fakten zu bleiben, das ist mir unbegreiflich.
Update: Bei dieser Gelegenheit möchte ich auch gleich mal den Burn des Jahres feiern. Der kommt aus Fischers Kolumne über die Causa Wendt. Ich zitiere:
Es stellt sich hier nicht die Frage, ob man das Herrn Wendt persönlich gönnen mochte: Auch im Lotto muss ja schließlich irgendwer gewinnen, und wenn man eigentlich jeden nehmen kann, kann's ja auch ein pensionierter Schutzmann aus der Versicherungsbranche sein.
*tusch*
Und wenn wir schon am feiern sind... hier ist noch ein Zitat aus demselben Artikel:
Deshalb ist es auch ziemlich egal, ob man Herrn Höcke "Faschist" nennen darf, was jetzt manche Antifaschisten gerne tun, vor allem im Fernsehen, in der kindlichen Hoffnung, dann würden "die Menschen" sagen: Ja wenn das so ist!, und wieder SPD wählen oder wenigstens AKK. Dabei übersehen sie, dass Herr Höcke nicht gewählt wird, obwohl er Faschist ist, sondern weil er es ist. Und dass Herr Höcke sich nicht wie Rumpelstilzchen in der Luft zerreißt, wenn man seinen geheimen Namen herausgefunden hat.
*feier*
Mozilla hat die Browser-Erweiterungen von Avast in seinem offiziellen Verzeichnis gesperrt. […] Betroffen ist auch das Addon "SafePrice". Beide sind außerdem unter dem Markennamen AVG erschienen […]. Die Erweiterungen haben offenbar den gesamten Browser-Verlauf der Nutzer an einen Avast-Server geschickt.DSGVO? Wir hörten davon!1!!
Heute als Doppel-Einschlag: Cisco-Schlangenöl!
A vulnerability in the implementation of the Lua interpreter integrated in Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an authenticated, remote attacker to execute arbitrary code with root privileges on the underlying Linux operating system of an affected device.
Das setzt Maßstäbe. Der Scheiß läuft als root! Als root!!Ich sollte die Gelegenheit nutzen, mal grundsätzlich vor Appliances zu warnen. Es gibt da ein verbreitetes Missverständnis. Spezialisten sind nicht gut darin, etwas gut zu machen, sondern die sind gut darin, etwas schnell und billig anzubieten. Leute, die Appliances anbieten, sind gut darin, Appliances günstig anzubieten. Und Appliances haben den "Vorteil", dass Kunden im Allgemeinen nicht reingucken dürfen. Da kann man als Hersteller also ganz andere Pfusch-Level fahren (obwohl es da erschütternderweise auch bei Nicht-Appliances wenig Zurückhaltung gibt).
Dass da zentrale Dienste ohne Not als root laufen, das ist im Appliance-Umfeld nicht selten. (Danke, Martin)
Aber ihr habt euch nicht getraut, weil ihr da keinen Windows Defender habt, um euch für der bösen Malware zu schützen?
Dann habe ich großartige Nachrichten für euch: Microsoft portiert ihr Schlangenöl gerade nach Linux und nennt es "Microsoft Defender".
Endlich wird Linux Enterprise-fähig und telefoniert auch mal industrie-standard-konform ständig nach Redmond!!1!
Es trifft mal unsere Freunde vom "Norton Support" (nur echt mit dem Deppenleerzeichen).
Der Einsender fragt:
Passwortstärke ist nicht deren Stärke. Sichere Software auch nicht. Was machen die eigentlich beruflich?
Na Leuten mit Warnungen vor vorgespielten Bedrohungen (wie meinem 42.zip) Geld aus der Tasche ziehen! Ich dachte, das hätten wir inzwischen geklärt?
TrendMicro Employee Sold Customer Info to Tech Support Scammers
Finde ich ja völlig naheliegend aus Sicht der Tech-Support-Scammer. Die Erfolgsquote liegt bestimmt viel höher, wenn man Leute scammt, die schon auf einen anderen "Dein Rechner ist voll unsicher!1!!"-Schlangenölvertreter reingefallen sind.
Im dritten lieferten die Münchner mit 239.125 SUVs 29,1 Prozent mehr aus als im entsprechenden Vorjahreszeitraum.Ja, richtig gelesen. Eine Viertelmillion neue SUVs verkauft. Und das nur von BMW in nur einem Quartal.
Wir sind alle so gut wie tot.
Ich sehe gewisse Parallelen zur IT. Dort rollt man bekannt beschissene Software aus und spült dann Schlangenöl drüber, um das Gewissen zu beruhigen. Draußen kauft man bekannt klimakillende SUVs und spült dann einen Grünen-Wahlzettel drüber, um das Gewissen zu beruhigen.
Hey, komm, wie wäre es noch mit einem Homöopathikum dazu? Gegen den Elektrosmog!!1!
Das sind mir ja immer die Allerliebsten. Fahren eine Dreckschleuder und erzählen mir dann was von Elektrosmog.
Aber das war noch nicht der Lacher daran.
Den Rest von ihrem Schlangenölbusiness nennen sie jetzt "NortonLifeLock". Um mal Wikipedia zu zitieren:
Eine andere Form der Blockierung von Prozessen, die wie ein Deadlock die weitere Ausführung des Programms verhindert, ist der Livelock.Der perfekte Name für deren Produktpalette! Genau mein Humor!
Aber Fefe, das ist doch Livelock mit v! Die schreiben sich mit f! Lifelock! Warte mal, Lifelock, Lifelock, das passt auch wie Arsch auf Eimer!
Dass Managed Service Providers ein Einfallstor für Hacker sind!1!!
a managed service provider is a company that manages a customer's IT infrastructure using remote administration tools
Ach komm, Fefe, damit konnte ja wohl niemand rechnen, dass das ein besonders attraktiver Multiplikator für Ransomware ist!1!!Dass diese Kriminellen aber auch immer so unberechenbar sind!
Komm, da packen wir jetzt noch ein-zwei Lagen Schlangenöl drauf, dann ist das wieder sicher!
Gut, ich meine, auf der anderen Seite ist damit klar, wieso die so billig anbieten können. Das ist nicht nur Steuerhinterziehung, das ist auch kein Geld für Security ausgeben.
Da willst du doch dein Cloud-Zeug haben! Bei den BESTEN der BESTEN der BESTEN, wenn es um Account-Security und Fraud Prevention geht! Leute mit exzellentem Support, der dir im Notfall hilfreich zur Seite steht! (Danke, Christian)
An der Stelle sei auch nochmal an diesen und diesen Rant im Blog erinnert, die ich rückblickend nur als prophetisch bezeichnen kann.
Übrigens habe ich gerade ein vergleichbares Problem mit Spotify. Die haben nämlich einfach alle Alternativlos-Folgen in ihr Programm aufgenommen, ohne dass wir ihnen das erlaubt hätten. Und ihr werdet nicht glauben, was die mir jetzt sagen, nachdem ich sie über ihr strafbares Verhalten in Kenntnis gesetzt habe: Sie wollten gerne, dass ich für sie unbezahlt die Arbeit des Ausfüllens eines Webformulars in ihrer Gammel-IT übernehme. Denn, Zitat,
ohne das offizielle Formular können wir den Prozess leider nicht lostreten.Muss man wissen. So eine Straftat geht ja erst dann richtig los, wenn das Opfer noch beim Täter das Webformular ausfüllt. Vorher ist der Täter gar nicht wirklich der Täter.
Ich bin mal gespannt, ob der Richter das auch so sehen wird.
Und insgeheim hoffe ich ja, dass der Richter das auch so sieht. Denn dann fällt Google ja auch nicht mehr unter das Leistungsschutzrecht. Immerhin haben die ein Webformular, das die Verlage noch nicht ausgefüllt haben. Und die ganzen Bittorrent-Raubmordkopierer können auch nicht mehr belangt werden, wenn sie sich bloß irgendwo ein Webformular einrichten. Bei Google Docs zum Beispiel!1!! Full Circle!
Das wäre ein Preis, den ich zu zahlen bereit wäre, um die Urheberrechts-Abmahnindustrie kaputtzumachen.
Das Webformular verlangt übrigens, dass man erstmal den Client installiert. Ja nee, klar.
Ich frage mich ja so ein bisschen, wie entspannt Spotify damit umginge, wenn ich einfach ihren Content irgendwo kommerziell ausschlachten würde, und ihnen dann sagen würde, ich kann den Prozess erst lostreten, wenn sie mein Webformular ausgefüllt haben. Und das Webformular erfordert dann die Installation von einer schönen Ransomware oder so.
Und jetzt ratet mal, welcher Firmenname explizit genannt wird! Kommt ihr NIE drauf!
"We have confirmed that in addition to the known incompatibility with specific versions of Symantec Endpoint Protection, some additional software applications may be causing “Aw, Snap!” messages in the latest Chrome M78 release."
Nicht doch!! Symantec?! Ich dachte, das sind die Guten!!1! (Danke, Maciej)
Voll hilfreich, dieser "Norton Support" (nur echt mit Deppenleerzeichen!)
Oder ist das ein Satire-Fakeaccount? Ein anderer aktueller Tweet legt die Vermutung nahe.
Ich schwanke gerade zwischen Spam (die obersten drei Tweets sind alle ungekennzeichnete Werbung) und Satire.
Ich meine, ich verstehe ja, wenn jemand Geld verdienen muss. Aber mit sowas macht man sich jede Kompetenvermutung kaputt. Und dieser Twitter-Account sieht nicht aus, als wenn er jenseits einer Vermutung jemals Kompetenz nachgewiesen hätte. Weia.
Ich muss echt mal weniger auf die linken, damit ich nicht mit in den Abgrund gezogen werde.
Update: Zeitlich wunderbar passend kommt diese Meldung in ihrem Newsticker.
Anfang des Jahres hatte uns ein Nutzer mitgeteilt, dass sein Browser, Firefox, meinte, Gentoo’s Installationsmedium würde Malware beinhalten.Erinnert an gmail. Da könnt ihr ja mal einen von Google ausgehenden Spam zu melden versuchen. Wenn ihr auf Kafka-Geschichten steht.Leider hatte der Nutzer den Download nicht beendet bzw. gleich wieder gelöscht (die Warnung sieht halt auch gefährlich aus!). Es stellte sich dann schnell heraus, dass zumindest zum Zeitpunkt unserer Prüfung, alle Mirrors die gleichen Dateien ausgespielt haben (Checksummen stimmen überein) und diese sauber waren (ja, wir haben unsere Images mit verschiedenen Schlangenöl-Lösungen geprüft).
Was war dann der Grund? Die Herkunft! Gentoo nutzt noch Mirrors, kostenlos bereitgestellt von Dritten und kein zentrales CDN. Einer dieser Spiegelserver, mirrors.kernel.org, ist in Google’s SaferBrowsing System gelistet. Aber nicht generell, nein, nur für das *gesamte* "/gentoo"-Unterverzeichnis.
Das schließt eben auch unser Installationsmedium in "/gentoo/releases/amd64/..." mit ein.
Wir haben dann irgendwann durch unsere Kontakte die Information bekommen, dass die Ursache im *Quellcode*-Archiv zu "Shadowinteger's Backdoor" (http://tigerteam.se/dl/sbd/) einem netcat-Klon stecken würde.
Was wir bis heute nicht wissen:
- Da Google’s SafeBrowsing offenbar in der Lage ist auf Verzeichnisebene zu flaggen, wieso haben sie dann die Warnung nicht zumindest auf /gentoo/distfiles beschränkt?
- Warum ist nur mirrors.kernel.org betroffen? Die Datei liegt auf allen unseren Spiegeln. Wenn nun also wirklich Gefahr von dieser Datei ausgehen sollte müsste der gemeine User, der sich auf SaferBrowsing verlässt, doch erwarten können, dass die gleiche Datei immer und überall erkannt und geblockt werden würde.
- Aktuell (das war vor paar Wochen noch anders) scheint tatsächlich die Quellcode-Datei von allen Quellen blockiert zu werden (also wirklich nur sbd-1.37.tar.gz), was Browser, die gegen das SafeBrowsing Download-API prüfen, verhindern.
Seit dieser Zeit kämpfen wir jetzt mit Google um eine Korrektur der Einstufung. Selbst mit unseren noch immer guten Kontakten zu Google (Hallo ChromeOS!) ist da nicht viel zu machen denn bekanntlich ist Google ein technisches Unternehmen: Die wissen, dass Menschen Geld kosten. Also tun die alles um Probleme technisch zu lösen und den Einsatz von Menschen zu minimieren, so auch im "Support": Erst wenn die Error-Rate zu einem gemeldeten Problem eine bestimmte Prozentschwelle überschritten hat, schaut sich ein Mensch den Sachverhalt an... :/
Zum Thema "Schlangenöl nimmt Webseite als Geisel und verhindert, dass Leute mit gängigen Browsern sie überhaupt zu Gesicht bekommen" möchte ich dir über meine Erlebnisse erzählen. Betrachte dich also bitte als Kummerkasten ;) Vielleicht findest du aber auch den ein oder anderen (Ab-)Satz für deine Leser interessant; in diesem Falle: bedien dich. (Und spring' von mir aus gleich zum TL;DR am Ende :)Lacher am Rande: Die Schlangenöl-Community macht das auch so. Die müssen sich ja auch ihre Samples gegenseitig zuschicken. Die tun das auch in ZIP-Files mit Standardpasswort.Im Vorfeld: Ich bin, was amoklaufende Virenscanner angeht, schon einiges gewohnt. Ich bin in der Demoszene aktiv (also jetzt nicht der mit den brennenden Autos, sondern der mit den Grafikdemos), insbesondere im Bereich 4k- und 64k-Intros, also Demos mit einer Größenbeschränkung auf wenige Kilobyte. Da kommen praktisch immer sehr spezielle Laufzeitpacker wie "Crinkler" (http://www.crinkler.net/) und "kkrunchy" (http://www.farbrausch.de/~fg/kkrunchy/) zum Einsatz, um noch das letzte Byte herauszukitzeln. Dummerweise haben wohl auch mal Malware-Autoren diese Packer zur Obfuscation benutzt, und da Schlangenöl-Hersteller das Brett an der dünnsten Stelle bohren, haben sie, anstatt die Malware ordentlich zu analysieren, einfach die Packer auf die schwarze Liste gesetzt. Da ich selbst ein paar mit besagten Packern komprimierte, aber an sich völlig harmlose 4k- und 64k-Intros auf meiner Webseite hoste, habe ich schon mehrfach von meinem Hosting-Provider böse Mails bekommen, ich möge doch binnen X Stunden meine Site saubermachen, sonst wird sie vom Netz genommen. Bisher ist das immer mit einer erklärenden Mail aufzulösen gewesen, zum Glück.
Andere Demoszener haben übrigens angefangen, ihre Intros in einer Form zum Download anzubieten, die automatisches Scanning unmöglich macht. Standard sind inzwischen ZIP-Archive, in denen die EXE-Dateien verschlüsselt abgelegt sind, und der Key steht in einer readme.txt oder so. Oder, ein besonders schräger Hack: Da liegt das Executable im Download-Archiv einfach ohne die "MZ"-Signatur (also die ersten zwei Bytes jedes Windows-Executables) vor. Erst eine mitgelieferte .bat-Datei klebt Header und Rest wieder zusammen und erzeugt eine gültige Windows-EXE.
Aber ich schweife ab.Irgendwann wurde es jedenfalls mit den Fehldetektionen noch schlimmer und Nutzer wurden daran gehindert, auch meine "normalen" Utilities, die nichts mit der Demoszene zu tun haben, herunterzuladen. Beliebte Ziele sind ein Tool, das in Python geschrieben ist und das ich für faule Windows-Nutzer mit einem Standard-Programm(!) in eine einzelne EXE verpackt habe. Oder ganz normale, mit Microsoft Visual C++ compilierte Executables.
Auch Google hatte mich schon immer auf dem Kieker. Der Aufruf des Verzeichnisses auf dem Server, in dem die Downloads lagen, führte schon länger bei Chrome-Nutzern zum gefürchteten "roten Bildschirm". Das war mir noch egal, aber vor zwei Wochen begann Google damit, meine gesamte .de-Domain als gefährlich einzustufen — einschließlich *aller* Subdomains, nicht nur der, wo das (angeblich) gefährliche Zeug lagert! Selbstverständlich wurde ich darüber nicht informiert (Mail an webmaster@meinedomain.de oder so? I wo!), ich habe es von Nutzern meiner anderen Webdienste erfahren, die auf anderen Subdomains liegen sind als der persönliche und Demoszenen-Kram.
Nun gibt es bei Google keine öffentliche, funktionierende Möglichkeit, "false positives" zu melden. Es gibt Dokumentation für Webmaster, was man tun soll, wenn Google Malware auf der eigenen Domain erkannt hat, aber die geht stets davon aus, dass man wirklich mit irgend einem Wurm infiziert ist. Die Option auf eigenen Irrtum scheint Google gar nicht zu kennen. Vor allem kriegt man nicht einmal heraus, *welche* konkreten Inhalte denn als schädlich erkannt wurden.
Es gibt aber eine Möglichkeit, nämlich die "Search Console". Um die zu nutzen, muss man sich gegenüber Google mit einem permanentem DNS-TXT-Record als Besitzer der Domain ausweisen (wohl dem, der die DNS-Records seiner Webseite unter Kontrolle hat!). Die Console selbst ist eher für SEO-Kram gedacht, aber da gibt es auch einen Menüpunkt "security issues" und tatsächlich stehen dort mal ein paar konkrete URLs von angeblich bösen Inhalten. Überraschenderweise waren das bei mir nicht die erwartete Handvoll Demoszenen-Intros, sondern nur eine zehn Jahre alte .tar-Datei mit einer Library, die als Beispielprogramm ein kkrunchy-gepacktes Windows-Executable enthielt. (Das Programm selbst war völlig harmlos: Es handelte sich um einen schlichten MP3-Player.) Nun ja, da gibt es einen "I have fixed the issues, request review"-Button, also hab' ich den mal gedrückt und im Freitextfeld eingegeben, dass es ein "false positive" ist (mitsamt ein paar Erläuterungen, wie was wo warum). Zwei Tage später die Antwort: Meinem Review Request konnte nicht stattgegeben werden, die Malware sei immer noch da. Die haben meine Erklärung gar nicht gelesen! Also habe ich die inkriminierende EXE-Datei aus dem Archiv entfernt und das Archiv zudem umbenannt (die ganze Library ist eh' obsolet). Nochmal "request review" gemacht, mit Freitext "ich hab's jetzt entfernt, aber ehrlich jetzt, Jungs, das wäre gar nicht nötig gewesen, weil …". Daraufhin: Nichts. Eine Woche lang keine Reaktion. Nach einer anderthalben Woche schaue ich nochmal in die Search Console, und siehe da: Jetzt ist ein anderes Programm der Stein des Anstoßes. Eins, das vorher schon da war. Eins, das nichtmal Crinkler oder kkrunchy benutzt, sondern schlicht UPX, den bekanntesten Executable-Packer überhaupt. Ein Bildbetrachter, in C++ geschrieben, mit Visual Studio compiliert und statisch gegen libjpeg-turbo und die Microsoft Visual C++ Runtime gelinkt. Das reicht also heutzutage aus, um mit einer ganzen Domain auf dem Malware-Index zu landen!
Zum Glück war das nur eine Testversion, also konnte ich die gefahrlos löschen und wieder den "request review"-Affentanz aufführen. Jetzt ist meine Domain erstmal wieder als unbedenklich markiert, aber für wie lange?TL;DR: Alles Scheiße.
Takeaway #1: Wenn Google deine Domain wegen angeblicher Malware-Infektion hops nimmt, erfährst du es nur indirekt von deinen Nutzern (außer du nutzt selbst Chrome mit aktiviertem "ich schicke erstmal jede aufgerufene URL an Google"-Phishing-Schutz, aber hey, das tust du natürlich nicht). Wenn du wissen willst, wo Google denn nun genau Malware auf deiner Domain gefunden hat, musst du an deinem DNS herummanipulieren und einen Google-Account haben, um die "Search Console" benutzen zu können. "False Positives" reporten geht nicht: Derlei Anfragen werden ignoriert, also lösch den Kram oder fuck you.
Takeaway #2: Es braucht nicht viel, um Schlangenöl zu triggern, deine (Windows-)Software als Malware zu erkennen.
- Laufzeit-Packer verwendet? Verdächtig!
- C-Library statisch gelinkt? Verdächtig! (siehe https://twitter.com/KeyJ_trbl/status/1138885991517839360 — selbst ein verdammtes "Hello World"-Programm wird schon von diversen Schlangenöl-Anbietern als Malware erkannt!)
- Python-Software mit PyInstaller (einem Standard-Paket in der Python-Welt) in eine einzelne Windows-EXE verpackt? Verdächtig! Wenn man (wie ich) möglichst kompakte Software für Windows (nur eine EXE-Datei, keine weiteren Dependencies) schreiben und veröffentlichen möchte, ist man quasi am Arsch.
Ich hab mich da immer aus der Ferne drüber totgelacht.
Mal ganz neutral analysiert ist das natürlich ein weiterer Fall von Externalisierung von Kosten. Wenn ich mir einen wirtschaftlichen Vorteil verschaffe, indem ich die durch meine Aktivitäten entstehenden Kosten Anderen aufdrücke. Wie bei Umweltverschmutzung und Atommüll. Die Tech-Riesen bieten einen Mail-Service an, und externalisieren die Spam-Kosten auf den Rest der Welt.
Ach ICH soll mir jetzt irgendwelche DNS-Records anlegen, und meine Mails vom Mailserver mit einem Domainkey digital signieren lassen, um EUER Spamproblem für euch einfacher lösbar zu machen? Go fuck yourself!
Oh aber selbst habt ihr nicht mal eine funktionierende abuse@-Adresse, wo man sich über von euch ausgehenden Spam beklagen könnte? Go fuck yourself!
Ihr verkauft Schlangenöl, das prinzipiell seine Funktion nicht erfüllen kann, und die Kosten für False Positives externalisiert ihr an … mich? Go fuck yourself!
Ich glaube, wir brauche mal eine Behörde für Digitalumweltschutz, die solche Geschäftsmodelle systematisch aus dem Verkehr zieht. Alle solche Firmen systematisch zumachen. Eine nach der anderen. Wer Kosten externalisiert, wird zugemacht. Und der Aufsichtsrat / der CEO / die Gründer / die Investoren sind persönlich haftbar für die Verfahrenskosten.
Ja aber Fefe wenn wir die ganzen Kosten selber tragen müssten, dann würde sich unser Geschäftsmodell nicht tragen!!1!
Wenn sich euer Geschäftsmodell nur durch Externalisierung von Kosten trägt, DANN TRÄGT ES SICH GAR NICHT. Man stelle sich mal vor, ein Wurstproduzent würde so argumentieren! Ja klar könnte ich hier Hygienestandards erfüllen, aber dann wäre das nicht profitabel!!1! Da würde doch niemand auch nur eine halbe Sekunde zögern, den aus dem Verkehr zu ziehen!
Ja klar könnten wir auch Bremsen in die Autos einbauen, aber dann wären wir preislich nicht mehr konkurrenzfähig!1!!
Unfassbar.
ich hab noch eine Geschichte zur 42.zip von Microsoft Security Essentials: vor ein paar Jahren hatte ich mal die 42.zip runtergeladen. MSE hat es auch als Schadsoftware erkannt. Ich hatte die Datei dann erlaubt - und damit MSE unbrauchbar gemacht, denn MSE wollte die Datei dann trotzdem weiter untersuchen. Und "untersuchen" heißt da wohl zumindest im Speicher entpacken.Und
Damit waren dann RAM und ein CPU Kern ausgelastet. Japp, MSE hat die Datei als Zip-Bombe erkannt aber trotzdem versucht sie zu entpacken - und wollte auch nichts anderes mehr tun. Die Datei löschen hat nicht geholfen, in MSE konnte ich mit der Datei auch nicht löschen oder in Quarantäne schieben oder so. Also hab ich den Support von Microsoft gefragt. Die sahen aber kein Problem drin, dass MSE nun funktionsunfähig war und meinten nur sinngemäß "selber Schuld". Nach einigem suchen hab ich dann eine Lösung gefunden: MSE hat den erkannten Virus kopiert damit er nicht versehentlich verloren geht. Als ich das Verzeichnis gefunden hab und die Datei dort gelöscht hab konnte sich MSE wieder auf andere Dinge konzentrieren.
das könnte dir in dem Zusammenhang gefallen: Der Brave-Browser verbietet mir auch, 42.zip herunterzuladen.UndKein Schlangenöl im System, aber offensichtlich im Browser. Gnah...
Auch der T-Online Mailer (und sonstige ranzige E-Mail Provider) blocken 42.zip, und sogar beliebige .exe Dateien und man kann es nirgends ausschalten. Das Abuse Team kapiert bei Nachfrage ueberhaupt nicht wo das Problem liegt... weil "Sicherheit"... :)Ich finde das nur konsequent. Man kriegt ja von Internet-Providern auch kein Internet mehr sondern nur irgendeinen 192.168.*- oder 10.*-Scheiß.
Wieso tut da eigentlich kein Verbraucherschützer was gegen?
Wenn man dann wenigstens ordentliches IPv6 auf der Leitung hätte, könnten wir reden, aber häufig gibt es nicht mal das.
Update: Zur allgemeinen Belustigung: Virustotal darauf.
Ein Leser hat mal bei Sophos geguckt. Ergebnis:
Der Zugriff wurde aufgrund der Erkennung des Threats Mal/HTMLGen-A auf der Website verweigert.Und wenn man da auf mehr Details klickt, landet man hier.
Na gucken wir doch mal.
Kategorie: Viren und SpywareErste Zeile, erste Lüge. Starker Start, Sophos!
Typ: Malicious behavior.Zweite Zeile, zweite Lüge! Holla! Boris Johnson ist bestimmt stolz!
EigenschaftenÄh, nein? Tut es nicht!
Lädt Code aus dem Internet herunter.
VerbreitungsmethodeDas verbreitet sich überhaupt nicht.
- Browsing
Die offensichtliche Lösung wäre gewesen, für Fälle wie 42.zip (das da wie gesagt seit 19 Jahren unverändert liegt!) eine Whitelist anzulegen, in der unbedenkliche Fehldiagnosen landen.
Aber wieso würde eine Schlangenölfirma die Gelegenheit auslassen, "versehentlich" einen ihrer lautesten Kritiker zu schädigen?
Gestern so: "Norton Support" (nur echt mit Deppenleerzeichen) ist am Ball. Leider am falschen Ball, guckt auf die falsche Domain.
Heute so: "Norton Support" (nur echt mit Deppenleerzeichen) guckt auf die richtige Domain, kann aber leider Twitter nicht bedienen. Was machen die Damen und Herren aus dem Twitter-Support von Symantec eigentlich beruflich?
Aber kein Problem, folgen wir dem "@NortonSupport (powered by Khoros Care)". Mein Firefox begrüßt mich direkt mit einem kaputten Inline-Bild. Ihr eigenes Firmen-Logo kriegen die nicht korrekt eingeblendet. Wow. Von denen willst du doch hochkomplexe Sicherheits-Software kaufen!1!!
Inhaltlich ist das eine Kopie des Twitter-Threads aber mit längeren Inhalten. So eine Art twitlonger nur halt für Enterprise. Ich finde ja sehr unterhaltsam, dass das bei "lithium.com" liegt. Lithium wird in der Therapie gegen Depressionen eingesetzt.
Aber was sagen sie denn?
de Sie können die Seite freischalten indem Sie Ihren Blog unter den folgenden Link https://safeweb.norton.com/help/site_owners meldenAlso mit anderen Worten: Ich soll jetzt unbezahlte Arbeit in deren byzanthiner Schrott-IT aufwenden, um deren Unzulänglichkeiten zu übertünchen.
Ja, äh, nee, Symantec. Soweit kommt es ja wohl noch.
Schöne Domain haben Sie da! Wäre ja schade, wenn die nicht erreichbar wäre! Aber keine Sorge, Sie können sich freikaufen. Aus juristischen Gründen machen wir das aber mit Zwangsarbeit, nicht mit Schutzgeld.
Not gonna happen. Ich habe viel zu viel Spaß dabei, euch beim öffentlichen Demonstrieren eurer Inkompetenz zuzugucken.
Falls übrigens der eine oder andere die Hintergrundgeschichte nicht kennt, und möglicherweise annimmt, Symantec könnte vielleicht doch Recht haben: Im Jahre 2008 hatte ich das mal ausführlich erklärt. Diese Datei ist mit dem expliziten Ziel erstellt und dort hingelegt worden, Antiviren als Schlangenöl zu demaskieren. Und sie erfüllt ihren Dienst vorbildlich.
Ich war vor einer Woche in einem AirBnB in Arizona mit Belkin WiFi und habe dort auch entzückt festgestellt dass der Blog gefiltert wird (VPN zum Glück nicht, das war in Vegas deutlich schlimmer).Wenn euch also das nächste Mal jemand fragt, ob Belkin-Produkte empfehlenswert sind, wisst ihr Bescheid.Auch nach 5 Minuten googlen war ich nicht in der Lage herauszufinden wo bzw. ob man überhaupt false-positivs reporten kann. Vom Hersteller gibt es genau einen Knowledgebase Artikel der nicht hilfreich ist und sonst nüscht.
The security expert and bug-hunter John “hyp3rlinx” Page discovered an arbitrary code execution vulnerability, tracked as CVE-2019-9491, in the Trend Micro Anti-Threat Toolkit.
Hey, ich habe eine Idee. Wir installieren einfach noch eine zweite Packung Schlangenöl! Die schützt uns dann vielleicht vor den Lücken, die das erste Schlangenöl aufgerissen hat!Wie wäre es mit Avast! Oder Norton! Gut, Norton hat den Nachteil, dass dann mein Blog nicht mehr geht. Aber für die Sicherheit muss man manchmal halt Kompromisse eingehen!1!!
Und zur Abrundung was von Cisco!
Und wenn ihr ganz sicher gehen wollt, dann nehmt Kaspersky. Die laden das in ihre Cloud und prüfen dort noch manuell!
Hackers accessed the internal network of Czech cybersecurity company Avast, likely aiming for a supply chain attack targeting CCleaner. Detected on September 25, intrusion attempts started since May 14.
Das ist eine Firma, wir erinnern uns, die euch erzählt, ihre Produkte würden in Echtzeit (!) Angriffe erkennen und abwehren. Aber in ihrem eigenen Netz kriegen sie einen laufenden Angriffe über vier Monate nicht mit.Deren Schlangenöl will man doch sofort kaufen!!1!
Na, wollt ihr auch wissen, wie sie sich aus der Nummer rausreden wollen? Na klar, ganz einfach! Erstens tun sie so, als hätten sie den Angriff abgewehrt. Das finde ich ja ein bisschen … ambitioniert formuliert, wenn der Angreifer bei ihnen im Netz war. Über Monate.
The evidence we gathered pointed to activity on MS ATA/VPN on October 1, when we re-reviewed an MS ATA alert of a malicious replication of directory services from an internal IP that belonged to our VPN address range, which had originally been dismissed as a false positive.
Wie Moment, 1. Oktober? Ich dachte 25. September!1!!Ist das wie einer dieser Polizei-Witze? 50 kg Kokain beschlagnahmt. Die 40 kg beschlagnahmtes Kokain sind auf dem Weg zur Asservatenkammer. Die 30 kg beschlagnahmtes Kokain sind angekommen. Die 20 kg beschlagnahmtes Kokain wurden erfolgreich eingecheckt.
On Oct 4, we observed this activity again.Ach nee, jetzt sind wir schon am 4. Oktober! Eben war es noch der 1. und davor war es der 25. September!
Hey, pass uff, das war bestimmt Emotet! Und Avast bietet bald ein Webinar an, wie man sich schützt! Und im Übrigen: Cyber-Spionage! Nation State! Supply chain attacks!
Lacht nicht!
Global software companies are increasingly being targeted for disruptive attacks, cyber-espionage and even nation-state level sabotage, as evidenced by the many reports of data breaches and supply chain attacks over the last few years.
Hey, also wenn das SO schlimm ist, dann brauchen wir mehr Schlangenöl. Wie wäre es mit Avast? Ich hörte, die haben Erfahrung mit sowas!1!!
Da wird sich der eine oder andere gedacht haben: Ach komm, Fefe, erzähl uns doch keinen vom Pferd, die Leute wären doch nicht so blöde und setzen Machine Learning ein, wenn das so fundamentale Probleme hat.
Daher präsentiere ich heute: Microsofts Schlangenöl mit Machine Learning hält den Updater von Dolphin für Malware. Und zwar nicht die Software auf eurem Rechner, nein, das Machine Learning in deren Cloud. Weil das Machine Learning ist, kriegen sie das nicht debugged, und das Nachtrainieren macht mehr kaputt als es heile macht. Also … hat Microsoft jetzt manuell eine Whiteliste für alle Dolphin-Entwicklerversionen, die sie gesehen haben. Und pflegen das immer schön von Hand nach.
Ich persönlich fände es ja ganz angenehm, wenn mir die Leute meinen Scheiß beim ersten Mal glauben würden, aber … not gonna lie, das ständige "told you so" ist auch ganz angenehm :-)
Und die liefert auch heute zuverlässig:
Ein Signaturupdate für Endpoint Protection von Symantec hat auf Windows-Systemen einen Blue Screen of Death ausgelöst.
Das ist so völlig absurd, diese Aussage, da bleibt mir die Spucke weg."Wieso ist denn der Motor explodiert?"
"Na der Postbote hat einen Brief in den Briefkasten gelegt"Es sind nicht die Signaturen, die den Bluescreen erzeugt haben, und auch nicht das Update, sondern die ranzige Gammelsoftware darunter.
Ja und nein. Auf der einen Seite ist das kein reiner Schlangenöl-Placebo. An der Spec haben sich Experten aus mehreren Fachgebieten die Hände wund-masturbiert. Da ist einmal alles drin. Von Challenge-Response über Public-Key bis hin zu USB und NFC. Die Spec erwähnt als Inspiration auch Smartcards, damit wirklich jeder an Bord ist.
Das hat technisch schon Hand und Fuß, was die da machen. Ich rede trotzdem von Masturbation, weil dem ein paar Annahmen zugrundeliegen, über die man, zurückhaltend formuliert, nochmal diskutieren sollte.
FIDO2 kombiniert zwei Trends, die wir gerade gehäuft sehen in der IT-Security. Erstens: Unsere Software ist so unfassbar komplex geworden, dass wir Security nicht mehr herbeiführen können, daher bauen wir jetzt einen kleinen Mini-Rechner, und der ist dann so klein, dass man ihm noch vertrauen kann. Das Muster kennt ihr wahrscheinlich aus dem Supermarkt oder von Banken, die euch dann da so ein kleines Mini-Terminal für Kartenzahlung hinhalten. Da ist auch der Gedanke, dass das klein und verplombt ist und man dem daher vertrauen kann, weil die Bank oder der Supermarkt daran gar nicht mehr herumpfriemeln könnte, selbst wenn sie wollten.
Der zweite Trend ist, dass wir von sich gegenseitig vertrauenden Komponenten und der Unterscheidung "Internet vs. Intranet" zusehends wegkommen und stattdessen überall Krypto ausrollen. Selbst innerhalb von Chips haben wir inzwischen Krypto, und innerhalb von Modulen einer Software. Selbst so ein SOC, wie er in Mobiltelefonen verbaut wird, besteht inzwischen aus sich gegenseitig nicht mehr vertrauenden Modulen, die Krypto einsetzen.
Welche Annahmen meine ich jetzt, über die man nochmal reden sollte? Na die erste ist offensichtlich, dass diese Hardware "tamper proof" ist. Einer meiner Lieblingssprüche zu tamper-proof hardware ist von Peter Gutmann, der sagte: It is said that the only tamper-proof hardware is Voyager 2. Und zwar nicht, weil die Hardware sicher ist, sondern weil man da so schlecht rankommt, weil das Ding so weit weg ist. Die Annahme, dass man so einen Stick überhaupt tamper-proof machen kann, würde ich schonmal direkt bestreiten wollen. Klar, billig ist so ein Angriff auf so eine Hardware dann nicht. Aber wer weiß, wie viel wert die Geheimnisse sind, die ihr mit so einem Gerät absichern wolltet?
Die andere, wichtigere Annahme ist, dass es mit 2FA nicht so schlimm ist, wenn der Rechner oder der Browser gehackt wird. Und das stimmt halt auch nur partiell.
Ohne 2FA ist es so, dass ein Eindringling alle eure gespeicherten Passwörter direkt auslesen und ausleiten kann. Das ist im Normalfall ein Totalschaden.
Mit 2FA ist es so, dass die Passwörter nicht reichen, weil man den 2. Faktor braucht. Allerdings kann ein Angreifer im Browser ja einfach warten, bis ich mich das nächste Mal mit 2FA anmelde, und dann mit meiner angemeldeten Session Unfug machen. Das ist von der Auswirkung her fast genau so schlimm.
Dann gibt es da auch wieder eine Convenience-Abwägung. Nimmt man ein Token, was man bloß einstecken muss? Oder eines, wo man zusätzlich einen Knopf drücken muss? Oder eines, wo man den Fingerabdruck geben muss, damit der freischaltet? Die meisten Leute werden fürchte ich ein Token nehmen, das man einfach einsteckt und dann stecken lassen kann, und dann hat man halt nicht viel gewonnen in dem Szenario, dass ein Hacker den Browser übernimmt.
Und so ist es wie so häufig in der Security. Ist eigentlich keine doofe Idee, aber bringt eben auch nicht so viel, wie einem das Marketing aufzuschwatzen versuchen wird.
Ich persönlich verkünde ja seit ein paar Jahren, dass Komplexität der Feind ist. Unter der Metrik sieht so ein Token recht komplex aus. Zwischen PC und dem Token gibt es ein Binärprotokoll, über das man möglicherweise die Software auf dem Token angreifen kann. Weiß ich nicht, ob das eine reelle Bedrohung ist, aber die Angriffsoberfläche gibt es jedenfalls schonmal, und vorher gab es die nicht. Mir persönlich stößt es sauer auf, dass die erstmal NOCH ein neues Binär-Serialisierungs-Verfahren "erfunden" haben dafür. Dabei kommt dieser Scheiß von Google, und die haben uns vorher schon völlig ohne Not ihre Protocol Buffers reingedrückt. Der Typ von Protocol Buffers ist inzwischen nicht mehr bei Google. Was hat er als erstes getan? Ihr werdet es geraten haben: Ein neues Binär-Serialisierungs-Verfahren gemacht ("Cap'n Proto").
Das sind die Leute, die uns vorher gesagt haben, ASN.1 sei gefährlich und wir sollen unsere Krypto lieber als JSON in Base64 machen (googelt man JWT, wenn euch das neu ist).
Also, zusammengefasst. Ist das Schuldabwälzung? Ja. Ganz klar. Wenn euer Account jetzt gehackt wird, dann habt ihr euer Token verbummelt und es ist eure Schuld.
Ist es nur Schuldabwälzung? Ich glaube nicht. Aber ob euch das tatsächlich was nützt, hängt davon ab, ob es wahrscheinlicher ist, dass ihr (im Vorher-Szenario) den Laptop verliert, oder (im Nachher-Szenario) das Token. Dass die Krypto von den Tokens ranzig ist, da müsst ihr euch glaube ich wenig Sorgen machen. Es kommt so gut wie nie vor, dass Krypto-Krams über die Krypto angegriffen wird. Ich würde mir eher Sorgen machen, dass mir ein Taschendieb das Token klaut, und weil das nichts wiegt, merke ich es nicht sofort. Und dann ist da am besten auf dem Fingerabdrucksensor noch ein rekonstruierbarer Fingerabdruck von mir drauf.
Im Übrigen: Wenn ihr euch für FIDO2 entscheidet, dann gilt natürlich dasselbe wie auch für andere Security-Produkte. Kann ich dem Hersteller trauen? Ist das Open Source? Kann ich das zur Not selbst patchen, wenn der Hersteller stirbt oder sich weigert? Wie sind die Recovery-Pfade, falls das Token verlorengeht? Fange ich mir damit eine Beweislastumkehr ein?
Update: Dies ist vielleicht die richtige Gelegenheit für den Hinweis, dass es auch außerhalb von 2FA Wege gibt, die Arbeitsumgebung sicherer zu machen. Es hat sich z.B. eingebürgert, sich bei Webseiten einzuloggen, und dann einfach eingeloggt zu bleiben. Während ihr bei einer Site eingeloggt seid, kann auch eine andere, böse Webseite auf allen anderen Webseiten, auf denen ihr noch eingeloggt seid, Daten abgreifen und eventuell sogar Transaktionen auslösen. Das ist ein häufiger Bug in Webseiten, gegen den es seit einer Weile ordentliche Browser-Gegenwehr gibt, die über "wir passen halt überall auf" hinausgeht. Aber das ist ein Risiko, das man sich gar nicht erst ans Bein binden muss. Ich jedenfalls halte mich auf Webseiten wenn möglich unangemeldet auf und logge mich nur kurz ein, wenn ich einen Kommentar abgeben will oder so. Und dann ist da noch die Frage, was man mit den Passwörtern macht. Hier gibt es ein weites Spektrum an Ratschlägen. Ein Master-Passwort im Browser vergeben hilft, falls einem der ausgeschaltete Rechner wegkommt. Hilft nicht, wenn man sich einen Trojaner einfängt oder einen Angreifer im Browser hat oder wenn der Rechner nur im Sleep-Modus war und nicht ganz ausgeschaltet, und da am Besten noch ein Browser offen war. Und für "der ausgeschaltete Laptop wird geklaut" habt ihr hoffentlich eh schon Full Disk Encryption aktiviert.
Meine Einschätzung ist im Moment, dass die Browser die Achillesferse der IT sind, und man immer sofort alle Security-Updates einspielen muss. Ich bin sogar soweit gegangen, meine Browser vom Beta-Channel zu beziehen, damit ich nicht nur einmal im Monat Bugfixes kriege.
Dass man nicht überall dasselbe Passwort nehmen soll, hat sich glaube ich schon herumgesprochen. Ich halte es so, dass ich Passwörter von einer Software zufällig generieren lasse. Dann weiß ich, dass die Passwörter ausreichend Entropie haben. Nachteil: Die Passwörter merkt man sich dann nicht mehr. Dafür gibt es Passwortmanager, oder man verlässt sich auf den Browser. Allerdings: Wer den Browser übernehmen kann, kommt auch an eure Passwörter, solange es da einen Automatismus gibt und ihr die nicht immer manuell rüberkopiert.
Nein, sorry, nichts von der Schlangenölbranche diesmal.
Reparatur-Shop-Betreiber öffnet ein kaputtes Macbook Air und filmt sich beim Facepalmen. Money Quote:
I'm going to guess that the reason that this machine is brain dead, even though it has its primary power rails, is because … Apple.
Das ist echt der Brüller, das Video. Das Produkt ist so, wie man sich das vorstellt, wenn die Marketing-Abteilung das Produktdesign übernimmt. HARR HARR HARR
Das nicht nur ein Insider-Joke sondern auch technisch recht anspruchsvoll, weil besagter Bugzilla-Exploit zum Umgehen von IDS recht restriktive Einschränkungen vorgibt, die sie kreativ umgehen mussten.
Emotet & Co machen klar, dass es jeden treffen wird.Jeden mit Windows und Outlook und Active Directory.
Auf den ISD 2019 saß ich in einer Veranstaltung, wo u.a. ein Heise-Zuständiger erzählt hat von deren Emotet-Problem. Und der meinte dann so: Der Rechner war noch Windows 7. Den hätten wir mal früher auf Windows 10 updaten sollen.
Dass a) Windows 7 noch im Support war und Patches bekam und b) Emotet auch Leute mit Windows 10 betrifft? Schwamm drüber! Da drängt sich mir immer der Eindruck auf, es geht bei so Aktionismus nicht darum, das Problem zu lösen, sondern man muss gesehen worden sein, wie man an einer Lösung gearbeitet hat.
Ich stellte dann noch die ketzerische Publikumsfrage, wieso Heise denn ihre eigenen Tools nicht einsetzt. Da kam dann ausweichendes Gemurmel. War ja auch eine rhetorische Frage.
Ich will hier nicht Heise an den Pranger stellen, das betrifft genau so alle anderen. Wenn ihr alle Windows und Outlook und Active Directory einsetzt, dann werdet ihr auch alle von Problemen von Windows, Outlook und Active Directory betroffen sein.
Ach komm, Fefe, da tun wir drei Schichten Schlangenöl drauf, dann passiert schon nichts!!1!
Ein Schelm, wer Böses dabei denkt!
Gut, die sonstigen Sponsoren sind bei solchen Veranstaltungen gerne Schlangenölbuden, insofern ist mir da Huawei sogar noch lieber. einer der Gold-Sponsoren hier ist Palo Alto Networks (ihr erinnert euch vielleicht).
Update: Eine der Keynotes ist von einer Abteilungsleiterin Cyberabwehr aus dem Verfassungsschutz, die da erzählen will, dass sie Cyber-Attribuierung machen (und implizit: dass man Cyber-Angriffe attribuieren kann). Das bestreite ich nachdrücklich.
Sehr unterhaltsam auch: Es gibt einen Vortrag von eyeo (die, die Adblock Plus gekauft haben und das an Schutzgeld erinnernde Geschäftsmodell darauf aufgebaut haben), dass "infizierte Online-Werbung" die kritische Infrastruktur bedroht. Da ist ja was dran, aber ... muss man das ausgerechnet die vortragen lassen?
Update: In der Keynote hat Prof. Pohlmann eine Folie mit den drei Lösungen für die Security-Zukunft: Blockchain, KI, Quantencomputer. Das ist genau die Inhaltsangabe meines "ist alles Unfug"-Vortrags. Hoffentlich nimmt das niemand persönlich, was ich da vorzutragen haben werde...
Update: Nebelwerfer-Euphemismus-Update: "cyber-aggressiven Fremdstaaten wehrhaft entgegen treten können".
Update: Oh wow, die Expertin vom Verfassungsschutz hat gerade öffentlich angesagt, dass Angreifer aus dem Ausland dafür ja auch übernommene Rechner in Deutschland benutzen. Wenn sie DAS verstanden haben im Verfassungsschutz, wie können sie dann noch "Zurückhacken" propagieren!? Ein beeindruckendes Ausmaß an kognitiver Dissonanz.
Update: Der nahtlose Übergang von "die Amis hacken im Iran" über "wir beobachten APT28" hin zu Guccifer ist ja schon irgendwie atemberaubend. Jetzt sind wir gerade bei "der Verfassungsschutz bekämpft Fake News", wenn ich das mal geringfügig umformulieren darf. Da braucht man nicht viel Fantasie, um sich auszumalen, gegen wen sich "Zurückhacken" in der Praxis richten wird.
Update: Krass jetzt kam ernsthaft noch der Spruch, defensive Security reiche ja nicht, weil die Leute ja immer nur gegen das verteidigen, was sie für die Fähigkeiten der Angreifer halten, und die Angreifer würden schon darauf achten, dass sie immer mehr können als die andere Seite glaubt. Lasst mich der erste sein, der euch sagt: Das ist Bullshit. Selbstverständlich verteidigt man auch und gerade gegen hypothetische Angriffsvektoren, bevor man weiß, dass sie konkret ausgenutzt werden können. Wer sich selbst informieren will, kann sich z.B. mal die Threat Models von TLS angucken, oder die BSI-Krypto-Empfehlungen.
Im Fließtext rudern sie dann wieder ein bisschen zurück, denn wer seine Kunden in der Werbung direkt anlügt, der könnte schadensersatzpflichtig werden.
Mein Lieblings-Bullshit-PR-Satz in dem Artikel ist der hier:
Intel® says these side-channel leaks can only be maliciously exploited in the wild by highly sophisticated cyber-criminals. The archetypal hacker in the bedroom won't have the skills to abuse these flaws in the real world to steal information.
Was ist denn davon bitte die Aussage? Richtet sich irgendeine Security-Maßnahme nicht gegen "highly sophisticated cyber-criminals" sondern bloß gegen Kids, die noch bei ihren Eltern wohnen?Ja gut, äh, außer Schlangenöl jetzt. (Danke, Daniel)
New hotness: Ransomware auf deiner Digitalkamera verschlüsselt deine Fotos.
Finde ich jetzt nicht weiter überraschend. Die Spezialexperten haben die Software auf so einer Kamera in ähnliche Komplexitätshöhen wie einen PC gehievt. Das ist im Moment ein Proof of Concept, und zwar einer Schlangenölbude. Ich würde mir da noch nicht viel Sorgen machen. Das Archiv mit den Fotos ist ja im Allgemeinen auf dem PC und der Infektionsvektor hier geht vom PC auf die Kamera. Wenn es so weit kommt, habt ihr eh schon Totalschaden.
Ach komm, Fefe, da kaufen wir eine Familienpackung abgelaufenes Schlangenöl, und dann wird das schon!1!! Und wenn wir trotzdem die Daten verlieren, heulen wir rum und stellen Forderungen an die Politik, die damit dann einen tollen Überwachungsstaat installiert!
Heute so: Kaspersky-Schlangenöl injected Javascript-Nachladen von ihren Servern in Russland in alle Webseiten.
Der Admin dieser Server sieht damit alle URLs aller User, inklusive URL-Parametern (mit denen bei SSL-Seiten wie Online-Banking gerne weniger besorgt umgegangen wird, weil das ja hinter SSL ist, und SSL soll uns ja gerade davor schützen, dass das auslesbar ist). Ist auch normalerweise nicht auslesbar, außer man hat ein Schlangenöl installiert, das das SSL rechnerweit unsicher macht. Wie bei Kaspersky.
Microsoft and Symantec have identified an issue that occurs when a device is running any Symantec or Norton antivirus program and installs updates for Windows that are signed with SHA-2 certificates only. The Windows updates are blocked or deleted by the antivirus program during installation, which may then cause Windows to stop working or fail to start.
Mit anderen Worten: Norton kann SHA-2 nicht und lässt nur Updates mit alten und bekannt kaputten Hash-Verfahren durch. Wegen der Sicherheit, nehme ich an.Noch krasser als dass Leute sowas einsetzen finde ich ja immer, dass Leute für Leistung dieses Kalibers auch noch Geld ausgegeben haben.
Was hat er so gefunden? Nun, wie man das erwarten würde:
Firstly, there is no access control whatsoever! Any application, any user - even sandboxed processes - can connect to any CTF session. Clients are expected to report their thread id, process id and HWND, but there is no authentication involved and you can simply lie.
Secondly, there is nothing stopping you pretending to be a CTF service and getting other applications - even privileged applications - to connect to you.
Even when working as intended, CTF could allow escaping from sandboxes and escalating privileges.
Die typischen Zeichen von "nachgerüsteter Security". Ja gut, Cheffe, das Originaldesign war massiv verkackt, aber guck mal, wir kleben da jetzt ein bisschen Warnschilder ran und dann empfehlen wir den Benutzern Schlangenöl und dann wird alles gut!It will come as no surprise that this complex, obscure, legacy protocol is full of memory corruption vulnerabilities. Many of the COM objects simply trust you to marshal pointers across the ALPC port, and there is minimal bounds checking or integer overflow checking.
Ah, die gute alte "das Design ist so komplex und verkackt, soweit kommen die Angreifer bestimmt nie"-Verteidigung!1!!Wer sich jetzt denkt: Ach naja, wer hat schon privilegierte Prozesse am Laufen, die man so hacken könnte? Für den habe ich schlechte Nachrichten: Du. Der Login/Lock-Screen. Der benutzt auch dieses Framework.
Weiter geht es mit der völlig überraschenden und unerwarteten Meldung, dass wenn Daten erhoben werden, die dann auch missbraucht werden. In diesem Fall die Schengen-Daten. Großbritannien hat sie sich einfach privatkopiert.
Die Trifecta komplett macht die Erkenntnis, dass Daten-Anonymisierung häufig Schlangenöl ist, eine Schnellschuss-Lösung für ein verkacktes Geschäftsmodell, ein Ausreden-Teppich, unter den man seine Datenschutzprobleme zu kehren versucht.
Falls ihr euch jetzt Sorgen macht, dass damit das Told-You-So-Gebiet ausgedünnt ist und mit zukünftigen Meldungen nicht mehr zu rechnen sei: Sorgt euch nicht. Wie Einstein schon sagte: Zwei Dinge sind unendlich. Das Universum und menschliche Dummheit. Und beim Universum bin ich mir noch nicht 100% sicher.
By carefully analyzing the engine and model of Cylance’s AI based antivirus product, we identify a peculiar bias towards a specific game. Combining an analysis of the feature extraction process, its heavy reliance on strings, and its strong bias for this specific game, we are capable of crafting a simple and rather amusing bypass. Namely, by appending a selected list of strings to a malicious file, we are capable of changing its score significantly, avoiding detection. This method proved successful for 100% of the top 10 Malware for May 2019, and close to 90% for a larger sample of 384 malware.
Nehmt KI, sagten sie! Wir sind zwar zu inkompetent, um das Problem zu lösen, aber unsere KI ist bestimmt viel schlauer! Genau sagen können wir das nicht, denn dafür müssten wir ja selbst kompetent auf dem Gebiet sein, was wir nicht sind, sonst würden wir nicht auf KI setzen. (Danke, Kristian)
Wenn ich König wäre, würde diese Firma sofort zerschlagen und die Mitarbeiter bekämen alle lebenslang Computerverbot. Aber micht fragt ja keiner.
Aber ihr erwartet jetzt vielleicht, dass Palo Alto wenigstens sofort ein CVE beantragt und das öffentlich gemacht hat, um ihre Kunden zu schützen. Nein, haben sie nicht.
Palo-Alto have now created a security bulletin for this and requested a CVE (cve-2019-1579 pending assigning). The issue is over a year old and absolutely critical as a 100% reliable preauth RCE VPN exploit using format strings, highly recommend you patch.
Ein Jahr! Sportlich!!Zum Vergleich: Die Sowjetunion brauchte weniger lange, um Tschernobyl zuzugeben.
Ich reagiere da so bissig, weil das eine Security-Firma ist. Angeblich. Also ... Schlangenöl, natürlich. Aber die haben den Leuten die Kohle aus der Tasche gezogen mit dem Versprechen, sie vor Würmern zu beschützen. Und tatsächlich haben sie den Würmern einen praktisch idealen Installationsvektor in die Hand gegeben.
Update: Die heißen übrigens nur Palo Alto, die kommen nicht aus Kalifornien. Der Gründer ist Israeli und war vorher bei Checkpoint. Nicht dass das irgendeine Rolle spielt, aber wenn die Firma dich schon mit ihrem Namen belügt, ... (Danke, Axel)
Und natürlich ist mal wieder die Rede von einem Hackerangriff. Eine Ransomware ist kein Hackerangriff. Ein Hackerangriff ist, wenn ein Hacker deinen Rechner angreift, ohne dein Zutun, und der geht dann kaputt oder tut Dinge, die du nicht wolltest. Heutzutage ist der Begriff in der Breite kaum noch anwendbar, weil jede Schrottsoftware ständig neue Updates nachinstalliert, die Dinge tun, die du nicht wolltest. Aber das ist die Definition eines Hackerangriffs.
Was wir hier haben ist ein klarer Fall von "die Organisation hielt es nicht für nötig, ordentliche Infrastruktur auszurollen". Organisationen, die glauben, ein verkacktes Berechtigungskonzept im Unternehmen durch die Nachinstallation von Schlangenöl bekämpfen zu können. Und ja, das ist meiner Erfahrung nach der beste Indikator für verkackte Sicherheitskonzepte in Organisationen: Schlangenöl. Je verkackter die Security, desto mehr Schlangenöl.
Ja aber Fefe, höre ich euch sagen, die Produkte im Gesundheitssektor sind alle auf einem beschissenen Niveau, da kann man nicht so viel machen! Doch, kann man. Man vernetzt sie nicht. Und man klagt solange bei den Herstellern Nachbesserungen ein, bis die netto einen Verlust pro verkaufter Lizenz einfahren.
Was mich ja bei solchen Geschichten immer am meisten mitnimmt: Das sind die Leute, denen wir glauben sollen, dass sie bei dem Rest ihres Krankenhauses schon alles ordentlich machen. Denen wir unser Leben anvertrauen sollen, wenn wir in Not sind. Die Leute, die es nicht schaffen, ihre IT ordentlich zu installieren, denen sollen wir dann glauben, dass sie aber ihre ärztlichen Dinge alle voll im Griff haben.
Ich weiß nicht, wie euch das geht, aber das fällt mir schwer.
Money Quote:
In der Nacht zum Sonntag hat ein Cyberangriff das komplette Netzwerk des Verbundes lahmgelegt – und das trotz vorhandener Firewall und aktualisierter Antivirensoftware.DAS IST JA UNGLAUBLICH, BOB? Ihr hattet Schlangenöl und eine Firewall!?!? Und das hat nicht gereicht?!?!?
Eine von außen ins System eingespielte Schadsoftware hat Server und Datenbanken kryptisch verschlüsseltJa nee klar, von außen eingespielt. Ich glaube kein Wort. Das ist eine dieser "damit konnten alle gut leben"-Erklärungen. Es gibt für Ransomware drei typische Optionen, wie die in ein Unternehmen kommt:
Die Wahrscheinlichkeit für Fall 3 ist verschwindend gering. Das kommt praktisch nicht vor. Ich wäre wirklich überrascht, also echt ehrlich ganz doll überrascht, wenn das hier vorgekommen sein sollte. Den Fall kann man praktisch ausschließen, so selten kommt der vor. Dass jemand über eine Sicherheitslücke reinkommt, für die es noch keinen Patch gab. Das ist eine übliche Schutzbehauptung, aber vorkommen tut es nie.
Ich betrachte solche Fälle inzwischen als übliche Geschäftskosten. Du kannst entweder Geld in ordentliche Infrastruktur oder in Dauerreparaturen stecken. Ist wie bei Autobahnen und Fenstern und Sanitär und sonst überall. Aber seid dann bitte auch so ehrlich und faselt nicht von Hackerangriffen herum. Die Ursache für euren Schaden ist eure eigenen Infrastrukturentscheidungen, nicht irgendwelche Hacker.
So und jetzt könnt ihr entweder alle weiterhin euer Windows-Ökosystem mit Active Directory und SMB-Shares und MS Office weiter betreiben und schön Schlangenöl drübersprenkeln, und euch wundern, dass ihr trotzdem die ganze Zeit Ärger habt. Oder ihr könnt mir glauben, wenn ich euch sage: Schlangenöl hilft nicht.
Und ich habe jetzt Albträume über Ausreden eines Krankenhauses, das mit schlechter Hygiene erwischt wird. Das war keine verkackte Hygiene, das war ein Bakterien-Angriff! Wir hatten sogar eine Seife ausliegen und das hat nicht gereicht!!
New hotness: Malware benutzt Antivirus-Prozess, um die Spuren zu verwischen.
Warte mal, war nicht der Existenzgrund für den Antivirus, den Malware-Befall zu verhindern?!
Ey pass auf, ich hab ne Idee. Wenn das Schlangenöl nicht hilft, dann war die Dosis zu klein!!
Als Sofortmassnahme sei die Sicherheitsstufe des Antivirenprogramms erhöht worden.Wie, Schlangenöl hilft nicht? Dann müssen wir die Dosis erhöhen!!
Ich finde das ja ausgesprochen unterhaltsam, dass Don Alphonso mit seinem Rennrad hier in Sachen CO2-Ausstoß entspannt auf dem Moral High Ground platznehmen kann, während die Kerosin-Grünen auf ihrem Truppenübungsplatz in Verteidigungshaltung ausharren, ohne tatsächlich irgendwas zu ihren Gunsten vorbringen zu können. Da bleibt dann halt nur Vorwärtsverteidigung mit Verbalinjurien.
Update: Leserbrief dazu:
nur kurz als Info von 3 betroffenen Bauern (2 Kerpener einer aus Düren) aus den letzten Jahren (Aussage beruht auf deren Darstellung):
Die Entschädigung von Ende Gelände basiert auf dem verlorenen Material (Saatgut und GroßgeräteEinsatz), nicht auf dem entgangenen Gewinn des zerstörten "fertigen Produktes", noch auf der verlorenen Arbeitszeit.
New hotness: Hersteller empfiehlt Schlangenöl für ihre Fernseher!
Scanning your computer for malware viruses is important to keep it running smoothly. This also is true for your QLED TV if it's connected to Wi-Fi!Prevent malicious software attacks on your TV by scanning for viruses on your TV every few weeks.
Ja nee, klar. Wir müssen keine ordentliche Software ausliefern. Wir übergeben die Verantwortung einfach an unsere Kunden. Ist ja auch viel billiger (für uns), wenn eine Million Kunden sinnlose Zeit und Geld verplempern als wenn wir das einmal richtig machen!1!!Es wird echt höchste Zeit dafür, dass die Kosten für Malware-Bekämpfung den Herstellern aufgedrückt werden.
Ein spezieller Passwortschutz der Antiviren-Software AVG hat den Passwortspeicher des Firefox-Browser beschädigt. Nutzer hatten deshalb zwischenzeitlich ihre Zugangsdaten verloren.Seid ihr auch so froh, dass uns das Schlangenöl vor Schaden bewahrt? Nicht auszudenken, was Malware sonst alles ausrichten könnte und würde! Z.B. eure Firefox-Passwortdaten kaputtmachen!!1!
Update: Dazu passend schickt mir jemand dieses tolle Reddit-Fundstück zu.
Wenn euer Blutdruck wieder runtergekommen ist: Hört mir kurz zu!
Die Idee ist, dass irgendein inkompetenter Idiot aus einer Behörde oder der Politik von irgendeinem IT-Dienstleister "Distributed Ledger"-Bullshit ordert, weil das gerade so hip und geil ist. Aber eigentlich geht es in dem Projekt darum, deren Buchhaltung und Prozesse überhaupt soweit zu kriegen, dass man da überhaupt auch nur in die Nähe von digitaler Verarbeitung kommt. Und ob dann der Blockchain-Bullshit was wird oder nicht, das spielt dann keine Rolle mehr. Der Dienstleister kriegt den Job wegen Blockchain-Humbug. Die Behörde kriegt Digitalisierung. Der Dienstleister kriegt Geld. Und auch ohne Schlangenöl-Hypetech haben dann alle einen Vorteil.
Vielleicht sollte ich meine Fundamentalopposition nochmal überdenken.
Ich habe hier einen Kunden-Laptop, auf dem ich mal ein clang-tidy laufen lassen wollte. Also erstmal WSL mit ubuntu geholt. apt-get install clang-tidy gab mit 6.0. Aktuelles Release ist 8.0, ich arbeite sonst mit dem HEAD, das meldet sich als 9.0. Ja, nee, Ubuntu.
OK, dann update ich halt mal das Ubuntu von LTS auf unstable. Dachte ich mir. In meinem jugendlichen Leichtsinn. Erstens will deren CLI-Distro-Upgrade-Tool erst auf Devel upgraden, wenn man vorher auf die aktuelle Stable geupgraded hat. Und das Stable will er erst upgraden, wenn man vorher updated. Ich musste mir also drei komplette Distros ziehen für ein Upgrade. Danke, Ubuntu.
Aber das war nicht, weshalb ich das hier schreibe. Die Upgrades brauchen EWIG. Ich vermute, dass das an der schwachbrüstigen Hardware auf dem Kundenlaptop liegt, und daran, dass die Bitlocker anhaben, und dass da zwei fucking Schlangenöle parall laufen und sich gegenseitig behindern.
Da fiel es mir wie Schuppen von den Augen.
Was wenn WSL2 bloß dazu da ist, das Schlangenöl bei Filesystemzugriffen aus dem kritischen Pfad zu optimieren?
Diese Updates laufen jetzt hier seit über vier Stunden. Und die Pakete kamen mit 100 MBit reingeflutscht, daran lag es nicht.
Update: Dev-Ubuntu kommt mit gcc 8.3 und clang 7. WTF Ubuntu?! Was muss man denn bei euch nehmen, wenn man aktuelle Versionen haben will? Ubuntu Futur?
Ich muss euch ja sagen, dass es mich mit einer gewissen Genugtuung erfüllt, dass sich der Schlangenöl-Begriff für Antiviren inzwischen so schön etabliert hat.
Erstens: Sie sagen nicht, welche Firmen das sein sollen.
Zweitens: Primärquelle ist eine Klitsche, von der noch niemand jemals gehört hat, die sich für ihre Erkenntnisse auf irgendwelche angeblichen aber nicht konkret benannten Darknet-Sites bezieht, und ihr Blog bei wix.com hostet.
Drittens: Der "Screenshot", den sie da haben, ist zensiert und auch ansonsten völlig nichtssagend.
Ich würde da nichts drauf geben, bis da mehr Substanz kommt. Abgesehen davon sind Schlangenölhersteller natürlich prinzipiell nicht vertrauenswürdig, ob sie jetzt gehackt wurden oder nicht.
Ich muss bei diesen Schlangenöl-Hersteller-Behauptungen über "APT" und Malware-Attribuierung immer an Kreml-Astrologie denken. Die machen Astrologie nicht nur mit Dingen, die sie nicht wissen, sondern auf der Ableitung von etwas, das sie nicht wissen.
Letztlich ist es ja auch egal, welcher Geheimdienst jetzt welche Lücke hatte. Wichtig ist, dass Geheimdienste die Lücken für Angriffe nutzen und nicht dem Hersteller melden und damit die Sicherheit der gesamten IT-Infrastruktur kompromittieren.
Hätte uns doch nur jemand frühzeitig gewarnt!!1!
New hotness: Es braucht keine Angreifer, das Schlangenöl macht das Windows selbst kaputt.
New hotness: Norton-Schlangenöl blockiert immer noch / schon wieder blog.fefe.de.
Das will man doch einsetzen! Fühlt ihr euch auch schon viel sicherer? Ein Glück, dass ein Profi wie Peter Norton sich kümmert!1!! Da hat die Malware keine Chance. Keine, sage ich! Alles finden die raus!
Trend Micro hat Updates für seine Sicherheitssoftware Apex One, OfficeScan und Worry-Free Business Security veröffentlicht. Sie enthalten eine kritische Schwachstelle, die laut Trend Micro sowohl von lokalen als auch von entfernten Angreifern zur Manipulation beliebiger Dateien missbraucht werden könnte.Wohl doch nicht ganz so "worry free", wa?
Auch bei Stromausfall, Cyberangriffen, extremen Gefahrenlagen wie Hochwasser und in Regionen mit Funklöchern seien Sirenen wichtig, sagen Experten.Au ja! Immer wenn das Schlangenöl herumlügt, ein Angriff sei abgewehrt worden, heulen die Sirenen los!1!! (Danke, Marc)
New hotness: Zugriff auf die deutsche Azure-Cloud wird von Google Safe Browsing blockiert.
Bestimmt bloß ein bedauerliches Missverständnis. Oder hängt Googles Cloud so weit zurück, dass sie sich zu solchen Methoden genötigt sehen?
Aber so wird die US-Regierung das nicht sehen, ist anzunehmen. Könnte uns ja eigentlich völlig egal sein, aaaaaaber Cloudflare waren auch die, denen Mozilla den DNS-Traffic ihrer User schenken wollte. Und da wird es dann doch interessant für Verschwörungstheoretiker.
Das Ausformulieren überlasse ich mal Bert Hubert, der PowerDNS gegründet hat. Das ist kein direkter Konkurrent von Cloudflare. Der hatte sich auch schon ausführlich über Mozilla-DNS-via-Cloudflare geäußert. Spoiler: Er ist kein Fan.
Update: Falls jemand Bert Hubert nicht kennt: Das ist ein verdienter Ingenieur, der neben DNS z.B. auch für die einzige brauchbare Einführung in iproute2, die ipsec-tools und Traffic Shaping bekannt ist. Der weiß, wovon er redet. Wenn sein Wort gegen das von Cloudflare steht, würde ich immer erstmal ihm glauben.
Auf der einen Seite ist das eine gute Entwicklung. Die Angriffsoberfläche von Schlangenöl ist enorm. Gut, dass ich nicht mehr der Einzige bin, der das problematisch findet.
Auf der anderen Seite, wenn wir uns da jetzt einig sind, dass Schlangenöl eine Gefahr ist, weil es eine große Angriffsoberfläche hat, vielleicht können wir dann auch mal über die Schlussfolgerungen reden, die sich aus dieser Erkenntnis ergeben!
An der Zeit wäre es.
Update: Übrigens, ein Hinweis noch. Selbst-Sandboxing von Anwendungen ist eine Sache, die ich seit ein paar Jahren propagiere. Ich würde mich echt freuen, wenn Microsoft nicht die einzigen sind, die das umsetzen. Die Open Source-Community operiert gerne unter der Annahme, ihr Code sei irgendwie intrinsisch sicherer als der von Microsoft, weil ist ja Open Source und da kann man ja in den Code reingucken. Das ist ein Trugschluss. Microsoft bezahlt Leute dafür, Code Audits zu machen. Du kannst nicht einfach davon ausgehen, dass bei deinem Projekt auch jemand guckt. Schon gar nicht jemand, der sich auskennt, und Sicherheitslücken auch wirklich erkennen würde. Open-Source-Projekte können nicht einfach annehmen, dass Bugs schon gefunden werden, und müssen auch proaktiv tätig werden. (Danke, Tom)
Reicht noch nicht? Geht noch eine Stufe absurder: Microsoft will mit KI die Welt retten. KI für den Klimawandel! Äh gegen den Klimawandel!!
Damit ist die Sache für mich klar. Bloombergs Story ist nicht glaubwürdig. Die sind auf einen Schlangenölverkäufer reingefallen.
Step Up to Gen V Cyber Security.Security That Prevents Fifth-Generation Cyber Attacks.
We Are at an Inflection Point.
Hackers are exploiting the fact that most organizations rely on older generations of security.
Es ist immer wieder faszinierend, mit was für einem Noch-unter-Trump-Niveau die Schlangenölbranche arbeitet. Und trotzdem sind die noch nicht out of business. Irgendjemand kauft denen ihre "Lösungen" ab! (Danke, Alexander)
Um so geiler dieser Trend hier:
Old and busted: Live-Hacking.
New hotness: "Live-Hacking einer Blockchain"
Nein, wirklich! Anderes Highlight: "Sicherheit erhöhen durch Use Cases". Bitte was?!
Motto der Veranstaltung:
Werden auch Sie Blockchain Sicherheitsexperte!Nur echt mit dem Deppenleerzeichen! Und das ist nur der Seminarteil! Es gibt auch noch eine Konferenz dazu! Mit Sieger-Vorträgen wie
IoT – Rechte und Standards einer BlockchainDas klingt, als hätte jemand ein paar Worte zusammengewürfelt. Wie so ein Markov-Bullshitbot auf Twitter.
Technologie und Anwendungssicherheit – Trusted Blockchain InterfacesOhoooo! Trusted Blockchain Interfaces! War nicht die Idee bei der Blockchain gerade, dass du eben nicht irgendwem vertrauen musst?! Das Memo haben die Veranstalter wohl nicht gekriegt. Trusted Blockchain ist ja fast so geil wie Private Blockchain.
Aber hey, für den günstigen Preis von über 1290,00 kannst auch du am "Experten Seminar" teilnehmen (nur echt mit dem Deppenleerzeichen!).
Manchmal ist mir das ja echt peinlich, Teil dieser Branche zu sein.
Zudem arbeiten wir künftig mit Cloudflare zusammen, um eine Web Application Firewall (WAF) auf unserer Webseite und im Kundenmenü einzusetzen. Diese dient als Filter zwischen unseren Servern und potenziell bösartigem Datenverkehr aus dem Internet. Sie schützt vor betrügerischen Aktivitäten wie SQL-Injections und Cross-Site-Scripting und wird in den nächsten Tagen aktiv.Ich bin kein Kunde von denen und kann daher nicht beurteilen, dass das wirklich so von Domainfactory geschrieben wurde.
Aber erstens: Das ist wie "wir haben einen Virenscanner installiert und sind jetzt sicher". Bullshit.
Zweitens: Der Traffic zwischen dem Kunden und der Firma geht jetzt über eine Drittfirma mit Sitz im Ausland. Das fände ich als Kunde unakzeptabel. Ich finde es auch unakzeptabel, wenn Firmen ihre Mail über Drittserver von Anbietern im Ausland machen. Möglicherweise vertrete ich da eine Mindermeinung.
Drittens: Wenn jemand seine Sicherheitsprobleme nicht durch "wir machen die Software sicherer" sondern durch "wir schalten Schlangenöl davor" löst, dann liegt die Vermutung nahe, dass die Kompetenz fehlte, das Kernproblem zu lösen. Meiner Meinung nach ist das eine Bankrotterklärung. Wieso habt ihr die Software dann überhaupt eingesetzt, wenn ihr die nicht absichern könnt?!
Nun ist der Betrieb sicherer Systeme für einen Hostinganbieter Teil der Kernkompetenz. Wenn die also an der Stelle schon eine solche Bankrotterklärung verkünden, würde das mein Vertrauen in den Rest ihrer Kernkompetenzen deutlich schmälern.
Zu Cloudflare im Speziellen: Ich bin bisher nicht beeindruckt von denen. Die fallen vor allem durch Marketing-Getöse auf. Und durch Fehlermeldungen und Captchas vor irgendwelchen Webseiten, die sie angeblich "beschützen". Und diese "Fehlermeldungen" sind vor allem Cloudflare-Eigenwerbung. Ich hatte glaube ich sogar schon mal eine Cloudflare-Fehlermeldung als Aprilscherz. :)
Update: Über ein Dutzend Leser haben bestätigt, auch eine Mail mit diesem Textblock von Domainfactory gekriegt zu haben. Einer schrieb, er habe anlässlich der Sicherheitslücke letztens eine fristlose Kündigung ausgesprochen und sei damit (für ihn überraschend) anstandslos durchgekommen.
Aber Sekunde, es gibt nicht nur nebulöses Blablah, es gibt auch handfeste Ansagen:
The companies will build on existing relationships and together establish new formal and informal partnerships with industry, civil society and security researchers to improve technical collaboration, coordinate vulnerability disclosures, share threats and minimize the potential for malicious code to be introduced into cyberspace.
ACH NEE. Der EINE Ort, wo es mal was zum Wohl des Kunden gab, weil Google Project Zero sich eben nicht mit "wir sind noch nicht fertig"-Bullshit hinhalten lässt sondern die Vulns released, ausgerechnet da wird das jetzt "koordiniert"? Ja super, liebe Tech-Branche!Man muss echt alles selber machen.
Besonders geil, dass ausgerechnet RSA aufspringt:
Companies that signed the accord plan to hold their first meeting during the security-focused RSA Conference taking place in San Francisco
Das ist offensichtlich Werbung. Das ganze Ding. Wenn das nicht eh alles Fake News wäre, hätte es dieser Halbsatz vernichtet. Nein, RSA nicht nicht "security-focused". Die Firma verkauft Schlangenöl-Token mit "proprietärer Technologie" und ließ sich einmal die Seeds alle klauen. Ihr erinnert euch, die Seeds, von denen sie versprochen hatten, dass sie sie gar nicht haben. Die haben sie sich klauen lassen. Und die großen Firmen da draußen kaufen denen ihren Mist IMMER noch ab. Aber das ist ja nur die Firma, nicht die Konferenz. Die Konferenz hat soviel mit Security zu tun wie VW mit sauberer Luft. Das ist eine reine Sales-Bullshit-Veranstaltung. Da ist noch nie was security-relevantes besprochen worden.Boah ich könnt schon wieder kotzen hier. Und da wundern sich die Leute, dass so viele ITler Bluthochdruck haben!
Aber hey, wartet, die Farce ist noch nicht zu Ende. Diese Meldung hier rundet es ab. Da regt sich die Defense-Presse (also der Militär-Furunkel am Arsch der Gesellschaft) fake darüber auf, dass diese fiesen Tech-Firmen ja jetzt nicht mehr der Regierung bei der Cyberoffensive gegen die Bösen Menschen da draußen helfen wollen!1! Ja nee, klar.
Das ist echt fraktal Bullshit. Es ist egal, wie weit weg du stehst oder wie nah du ran gehst, es ist immer Bullshit.
Update: Es gab mal eine schöne Last-Week-Tonight-Show über den.
Update: Das scheint der Fall hier zu sein :-( (Danke, Ruben)
Ich als oller Verschwörungsblogger stelle mir gerade vor, wie Intel sich in einer gammeligen Kaschemme mit schattigen Spooks trifft, die ihnen ihre Kumpels aus der US-Regierung genannt haben, einen Wanzen-Sweep macht und dann einen Blankoscheck auf den Tisch legt.
Aus meiner Sicht ist keine dieser angeblichen Lücken besonders gruselig. Keine davon erlaubt Elevation of Privileges von User Space in den Kernel (wie bei Meltdown). Das sind hauptsächlich Angriffe gegen Schlangenöl-Bullshit-Mist, den man eh nicht in seinem Prozessor haben will, weil es bloß unnötig die Komplexität erhöht und eh nicht klar ist, ob man dem jetzt trauen kann oder nicht.
Ich würde mir da jetzt keine großen Sorgen machen, wenn ich einen Ryzen hätte. Was ich im Moment noch nicht habe. Werde ich aber demnächst, denke ich. Alleine um die Meltdown-Fix-Verzögerung loszuwerden.
Update: CNET sagt, dass die "Forscher" AMD nur 24h Zeit gaben vor der Publikation. Ja, äh, nee, das riecht eher wie eine Schutzgelderpressung als wie eine legitime Veröffentlichung.
Update: Auf Reddit haben Leute noch herausgefunden, dass die "Büroräume" in deren Video aus Stock Footage kamen. Die Lektüre vom Disclaimer lohnt auch. Im Kleingedruckten stehen so Dinge wie dass sie sich vorbehalten, an der Börse Profit von ihren Analysen zu machen, und dass es sich alles bloß um ihre Meinung und nicht um Faktenbehauptungen handele. Ja nee klar.
Unter dem Namen Runtime Application Self-Protection (RAP) versprechen viele Anbieter von Sicherheitsdiensten ihren Kunden neue Schutzfunktionen, die Angriffe auf ihre Anwendungen zur Laufzeit abwehren können.Yeah! Wir haben so viel Komplexität aufgestapelt, dass wir nicht mehr in der Lage sind, auch nur grundlegende Aussagen über die Software zu treffen, geschweige denn sie sicher zu machen. Also tun wir … MEHR Komplexität auf den Haufen!
Faith-Based Programming!
Aber nun wollen wir mal die Kirche im Dorf lassen. Nur weil unsere Profitmaximierung zu euren Lasten geht, heißt das ja nicht, dass unser Geschäftsmodel verwerflich ist! Nein, nein! Ihr könnt euch doch Schlangenöl installieren!11!
Für einen solchen Angriff müssen die Kriminellen allerdings erst die Schutzmaßnahmen des Seitenbetreibers umgehen und auf dem Rechner des Opfers muss es eine noch nicht behobene Sicherheitslücke geben, über die sich die Schadsoftware unbemerkt einnisten kann. Bekannte Varianten solcher Angriffe werden von Antivirensoftware allerdings entdeckt und blockiert.Wow. Fast jedes Wort in diesem Statement ist eine dreiste Lüge.
Schutzmaßnahmen?! Des Seitenbetreibers!? Die meisten Werbenetzwerke sind eigenständige, externe Firmen, mit denen der Browser dann direkt interagiert. Der Seitenbetreiber kann gar keine wirksamen Schutzmaßnahmen haben in so einer Konstellation.
Gelegentlich kann man Sicherheitslücken gar nicht beheben, weil der Hersteller der Software sich schlicht weigert, den Bug als Sicherheitsproblem anzuerkennen, oder weil die Lücke noch gar nicht bekannt ist, oder weil das Update sich wegen eines Konflikts mit dem Schlangenöl nicht installieren ließ. Oder weil der User in einer Firma arbeitet, die seine Updates für ihn managed, und damit im Verzug ist. Wieso ist jetzt plötzlich das Opfer Schuld, wenn ich mal fragen darf? Der Angriff geht von euch aus! Wieso heißt ihr eigentlich Spiegel? Weil sich das als Oberfläche so gut zum Koksen eignet?
Schadsoftware ist auch nicht nur gefährlich, wenn sie unbemerkt ist. Ransomware ist sehr gut zu bemerken. Nachdem sie die Daten verschlüsselt hat.
Und dass Antivirensoftware alle bekannten Varianten erkennt, ist auch eine offensichtliche Lüge.
Für eine Publikation, die vorgeblich der Wahrheitsfindung dient, und für die Aufklärung der mündigen Bürger arbeitet, ist das eine ganz schöne Häufung an alternativen Fakten.
Das waren bestimmt die Russen!1!!
Update: Ich lass das hier mal so stehen.
Update: Oh das wird ja noch besser! Stellt sich raus, dass Die Spiegel-Online-Anleitung zum Adblocker-Ausschalten diesen Passus enthält:
Haben Sie ein Anti-Virusprogramm installiert? Auch diese Programme können wie ein Adblocker funktionieren. Bitte prüfen Sie in den Einstellungen, ob Ihr Programm Werbeanzeigen blockiert, und erstellen Sie eine Ausnahmeregel für SPIEGEL ONLINE.
Geil! Also das Schlangenöl, das euch vor unserer Malware schützen soll, das schaltet bitte auch ab. (Danke, Jens)
Gut, dass sie da keine peinlichen Geheimnisse finden konnten, weil unsere Regierung nicht genug gearbeitet hat, um peinliche Geheimnisse zu produzieren.
Lacher am Rande:
Ausländische Hacker sind nach Informationen der Deutschen Presse-Agentur in das bislang als sicher geltende Datennetzwerk des Bundes und der Sicherheitsbehörden eingedrungen.Ja, äh, nee. Wer zu irgendeinem Netz annimmt, es sei schon sicher, ist inkompetent und sollte gefeuert werden. Erst recht, wenn das Netz von einem externen Dienstleister betrieben wird, wie T-Systems in diesem Fall.
Die Angreifer sollen Sicherheitskreisen zufolge der Gruppe "APT28" angehören, die viele Fachleute russischen Regierungsstellen zurechnen.Äh, nein. Schlangenöl-Verkäufer mit Panikschürmotiv verbreiten Ammenmärchen. Niemand hat da irgendwas zuordnen können. Es gibt da bloß unbelastbares Hörensagen aus nicht ernstzunehmenden Quellen mit kommerziellem Panikschürhintergrund.
Was für eine Farce mal wieder.
Hey, wisst ihr noch damals, als München auf Linux umgestellt wurde und von den Russen gehackt wurde? Nicht? WEIL ES NICHT PASSIERT IST. Ja warum bloß!1!!
Die Lösung für mehr Windows-Malware ist mehr Windows. Genau wie bei School Shootings in den USA. Die Lösung für mehr Gun Violence sind mehr Guns.
In many cases, these security changes meant deep architectural changes were required to third party solutions. And most ecosystem vendors were not incented to invest heavily in their legacy apps. Some of these solutions took the unorthodox approach of modifying data structures and even instructions in the kernel in order to implement their functionality, bypassing APIs and multiprocessor locks that often caused havoc. Antivirus vendors were notorious for using this approach.In my role as the head of Microsoft security, I personally spent many years explaining to antivirus vendors why we would no longer allow them to “patch” kernel instructions and data structures in memory, why this was a security risk, and why they needed to use approved APIs going forward, that we would no longer support their legacy apps with deep hooks in the Windows kernel — the same ones that hackers were using to attack consumer systems. Our “friends”, the antivirus vendors, turned around and sued us, claiming we were blocking their livelihood and abusing our monopoly power! With friends like that, who needs enemies? They just wanted their old solutions to keep working even if that meant reducing the security of our mutual customer — the very thing they were supposed to be improving.
Nur damit ihr das auch mal von jemand anderem als immer nur mir gehört habt.
Um so großartiger ist diese unfassbare Avira-Werbung (Screenshot). Immer wenn du dich fragst, ob es noch unseriöser überhaupt geht, kommt die Schlangenölbranche und beweist es dir. (Danke, Jochen)
Die Malware Protection Engine von Microsoft weist eine Schwachstelle auf, über die Angreifer Schadcode auf Computer schieben könnten.Aber nein, Fefe, das kann man so nicht sagen, dass Schlangenöl eine Angriffsoberfläche darstellt!1!! Ist alles voll harmlos! Das sind Profis, die wissen, was sie tun!
Und das krasse ist ja: Das sind echt die Profis bei Microsoft. Von den Schlangenölherstellern da draußen sind das die mit Abstand am wenigsten schlimmen.
A company analyst who manually reviewed the archive quickly determined it contained confidential material. Within a few days and at the direction of CEO and founder Eugene Kaspersky, the company deleted all materials except for the malicious binaries.
Sie sagen, sie bräuchten ja die Quellen auch gar nicht für ihre Arbeit. Das stimmt zwar, aber erstens: Wer weiß, wie viele ihrer Malware-Techs da noch Zugriff hatten, und ob da jemand ein Backup gezogen hat. Zweitens: Aufgeflogen ist das ja, weil die Israelis bei Kaspersky im Netz waren. Wer weiß, wer da noch war. Und mit wem die Israelis das alles geteilt haben.Ich würde aber trotzdem Kaspersky keine Schuld geben. Deren Software hat genau das getan, was sie gesagt haben, das sie tun würde. Wenn jemand Kaspersky ein Päckchen mit Geheimdokumenten in den Briefkasten schickt, würde man ja auch nicht Kaspersky beschuldigen sondern den Leaker.
Es gab da z.B. einen Talk zu Owasp und deren Top 10, und der verbrachte gefühlt die erste halbe Stunde damit, dass die Top 10 ja völlig überbewertet und von der Werbung irgendwelcher Unternehmen missbraucht werden, dass das keine Pentest-Checkliste sei und nicht für Compliance gebraucht werden dürfe — und dann berichtete er darüber, wie sie da Streitereien haben zu den neuen Top 10, wie es da einen Entwurf gab, wo ein Punkt "du sollst Schlangenöl kaufen" eingefügt wurde. Anscheinend auf Betreiben von jemandem, der "privat" diese Liste maintaint und dann beruflich das geforderte Schlangenöl vertreibt. Das war mir alles neu, aber ich stalke jetzt auch nicht Owasp hinterher, die interessieren mich ehrlich gesagt nicht so stark. Aber jetzt zeigt er den neuen Entwurf, und da ist CSRF nicht mehr drin (nach wie vor eines der größten echten Probleme für Webapps, aus meiner Sicht, das viele viele Leute nicht verstanden haben, die Webapps bauen). Dafür ist da "du sollst Schlanenöl zum Monitoring und Alerting kaufen" drin. Tja, Owasp, ein Wort mit X. Das war wohl nix.
Was hab ich noch gesehen? Oh ja, "Sichere Softwareentwicklung - Anforderungen und Vorgehensweisen". Das war erst eine ewig lange Liste von "ALLE WURDEN GEHACKT! ALLE!!!", eine halbe Stunde "Wir werden alle störben" pur. Und als sie dann ein paar Maßnahmen empfahlen, machten wir ein Trinkspiel daraus und mein Kumpel Daniel drehte dann eine Siegerrunde, als er korrekt "gleich pluggen sie die SDL" vorhersagte.
Ich muss dazu sagen, dass ich relativ hohe Ansprüche habe bei Vorträgen, wenn es darum geht, was man da jetzt konkret mitnehmen kann. Und das fehlte hier bei vielen Talks. Ein paar Links auf Dinge (ich erinnere mich an drei Talks, die auf die Owasp Top 10 verwiesen, die der Owasp-Talk gerade dafür gedisst hatte). Ja, äh, wenn ich Links hinterherlaufen wollte, hätte ich mir den Vortrag nicht angucken müssen. Das Problem hatten viele Talks. Gut, die Materie ist ja auch komplex, aber das Argument kann ich nicht gelten lassen, wenn die erste Hälfte des Talks mit Platitüden und Einführungs-Blablah verplempert wird.
"Security im Entwicklerteam" habe ich auch geguckt, aber da fehlten mir auch so ein bisschen die "was machen wir denn jetzt"-Folien. Konkrete Dinge, die man jetzt tun kann, den Schritt geht irgendwie kaum jemand. Und ich meine jetzt nicht "hier ist ein Wiki, klick da mal rum". Besonders krass fand ich einen Talk am 2. Tag, bei dem es um Automatische Code-Scanner ging, und "was die Hersteller Ihnen nicht sagen werden". Da hätte ich konkrete Beispiele erwartet, mindestens aber ein paar lustige Anekdoten. Stattdessen kam unkonkretes "die versprechen viel und halten das dann nicht" (NEIN! Hold the presses!!) und "wenn Sie das genauer wissen wollen, dann holen sie sich mal die Eval-Versionen, nehmen Sie sich jeweils ein paar Tage Zeit, und testen Sie die gegeneinander". Äh, das wollte ich gerade nicht machen sondern mir hier die Ergebnisse abholen!
Am 2. Tag morgens gab es einen Vortrag, der mir vergleichsweise wichtig war. Da erzählten nämlich zwei Leute von Rohde & Schwarz von dem Projekt "Analyse und Auswahl einer allgemeinen Kryptobibliothek". Der Talk war mir wichtig, weil das Projekt für das BSI ist. Das BSI hat ja ein paar Glaubwürdigkeitsprobleme bei Kryptofragen, seit sie sich in die Bundestrojaner-Begutachtung haben verwickeln lassen. Insofern gut und richtig, das an eine externe Organisation rauszugeben. Aber Rohde & Schwarz ist an der Stelle eine zumindest aus meiner Sicht nicht viel glaubwürdiger aufgestellte Firma, die mir unter anderem als Lieferant von IMSI-Catchern für "Bedarfsträger" untergekommen ist bisher. Das ist keine gute Basis für das Erarbeiten einer unabhängigen Empfehlung für Krypto-Libraries. So und das Ergebnis von diesem Projekt war jetzt, dass sie Botan gewählt haben — eine Library mit einem Marktanteil von vielleicht 1% im TLS-Segment, von der kaum jemand überhaupt gehört hat. Ich habe mir bei Botan mal den Code angeguckt und der war jetzt nicht schlecht oder so, aber das ist ein krasser Außenseiter, und in Benchmarks ist deren Code schonmal nur halb so schnell wie der von OpenSSL. Meine Erfahrung ist, dass schon 5% Performanceunterschied reichen, um jemanden doch zu OpenSSL greifen zu lassen, wenn der bloß eine Ausrede suchte, wieso er bei OpenSSL bleiben soll. Das ist also alles schon mal nicht so gut, sowohl aus technischer als auch aus politischer Sicht. Ich hätte erwartet, dass die die Zeit nutzen, um mal so richtig knallhart inhaltlich zu zeigen, welche Kriterien ihnen wichtig waren und warum sie so entschieden haben, um jeden Geruch von Foul Play auszuschließen. Stattdessen kam ein Halbsatz dazu. Sie haben intern ein Punktesystem erarbeitet und nach dem sind sie gegangen. Ja, äh, das hilft mir jetzt nicht weiter. Das riecht jetzt nicht besser als vorher. Eines der Argumente gegen OpenSSL war, dass das API so schlimm ist. Ungefähr 20 Minuten lang haben sie dann Beispiele gezeigt, wie man in Botan Dinge tut, aber nicht Dinge wie "TLS-Verbindung aufmachen, Certificate Pinning anschalten" — nein, Dinge wie "SHA256 von diesen drei Bytes hier machen. Ja, äh, das geht auch in OpenSSL mit nur ein paar Zeilen Code. Das große Argument für Botan ist, dass es vergleichsweise wenig Code ist (im Vergleich zu OpenSSL). Allerdings kommt der viele Code in OpenSSL u.a. davon, dass sie für performancekritische Primitiven Assembler-Implementationen für ein Dutzend Plattformen haben. Und nicht nur für Performance ist Assembler wichtig, auch für das Vermeiden von Seitenkanälen. Wie da die Situation bei Botan ist, haben sie zwar gesagt, dass sie das getestet haben und was in einem Padding-Verfahren gefunden haben, aber was ist mit den anderen Verfahren? Die elliptischen Kurven, das RSA?
Zur Ehrenrettung der Vortragenden muss man aber sagen, dass die a) für eine Tochter von Rohde & Schwarz arbeiten, die die dazugekauft haben, und b) nicht den Eindruck erweckten, sie seien jetzt fiese Geheimdienstler, die unser Krypto schwächen wollen. Aber ausgeräumt haben sie den Verdacht halt auch nicht.
Mir tun die Leute beim BSI und bei dieser R&S-Tochter durchaus leid, versteht mich nicht falsch. Viele wenn nicht alle von denen meinen das sicher alles total gut, und werden jetzt völlig zu Unrecht verdächtigt.
Ich habe so ein bisschen den Eindruck gewonnen, dass ich mal einen Vortrag über Threat Modeling halten muss. Das ist gerade voll im Trend, und die meisten, die das machen, haben gar nicht verstanden, warum man das macht.
Das war dann für mich auch schon die Veranstaltung, danach kam meine Keynote und nach der bin ich ziemlich direkt in den Zug gestiegen, damit ich auf der Fahrt nach Berlin nicht komplett im Dunkeln fahren muss.
Update: Dirk, der den Owasp-Talk gemacht hatte, schreibt mir gerade, dass das nicht als Schlangenöl-Kaufen-Paragraph gemeint ist, auch wenn ich das so deute. Sie hätten extra auch Open Source erwähnt. Nun, mit Schlangenöl meine ich "verspricht Dinge, die es nicht halten kann", nicht "kostet Geld". Schlangenöl kostet natürlich im Allgemeinen auch Geld, ja, aber es gibt auch Open Source Schlangenöl. Ich finde es halt anstößig, erst die Formulierung von "wichtigste Angriffe" auf "wichtigste Risiken" zu ändern, um dann in der nächsten Runde "Reaktives Security-Produkt $XY nicht installiert" als Risiko hinzuschreiben. Das geht aus meiner Sicht gar nicht. Na mal gucken, ist ja bisher noch ein Release Candidate, vielleicht fliegt das ja auch noch raus.
A spring discovery would mean the NSA became aware of the breach just weeks before two other significant security incidents for the agency: A cryptic group known as the ShadowBrokers starting to leak alleged NSA hacking tools online and contractor Hal Martin was arrested for hoarding classified information on his home computer.
*raun* *gerücht*Meine Güte, muss die US-Schlangenölindustrie eine Angst vor Kaspersky haben, dass die sich zu solchen Schmierkampagnen genötigt sehen. Au weia.
Also wenn ich Kaspersky wäre, würde ich jetzt einmal alles verklagen, was nicht bei drei auf den Bäumen ist. Wenn das keine böswillige Geschäftsschädigung ist, dann weiß ich auch nicht.
Update: Washington Post dazu.
Keynotes sind ja eher nicht so mein Gebiet, ich mache lieber Technik oder Entertainment. Keynotes sind überhaupt eine sehr merkwürdige Art des Vortrags. Ich habe mir mal gezielt ein paar Keynotes angeguckt, um zu sehen, was da von mir erwartet wird, und das ist ein ganz eigenes Genre.
Ca ein Viertel sind so "I have a dream"-Visionen, auch partiell "We shall overcome" (hier ist ein Problem, aber wir schaffen das!1!!), die Hälfte sind so Marketing-Blablah-Geschichten und Selbstbeweihräucherung der Branche, und ein Viertel sind so "wir werden alle störben"-Doomsday-Warnungen.
Das ist alles nicht so mein Metier. Ich bin eher ein Freund von Gedankengängen mit Erkenntnisgewinn am Ende.
Wenn man sich populäre TED-Talks anguckt, dann sind die Gedankengänge von der Komplexität her immer auffällig auf Ernie-und-Bert-Niveau. Ich glaube, dass das System hat. Der Zuschauer wird nicht überfordert und kann sich bestätigen, dass er zu den oberen 50% gehört, weil er das alles schon vorher wusste. Ich habe beobachtet, dass auch immer die Vortragenden am populärsten sind, die non-threatening sind, und zwar im körperlichen wie auch im übertragenen Sinn. Wo man keine Angst haben muss, dass er Chef das sieht und sich denkt: Ich feuer meine Leute und stell lieber den ein.
Ach naja. Ich mach mir da immer viel zu viel Sorgen. Publikumsbeschimpfung geht immer. :-)
Update: Die Veranstaltung stellt sich gerade als im Wesentlichen eine Schlangenöl-Verkaufsevent heraus. Ich bin ja immer wieder fasziniert, wie die Leute "Ransomware zieht dir Geld aus der Tasche" klar unmoralisch finden, aber "Schlangenölbranche zieht dir Geld aus der Tasche" ist halt Kapitalismus.
Ein mir neuer Aspekt, der mich gerade echt flasht, ist dass die Sales-Drohnen jetzt ernsthaft mit folgender Argumentation rumlaufen: Durch die EU-Datenschutzverordnung drohen ja Strafen bis zu 4% des Jahresumsatzes. Also werden bestimmt auch die Malware-Leute anfangen, ihre Schutzgelder entsprechend hochzudrehen. Also sollten Sie das als drohenden Schaden sehen. Also müssen Sie jetzt auch soviel (oder zumindest "entsprechend mehr" Geld für unser Schlangenöl ausgeben.
Wie geil ist DAS denn?!
Update: Oh und meine Keynote lief glaube ich ganz gut. Falls jemand wissen will, worum es ging: Ich erkläre, was Externalisierung von Kosten ist (Umweltverschmutzung, Atommüll, Bankenskandal), dass das gemeinhin als unmoralisch und verwerflich gesehen wird, und stelle dann die These in den Raum, dass das Verbreiten von schlechter Software auch Externalisierung von Kosten ist. Dann erkläre ich, wie Security-Bugs auch Bugs sind, und erzähle die Anekdote, wie ich herausfand, dass Format String Bugs gefährlich sind, und in Panik meine Quellen durchging, ob ich das auch mal falsch gemacht habe. Hatte ich nicht. Weil das vor Bekanntwerden der Security-Implikationen auch schon ein Bug ist, und ich meinen Code sorgfältig geschrieben hatte. Security-Probleme sind also Pfusch, schlussfolgere ich an der Stelle.
Dann geht es mir um die Frage, wieso wir Pfusch dulden, und beobachte, dass das immer ökonomische Argumente sind. Als letzten Teil versuche ich, das ökonomische Argument für Pfusch zu demolieren. Erstens ist der Vergleich einer billigen Pfusch-Lösung mit einer ordentlichen, sicheren Lösung unlauter, weil nur die eine die Anforderungen erfüllt. Zweitens, so habe ich bisher beobachtet, kostet das gar nicht mehr, etwas ordentlich zu machen, weil einem das noch vor Produktlaunch auf die Füße fällt, wenn man bei auch nur einem der Module gepfuscht hat. Da würde ich echt gerne mal ein paar wissenschaftliche Untersuchungen zu sehen, inwieweit man das nachmessen kann. Vielleicht irre ich ja.
Update: Jahresumsatz, nicht -profit. Mach ich jedesmal falsch, weil es so ungeheuerlich ist :-)
Enterprises need to tread carefully and learn to appreciate that, for many tech suppliers, GDPR is seen as little more than a new source of revenue generation.
Was Sie nicht sagen!Tja, die sollten sich mal lieber ein Geschäftsmodell wie Netapp raussuchen. Festplatten mit ein paar Tausend Prozent Profitmarge verkaufen. Da braucht man dann kein Schlangenöl mehr, klar. (Danke, Daniel)
For a period of time, the legitimate signed version of CCleaner 5.33 being distributed by Avast also contained a multi-stage malware payload that rode on top of the installation of CCleaner.
CCleaner ist eine von diesen überflüssigen Beschäftigungstherapie-Produkten für hyperaktive Windows-User, die glauben, sie müssten periodisch ihre Registry aufräumen oder so.In reviewing the Version History page on the CCleaner download site, it appears that the affected version (5.33) was released on August 15, 2017. On September 12, 2017 version 5.34 was released. The version containing the malicious payload (5.33) was being distributed between these dates. This version was signed using a valid certificate that was issued to Piriform Ltd by Symantec and is valid through 10/10/2018.
Einige Leute werden sich jetzt vielleicht fragen, ob da ein Schlangenöl-Hersteller seinen Absatz ankurbeln wollte. Hier ist das Presse-Statement des Herstellers. Der versucht nicht mal zu erklären, wie es soweit kommen konnte.At this stage, we don’t want to speculate how the unauthorized code appeared in the CCleaner software, where the attack originated from, how long it was being prepared and who stood behind it. The investigation is still ongoing.
Oh ach so. Ihr ermittelt noch. Da na bin ich ja mal gespannt, was da rauskommt!1!!
Und zwar möchte ich gerne wissen, wieso das aus eurer Sicht mit IT-Security nichts wird. Insbesondere interessieren mich dabei die Meinungen von Entwicklern, Testern und Management. Schreibt also bitte dran, aus welcher Perspektive eure Meinung ist.
Die offensichtlichen Antworten will ich mal gleich abräumen, um uns allen Arbeit zu sparen:
Wenn ihr das glaubt, ist das immer noch interessant für die Verhältnisse der Erklärungen innerhalb der jeweiligen Sparten. Aber eigentlich will ich gar nicht so sehr wissen, wer wie häufig was glaubt, sondern ob es möglicherweise Erklärungen gibt, die ich noch gar nicht auf dem Radar hatte. Ich will euch mal ein Beispiel geben, das mir neulich mein Kumpel Kris erzählt hat. Der meinte, dass Menschen evolutionär auf Gradienten lernen. Man geht geradeaus, bis man das Gefühl hat, man ist zu weit gegangen, dann geht man ein Stück zurück. Man streckt die Hand aus, merkt, dass es in die Richtung heiß wird, also geht man nicht weiter in die Richtung. Security ist aber kein Gradient. Du gehst zu weit, und du merkst es a) nicht sofort und b) bist du dann sofort tot und kannst nicht mehr einen Schritt zurück gehen. Kris verglich das mit Fahrradfahrern im Straßenverkehr, wenn Autos schneller als 30 fahren. Da hat der Fahrradfahrer auch keine Gelegenheit mehr, aus Fehlern zu lernen, wenn es zu einer Kollision kommt.
Ich würde diesen Gedankengang noch auf Komplexität ausweiten wollen. Komplexität fühlt sich wie ein Gradient an, aber Komplexität kann man nicht zurückrollen, wenn man merkt, dass man die Kontrolle verloren hat.
Also bitte, hier nochmal in Kurzform die Fragestellung, für die ich um eure Meinung bitte: Wieso fühlt es sich so an, obwohl wir immer mehr in Security investieren, dass immer mehr Leute gehackt werden?
Update: Eine Zusatzfrage noch. Häufig hört man als Ausrede, dass das ja teurer wird, wenn man es sicher macht. Glaubt ihr das auch? Wenn ja, warum? Gibt es da Zahlen für? Ich würde gerne wissen, wo das herkommt. Ich halte das für eine völlig transparente Schutzbehauptung. Hersteller wird beim Verkacken erwischt? "Sicher hätten wir auch gekonnt, aber wäre 200% teurer gewesen!1!!" Oh ach so, na dann ... *abwink* oder so
Update: Die ersten 100 Einsendungen waren praktisch unisono der Meinung, dass Security schlechter wird, weil niemand die Methoden anwendet. Nicht weil die Methoden nicht funktionieren. Als Hauptgründe werden genannt, dass Firmen das Geld nicht ausgeben wollen, dass die Teams gar nicht wissen, was sie tun müssten, dass Aufgaben an Outsourcer rausgegeben werden, die gar keinen Anreiz haben, Qualität zu machen, etc. Das ist natürlich auch ein Ergebnis, aber stimmt das wirklich? Gerade für mich als Security-Fuzzi ist die Frage wichtig, ob nicht vielleicht unsere Methoden Schuld sind. Weil sie zu teuer sind, weil sie nicht funktionieren, weil sie nur Theater sind. Ein Teil der Ansätze, bei denen das aus meiner Sicht offensichtlich so ist, beschimpfe ich ja hier auch immer als Schlangenöl.
Jedenfalls waren meine Bonusfolien u.a. zu Machine Learning, und ich mache da den Punkt, dass man gar nicht versteht, was man eigentlich gerade genau trainiert hat. Ich brachte als Beispiel Adversarial Examples, aber das lag vor allem daran, dass ich kein besseres Beispiel hatte. Das besser Beispiel ist jetzt da: Vice über das Anti-Bullying-AI von Google. Die Primärquelle ist dieser Artikel vom Februar 2017. Money Quote aus dem:
However, computer scientists and others on the internet have found the system unable to identify a wide swath of hateful comments, while categorizing innocuous word combinations like “hate is bad” and “garbage truck” as overwhelmingly toxic.
Ich möchte mal die steile These wagen, dass das daran liegt, dass Menschen das Problem für zu schwierig hielten, um es selber lösen zu können, und eine Abkürzung gesucht haben, bei denen am Ende eine KI Schuld wäre, nicht sie. Bei der es am Ende eine (schlechte) Ausrede gibt, wieso das nicht mein Totalversagen ist, was wir hier gerade beobachten, sondern da hat halt, äh, like, voll die Technik versagt, und so. AI is difficult, let's go shopping!Die Einsicht daran bringt aber der Motherboard-Artikel gut auf den Punkt. Was die ihrem Machine Learning antrainiert haben, weil es nämlich einfacher zu trainieren ist als tatsächlich böse Aussagen, sind Schimpfwörter. Money Quote:
The tool seems to rank profanity as highly toxic, while deeply harmful statements are often deemed safe
Böse Wörter benutzen, das kann die KI (auch nicht wirklich, aber so ansatzweise wenigstens) erkennen. Aber wenn jemand etwas wirklich böses sagt, etwas, das den Gegenüber möglicherweise gar in den Selbstmord treibt, so fies und gemein ist es, und es nagt die ganze Zeit am Unterbewusstsein und du kriegst es nicht weg, sowas kann die KI nicht erkennen.Ich möchte an dieser Stelle zu Protokoll geben, dass ich auch nicht möchte, dass eine KI sowas zu erkennen versucht. Denn das menschliche Verhalten in Situationen, wo Software Regeln durchsetzen soll, ist immer dasselbe. Das wird als Herausforderung genommen, nicht als hilfreiche Polizeiarbeit. Das ist genau so "after the fact"-Symptom-Filter-Schlangenöl wie Antiviren.
Man kann soziale Probleme nicht technisch lösen.
Es sieht ganz so aus, als hätten die einen Datenreichtum zu begießen!
How severe is the problem? Our experts could recover the following types of information from several Fortune 1000 companies:- Cloud keys (AWS, Azure, Google Compute) – which could provide you with access to all cloud resources
- App store keys (Google Play Store, Apple App Store) – letting you upload rogue applications that will be updated in place
- Internal usernames, passwords, and network intelligence
- Communications infrastructure (Slack, HipChat, SharePoint, Box, Dropbox, etc.)
- Single sign-on/two factor keys
- Customer data
- Proprietary internal applications (custom algorithms, trade secrets)
Naja, äh, das geht ja noch. Hätte ja noch schli… andererseits. Nee. Wüsste gerade nicht, wie das noch schlimmer hätte sein können. Das ist schon echt schlimm. (Danke, Maximilian)
Money quote:
This kind of design choice is common practice in the anti-virus industry. They all like to parse and process files in a relaxed fashion. In particular, they are inclined to accept various kinds of (partially) invalid files.The reason for this is essentially that there exist many different variants of consumer software processing popular file formats (such as rar, zip or 7z). The aim of relaxed file parsing and processing is to cover as many implementations as possible, and to avoid the scenario in which the anti-virus product is dismissing a file as invalid that then is successfully processed by some consumer software.
Man könnte fast sagen: Antiviren haben eine erhöhte Angriffsoberfläche! Hätte uns doch nur jemand gewarnt!!1! (Danke, Robert)
Nein, wirklich! Kaspersky für Geldautomaten!
Ich bin genau so schockiert wie ihr!
Was ist das Problem?
Abhängig von der gewählten Installation versagt der Browser oder der Bildschirm bleibt schwarz.Oh das klingt schlimm. Gucken wir doch mal genauer.
Die Fehlerursache für einen nicht startenden Browser kann eine Sicherheitssoftware von Comodo sein.Öh, ach? Doch nicht Windows Schuld, sondern Comodo-Schlangenöl? Na dann gucken wir doch mal weiter:
Die Comodo-Software kann außerdem dazu führen, dass sich Nutzer nicht mehr korrekt am System anmelden können.Auch am Monitor-Schwarz-Problem trägt also Comodo-Schlangenöl die Schuld.
Aber klar, im Titel bashen wir lieber auf Microsoft rum! Bringt mehr Klicks oder wie?
Update: Ein Kommentar unter der Meldung schreibt, dass das auch ohne Comodo passiert. Insofern ziehe ich meine Kritik an der Stelle zurück. Ein Einsender weist darauf hin, dass die Tastenkombination Strg+Win+Shift+B Abhilfe schafft (Resettet den Grafiktreiber). Das ist ja wie bei Emacs!!1! (Danke, Florian)
Man könnte fast zu dem Schluss kommen, dass Schlangenöl die Angriffsoberfläche erhöht, wenn man sowas sieht!1!!
Hätte uns doch nur jemand gewarnt!
Man könnte fast zu dem Schluss kommen, wenn man das liest, dass Schlangenöl prinzipbedingt eine hohe Angriffsfläche bietet! Hätte uns doch nur jemand gewarnt!1!!
Given the wide prevalence of the unrar source code in third-party software, quite a few
downstream parties will be affected. The source code with the fixes can be found
under http://www.rarlab.com/rar/unrarsrc-5.5.5.tar.gz - downstream parties are
encouraged to quickly update and ship fixes.
Oh gut, das betrifft bestimmt so gut wie niemanden!1!! Ja gut, ausgenommen 7-zip und so, und natürlich die ganzen Antiviren. Dort war der Bug übrigens zum ersten Mal aufgefallen.It appears that the VMSF_DELTA memory corruption that was reported to Sophos AV in 2012 (and fixed there) was actually inherited from upstream unrar. For unknown reasons the information did not reach upstream rar or was otherwise lost, and the bug seems to have persisted there to this day.
Ja warum würde man auch upstream Bescheid sagen! Da hat man ja einen wettbewerblichen Nachteil von als Schlangenöl, wenn die anderen Schlangenöler informiert werden, und wenn die Software insgesamt sicherer wird!1!!
Received: from fsmsg0220.sp.f-secure.com (46.228.130.170) by ptrace.fefe.de with SMTP; 30 May 2017 23:42:12 -0000 Subject: RE: Urgent X-Proofpoint-SPF-Result: softfail X-Proofpoint-SPF-Record: v=spf1 mx a a:spf.protection.outlook.com a:fsmsg0219.sp.f-secure.com a:fsmsg0220.sp.f-secure.com ~all X-Proofpoint-Spam-Details: rule=notspam policy=default score=0 spamscore=0 suspectscore=0 malwarescore=0 phishscore=0 adultscore=0 bulkscore=0 classifier=spam adjust=0 reason=mlx scancount=1 engine=8.0.1-1703280000 definitions=main-1705300429 You have been picked for a $47M USD confidential business proposal, email (chaofang@rogers.com) for more detailsDie Doppelpackung Schlangenöl! F-Secure verkauft "Antivirus"-Schlangenöl und die setzen anscheinend erfolglos dieses Proofpoint-Schlangenöl für die Spambekämpfung ein. Laut Wikipedia gegründet von einem Schlips von Netscape Communications. Da weiß man, was man hat!
Da bekämpft schonmal der Patriarch Wannacry mit Weihwasser! (Danke, Christian)
Und tatsächlich steigt Blackberry jetzt in den Schlangenölmarkt ein.
BlackBerry Ltd (BB.TO) is working with at least two automakers to develop a security service that would remotely scan vehicles for computer viruses and tell drivers to pull over if they were in critical danger
Oh und aus der Ferne Updates einspielen kann der Service auch! Was der wohl noch so aus der Ferne einspielen kann, der Service? Ich meine wir reden hier von Blackberry.„Todesursache: Auf der Schlangenölspur ausgerutscht.“
MS hat seit dem letzten W10 update delta updates, sie nennen es UUPEin zweiter Leserbrief beschreibt die Situation im Digital Signage-Markt:
blogs.windows.com
blogs.windows.com
wenn ihr schon so nett fragt kann ich ja mal ein paar Zeilen schreiben da ich beruflich so ein System entwickelt habe. 2010 brauchte ich einen neuen Job und wurde über einen ehemaligen Kollegen angesprochen ob ich nicht für eine Firma die Digital Signage macht ein Internet basiertes System neu entwickeln will.Ein Dritter berichtet auch aus dem Signage-Markt:
Das VB6 System das die Firma bis dahin bai knapp 1000 Kunden am laufen hatte war in die Jahre gekommen und etwas das über einen Browser von überall her steuern war dringend erforderlich.Wie man sich sicher denken kann lief die alte Software auf Windows also sollte die neue Software auch darauf laufen - hier also schon mal der erste Grund warum Digital Signage auf Windows läuft - weil Version N-1 das getan hat. Hinzu kam das der technisch Verantwortliche (der die VB6 Version entwickelt hatte) darauf bestand verschiedene Teile der VB6 Version weiterzuverwenden (U.A. einen Laufschrift Generator der dank V-Sync seiner Meinung "Broadcastqualität" hatte).
Den Kontrollserver durfte ich glücklicherweise als Linux System bauen. Der Windows-teil in in C# geschrieben.
Seit 2010 hat sich einiges getan auch hardwaremäßig und ich hatte versucht seit 2012 oder so die Client PCs durch etwas sinnvolleres wie einen Raspberry pi oder ein geeignetes Android System zu ersetzen. Leider war dafür nie Zeit bzw. die günstigere Hardware war nie ein genügendes Argument um die knapp 2 Monate in eine neue Player Software zu investieren. (Hier also Grund 2 - "Warum es funktioniert doch").
2013 wurde die kleine Firma durch eine Größere gekauft. Der Kollege der die VB6 Software geschrieben hatte verstarb plötzlich und die Firma wurde praktisch komplett aufgelöst und alle Mitarbeiter einschließlich des Geschäftsführers entlassen. Der einzige verblieben Mitarbeiter bin ich. Das Produkt für Digital Signage in Apotheken wurde einer anderen Größeren Unterfirma mit 150 Mitarbeitern zugeteilt.
Meine neue Firma ist 100% Microsoft. Leute verwenden Windows 10 Handys hier. Ich denke das ist Grund 3 warum digital Signage auf Windows läuft - Die Funktionalität ist mittlerweile zu "klein" um das einzige Produkt einer Firma zu sein. Das heißt das diese Funktionalität als "Zugabe" zu anderer auf Windows basierter Software entwickelt wird. Und keine Firma die Windows Software baut verwendet dann Linux oder etwas anderes.
Damit ist allerdings auch die Zukunft klar - der Kontrollserver wird auf ein Windows System umgestellt. Ich denke ich werde mich nach einen neuen Job umschauen.
Die Frage "Warum ist bei DS Systemen das Update ausgestellt" hat auch ein paar Erklärungen- Digital Signage Systeme haben keine Benutzerinteraktion also fallen die häufigsten Infektionswege komplett weg - der Webbrowser und Email. Das macht es auch dank der Probleme in der jüngeren Vergangenheit mit durch WU installierte Popups (Windows 10 Nag und Office 356) einfach WU einfach auszuschalten weil wirklich die einzige Sicherheitslücke die das System überhaupt beeinträchtigen kann ein Remote Code Excecution Exploit ist - und die sind selten :/
Bei uns war WU standardmäßig angeschaltet. Es gab allerdings immer wieder kleinere Probleme mit den entsprechenden Blasen und Popups die manchmal hoch kamen - die Windows 10 Nagscreens und die Office 356 haben allerdings dafür gesorgt das Windows Update bei allen neuen PCs aus war.
Ich sehe das Nichtupdaten bei Anzeigetafeln und ähnlichem Bullshit (mir fallen Spontan einige Industriesteuerungen ein, die zwar unter Debian laufen, aber im Prinzip das gleiche Problem haben): Gut gemeintes Firewalling.Der nächste Beitrag ist kein Leserbrief aber passt gerade so schön…Diese Kisten erreichen alle anderen Kisten im LAN (müssen sie, denn ich muss die möglicherweise warten), aber nicht das Internet. Daraus folgt, dass die Dinger über die Existenz von Updates überhaupt nicht informiert sind! Jetzt reicht aber, dass eine blöde Kiste im LAN hängt und den Mist verbreitet und alle Kisten fallen um.
Ein ähnliches Problem betrifft Rechner, die (aus Sicherheitsgründen oder weil sie einfach nicht gebraucht werden), garnicht oft am Netz sind.
Ich bin im Übrigen ganz klar gegen Haftungsgeschichten, die haben nämlich schon den Schienenfahrzeugmarkt erfolgreich monopolisiert und zerstört.
Einen hab ich aber noch:
Ich arbeite in einer Organisation (stolz auf ihr HighTech-Image) in der die IT, dass volle Program der Schlangenbeschwörung durchzieht, das ihr skizziert habt. Patches testen bevor man sie ausrollt, kumulieren. Schlangenöl auf allen Rechnern, Internet über Proxy, Microsoft blacklisten für "pöse Websites" (da ist dann auch schon mal das nameserver-config-interface von Schlund gesperrt), you name it…Es hat mich echt überrascht, dass ich bisher intern von einem wannacry-Befall nichts gehört habe.
Ich selbst war lange IT-Leiter in einer grösseren Unterabteilung, mit viel spezial Krams für Geräteansteuerung. So wie ihr das beschrieben habt, nur noch gruseliger.
Diese Lösungen sind oft in-house gestrickt von Leuten, die schon längst in Rente sind und die laufen eben. Und wenn man sie anfasst, fliegt es einem um die Ohren. Die stammen aus einer Zeit, wo es ausschliesslich darauf ankam, das etwas ans Laufen kam. programmiert haben das Leute, die ihre Gehversuche mit FORTRAN gemacht haben. Irgendwann haben sie sich C oder gar C++ beigebogen, aber immer noch Spaghetticode gemacht.
Wenn du das anfassen willst, musst du es von Grund auf neu machen. Also gehst du zu deinem Management und versuchst, ein Budget zu bekommen. Wenn du Glück hast, bist du in ein paar Jahren!!! so weit, dass du deine Kisten mal upgraden kannst. Meist kriegst du aber kein Budget. Und für Security gibt es ja Schlangenöl.
Wer entscheidet in Organisationen über die Bugjets? Das sind Leute, die sich für sehr wichtig halten und die fest daran glauben, was immer zu entscheiden ist, besser entscheiden zu können, als so ein Techie mit seinem schmalspurigen Blick auf die Welt. Das gilt für Produktionsanlagen und gilt erst recht für IT, denn der Manager hat ja daheim selbst einen PC und daher kennt er sich in IT besonders gut aus. Welche Erfahrungen haben diese Typen gemacht? Wenn man updates einspielt, geht danach irgentetwas nicht mehr. Das legt eine Teilaufgabe lahm, kostet Zeit und ist ärgerlich. Updates verändern die Applikation, so dass irgendetwas liebgewonnenes nun nicht mehr oder anders geht. Firmen nutzen Updates, um den Nutzer zu entmachten (die Digikam erkennt plötzlich den Akku aus dem Zubehör und spielt nur nach mit Originalakkus. Der Drucker verlangt nach HP-Patronen.) Kurzum, in ihrer Welt sind Updates von übel. Und das Internet war ehrlich gesagt bis dato nicht wirklich so gefährlich, oder? Mein damaliger Boss hatte nie einen Virus. Er war immerhin clever genug, nicht auf jeden Scheiss zu klicken. Und Backups hat er auch. Diese persönliche Erfahrung bestimmt weitesgehend seinen Managementstil. Also kriegst du kein Budjet, denn an anderen Stellen in der Bude brennt es viel dringender. (Z.B. braucht man Juristen, damit einem nix angeflickt wird oder so ….. jedenfalls keine Scheiss-Updates.)
Nun komme ich zu dem entscheidenden Punkt: Ihr habt das T-shirt mit der Aufschrift "told you so" erwähnt. Wenn du als kompetenter Manager im IT-Bereich auf Risiken hinweist, ist das so lang o.k., wie du nach einiger Quälerei überzeugen kannst und das Budjet zur Umsetzung einer Maßnahme bekommst. Es ist unerquicklich, wenn du dich nicht durchsetzen kannst und du mit dem Risiko weiter leben mußt, weil dir per Order die Hände gebunden sind. Am schlimmsten ist aber, wenn du recht behälst. Vermutlich kannst du, wenn die Katastrophe eintritt sogar noch einen "cover-my-ass-letter" aus denm guten alten Leitzordner ziehen. Das machst du einmal, vielleicht zweimal. Sowas vetragen Manager gar nicht. Ich bin kein IT-Leiter mehr. Zum Glück war für mich das Arbeitsrecht noch so hart, dass ich eine Weile gemütlich auf dem Abstellgleis verbringen durfte und in ein paar Monaten in Rente gehen werde.
Was wir verbreitet in allen Industrien haben, ist eine Managementkrise. Es ist nicht wirklich wichtig für die Zukunft zu denken. Wichtig ist, die Dinge so zu verwalten, dass man nicht persönlich zur Rechenschaft gezogen wird. Das was Gunther Dueck so treffend die anonymisierte Verantwortungslosigkeit nennt. Diese Art von Entscheidungkriterien betreffen auch die Securityfrage. Aber das war bisher eine winzige Baustelle im Vergleich zu anderen Ecken, wo mit dem Feuer gespielt wird.
Zurück zu wannacry. Das einzig wirklich neue ist die Erkenntnis, dass einem so ein Angriff potentiell so abschiessen könnte, dass man nicht mehr auf die Hufe kommt. Da ist er in der öffentlichen Warnehmung der erste Fall. (Falls er überhaupt so wargenommen werden wird. Was sind schon ein paar Krankenhäuser!)
Anscheinend geht dann Single-Sign-On mit Sophos UTM nicht mehr (UTM steht für Unified Threat Management und sieht so aus).
Aber macht euch keine Sorgen, denn Sophos erklärt in diesem Webinar, wie man sich mit mehr Schlangenöl schützt. Schon der Name des neuen Schlangenöls überzeugt auf ganzer Linie! "Intercept X"! Nicht etwa "Intercept I" oder "Intercept IV", nein, X! (Danke, Jürgen)
[Bahnchef Lutz] betonte mit Blick auf den weltweiten Hackerangriff vom Freitagabend, das Unternehmen sei auf solche Bedrohungen vorbereitet. "Die Sicherheit des Bahnverkehrs war zu jedem Zeitpunkt gewährleistet." Es gebe schon seit längerem ein Cyber-Security-Team sowie Systeme zur Früherkennung. Darüber hinaus kündigte er eine Sicherheitsoffensive an.Ooohhhh, aaahhh, Sicherheitsoffensive! Da bin ich mal gespannt! Was will der Bahnchef denn tun, um in Zukunft massive Malware-Unterwanderung auszuschließen?
Kommt ihr NIE drauf!
Nach seinen Angaben sollen mehr als 7000 zusätzliche Kameras an mehr als tausend Bahnhöfen installiert werden.Kannste dir gar nicht ausdenken, sowas.
Laufen die Überwachungskameras eigentlich auch alle unter Windows und haben IP-Anschluss?
Ich hoffe, da hat die Bahn immer schön Schlangenöl ausgerollt!1!!
Finally, this attack provides yet another example of why the stockpiling of vulnerabilities by governments is such a problem. This is an emerging pattern in 2017. We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world. Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen.
Ganz langsam, Microsoft.Wer ist Schuld, dass es diese Lücke gibt? Ihr. Microsoft.
Wer ist Schuld, dass die Lücke jahrelang in der Codebasis verblieb? Ihr. Microsoft.
Die NSA hat die Lücke gefunden und nicht gemeldet. Ja. Sie haben sie absichtlich offen gelassen. Aber da könnt ihr nicht drauf zeigen, um die Schuld loszuwerden. Der Gaffer ist nicht am Auffahrunfall auf der Autobahn Schuld.
Ich sehe hier einen Hauptschuldigen und einen Nebenschuldigen. Der Hauptschuldige ist Microsoft, weil ihr die Lücke in den Code getan und jahrelang nicht gefunden habt. Ihr habt ein schlechtes Produkt ausgeliefert. Wenn hier jemand ganz klein mit Hut sein sollte, dann ihr.
Der Nebenschuldige ist der Endanwender, der seine Software nicht gepatcht hat. Und kommt mir nicht mit "aber aber in großen Unternehmen". Bullshit. Ein großes Unternehmen, das Patches nicht sofort einspielt, ist an den Folgen Schuld. Jeder hat immer irgendwelche Ausreden. "Aber wir mussten erst gucken, ob der Patch tut". Nein, musstet ihr nicht. Kein abzuwendendes etwaiges Problem durch einen Patch ist so schlimm wie Remote Code Execution mit Kernel-Privilegien. Nichts. Schaut mir in die Augen. Nichts. Nichts ist so schlimm. Wenn so ein Patch rauskommt, dann spielt ihr ihn ein. Fertig. Keine Diskussion. Kein Zurückhalten. Ihr spielt ihn ein. Sofort. SOFORT.
Und im Übrigen, wenn ihr da ausgelaufene Windows-Versionen ohne Support fahrt, dann gibt es genau niemanden, auf den ihr zeigen könnt. Das ist ein Risiko, das ihr sehenden Auges eingegangen seid. Das jetzt ist die Quittung. Ich habe NULL Mitleid.
Oh und wenn ihr das antike Windows einsetzt, weil es auf einem antiken 3rd-Party-Produkt ist, für das ihr keine Patches mehr kriegt, dann könnt ihr dafür auch sonst niemandem die Schuld zuschieben. Das Risiko hättet ihr halt nicht eingehen dürfen. Ich schlage vor, dass ihr jetzt zu dem Hersteller des 3rd-Party-Produktes geht und euch zivilrechtlich gütlich haltet. Das wird alles immer nur noch schlimmer werden, solange ihr diesen Teufelskreis nicht durchbrecht.
Man hörte in letzter Zeit häufiger von irgendwelchen Spektroskopen an Unis, von Steuersoftware für Großmaschinen. Na dann hängt die halt nicht ans Netz. Wenn die Funktionalität ohne Netzzugang nicht nutzbar ist, dann hättet ihr die halt nicht kaufen dürfen, ohne euch zu versichern, dass da für Sicherheit gesorgt ist.
WER SOLL DENN BITTE DEN DRUCK AUF DIE HERSTELLER AUSÜBEN, WENN NICHT IHR?! Das BSI?! Harr harr harr.
Sorry, aber mir platzt echt der Kragen bei sowas. „Alle sind Schuld, nur ich nicht.“ Das ist das Gegen-Muster zu „Alle sind doof, nur ich nicht.“ bei Schlangenöl.
"Sophos Web Protection" blockt die Killswitch-Domain für Wannacrypt. Das ist die Domain, die das Teil zu erreichen versucht, um zu gucken, ob er sich selbst umbringen soll. Die erreicht er dann dank Sophos wohl nicht und verbreitet sich doch weiter.
Und mir wollten die Leute auf der Heise-Show nicht glauben, dass Schlangenöl das Risiko sogar steigern kann.
Update: Auch Fortinet und Kaspersky finden die Domain böse.
Update: Ein Einsender schickt einen Screenshot, dass auch Cisco Ironport die Domain filtert. (Danke, Christian)
Und die Punchline:
Security experts say the tool exploited a vulnerability that was discovered and developed by the National Security Agency of the United States.
Voll die Security, die diese Agency schafft, wa?Und die Krankenhäuser sind nicht alles:
Hackers using a tool stolen from the United States government conducted extensive cyberattacks on Friday that hit dozens of countries around the world, severely disrupting Britain’s public health system and wreaking havoc on computers elsewhere, including Russia.
Apropos Ransomware: Screenshot aus der S-Bahn Frankfurt.
Mir wird ja immer ganz schlecht, wenn ich mir vorstelle, wieviele Milliarden sinnlos als Lizenzgebühren für Windows auf solchen Info-Bildschirme ausgegeben wird.
Update: Ihr werdet jetzt sicher genau so schockiert sein wie ich, dass Virustotal eine 0% Erkennungsrate ausweist. Wie jetzt, Schlangenöl hilft nicht?! Fürs Archiv: Virustotal-Screenshot. Und wenn die AV-Hersteller wieder was von Behavior-Voodoo und Cloud-Magie erzählen, zeigt ihnen dieses Foto von einem Lab in einer Uni, bei der die Rechner der Reihe nach umkippen. Hier ist ein relativ apokalyptischer Feed. In Russland sind u.a. ne dicke Telco und das Innenministerium betroffen. Ja, äh, Leute, habt ihr alle noch nie von Patchen gehört!?
Hier gibt es übrigens Full Spectrum Cyber Pew Pew, falls ihr auf Wargames steht. Also den 80ies-Film jetzt.
Update: Bei diesem Dropper sehen die Erkennungsraten inzwischen schon besser aus, 32 von 62.
Update: Wer sein Full Spectrum Cyber auf wannacrypt eingeschränkt haben will: Übersicht.
Update: #ThanksObama!
Update: OH:
I can confirm FedEx was hit at an enterprise level. All computers to be shut down until Monday.
Ich bin mir fast sicher, dass Deutschland flächendeckend betroffen ist, aber alle schon im Wochenende waren, als die Fäkalien den Deckenventilator trafen.
Update: Diese Ransomware verbreitet sich im Intranet übrigens über die SMB-Lücke fort, die ich in den IoT-Folien als Belege dafür zitiert habe, dass die etablierten Sicherheitsexperten auch nicht wissen, wie man sichere Software schreibt. Das ist jetzt der 10. oder so Fall seit Anfang der Heise-Tour, dass eine Meldung kommt, die mir gerade zu 100% in die Argumentation passt. Ich fürchte mich gerade davor, da mein Karma auf Jahre hinaus verbraucht zu haben. Da muss ich dann wohl bald mal wieder einen Perl- oder PHP-Audit machen, um wieder Karma aufzubauen.
Update: Wannacrypt hatte einen DNS-basierten Kill-Switch drin. Der hat eine bestimmte Domain aufgelöst, und wenn die da ist, dann verbreitet er sich nicht weiter. Ein Typ hat das gesehen und die Domain registriert und da schlugen sofort tausende von Zugriffen auf.
Der Angriffsvektor war in diesem Fall eine LVM2-Partitionstabelle, und darüber konnten die den Rechner des Forensikers mit dem Encase übernehmen. Encase sagt dazu:
"We are aware and appreciate the issues raised by SEC Consult. The exploit SEC Consult claims to have found is an extreme edge case, much like the theoretical alerts they tried to promote in November. As always, we continue to examine alerts when they are submitted and apply changes to our systems as necessary.[…]
The nature of our business is dealing with raw data, and that has risk. We will continue to modify our software as necessary to deal with the continually changing environment. If necessary, we will take action and inform our customers. We do not consider this claim to be serious and it will not impact the performance of our products."
Ja so ist das halt mit Software, das ist halt mit Risiken verbunden und so weiter.Wenn ich mit dem Schlangenöl der AV-Industrie durch bin, müsste als nächstes mal die Forensik-Branche in den Fokus der Aufmerksamkeit.
Oh, die theoretischen Lücken letztes Mal? Der Einsender fasst das so zusammen:
Sie haben gezeigt, dass man einen FTP Server auf dem Spurensicherungssystem aufsetzen könnte und ein krimineller extern dann belastende Beweise löschen könnte.Da weiß man, was man hat! (Danke, Jens)
Meine Vermutung war ja, dass es SChannel ist. Das ist die TLS-Implementation von Microsoft, die sich im Vergleich zu allen anderen TLS-Implementationen auf dem Planeten verdammt gut geschlagen hat bisher. Zu gut, fand ich, und dachte mir, die sind jetzt dann wohl doch mal fällig gewesen.
Aber das war es nicht. Nein. Viel besser. Es war der Microsoft-Antivirus. Stellt sich nämlich raus: Der hat eine Scripting-Sprache, und die hat die selben Bugs, die auch andere Skripting-Sprachen von Microsoft plagen: Type Confusion.
Die Skripting-Sprache ist für Netzwerk-Überwachung. Das ist eigentlich eine gute Idee. Microsoft hat auch sowas ähnliches wie Wireshark im Angebot, und da ist auch fast die gesamte Decoding-Logik mit einer kleinen Mini-Beschreibungssprache erschlagen worden. Ergo hat das Ding so gut wie keine Security-Bugs, während Wireshark der Moloch zwischen Sodom und Gomorrah ist.
Aber ich weiche vom Thema ab. Microsoft hat einen Bug im Antivirus. Genau was ich seit Tagen auf der Heise Show als Szenario an die Wand gemalt habe. Und weil es eben Microsoft und kein gammeliger Schlangenöl-Hersteller ist, gibt es da jetzt keine Nebelbank sondern das wird als das bezeichnet, was ist es: Critical, Remote Code Execution, Wormable.
So und jetzt kann sich ja jeder nochmal selber überlegen, wie wahrscheinlich das ist, dass Microsoft mit ihren Milliarden an Ressourcen, mit ihren fünfstellig vielen Security-Experten, mit ihren monatelangen Testzykeln, dass DIE das nicht hinkriegen, aber die anderen kriegen es hin. Ja nee, klar.
Update: Die Malware wurde übrigens von keinem Schlangenöl gefunden.
Ich dachte mir, das wollt ihr auch sehen. Das Teil heißt Carbon Black und fällt durch eine Reihe von innovativen Neuzugängen für das Bullshit-Bingo auf, z.B. "zero-gap endpoint visibility" und "automated thread hunting algorithms powered by infinite cloud resources". Fuck, yeah! Oh und gute Nachrichten:
Retire network-based file detonation servicesWhew, endlich die Explosivdienste abschalten!1!!
Full spectrum analysis: behavioral, reputation, AI, and ML
You had me at FULL SPECTRUM CYBER!Update: Ich persönlich finde ja besonders amüsant, dass dann ihre Whitepapers unter /wp-content/ liegen. Wordpress!
Daher möchte ich jetzt hier mal ein Gedankenexperiment machen. Habt ihr alle verpennt, was man heutzutage alles im Internet machen kann? Lasst uns mal den ultimativen fiesen Virus brainstormen. Ich fange mal an.
Ist ja schön, dass du ein Backup hast, aber das hilft dir nicht gegen das SWAT-Team, das deine Tür eintritt. Selbst wenn du den ganzen Ärger der Reihe nach aufräumst, bist du Jahre beschäftigt. Und je nach Qualität der Arbeit der Malware den Großteil davon aus der U-Haft heraus. Oh und willkommen auf der No-Fly-List, und hier ist der Lageplan von Guantamo Bay, den wirst du möglicherweise brauchen.
Ihr müsst mal aufhören, Malware nach dem zu beurteilen, was bisher schiefgelaufen ist. Das war Glück, dass der Schaden bisher gering war. Eine (!) durchgekommene Malware ist Totalschaden.
Ihr würdet ja auch im Auto den Sitzgurt anlegen. Da muss man keinen lebensbedrohlichen Unfall erlebt zu haben, um zu verstehen, dass man sich hier ordentlich schützen muss..
Update: Und einen Punkt noch, den ich glaube ich im Blog noch nicht hatte, nur live beim Podium. Ich sage: Antiviren helfen nicht, ich setze keinen ein. Das Publikum sagt: Ja aber da kann man sich ja einen Virus einfangen.
Wir spulen eine Minute vor. Ich sage: Antiviren funktionieren nicht, weil Viren durchrutschen könnten. Das Publikum sagt: Tja 100% Sicherheit gibt es halt nicht.
Jetzt treten wir gemeinsam mal einen Meter zurück und schauen uns das an. Wieso ist das bei mir plötzlich ein Totschlag-Gegenargument, dass da vereinzelt mal was durchrutschen könnte (was ich im Übrigen auch so sehe und daher weitere Schutzmaßnahmen vorschlage), aber bei Antiviren ist das OK, wenn was durchrutscht? Anders formuliert: Wir ziehen mal auf beiden Seiten den Antivirus ab. Übrig bleibt bei beiden: Man muss sorgfältig sein, und gelegentlich könnte was was durchrutschen. Nur dass ihr für dieses Sicherheitsniveau Geld an die Schlangenölindustrie überweist und ich nicht. Oh und gucke mal: Das war genau meine These. Antiviren kosten Geld aber schaffen kein besseres Sicherheitsniveau.
Update: Einen noch. Die Antwort der Schlangenölbranche ist bisher, was ich relativ unterhaltsam finde, relativ klar: Ja, stimmt ja, hast ja Recht, signaturbasiertes Schlangenöl ist nicht gut. Daher solltet ihr auch alle dieses andere, cloudbasierte Schlangenöl kaufen! Wenn das nicht greift, dann hätten sie auch noch Verhaltens-Heuristik-Schlangenöl. Leute, nichts davon hat die Ransomware-Epidemie aufgehalten, die im Vortrag des BKA in Form einer Exponential-Wachstums-Kurven-Folie Niederschlag fand. Die Leute da draußen haben alle Schlangenöl, und zwar nicht in allen verfügbaren Geschmacksrichtungen. Nichts davon hilft. Kann man sich ja auch selber überlegen. Wie sieht denn ein "schiebe mal das Verzeichnis hier in ein ZIP" vom Verhalten her aus? Gar nicht so viel anders wie ein Ransomware-Trojaner, gell? Tsja. Hätte uns doch nur jemand gewarnt!!1!
Hier ist noch eine besonders fiese, die den Blogpost von G-Data neulich mit ihren Werbeaussagen kontrastiert. Meine Leser haben da offensichtlich weniger Zurückhaltung als ich, auf einzelne Marktteilnehmer zu zeigen. Es gab auch eine Einsendung einer Firma, die in irgendeiner Spezialsoftware ausgerechnet VBScript zum Implementieren von Sonderwünschen nimmt. Das sei jetzt halt so und bliebe eben auch so, wenn die Geschäftsführung kein Geld in die Hand nimmt, da was anderes zu beschaffen. Und gerade G-Data, schreibt er, würde ihnen da regelmäßig die Funktionalität zerschießen. Ich bin mir sicher, dass das bei der Konkurrenz genau so ist. Aber er spricht auch noch ein anderes Problem an, das ich so noch nicht im Blog hatte, nämlich das bei so kurzen Updatezyklen und so einer dynamischen Plattform auch die Reproduzierbarkeit leidet und man beim Support im Wesentlichen seit Jahren mit "bei uns geht's" abgespeist wird und dann aber Ausfälle hat, wo 30 Leute nicht arbeiten können, weil das VBScript-Runtime in Karantäne geschoben wurde. Ich bin mir auch hier sicher, dass das bei anderen Anbietern genau so ist. Das sind schlicht Probleme der Prozesse hinter AV-Produkt-Herstellung, die nicht genug Zeit lassen, um menschliches oder maschinelles Versagen effektiv auszuschließen.
Update: Ein anderer Einsender kommentiert:
die Probleme hatte ich mit unserem TrendMicro-Schlangenöl auch schon. Ein kleines Tool in C# geschrieben, exe gebaut, einer Kollegin der Einfachheit halber per E-Mail geschickt. Ihr TrendMicro: Oh nein, eine exe! In einer E-Mail! Todesgefahr!!1! Ausführen durfte man die exe aber trotzdem.
Warum ich dir das schreibe?
Als ich die exe danach bei mir selbst ausführen wollte, hat sich MEIN TrendMicro auch dagegen gewehrt, weil diese Software offenbar nun auf irgendeiner Blacklist stand. Leute, ich habe das selbst kompiliert, und ich vertraue meinem Code. Das ist in TrendMicro aber offenbar gar nicht vorgesehen.
Selbst kleine Änderungen am Code und damit eine neue Binary haben TrendMicro nicht davon abgehalten, weiter Alarm zu schlagen. Mittlerweile ist aber Ruhe, ohne dass ich reproduzieren kann, was das alles ausgelöst hat.
Meine Theorie wäre, dass es eine Heuristik gibt, Programme grundsätzlich für schädlich zu halten, wenn ihr Hash noch nie irgendwo gesehen wurde. Das wäre jedenfalls eine grobschlächtige Haudrauf-Methode, um gegen Binär-Obfuskatoren vorzugehen. Aber ich habe da keine Einsichten, nur eine Vermutung.
Update: Ein anderer Einsender hat eine bemerkenswerte Beobachtung gemacht:
Vor ca. 15 Jahren mußten wir eine Auflage bei Großkunden erfüllen. Also alles, was wir ablieferten, mußte mit dem xyz Virenscanner geprüft sein.
Sei's drum.
Hatte zum Glück nie irgendwelche Probleme (bzw. kamen die nie an die Oberfläche).Komisch nur:
Immer wenn das jeweilige Abonnement des xyz Virenscanners zur Erneuerung anstand, gab es regelmäßig Virenalarm auf unseren Rechnern. Ich sage nicht, dass man uns da tatsächlich etwas angetan hat, aber so eine "verkaufsfördernde Maßnahme" scheint das wohl zu jener Zeit gewesen zu sein.Das war bei Peter und John gleich, ohne jetzt Produkte direkt zu nennen.
Krass. Könnt ihr das bestätigen?
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.
Update: Ja, mir ist aufgefallen, dass sie meinen Namen als "Felix von Lindner" falsch schreiben. Danke für die Hinweise.
Update: Na seht ihr, schon gefixt!
Hier ein Gedanke zum Vorschlag Software-Anbieter für den Schaden, der durch Sicherheitslücken entsteht haften zu lassen.Das ist in der Tat die Achillesferse bei dem Vorschlag mit der Produkthaftung. Fällt jemandem ein 3. Weg ein? Vielleicht wie in den USA, dass man sich dann halt dem Risiko von Millionenklagen aussetzt, selbst wenn man alles richtig gemacht hat? Ist auch nichts.Das kann den Software Markt schnell in Richtung Oligopol Markt verändern.
Märkte mit hohen Haftungsrisiken, tendieren dazu große Firmen zu begünstigen und kleine zu verdrängen. Ich kann das hier in der Pharma-Industrie ganz gut sehen. Für die Luftfahrt-Industrie gilt aber das gleiche.
Haftung für komplexe Produkte und Prozesse führt nicht etwa nur zur Perfektion des Produktes, wie von Dir angenommen, sondern auch zur Abwehr der Haftung mittels Versicherung und Regulierung.Stell Dir einfach mal vor, Du müsstest Software so anbieten wie die Pharma Industrie ihre Medikamente.
Es gäbe eine Aufsichtsbehörde, die festlegt, wer, mit welcher Bullshit-Zertifizierung, nach welchem Entwicklungsmodell, Software schreiben darf. Das ganze wird natürlich festgeschrieben und nur alle zehn Jahre aktualisiert.
Es gäbe regelmäßige Inspektionen, in denen Checklisten ausgefüllt würden ob nun dieses Merkmal guter Entwicklung oder jenes Sicherheits-Feature vorhanden und dokumentiert (!) ist.Bisher kann jemand der fähig ist, eine Software-Firma aufmachen und ein Produkt verkaufen. Egal wie gut oder wie sicher. Ich behaupte, die meisten Kunden wissen das. Kaum einen stört das.
Sobald Du die Haftung z.B. per Gesetz einführst, bräuchten Software Firmen eine Versicherung (wer würde da sonst kaufen, wenn das Kapital der Firma nicht reicht um Schäden zu ersetzen?). Und sie brauchen tausend "qualitäts"-Zertifikate. Ist jetzt schon so, wenn die für Krankenhäuser oder eben die Pharma Industrie entwickeln wollen.
Helfen für Zertifikate? Nicht in deinem Sinne, dass die Software dann wirklich sicherer ist.
Der Nutzen liegt an anderer Stelle.
Ab einer gewissen Komplexität ist es für eine Firma oder auch für einen IT Sicherheits Experten nicht mehr möglich, sicherzustellen, dass kein Virus eingefangen wird / die Firma nicht gehackt wird.
Wenn beides nicht passiert, ist das reines Glück.Was tut man also? Man tut das was branchen-üblich / gute Praxis ist und dokumentiert das!
Dafür gibt es IT Sicherheits Zertifikate, dafür kauft man Schlangenöl und man engagiert Pen-Tester.
Ein Pen-Test zeigt nicht nur, ob die Systeme hinreichend sicher sind, sondern er ist auch ein Signal, dass man etwas unternommen hat.Für die Firmen, welche Software herstellen gilt das analog. IBM, SAP und Microsoft könnten immer darlegen, dass sie alles nach dem Schema der XY Zertifizierung entwickelt und getestet haben und dass es praktisch höhere Gewalt war wenn ihre Software Schaden angerichtet hat.
Die könnten auch den Papierkram stemmen um das alles zu dokumentieren.Das Problem mit Haftung ist ja immer: es reicht nicht aus, gute Arbeit zu leisten. Man muss es auch dokumentieren… Und sich nach einem objektiven Standard richten… Wer setzt den?
Also überleg es Dir nochmal mit der Haftung für Schäden durch unsichere Software. ;)
Mein IoT-Vortrag schien ganz gut anzukommen, aber das Podium war zu lahm. Heise hatte kurzfristig ein Podium zur Frage "Sind Antiviren Schlangenöl?" eingeplant, nachdem ich da im Blog einen kleineren Schlagabtausch mit Heise Security hatte. Ich war ja erstmal überrascht, dass Heise Events es geschafft hat, für alle fünf Termine jemanden von der AV-Industrie zu finden, der sich da hinsetzt und das debattieren will. Die haben ja im Wesentlichen nichts zu gewinnen in einer Diskussion zu der Fragestellung. Aber sie haben es geschafft, und Hut ab vor den Leuten, die das jetzt machen.
Heute war das Ralf Benzmüller von G Data.
Weil das recht kurzfristig noch ins Programm gehievt wurde, und wir dann an dem Tag noch am Programm herumgeschoben haben, damit das nicht nur 30 Minuten sind wie ursprünglich eingeplant, und wir vorher auch keine Gelegenheit hatten, mal einen roten Faden zu klären, lief das Podium dann ein bisschen unrund, wie ich fand. Erstmal hat Heise vorher und nachher gefragt, wer meine These unterstützen würde, und wer die Gegenthese unterstützen würde, und ich konnte grob niemanden auf meine Seite ziehen, fing auch mit der klaren Minderheitsposition an. Das erwähne ich nur, um euch zu sagen, dass mich das nicht stört. Ich mache das nicht, "um zu gewinnen" oder so. Mich stört aber, dass wir teilweise aneinander vorbei geredet haben.
Ich habe extra versucht, da die technischen Details rauszuhalten, und auf einer ganz fundamentalen Ebene zu argumentieren.
Ich habe u.a. argumentiert, dass ein Virenscanner ja PDF-Dateien scannt, auch wenn ich gar keinen PDF-Viewer installiert habe. Dann wäre ich also ohne Antivirus sicher vor Angriffen via PDF gewesen, und erst durch den Antivirus kommt ein PDF-Parser ins Spiel, der wie jeder Parser-Code potentiell angreifbar ist. Ralf dachte, ich meinte, dass der mit den selben Exploits wie Acrobat angegriffen würde, und versuchte dann auszuführen, dass ein Antivirus ja die PDF-Datei gar nicht wirklich ausführt, sondern nach Heap Spraying und NOP Sleds sucht. Nicht nur verteidigte er damit einen Punkt, den ich nie kritisiert habe; im Publikum verstand das dann auch noch jemand so, als habe er eingeräumt, dass sie da nur oberflächlich ein bisschen draufschauen und das also gar nicht wirklich absichern.
Diese Art von Detail-Kleinkram wollte ich gerade vermeiden in der Debatte, denn da verliert man sich in irgendwelchen für die Diskussion und das Publikum unwichtigen Dingen.
Meine Aussage ist ja, kurz zusammengefasst, folgende:
In meinem rationalen Universum ist mit diesen beiden Punkten alles gesagt. Funktioniert nicht und verursacht Folgeprobleme? Will man nicht!
Und für den Fall, dass die "ist ja bloß ein Grundschutz"-Ausflucht kommt, vielleicht noch garniert mit "100% Sicherheit gibt es gar nicht", hatte ich mir überlegt, wie das wäre, wenn man eine Putzkraft einstellt, und die hinterlässt dann in der Küche einen großen Schmutzfleck, und argumentiert dann: Ist ja nur eine Grundreinigung, der Flur ist aber voll sauber jetzt!
Wieso würde man bei einer Putzkraft höhere Standards anlegen als bei einem Antivirus? Erschließt sich mir nicht.
Aber es stellt sich raus, und das muss ich völlig emotionslos hinnehmen, dass die Leute da draußen wissen, dass Antiviren nichts bringen, potentiell die Dinge schlimmer machen, Geld kosten, und die Werbeversprechen der Hersteller zum Gutteil falsch sind — und das trotzdem für einen nicht nur akzeptablen sondern notwendigen Deal hält.
Ich vermute, dass es da einen bisher unerkannten psychologischen Hintergrund gibt. Meine Vermutung ist, dass das unser Ablassschein dafür ist, dass wir lauter Software einsetzen, der wir nicht vertrauen, und von der wir aus Erfahrung wissen, dass sie unsicher ist. Wir setzen die trotzdem ein, uns müssen diesen offensichtlichen Fehler irgendwie wegrationalisieren. Dafür kaufen wir uns beim Schlangenöllieferanten einen Ablassschein. Dem können wir zwar auch nicht vertrauen, aber das war ja auch nicht der Punkt an der Sache. Den Antivirus kauft man nicht, damit er einen absichert, sondern damit man sagen kann, man habe aber einen Antivirus gehabt.
Ich frage mich, ob man da nicht viel Aufwand sparen kann, und den Leuten das Geld abnimmt, aber ohne einen Antivirus zu liefern. Sankt Fefes Schlangenöl-Ablassbrief. Du setzt Internet Explorer ein? Sag drei Ave Maria und kaufe vier Sankt Fefe Schlangenöl-Ablasszertifikate!
Als Gegenleistung könnte man so richtig schöne Zertifikate drucken. Auf gutem Papier, ihr wisst schon. Wasserzeichen, Prägung, vielleicht noch ein Wachssiegel.
Sollte ich mal vorbereiten und bei solchen Gelegenheiten verkaufen. Aufschrift: Dem Eigentümer dieses Zertifikates wird verziehen, dass er immer noch Firefox einsetzt, obwohl er wusste, was da mit jedem einzelnen Release für unfassbar furchtbare Sicherheitslücken zugemacht werden müssen, und dass es keinen Grund für die Annahme gibt, dass diese Reihe nicht so weitergehen wird. Gezeichnet: Kardinal Rieger.
Auf der anderen Seite kann es natürlich sein, dass so ein Podium gar nicht funktionieren kann, denn es war ja gar nicht mein Ziel, da irgendeinen bestimmten Hersteller rauszuziehen und schlecht zu machen, schon gar nicht den, der sich neben mir aufs Podium getraut hat. Es ist auch nicht mein Ziel, dazu aufzurufen, dass die Leute alle ihre Antiviren deinstallieren. Wir sind hier alle Erwachsene. Wer auf selbstzugefügte Schmerzen steht, dem werde ich da keine Vorschriften zu machen versuchen. Und häufig haben gerade Firmen sowas ja auch aus Compliance-Gründen oder weil sonst die Versicherung im Schadensfall nicht zahlt.
Naja, und so kam am Ende völlig überraschend raus, dass die Fakten völlig unstrittig sind. Wir legen sie bloß fundamental verschieden aus.
Update: Der Vollständigkeit halber: 100% Sicherheit gibt es natürlich doch. Jemand, der keine PDF-Software installiert hat, ist 100% sicher vor PDF-Exploits. Bis er einen Antivirus installiert. Dann nicht mehr.
Update: Ich werde häufig gefragt, was denn mein Vorschlag gegen Malware ist. Hier ist meine Antwort.
Die Malware-Problematik besteht aus zwei zu trennenden Hälften. Erstens Malware, die unter Ausnutzung von Sicherheitslücken auf das System kommt. Zweitens Malware, die völlig legitim auf das System kommt, beispielsweise in einer E-Mail, und die dann vom Benutzer ausgeführt wird.
Die erste Kategorie von Malware kriegt man weg, indem man Softwarehersteller für Schäden in Haftung nimmt, die aus ihren Sicherheitslücken resultieren. Die zweite Kategorie von Malware kriegt man weg, indem man das Modell von Mobiltelefonen übernimmt. Anwendungen laufen nicht mehr in einem großen Universum gleichberechtigt nebeneinander und haben alle vollen Zugriff auf alle Ressourcen, auf die der User Zugriff hat, sondern Anwendungen laufen jeweils in einer Sandbox mit minimalen Rechten, und wenn sie eine Datei öffnen wollen, können sie nur das System bitten, einen "Datei öffnen"-Dialog anzuzeigen. Dateien einfach so mit Dateinamen öffnen oder ohne Rückfrage geht nicht. So ein Modell hat Microsoft mit ihrem App Store zu etablieren versucht, und der Markt hat sie ausgelacht und das nicht haben wollen. Dafür installieren wir uns dann einen Antivirus drüber. Um unser schlechtes Gewissen zu beruhigen.
Update: Hier kommt der Einwand, dass das ja noch dauert, bis wir Produkthaftung kriegen. Das ist also jetzt keine akute Lösung!1!! Ja, und? Gegen 0days zu helfen sagen ja auch Antiviren nicht zu. Und wenn es kein 0day ist, muss man halt immer schön alles gepatcht halten. Dann kann einem die auf Sicherheitslücken basierende Malware auch nichts. Für mich ist das der Gipfel der Unverantwortlichkeit, wenn Konzerne sich ganze Abteilungen mit Bremsklötzen leisten, die dann vorgeblich Patches "prüfen", ob die wirklich ausgerollt werden müssen oder nicht. Und in der Praxis führen die nur dazu, dass steinalte Exploits in dem Laden noch funktionieren. Aber hey, dafür haben wir ja Antiviren installiert!1!!
Und nicht auf Sicherheitslücken basierende Malware kriegt man im Firmenumfeld dadurch weg, dass man den Leuten keinen lokalen Adminzugang gibt und sie nur Programme von der Whitelist ausführen lässt. Ich glaube ja, dass das mit der Tooldiskussion neulich hier im Blog Hand in Hand geht. Firmen tolerieren ein geradezu groteskes Maß an Unwissen und Lernverweigerung. Und die Mitarbeiter nehmen das dankend an, weil sie dann die Unschuld vom Lande geben können. "Ja aber ich hab doch bloß auf das Bild geklickt und die drei Warnfenster sofort ungelesen zugemacht!1!!"
New hotness: node.js im Nvidia-Treiber für Windows sorgt für Privilege Escalation!
"NvNode", "NVIDIA Web Helper Service". Mir kommt das Frühstück wieder hoch. Das vom Januar. (Danke, Rudolf)
Days after @FSecure announced they acquired security app Little Flocker, it starts phoning home.Und zwar "home" as in "zu F-Secure". (Danke, Philipp)
Die denkbaren Möglichkeiten sind vielfältig und ich fand das Argument immer sehr überzeugend, aber es gibt so wenig Fälle, wo das mach nachweislich passiert ist.
Oooooder der Präsident sollte mal in den Knast. Digitale Spurensicherung ist Schlangenöl-Bullshit, genau so wenig wie man Malware attribuieren kann. Jede "Spur", die ein "Forensiker" findet, kann auch ein fieser Hacker da extra hingelegt haben. Wenn ein Gerät einmal kompromittiert ist, kann man "Spuren" von diesem Gerät nicht mehr ernst nehmen. Nun gibt es in diesem Fall keine Details, was für Spuren sie ausgewertet haben — möglicherweise sind das ja Spuren in Drittsystemen wie dem Proxy oder der Firewall oder so. Ergebnis der Untersuchungen:
IT-Fachleute des Präsidialamtes hätten den Angriff bis in den US-Bundesstaat Alabama zurückverfolgt.Hmm, USA? Alabama? Klingt ja nicht sehr vertrauenswürdig. Sicher, dass das nicht die Russen waren, die sonst immer die Schuld kriegen an Hackerangriffen?
Zeman gilt als islamkritisch und russlandfreundlich.Oh ach so. Never mind.
Kurzzusammenfassung: Alles umgehbar, und die AV-Hersteller versuchen das jetzt mit den üblichen "haben wir schon gefixt" kleinzureden. Als ob das irgendwas besser macht! Man stelle sich mal vor, euer Haustürschloss würde auf Zuruf auch ohne Schlüssel aufgehen, und der Hersteller würde sagen: Haben wir gefixt. Würdet ihr euch da besser fühlen? Nein, natürlich nicht! Sicherheitssoftware heißt, dass sie sicher macht. Wenn man updaten muss, hat sie nicht sicher gemacht. Ganz einfache Logik. Hallo McFly? Jemand zuhause?
Oh und noch eine peinliche Frage, die bei solchen Gelegenheiten irgendwie nie jemand stellt: Gab es das Update kostenlos für alle unsicheren Versionen vorher? Laut der Gesetzeslage in Deutschland müsste ein Antivirus mit einem Bug kostenlos vom Hersteller repariert werden. Aber irgendwie hat sich etabliert, dass man die für Reparaturen von Fehlern, für die nur sie was können, auch noch bezahlen soll. Wieso findet da eigentlich niemand was bei? Was für eine bodenlose Frechheit ist das eigentlich?
Wären wir doch nur alle von vorneherein ehrlich gewesen und hätten das als das bezeichnet, was es ist. Schlangenöl.
Eine unzureichende Absicherung bei der Lizenzprüfung von Eset Endpoint Antivirus für macOS ermöglichte es einem Angreifer, beliebigen Code mit Root-Rechten auszuführen.Bei der Lizenzprüfung! Remote Code Execution! Mit Root-Rechten! *TILT* *TILT* *TILT* *Konfetti+Luftballons*
Das ist SOWAS von überfällig, das glaubt ihr gar nicht. Diese Grafiktreiber sind alle die Krätze auf Erden, das Übelste des Schlimmsten. AMD, Intel und Nvidia nehmen sich da nicht viel, obwohl bei Intel immerhin mal eine Weile eine Abteilung existierte, die sich um Security kümmerte. Ich weiß nicht, ob es die noch gibt.
Wenn ich auf einem Windows-Rechner meine Privilegien eskalieren müsste, wäre mein erster Ansatz etwaiges installiertes Schlangenöl, und wenn keines installiert wäre, würde ich den Grafiktreiber untersuchen. Das sind meiner Ansicht nach die übelsten verbleibenden durchgängig furchtbar schlimmen Pestbeulen in der gesamten IT-Branche.
Money Quote:
I did this research as part of a 20% project with Project Zero, during which a total of 16 vulnerabilities were discovered.
So und jetzt überlegt euch mal, was man da finden könnte, wenn man mal ordentlich systematisch suchen würde.Update: Der Fairness halber sollte ich sagen, dass sich diese Einschätzung auf den Zustand vor ca 10 Jahren bezieht. Ich persönlich habe seit dem nicht näher geguckt. Ich habe eine Policy für meine private Security-Forschung: Ich gucke mir keine Sachen näher an, die ich selber einsetze. Wenn ich dann nämlich sehe, wie schlimm es wirklich ist, könnte ich das ja nie mehr einsetzen. Und bei vielen Sachen, die ich so einsetzen, habe ich keinen Ersatz, auf den ich ausweichen könnte. Ich habe (außer dem Intel-Security-Team) keinen Grund zur Annahme, dass seit dem irgendwas besser geworden ist.
There is little consensus within the security community on whether HTTPS interception is acceptable. On the one hand, Chrome and Firefox have provided tacit approval by allowing locally installed roots to bypass key pinning restrictions
Wait, what?! Wahrscheinlich weil sonst das Schlangenöl alles kaputtmachen würde, oder wie? Hey macht ja nichts, wenn wir damit Malware Tür und Tor öffnen, Hauptsache Schlangenöl schlängelt schön!
Die Forscher untersuchten rund 8 Milliarden TLS-Verbindungen zum Firefox-Update-Dienst, einigen E-Commerce-Sites und bei Cloudflare. Dabei stellten sie fest, dass bis zu 10 Prozent der gesicherten Verbindungen nicht mehr die typischen Verbindungsparameter des verwendeten Browsers aufwiesen – sie also irgendwo unterwegs unterbrochen wurden.10 Prozent finde ich ausgesprochen krass.
Konkret bedeutet das etwa: 13 von 29 untersuchten Antiviren-Programmen klinken sich in die verschlüsselten TLS-Verbindungen ein.Naja, TLS ist TLS, denkt ihr euch jetzt vielleicht. Ihr irrt. TLS handelt beim Handshake am Anfang aus, welche Verfahren verwendet werden, und wenn da ein Schlangenöl zwischen sitzt, das nur alte Gammelverfahren spricht, dann sinkt eben die Sicherheit der Gesamtverbindung dadurch. Wie schlimm ist es?
So erlaubten gemäß der Studie Produkte von Avast, Bitdefender, Bullguard, Dr.Web, Eset, G Data und Kaspersky direkte Angriffe auf die gesicherten Verbindungen. Bei den getesteten Security-Appliances für die Inspektion von TLS-Verbindungen sieht es nicht besser aus: 11 von 12 schwächten die Sicherheit etwa durch die Hinzunahme von kaputten Verfahren wie RC4.Ja prima!
Das Fazit ist:
"Viele der Verwundbarkeiten in Antiviren-Produkten und Proxies in Fimrenumgebungen [….] sind fahrlässig und ein weiteres Zeichen für den Trend, dass ausgerechnet Sicherheitsprodukte die Sicherheit verschlechtern statt sie zu verbessern" heißt es im Fazit.Ich weiß, ich weiß! Hätte uns doch nur jemand rechtzeitig gewarnt!!1!
McAfee ePolicy Orchestrator DataChannel Blind SQL Injection VulnerabilityUnd das kommt von Talos, die gehören zu Cisco. Cisco, wir erinnern uns, waren die mit dem WebEx-Totalschaden. Und Prime Home.
Wenn DIE bei dir Bugs finden, dann weißt du, dass du WIRKLICH verkackt hast. :-)
Aber wie sich rausstellt: Stimmt nicht. Ich frage mich langsam, was passieren muss, damit Jürgen Schmidt aufhört, Antiviren als notwendig zu verkaufen. Das ist ja eine Sache, wenn er mir nicht glaubt, der ich in meiner beruflichen Laufbahn den Quellcode von einigen Schlangenöl-Implementationen gesehen habe, aber da aus NDA-Gründen keine Details veröffentlichen kann. Aber wenn dieser Firefox-Mitarbeiter aus dem Nähkästchen erzählt, da kann man ja wohl kaum "ach das denkt der sich doch bloß aus" zurechtrationalisieren?!
Also, lieber Jürgen. Sag mir doch mal. Was müsste passieren, damit du deine Position revidierst?
Müsste deine Mutter Ransomware über eine Schwachstelle in einem Antivirus installiert kriegen?
Ich meine das völlig ernst. Was müsste passieren?
Denn mir geht langsam die Fantasie aus, was für Szenarien da noch möglich wären, um die seit Jahren naheliegende Schlussfolgerung zu widerlegen, dass dieses Antivirus-Fanboy-Schreibertum bei Heise letztendlich Dogma ist. Religiöse Verblendung.
Wieso verkauft Heise eigentlich keine Antiviren? Bisschen Kickback der Hersteller einfangen? Tolles Geschäftsmodell! Von der Berichterstattung her könnte Heise ja kaum noch tiefer mit den AV-Herstellern unter eine gemeinsame Bettdecke rutschen.
Egal, wie viele Bugs es gibt. Bugs passieren halt. Installieren Sie den neuen Patch, dann sind Sie wieder sicher!1!!
Update: Ein Einsender meint, dass Heise einmal im Jahre der c't eine "desinfec't"-DVD beilegt, das sei ja auch sowas wie ein Verkauf von Antiviren. Kann man bestimmt so sehen, ja. Zumindest ist es ein Anfixen :-)
Update: Ohne da ins Detail gehen zu können, schließe ich mich übrigens der Einschätzung an, dass das Schlangenöl von Microsoft noch am wenigsten neue Angriffsoberfläche aufreißt. Ich hatte die Details schonmal grob dargelegt.
Update: Ich habe eine Mail von Jürgen Schmidt gekriegt. Er weist meine Kritik von sich und findet, dass seine Berichterstattung sogar aktiv für das Hinterfragen der Position steht, dass AV-Software wichtig und nötig ist. Das würde ich auch gerne so sehen, und es stimmt auch, dass er häufiger negative Meldung zu Schlangenöl bringt, aber tut mir leid, das hat ihm auch niemand vorgeworfen, dass er negative Meldungen zu AV-Software unterdrückt. Was mich an dem vorliegenden Artikel am meisten geärgert hat, war dieser Satz:
Nun lässt sich das nur allzu leicht als Unsinn abtun – etwa indem man auf die fatalen Konsequenzen ungeschützter Systeme verweist.
Hier wird per Nebensatz unhinterfragbar als Prämisse etabliert, dass a) AV Schutz bietet, b) Systeme ohne AV ungeschützt sind, und c) es fatale Konsequenzen hat, kein AV einzusetzen. Ich bestreite alle drei Prämissen. Wenn dieser Satz nicht in dem Artikel gewesen wäre, hätte ich nichts gesagt. Der Rest des Artikels ist aus meiner Sicht Berichterstattung und neutral gehalten. Da hätte ich mir zwar immer noch gewünscht, dass Heise Security ihre editoriale Reichweite nutzt, um den Leuten deutlich zu machen, dass da nicht nur irgendein Spinner Dinge behauptet, und dass Heise das auch so sieht. Aber das hätte mich nicht genug ärgert, um dazu einen Blogpost zu machen.
Update: Jürgen Schmidt schrieb mir jetzt, dass er diesen Satz anders gemeint hat, als ich ihn verstanden habe. Er wollte damit den Leser da abholen, wo er ist. Er verwehrt sich auch gegen den Eindruck, die Redaktion sei gekauft, von wem auch immer. Ich möchte hier nochmal explizit darauf hinweisen, dass ich das auch nicht vorgeworfen habe. Das Schreibertum von Heise liest sich meiner Meinung nach so. Das heißt nicht, dass irgendjemand tatsächlich gekauft ist — nichtmal, dass das Dogma Absicht ist oder bewusst stattfindet.
Ich habe Jürgen gebeten, einfach mal ein Statement zu veröffentlichen, was das klarstellt. "Wir bei Heise sind keine Antivirus-Proponenten und unsere positive Berichterstattung sollte nicht als Werbung missverstanden werden". Wenn ich Jürgen richtig verstanden habe, ist das bei Heise eh so. Also würde so ein Statement ja auch niemandem wehtun. An anderer Stelle ist Heise ja schon vorbildlich, z.B. wenn sie dranschreiben, dass ein Hersteller dem Journalisten die Reise bezahlt hat. Wenn es sich hier wirklich um ein Missverständnis handelt, können wir das ja mal eben kurz und schmerzlos auflösen. Your move, Heise.
Update: Angesichts dieses Artikels muss ich meine Kritik an Jürgen Schmidt in der Tat zumindest partiell widerrufen. Da schreibt er
vieles von Böcks Kritik trifft voll ins Schwarze
Ich sehe aber immmer noch einen Unterschied zwischen dem Anerkennen von Fakten und dem Aussprechen der sich daraus ergebenden Bewertung, dass Antiviren grundsätzlich nicht vertrauenswürdig sind. Das blieb Heise bisher schuldig.
Er habe sich eine Liste der einschlägigen Suchmerkmale vorlegen lassen - "Ich sehe die Liste noch vor mir" - und dort unter anderem Botschaften von EU- und Nato-Staaten erwähnt gefunden: "In dieser Sammlung kam mir das doch ein bisschen ungeheuer vor."Keine weiteren Fragen, Euer Ehren!
Ich weiß gar nicht, was da toller ist — die verkackte Architektur, oder dass die Spezialexperten von McAfee ein halbes Jahr für einen Patch brauchen.
Das ist so krass, dass die damit in meinem Weltbild weg vom Fenster wären als Cloud-Anbieter. Aber hey, ich wäre gar nicht erst rein gegangen in die Cloud. Mein Weltbild hat also einen gewissen Realitätsabstand an der Stelle.
Ach komm, eine Familienpackung Schlangenöl drüberkippen, und dann haben die Leute das bestimmt gleich wieder vergessen.
Ich hab ja vor so 15-20 Jahren oder so mal auf der CeBIT einen Stand von der Crypto AG gesehen, und das Standpersonal gefragt, wieso es ihre Firma noch gibt. Der Mann lächelte freundlich und erklärte uns, die Leute hätten eben kein gutes Gedächtnis.
Jetzt stellt sich raus: Nicht nur Microsoft, auch Fireeye (ein Hersteller von Schlangenöl).
Zuckerberg’s Plan To Battle Fake News Sets Off “Widespread Panic” Among Big Conservative Pages
*gacker*Wie, ihr wollt doch was von der Schlangenölbranche? Na gut, nehmt das hier.
Ich verweise dafür auf dieses Blogposting von 2008. Schlangenöl funktioniert nicht und verarscht die Benutzer. Und ihr merkt es gerade am eigenen Körper.
Nein, ich werde 42.zip nicht löschen. Das bleibt als Furunkel am Arsch der Schlangenölindustrie kleben, bis es nicht mehr nötig ist. Und solange die sich zum Stück Brot machen, indem sie dann meine Site blocken, ist es noch nötig.
It seems incredible that this bug wasn't found during testing or even on ITW documents just by chance.
Mal wieder Tavis Ormandy von Google.Ein bisschen ausführlicher hat er das hier beschrieben.
Durch ein Update des Virenscanners Rising landet eine infizierte Datei auf dem System, die sich dann daran macht, den Sality-Virus weiter zu verbreiten.You had one job! (Danke, Frank)
Da hilft zuverlässig … nee, von der Schlangenölbranche habe ich heute nichts. Aber guckt doch mal dieses Video einer Flughafen-Security-Schlange an. Dann wird euch schlagartig klar, wie gut es euch gerade geht.
Und das Geheule ist echt zum Fremdschämen. Aber aber aber die Kunden der Leeches! Die sind ja jetzt weniger sicher, wenn deren Schlangenöl weniger ölig wird!
Normalerweise braucht man für sowas echt Fantasie, ein Forschungsprojekt vielleicht. Oder man guckt einfach, was die für ihre exzeptionelle Sicherheit bekannten Spezialexperten von Comodo tun. Tavis Ormandy vom Google-Security-Team hat mal einen Blick gewagt.
I've found some memory corruption issues with the emulator
OK an der Stelle kann man eigentlich schon aufhören. Die Tatsache, dass der Bericht von Tavis weitermacht, nachdem er damit eröffnet hat, das ist echt beunruhigend.So geht es weiter:
but Comodo also implement hundreds of shims for Win32 API calls, so that things like CreateFile, LoadLibrary, and so on appear to work to the emulated code. Astonishingly, some of these shims simply extract the parameters from the emulated address space and pass them directly to the real API, while running as NT AUTHORITY\SYSTEM. The results are then poked back in to the emulator, and the code continues.
OOOOH NEEEIIIIINNNN!!!Und das, meine Damen und Herren, ist der Grund, wieso ich mir bei schlechter Laune immer die Schlangenöl-Industrie angucke! *badumm-tsss*
When you install Comodo Internet Security, in the default configuration an application called "GeekBuddy" is also installed and added to HKLM\System\CurrentControlSet\Services. GeekBuddy is a tech support application, that uses a number of questionable and shady tactics to encourage users to pay for online tech support.
Mit anderen Worten: Malware!
du magst es ja immer mal wieder den Term Schlangenöl als Spaß- und facepalm Aufhänger zu verwenden. Ich bin gerade in einem Buch über folgenden Absatz gestolpert:Na sowas! So ein Übel, ich tue also den Handauflegern Unrecht, wenn ich ihre Waren mit Schlangenöl vergleiche, denn Schlangenöl hilft tatsächlich nachweislich! (Danke, Ralf)"[…] Dr. Udo Erasmus recently has investigated the origin of the derisory term snake-oil (Erasmus 1993). He found that snake-oil was a traditional Chinese treatment, introduced to the United States by Chinese labourers laying the early railway lines. They persuaded the fellow workers to use snake-oil, to reduce inflammation and arthritic pain. Rubbing snake-oil into the skin was said to bring symptomatic relief. The sellers of patent medicines saw the use of snake-oil as a threat and disparaged the use of this treatment, to the extent that snake-oil continues to have a bad name to the present day.
In 1989, a Californian physician, Dr. Richard Kunin, investigated the properties of oil from the Chinese water snake (Kunin 1989). This snake-oil, used in Chinese medicine, was found to contain the highest proportion of omega-3 fatty acids in a natural oil (20%). Since omega-3 fatty acids are potent inhibitors of inflammation, the is every reason to suppose that snake-oil was effective. The term snake-oil actually refers to the use of a now established anti-inflammatory substance, in a treatment suppressed for financial gain."
Die Realität und ihre lustigen Wendungen im Raum der Zeit ^_^
Erasmus, U. (1993): Fats That Heal, Fats That Kill. Alive Books, Canada.
Kunin, R.A. (1989): Snake oil. West J. Med, 151(2), 208.
New hotness: Botnet installiert Schlangenöl! BWAHAHAHAHA
Mudge hilft mit einer DoD-Statistik aus:
DoD data (cleared for release) shows on average 1/3 of vulns in government systems is in the security software.
Da hilft nur … MEHR security software! (Danke, Vinzent)
Aber hey, man kann Trend Micro da keine Vorwürfe machen. Die betroffene Komponente ist in node.js geschrieben. Wer hätte vorher wissen können, dass das problematisch werden könnte?! NIEMAND hätte das wissen können!
Danke für die vielen Einsendunger, die auch alle bei der Schlangenölbranche ihr Glück suchen :-)
The vulnerability, which is on by default in the NX, EX, AX, FX series of FireEye products, was recently patched by FireEye after researchers from Google's Project Zero privately reported it. It made it possible for attackers to penetrate a network by sending one of its members a single malicious e-mail, even if it's never opened.
So, und wenn ihr jetzt mal raten müsstet, zum Verhindern welcher Art von Angriff Fireeye-Systeme da sind…? Na? Richtig! Emails mit bösen Anhängen! (Danke, Carl)
Datenreichtum für alle!
Wenn man sich anguckt, auf was für einem Niveau die da vor sich hin krautern, dann hebt das die Stimmung.
Hmm, na dann gucken wir doch mal.
Oh, schaut, McAfee liefert! *blätter* *scroll* Hmm *scroll* eine Backdoor, ja? Und da haben die die STIRN, so zu tun, als sei das ein Bug und man müsste bloß einen Patch ausliefern und dann sei alles wieder gut?! Kann mir mal jemand erklären, wieso die jetzt nicht mit Klagen ersäuft werden? Intel hat McAfee gekauft, da stehen also tiefe Taschen dahinter. Wieso werden die jetzt nicht verklagt, bis nur noch ein tiefer, rauchender Krater übrig ist? WTF?!?
Update: Also wo ich so darüber nachdenke… kann mir das mal ein Jurist erklären? Ist das nicht Betrug im strafrechtlichen Sinne? Ein Produkt, dessen vorgebliche Funktion es ist, Zugriff zu beschränken, und was dann eine Hintertür hat?
Vielleicht könnten wir so auch unsere Esoteriker und Homöopathen sinnvoll einsetzen?
Seit dem war das ein trauriger Rekord. Niemand war seit dem so blöde, ein Feature wie dieses in sein Schlangenöl einzubauen.
Bis jetzt, denn Kaspersky kriegt das sogar noch getoppt! Bei Kaspersky muss das nicht über TCP reinkommen, sondern ein gespooftes Paket reicht. Das heißt man kann mit einem gespooften Paket andere Leute dazu bringen, beliebige IP-Adressen bei sich zu blockieren!
Das ist bestimmt bei Twitter-Filterblaslern sehr beliebt, das Produkt. So von der Mentalität her.
Oh, was sagt ihr, das steht da nicht, dass Google das gefunden hat? Bei Symantec klingt das eher so, als habe Symantec das selbst gefunden? Tsja. Hier ist Googles Statement dazu. Voll vertrauenswürdig, diese Symantec-Leute! Da kauf ich doch ab jetzt mein Schlangenöl!
Und so wird dann ein Schuh aus der Sache, denn das kommt jetzt nicht von den anderen Herstellern, die Story, sondern von "Ex-Kaspersky-Mitarbeitern", d.h. von Kaspersky selbst. Für mich sieht das aus wie eine als Pseudo-Kontroverse getarnte PR-Nummer von Kaspersky, um sich selbst als einzigen Marktteilnehmer darzustellen, der noch ordentlich prüft. Glaubt kein Wort von sowas. Schlangenöl ist Schlangenöl.
Im Übrigen basiert die ganze Branche auf geheimen Insider-Malware-Börsen, und die Hersteller tauschen alle ihre Malware-Samples aus. Ich bin da kein Insider, insofern weiß ich nicht, wie weit die Automatisierung der Signaturgenerierung ist. Was ich vor ein paar Jahren mal gesehen habe, ist dass das "manuell" gemacht wurde, allerdings mit massivem Tool-Aufgebot. Viel tatsächlich manuelle Arbeit war da nicht beteiligt, aber völlig automatisiert war es auch noch nicht. Wenn man die Tools der Konkurrenz beobachtet, kann man diesen Vorgang möglicherweise aus der Ferne reversen und so trojanische Signaturen unterjubeln.
Aber mal ehrlich, der ganze Ansatz mit den Signaturen ist für den Arsch. Dieses Geplänkel hin oder her, wer sich Software verkaufen lässt, die Viren fernhalten soll, hat es auch nicht besser verdient.
Update: Laut dieses Vortrages von 2013 von Microsoft scheint genau das passiert zu sein.
Ich weiß, dass das auch in Gefängnissen so gemacht wird.
Ich befürchte, dass wir es hier mit einem Vorläufer der nächsten Kryptokriege zu tun haben. Das schrittweise die Bedeutung von Menschenrechten wie dem Briefgeheimnis immer weiter abgeschwächt werden, genau wie die NSA-Enthüllungen ja das Gefühl abgeschwächt haben, dass man sich im Internet ungestört unterhalten kann (das war übrigens noch nie gerechtfertigt, das Gefühl).
Verschlüsselung ist unsere letzte Verteidigungslinie. Wir haben uns schon von dei meisten anderen Prinzipien der Aufklärung verabschiedet.
Wir lassen unsere Nachbarn nicht in unser Internet, weil wir uns daran gewöhnt haben, dass Internet Geld kostet und das Haftungsfragen aufwirft. Ja warum eigentlich?
Wir haben uns von der Idee verabschiedet, dass man sich im Netz bewegen kann, ohne abgehört zu werden. Ja warum eigentlich?
Und jetzt versuchen sie, uns der Reihe nach abzugewöhnen, dass wir ein Recht auf Verschlüsselung haben. Erst in so Kontrollhochburgen und Randgebieten wie Gefängnissen und der Bundeswehr, dann werden sie der Reihe nach alle anderen Argumente durchprobieren. Terrorismus, organisierte Kriminalität, Kindesmissbrauch, Jugendschutz, und am Ende wird die Contentmafia in eure SSL-Verbindungen reingucken wollen, um zu prüfen, dass ihr keine Musik raubkopiert.
Ich möchte betonen, dass es keinen weiteren Rückzugsraum gibt. Wenn wir uns die Verschlüsselung wegnehmen lassen, dann können wir das Internet auch gleich wieder zumachen. Und ich rede hier von Ende-zu-Ende-Verschlüsselung, denn alles andere ist Schlangenöl. Das haben sie ja auch schon versucht, uns das als "das ist doch auch verschlüsselt dann, das reicht doch!1!!" zu verkaufen. Fallt auf sowas nicht rein.
Achtet da mal drauf. Ich sage voraus, dass das in nächster Zeit zunehmen wird, dass öffentlich "Probleme" thematisiert werden, die wir haben, weil jemand verschlüsselt hat. "Diesen Terroristen konnten wir nicht aufhalten, denn er hat seine Festplatte verschlüsselt". Das gab es schon mal zaghaft im Zusammenhang mit Skype, aber das fiel ja gleich wieder in sich zusammen, als wir darauf hinwiesen, dass Skype natürlich gesetzeskonform Abhörschnittstellen anbietet.
Update: Kommentar per Mail:
was Du unter http://blog.fefe.de/?ts=ab6b87e5 bei der Bundeswehr ansprichst, ist für Hamburger Schulen seit einiger Zeit normal.
Der feuchte Traum der bis zum Anschlag im Arsch der Contentmafia steckenden Schulbehörde ist es, jederzeit kontrollieren zu können, wer was im Internet macht (Lehrer, Schüler, etc.).
Die zu diesem Zweck ausgerollte "Lösung" nennt sich "Time for Kids" "Schulrouter Plus" und ist insgesamt ein "Internet minus", etwas derartig zusammengestricktes habe ich bisher noch nicht gesehen. Dass Sachkenntnis in diesem Bereich gerne von Stock-Fotos und bunten Flyern ersetzt wird, versteht sich von selbst…
Wobei ich ja sagen muss, dass ich das in Hamburg durchaus verstehen kann. Da ist man ja quasi direkt in der Nachbarschaft des LG Hamburg.
Update: Noch einer:
nicht nur die Bundeswehr macht das, sondern auch das Arbeitsamt. Für die habe ich mal ein Jahr lang Tech Support gemacht. Da sitzt dann ein Squid mit nem selbstgepopelten root certificate davor, was auf allen Rechnern verteilt ist. Zumindest im IE funktioniert das. Man hatte auch mal versucht, da Firefox einzuführen, aber der blockt, sobald er etwas nicht erkennt.
Update: Auch an Berliner Schulen, in mindestens einer öffentlichen Verwaltung und die Rentenversicherungen setzen sowas anscheinend ein. Wie gruselig! Schade, dass wir keine Parteien haben, die sich um Bürgerrechte kümmern, sonst würde man das gesetzlich verbieten. Fernmeldegeheimnis und so. Das kann ja wohl nicht sein, dass eine Organisation erfolgreich argumentieren kann, das Fernmeldegeheimnis sei nicht verletzt, weil da ja kein Mensch sondern nur eine Software mitliest. Das wäre ja wie wenn man behauptet, Videoüberwachung sei nicht schlimm, weil das eine Kamera und kein Mensch ist.
Mir fiel hier beim Rumklicken gerade ein besonders schönes Exemplar auf. Das ist ein Whitepaper von RSA über, … ja so richtig klar ist das nicht. Ihr Team? Ihre Produkte? Es geht jedenfalls um Incident Response (auch bekannt als "Feuerwehr" oder "Ghostbusters"-Einsätze) in APT-Fällen (auch bekannt als "Windows-Trojaner"). Normale Malware gibt es ja gar nicht mehr, ist ja heutzutage alles APT. Mit APT können alle leben. Die gehackte Organisation, denn bei APT kann man halt nichts machen, alles 0day und military grade ultra-Geheimdienst-Qualität und so. Die untersuchenden Spezialisten, denn hey, wer kann schon von sich sagen, einen echten APT gefunden zu haben! Gut, inzwischen fast alle, aber wollen wir mal nicht so sein.
Aber gucken wir uns das Whitepaper mal an. Es geht damit los, dass sie eindrucksvoll schildern, wie raketentechnologisch roswellig ihre UFO-Technologie da ist! Während Villariba erst 10% untersucht hat, ist Villabajo dank RSA-Gehirnchirurgenequipment schon 90% fertig (Seite 5).
Da wird man doch neugierig, wie sie das anstellen! Und blättert weiter bis zum Kapitel 3, Analysis Methodology. Und was steht dort?
RSA IR employs a methodology that is founded on industry standards.
Wie jetzt, nanu? Ich dachte ihr seid der Industrie 90% voraus! Wie könnt ihr dann die selben Standards nehmen wie der Rest der Industrie? Das liegt bestimmt an dem ganzheitlichen Ansatz!The holistic approach includes the following four core components:- Intelligence gathering and research;
- Host-based forensic analysis;
- Network-based forensic analysis; and,
- Malware analysis.
Oder mit anderen Worten: Was auch alle anderen machen, wie das jeder tut, weil das offensichtlich ist.Plötzlich ist dann von iterativen Ansätzen und wiederholbaren Prozessen die Rede, das klingt dann schon gar nicht mehr so 90% schneller als anderswo, und dann gibt es dieses Highlight:
To complete this work, RSA IR uses several commercial and open source forensic tools
Wie, Moment, ihr benutzt anderer Leute von-der-Stange-Tools? Ich dachte, EURE Tools seien der heiße Scheiß!In addition, the Team will leverage available tools and technologies in place within the enterprise
Ja, äh, na was soll man auch sonst benutzen an der Stelle?Aber gut, das ist ja immer noch recht abstrakt. Vielleicht werden die Dinge in der Case Study-Sektion klarer?
The RSA IR team used Volatility to analyze the submitted memory dump. Very quickly, while parsing the Application Compatibility cache from the memory image, RSA IR confirmed this server likely had unauthorized activity based on locations and filenames that were executed on the system.
Das ist ja mein persönliches Highlight. Erstens: Volatility ist ein Open-Source-Tool. Aber über Formulierungen wie "confirmed this server likely" könnte ich mich stundenlang amüsieren. Likely ist, was man vorher hat. Confirm macht aus likely ein definitely. Bestätigen, dass etwas wahrscheinlich passiert ist, geht nicht. Etwas ist wahrscheinlich passiert, dann bestätigt man das, dann weiß man, dass es passiert ist und braucht kein wahrscheinlich mehr.Ihr seht schon: Whitepapers sind ein Quell der Unterhaltung für Leute, die sich für den sprachlichen Dreizack aus Bullshit, Schlangenöl und Herumwieseln interessieren.
Hey, vielleicht sollte ich auch mal ein Whitepaper schreiben. "Wir machen das selbe wie unsere Mitbewerber. Wir können es nur besser." :-)
Aber hey, ich bin mir sicher, die Fachpresse macht bald wieder einen Schlangenöl-Vergleichstest. Damit ihr nur das kauft, das am schönsten schlängelt!
Das scheint ein Tool zu sein, das genau das tut, was der Name andeutet, und mit "SW Update" von Samsung kommt.
SW Update is your typical OEM updating software that will update your Samsung drivers, the bloatware that came on your Samsung machine, etc. The only difference between other OEM updating software is, Samsung's disables WU.
Ja super! Windows-Updates zeitnah einspielen ist eh total überbewertet!1!! Wir haben hier Schlangenöl ausgerollt, wir brauchen keine Updates. (Danke, Torsten)
Cybersecurity companies, including the Moscow-headquartered Kaspersky Lab, were targeted by government agencies to gain intelligence of the latest exploits. Details of the security software’s inner workings were deciphered by agencies through a process called software reverse engineering (SRE), which allowed them to analyze and exploit the software suites.
Seit Jahrzehnten sage ich das, dass man sich mit "Personal Firewalls" und "Antiviren" die Angriffsoberfläche vervielfacht. Aber ich bin mir sicher, die "Fachpresse" wird weiterhin Antiviren empfehlen und Vergleichstests machen, welches Schlangenöl am schönsten schlängelt.Documents also disclosed efforts by the NSA of intercepting “leaky” data being sent from users’ computers to the Kaspersky Lab servers. Such data, including sensitive user information, was embedded in “User-Agent” strings in the HTTP requests and could be used to assess and track users’ activity.
Ja na sowas! Also DAMIT konnte ja wohl NIEMAND rechnen!1!! Oh, warte.
Ich möchte an der Stelle nochmal wiederholen, dass ich Malware-Attribuierung für Bullshit halte, und die ganze AV-Industrie für Schlangenölverkäufer. Aber wenn man mal unter der Annahme operiert, dass hier ein Staat eine gezielte Malware in den Bundestag eingeschleust hat, weil die wirklich dringend wissen mussten, was deutsche Abgeordnete denken, dann wäre die Ukraine ein plausibler Kandidat. Plausibler jedenfalls als die Russen, finde ich. Aber es ist und bleibt ein Gerücht, wilde Spekulation. Behandelt es auch so.
Die Linksfraktion ist durch die Veröffentlichung ein Sicherheitsrisiko für den Deutschen Bundestag geworden.Welche Veröffentlichung? Die hier,
Mein Kommentar dazu: Wer bei Malware Attribuierung macht, schießt sich damit selbst aus dem Rennen. Dem kann ich auch sonst nichts mehr glauben. Zumal die Attribuierung hier auf eher tönernen Füßen steht, sie basiert im Wesentlichen auf diesem Report von Fireeye. Fireeye ist ein "IT-Security-Dienstleister", dessen Geschäftsmodell es ist, in großen Organisationen Email-Attachments in einer Sandbox auszuführen, und zu gucken, ob die nach Hause zu telefonieren versuchen. Ich persönlich halte den Ansatz für Schlangenöl. Deren Produkt habe ich noch nicht in der Praxis von Nahem im Einsatz gesehen.
Jedenfalls hat Fireeye ein kommerzielles Interesse daran, auf die bösen Chinesen oder Russen zu zeigen, damit mehr Leute Angst kriegen und Kunde werden. Wenn man sich deren Report durchliest, findet man heraus, dass ihre Attribuierung daher kommt, dass internationale Elite-Hacker, die SO GUT sind, dass sie ÜBERALL REINKOMMEN, beim Erstellen ihrer Software mit einer Microsoft-Entwicklungsumgebung vergessen haben, die Metadaten zu bereinigen. Leute, die gut genug sind, um ihren Code mit sinnlosen Instruktionen aufzublähen, damit die Analyse schwerer wird. Solche Leute vergessen dann die Metadaten. Ja nee, klar. Oh und die Metadaten zeigen, dass da teilweise die russische Version eingesetzt wurde, und dass die Erstellungszeiten im Dateiheader auf reguläre Montag-Freitag 9-5 Arbeitszeiten in der Zeitzone von Moskau hinweisen.
Nein, wirklich! Hey, *hexeditier*, ich hab hier eine fiese Malware, wo jemand als Kommentar "ist von Fireeye" zu entfernen vergessen hat!1!!
Also ich für meinen Teil würde auf diese Zuordnungen nicht viel geben. Dass die Linksfraktion in ihrem Netz Malware sucht und analysieren lässt und die Details veröffentlicht ist ihr gutes Recht. Ja sogar ihre Pflicht, wenn man für Fraktionen die selben Regeln anwendet, die unsere Bundesregierung gerade mit dem IT-Sicherheitsgesetz allen Firmen reindrücken will. Es lässt sehr tief blicken, wenn dieser CDU-Spezialexperte sich dermaßen aus dem Fenster lehnt in der Angelegenheit. Da hat wohl jemand Bürotiefschlaf gepflegt, anstatt sich mal durchzulesen, was die eigene Regierung gerade so beschließt, wie?
Sehr schön auch, dass all unsere Geheimdienste und Behörden das nicht verhindern konnten. Dabei haben wir eine eigene Behörde, die nur für sowas zuständig ist, das BSI. Also bezeihungsweise hatten. Denn das BSI heute ist eher für Dinge wie Bundestrojaner-Programmieren zuständig. Tsja, so ist das halt, wenn man in Angriff statt in Verteidigung investiert. Und wenn man Verteidigung den Schlangenölherstellern überlässt.
Haben Sie eigentlich schon ihren Virenscanner geupdated?
Aber nochmal: Exzellentes Timing! Fast so gut wie das Timing der Bombendrohung gegen diese eine strauchelnde TV-Show, die mit ihrem Untergang kämpfte, und Medienaufmerksamkeit brauchte!
Gute Nachrichten! Das DHS zertifiziert jetzt Schlangenöl!
The Department of Homeland Security (DHS) has certified the first cybersecurity products ever under the SAFETY Act, a post-9/11 program that provides a level of liability protection to companies that use certain products to enhance their security.
Was für eine erbärmliche Industrieförderungsscheiße! Boah, dass die sich nicht schämen!Customers that employ FireEye’s Multi-Vector Virtual Execution engine and Dynamic Threat Intelligence platform are now protected from lawsuits or claims alleging that the products failed to prevent an act of cyberterrorism, the company said.
Lustigerweise ist die Homepage von Fireeye gerade nicht verfügbar für mich :)Also für mich klingt das halb nach einem Trinkspiel und halb nach Star Trek.
Was sagt ihr? Schlangenöl hilft gegen Malware nicht? NA SOWAS! Hätte uns doch nur vorher jemand warnen können!1!!
In Bezug auf die verwendeten Sicherheitskomponenten sagte Yoran, dass sich viele Sicherheitsspezialisten auf die nutzlose Sammlung von Telemetrie verlassen, die von quasi blinden Systemen wie IDS, Antiviren-Plattformen und Firewalls stammt. Das von vielen Anbietern, darunter auch RSA mit enVision, propagierte SIEM (Security Information and Event Management) nannte Yoran abfällig ein „zunehmend nutzloses Fass ohne Boden“.Mit anderen Worten: Alles Schlangenöl!
Man würde denken, dann ist er auch zur logischen Schlussfolgerung fähig: Weg mit dem Schlangenöl, die Kohle lieber in QA für Software stecken. Doch leider sagt er stattdessen:
Darüber hinaus müssen IT-Abteilungen tiefe Einblicke in ihre komplette Infrastruktur haben: Vom Treiben auf den Endgeräten bis hin zum Full Packet Capture auf Netzwerkebene. Außerdem rät Yoran dazu, möglichst viele Informationen über Bedrohungen (Threat Intelligence) in maschinenlesbarer Form zu nutzen, um Abwehrmechanismen automatisiert zu betreiben und menschlichen Spurensuchern möglichst detaillierte Hinweise auf Anomalien im Netz zu liefern.Mit anderen Worten: per Schlangenöl-Lösungen mehr Telemetrie sammeln und dann Big Data machen.
Kein Wunder, dass er das nur auf der hauseigenen Sales-Droiden-Messe vorträgt. Anderswo wäre dem Publikum aufgefallen, was er da gerade für widersprüchliche Aussagen von sich gibt.
Auf der anderen Seite: Was kann man von einem Schlangenölverkäufer auch groß erwarten. Dass der sein Geschäft aufgibt, weil es unmoralisch ist?
Ich arbeite für die „Schlangenölindustrie" (manchmal hast Du wirklich recht… :), derzeit bei einem grossen amerikanischen Hersteller (dem in verschiedenen Kreisen Verbindungen zur NSA nachgesagt werden…), betreue dort Kunden wie die T-Systems (und andere, deren Namen ich nicht nennen darf..) und bin überzeugter Fan der Homöopathie (für Denkanstösse dazu siehe unten - wenn Du magst) - ach ja, und diese E-Mail entsteht gerade auf einem Macbook Air ;-)
diese Apps könnten Nutzer glauben lassen, es gäbe Viren für iOS.Well … duh :-)
Oh, übrigens: Told you so.
Ich habe nicht vor, mit meinen Prinzipien zu brechen an der Stelle, aber ich bin doch neugierig. Daher hier kurz der Aufruf, nur zur Befriedigung meiner Neugier: Wenn ihr berufsmäßig dieses Blog lest, z.B. weil ihr in einer Redaktion irgendwo arbeitet, dann hätte ich gerne eine kurze Email von euch gekriegt. Und wenn ihr das mit euren Chefs gebastelt kriegt, würde ich mich über ein kurzes Statement zum Jubiläum freuen — nicht in eurer Zeitung / Sendung, sondern nur so an mich, an die Bloginput-Emailadresse, und ich würde daraus dann zum Zehnjährigen ein Medley machen und hier posten.
Einfach nur ein
Hallo, wir sind die Redaktion des Neustädter Tagblattes, und wir lesen Fefes Blog seit 7 Jahren wegen des Sportteils.oder so, ihr versteht schon. Der Stichtag ist der 31. März.
Oh, es gibt einige Gruppen, bei denen ich mich besonders über eine Grußbotschaft freuen würde. Leute, die ich hier mal so richtig ausgiebig beschimpft habe. Ihr wisst schon. Springer-Presse, ehemaliges Nachrichtenmagazin, Verräterpartei, FDP, INSM, … falls da jemand jemanden kennt, der das klar machen könnte, da würde ich mich echt drüber freuen.
Nachrichten der Form "wir bei der Tagesschau / dem BND / T-Systems lesen dein Blog, wollen aber nicht genannt werden" nehme ich natürlich auch gerne entgegen und würde die dann auch nicht veröffentlichen. Ehrenwort!
"Beruflich" gerne weiter fassen. Ich kriege gerne Mails, solange ich nicht von JEDEM eine Mail jetzt kriege :-)
Update: Oh Mann, wenn ich so darüber nachdenke, wen ich alles so beschimpft habe über die Jahre … *hust* da müsste man ja dann auch diverse Ministerien und die Schlangenölhersteller und so auf die Liste. Und Apple. Und Microsoft. OpenBSD. In diesem Sinne: Ihr wisst wahrscheinlich, wenn ihr gemeint seid.
Die Antivirenschutz-Produkte von Panda Security haben wegen fehlerhaften Signaturen etliche Windows-Rechner lahm gelegt. Wer betroffen ist, soll die Füße still halten und das System nicht neu starten – da es unter Umständen nicht mehr hochfährt.Immerhin erreicht das System damit einen sicheren Zustand!1!! (Danke, Ulrich)
“At the end of the day, all of these security products are spitting out more alerts than humans have time to deal with,” Foster said. “And at the end of the day, if your software is overwhelming the analysts, you are part of the problem, not part of the solution.”
Wow.
Da muss ich an Putin denken, damals beim Irakkrieg. Der nach all dem Aufhebens meinte, also ER hätte ja WMD gefunden im Irak.
Und wenn ich "als bisher zugegeben" sage, dann meine ich nicht nur öffentlich, sondern auch gegenüber dem Parlament oder dem parlamentarischen Kontrollgremium. Womit wir mal wieder bei der Lektion sind, dass parlamentarische Geheimdienstkontrolle Schlangenöl ist. Funktioniert nicht, hat noch nie funktioniert, und wird auch nie funktionieren.
Wer jetzt neugierig ist, wie sie noch schlimmer gefoltert haben können als bisher zugegeben, denn Waterboarding und Sensory Deprivation ist schon echt krass finster:
“CIA detainees at one detention facility, described as a ‘dungeon,’ were kept in complete darkness and constantly shackled in isolated cells with loud noise or music and only a bucket to use for human waste. Lack of heat at the facility likely contributed to the death of a detainee. At times, detainees were walked around naked and shackled with their hands above their head. At other times, naked detainees were hooded and dragged up and down corridors while being slapped and punched.”
Dann gab es Schlafentzug bis zu einer Woche, sie haben den Folteropfern mit dem Tod gedroht, und dann das hier:With the approval of the C.I.A.'s medical staff, some C.I.A. prisoners were subjected to medically unnecessary “rectal feeding” or “rectal hydration” — a technique that the C.I.A.'s chief of interrogations described as a way to exert “total control over the detainee.”
Was für eine Sadistenscheiße. Krass. Und für sowas haben sie "Ärzte" gefunden, die ihnen das abgesegnet haben! Au weia.Oh und natürlich waren alle Rechtfertigungen der CIA auch erstunken und erlogen. Sie haben keine nützlichen Informationen gewonnen, das hat keine Terroranschläge verhindert, es gab keine "tickende Bombe"-Szenarios und es hat auch nicht geholfen, Osama bin Laden zu finden.
Das war so schlimm, dass CIA-Offiziere vor Ort ihren Job niedergelegt und um Transfer gebeten haben, weil sie das Zugucken nicht mehr ausgehalten haben.
Oh und sie haben sogar bei der Anzahl der Insassen gelogen. Sie haben dem Senat erzählt, sie hätten 98 Häftlinge, dabei waren es 119.
The committee’s report concluded that of the 119 detainees, “at least 26 were wrongfully held.”“These included an ‘intellectually challenged’ man whose C.I.A. detention was used solely as leverage to get a family member to provide information, two individuals who were intelligence sources for foreign liaison services and were former C.I.A. sources, and two individuals whom the C.I.A. assessed to be connected to Al Qaeda based solely on information fabricated by a C.I.A. detainee subjected to the C.I.A.'s enhanced interrogation techniques,” the report said.
Die CIA fühlt sich natürlich missverstanden und ist jetzt beleidigt.Update: George W Bush ist von der CIA eingeweiht worden. Nachdem sie schon ein paar Jahre gefoltert hatten.
By the time the C.I.A. director came in April 2006 to give Mr. Bush the agency’s first briefing about the interrogation techniques it had been using since 2002, more than three dozen prisoners had already been subjected to them. And when told about one detainee being chained to the ceiling of his cell, clothed in a diaper and forced to urinate and defecate on himself, even a president known for his dead-or-alive swagger “expressed discomfort,” according to a new report released Tuesday.
Da ist es wieder, das "klar haben wir dem Polizeistaat-Gesetz zugestimmt, aber nur mit Bauchschmerzen". Damit reden sich Politiker seit 100 Jahren raus, oder versuchen es. Von Köhler bis Gauck. Alle tun so, als hätten sie Unwohlsein, aber tragen dann doch alles mit. Wieso haben sich da eigentlich seit den Nürnberger Prozessen die Standards so gelockert? Die sind ja auch nicht damit durchgekommen, sie hätten ja Bauchschmerzen gehabt. Die mussten sich noch zusätzlich auf Befehlsnotstand berufen.
Update: Die CIA hat ein Statement abgegeben.
In a statement, the CIA insisted the interrogations had helped save lives.
"The intelligence gained from the programme was critical to our understanding of al-Qaeda and continues to inform our counterterrorism efforts to this day," director John Brennan said.
Die Senats-Untersuchungskommission hat FÜNF JAHRE nach Hinweisen dafür gesucht, dass diese Informationen geholfen haben, und keine gefunden. Und dieser Typ stellt sich IMMER NOCH vor uns hin und lügt uns ins Gesicht! Wie krass ist DAS denn! Das haben wir davon, Geheimhaltung zu dulden. Der muss uns ja auch nicht überzeugen, bloß Zweifel sähen. Genau wie die Tabakkonzerne und die Ölindustrie bezüglich Krebs und Klimawandel.
Update: Noch ein trauriger Höhepunkt aus dem Report :-(
Update: Hier gibt es ein tolles Liveblog von Leuten, die gemeinsam den Report durchlesen. Das sollte man allerdings nicht auf vollen Magen lesen. Ein paar der Highlights: Als Bush in die Kameras log, die USA würden nicht foltern und die Gefangenen würden human behandelt werden, dachte die CIA, das sei die öffentliche Ankündigung davon, die Folterknäste zu schließen. Sogar die CIA ist ehrlicher als Bush! Und dann steht da noch, dass der Anwalt der CIA das Weiße Haus gewarnt hat, dass diese Angaben zur humanen Behandlung der Gefangenen nicht der Realität entsprechen.
Update: Noch ein echtes Highlight.
Wer die Kaspersky-Funktion "Sichere Verbindungen untersuchen" aktiviert, macht sein System potenziell für den Poodle-Angriff auf SSLv3 anfällig.
Da ist es nicht verwunderlich, wenn der Platzhirsch unter den Abzockern, Comcast, jetzt "Flatrate" im Mobiltelefonsinn für Kabel-Internet anbietet. Nach 300 GB wird abgeschaltet. Wer mehr will, muss nachkaufen. $10 für 50 GB.
Ich rechne fest damit, dass auch Kabel Deutschland demnächst auffällt, dass Drosseln total bescheuert ist, wenn man den Leuten nicht eine Möglichkeit zum Nachkaufen anbietet. Aber hey, Kabel Deutschland fiel ja noch nie dadurch auf, besonders helle zu sein. Die haben ihren Kunden ja auch "Antivirus"-Schlangenöl untergeschoben, das man nicht wegklicken konnte beim Bestellen, sondern später "abbestellen" musste. Taktiken, wie man sie sonst nur von Trickbetrügern an der Haustüre kennt. Und das ging dann um sowas wie 3 Euro pro Monat, von denen der Großteil wahrscheinlich zu den AV-Leuten fließt. Für die paar Cent waren die willens, ihre Kunden nachhaltig zu verärgern. Denn das vergisst man ja nicht, als Kunde, wer einem mit so einer Masche Mist unterzuschieben versucht, den man nicht haben wollte.
Oh, was sagt ihr? Der ganze Chrome stürzt ab, nicht nur das eine Tab? Tja, äh, … hätte uns doch nur mal jemand gewarnt, dass Sandboxing Schlangenöl ist! Da hilft nur Virtualisierung!1!! (via) (Danke, Stefan)
Die Sicherheit ihres Rechners wird durch ein Firefox Add-on eingeschränkt. [Sicherheit wieder herstellen]Wenn man da drauf klickt, kommt man bei browsersicherheit.info raus, das ähnlich wie gelbe Balken eben auch nach dem Rezeptbuch der Malware-Mafia so designed wurde, dass es optisch wie die Chrome-Einstellungen aussieht. Dort wird dem Leser dann suggeriert, er habe sich ein Malware-Addon eingefangen und müsse das dringend wegmachen.
Sowas kennt man sonst nur von Botnet-Betreibern und Schlangenöl-Resellern. Ihr wisst schon, diese Scareware-Popup-Leute. "YOUR PC IS INFECTED!"
Lustigerweise haben sie dann da eine Liste von gefährlichen Addons, die man dringend mal deinstallieren sollte. Die Hälfte davon sind Adblocker.
Wow, GMX. Ernsthaft? Ihr spielt jetzt auf dem Niveau und mit den Methoden von Malware-Verbreitern? Na dann wundert euch aber auch nicht, wenn euch eure Kunden in Scharen weglaufen.
Update: Das selbe in Grün bei web.de, ist glaube ich auch die selbe Firma. (Danke, Andreas)
Erstens ist es unglaublich, dass die bisher noch kein STARTTLS hatten. Das RFC dazu ist 14 Jahre alt! Soll das ein Witz sein?! JETZT rollen die das aus? Und tun auch noch so, als sei das ein bewerbenswertes Feature?!? Das ist wie wenn VW damit Werbung machen würde, dass sie jetzt auch Sicherheitsgurte mitliefern. WTF?
Und dann: STARTTLS basiert auf SSL und X.509, aber ohne Nutzer-Interaktion. Damit fallen Dinge wie manuelle Zertifikats-Prüfung weg. Was macht man, wenn man sich wohin verbindet, und das Zertifikat ist von einer CA unterzeichnet, die man nicht kennt? Zurückschicken? Doch zustellen? Mit anderen Worten: Das ist zwar ein kleines Bausteinchen, aber das jetzt als die große Security-Infrastruktur zu bewerben, das ist mehr als unehrlich.
Und im Übrigen ist das natürlich eh alles Schlangenöl. Solange die Verschlüsselung nicht Ende-zu-Ende ist, kann das BKA zum Provider gehen und die Mail lesen. Oder der BND. Oder irgendjemand, der sich da reinhackt. Der Verfassungsschutz. Ein schlecht gelaunter Admin dort.
Und überhaupt, dass ausgerechnet die Telekom als Ausgliederung der Post jetzt einen auf "eure Sicherheit ist uns wichtig" macht, das finde ich unerträglich.
Update: Die Krönung an der Geschichte ist, wie sich der Friedrich darüber freut, dass seine alten Kumpels von der Telekom dafür sorgen, dass die Kunden glauben, sie kriegten Verschlüsselung, aber die "Bedarfsträger" immer noch an alle Mails rankommen.
Mit dieser Verschlüsselung werden die Zugriffsmöglichkeiten Unberechtigter weiter erschwert.
Die "Berechtigten" kommen natürlich immer noch an alles ran. Oh und natürlich weist er darauf hin, dass die Berechtigten gerne noch mehr Hilfestellung von euch Abhöropfern haben wollen. Im Moment, wenn man so eine Mail abschnorchelt, kann man sich nicht sicher sein, wer die wirklich geschrieben hat. Daher seid doch bitte so liebenswert und macht da eine digitale Signatur drunter!
Darüber hinaus aber bietet die De-Mail den Vorteil einer eindeutigen Identifizierung von Absender und Empfänger
Java hat uns den RAM billig gemacht. Computerspiele haben uns Grafikkarten schnell und billig gemacht. Pornographie hat uns Internet schnell und billig gemacht. Und Antiviren machen uns die Rechner schnell und billig. Ich saß da an einem Arbeitsplatzrechner, der vom Kunden zur Verfügung gestellt wurde. Da lief natürlich auch ein Antivirus drauf. Und ich habe da, weil ich ja nichts neues starte oder runterlade, die ganzen Komponenten deaktiviert, die normalerweise so nebenbei mitlaufen, und alle Dateien scannen, die von irgendeinem Prozess geöffnet werden. Stellt sich raus: DAS war es, wieso Office bei mir so flutschte. Bei meinem Nachbarn schnarchte das wie gewohnt vor sich hin. Der hatte das nicht ausgeschaltet.
In diesem Sinne: Antiviren sind natürlich immer noch Schlangenöl und machen die Menschen unsicherer statt sicherer, aber wir sollten ihnen trotzdem dankbar sein, weil sie dafür gesorgt haben, dass andere Software schneller wird, weil es sonst überhaupt nicht ertragbar wäre.
Ich würde sogar so weit gehen, für Linux Antiviren zu fordern. Das ist ein echter Wettbewerbsnachteil, den Linux-Softwareentwicklung da hat. Die Entwickler sehen keinen Optimierungsbedarf, weil das bei ihnen flutscht. Wenn man nicht gerade Old School seine Dokumente mit TeX oder troff schreibt, ist der Performance-Zustand der Office-Suiten unter Unix geradezu beschämend. Und die ganzen Sprallos von Freedesktop und co kommen ja auch jedes Jahr mit weiteren Indirektionsschichten mit XML und endloser Redundanz, weil sie es können! Wenn da noch ein paar Antiviren das System auf C64-Niveau verlangsamen würden, dann würden diese Leute effizienteren Code schreiben.
Die meisten wissen das nicht, aber habt ihr euch mal gefragt, wie Antiviren eigentlich Kernel-Malware desinfizieren? Die haben einen Kernel-Treiber, klar, aber den will man ja nicht jedesmal updaten müssen, wenn man eine neue Desinfektions-Methode einbaut. Daher haben die ganzen Schlangenöl-Lieferanten im Allgemeinen in ihrem Kernel-Treiber einen ioctl, der sie im Kernel-Space frei lesen und schreiben lässt. Die eigentliche Desinfektion findet dann per Peek und Poke aus dem Userspace statt. Dadurch werden dann natürlich elementare Grundsätze wie Code Signing für Treiber unterlaufen, und insgesamt die Sicherheit kaputtgemacht. Aber so funktionieren Antiviren. Fast alle. Soweit ich weiß alle, bis auf Windows Defender. Der hat sowas nicht.
Wenn man dieses Detail kennt, und sich dann überlegt, dass Firmen ihre Systeme zertifizieren lassen, wegen der Sicherheit, und dann die Sicherheitsversprechen wieder kaputtmachen, indem sie Schlangenöl mit Kernel-Poke-Funktionalität drüberinstallieren, dann sieht man, was für ein Wahnsinn das ist, was die Leute sich da alle installieren.
Tja, und jetzt ist auch der letzte Schlangenöllieferant umgefallen, Microsoft.
Vielleicht glaubt ihr mir jetzt endlich, wenn ich sage, dass Antiviren Systeme unsicherer machen statt sicherer.
Aber hey, der Zeitgeist geht hin zum Antivirus für Android.
Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger […] über De-Mail-Dienste […] versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung […] zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten […] stattfindet.Und liegt ja auch auf der Hand! Wenn man euer Steuerdaten automatisiert entschlüsselt, um sie durch (womöglich noch cloud-basierte) Schlangenöl-Lösungen ausländischer Firmen zu pipen, dann ist das doch keine unbefugte Offenbarung!1!! Das kann ja wohl niemand ernsthaft bestreiten. *fazialpalmier*
Oh, wenn ich "der Provider" sage, dann ist damit sowas wie GMX oder die Telekom gemeint. Ohne die jetzt als besonders unvertrauenswürdig herausstellen zu wollen. Aber ich weiß nicht, wie ihr das seht. Ich finde nicht, dass die meine Steuerunterlagen einsehen können sollten. Egal unter welchem Vorwand.
Oh und lest das mal genau. Es geht hier nicht nur darum, dass ihr eure Steuererklärung per De-Mail abgebt. Es geht darum, dass ein Amt eure Steuerdaten an ein anderes Amt verschickt. Und auf dem Weg wird das dann von GMX und co entschlüsselt. D.h. wenn ihr die Steuererklärung nicht per De-Mail abgebt, seid ihr trotzdem betroffen. Zustände, wie man sie nicht mal aus Russland erwarten würde.
Wer den Flash-Player per Hand über die Adobe-Website aktualisiert, sollte darauf achten, vor dem Download die Option zum Herunterladen des Zusatzprogramms McAfee Security Scan Plus abzuwählen.Ich schließe mich dieser Warnung natürlich an. Ich finde es allerdings bemerkenswert, wie Heise vor dem McAfee-Schlangenöl warnen kann, aber dann nicht vor dem Flash-Plugin selbst warnt, von dem ja in der Praxis die deutlich höhere Bedrohung ausgeht.
Wer sich an dieses "Digitale Radiergummi" erinnert fühlt, bei dem wir alle laut gelacht haben, weil der "Schutz" darauf basierte, dass der Benutzer die Screenshot-Funktion nicht kennt und sich ein Browser-Plugin installiert? So ist das hier offenbar auch.
Um sich die Bilder überhaupt anzuschauen, müssen aber nicht nur die Besitzer der Bilder, sondern auch die Zuschauer sich Social Protection via Facebook installieren. Außerdem ist ein aktives Windows Aero zwingende Voraussetzung.Wir haben es also nicht nur mit herkömmlichem Schlangenöl zu tun, sondern mit einer neuen Generation von Schlangenöl, das nur funktioniert, wenn man alle seine Freunde überredet, es auch zu kaufen. Genial! Da soll noch mal jemand sagen, soziale Netzwerke kann man nicht zu Geld machen! (Danke, Thomas)
Die Kunden von diesem proprietären Schlangenöl hatten schon letztes Mal kein Mitleid verdient, wenn sie da nicht abgesprungen sind sondern weiter bei RSA geblieben sind. Aber jetzt haben sie eine Runde lautes Gelächter verdient. Verdientes Eigentor, liebe RSA-Kunden. Na und jetzt? Weiter bei RSA bleiben? Stockholm-Syndrom wie bei Apple-Kunden?
Die Frage ist, ob Kaspersky jetzt ein bisschen nachhelfen wird bei der Malware-Problematik.
Ich persönlich finde ja, wenn sich Apple und Kaspersky streiten, dann kann es nur Gewinner geben. (Danke, Peter)
In diesem Fall scheint es wohl sogar tatsächlich Parallelen zu geben. Wie spannend das jetzt wirklich ist, das wird sich zeigen müssen. Mein erster Eindruck ist nicht, dass da gerade Geschichte geschrieben wird. Wer sich selber eine Meinung bilden will: Hier ist ein Whitepaper dazu von Symantec.
Oh und wo wir gerade bei Malware sind: inzwischen gibt es auch einen Kaspersky-Blogeintrag zum Staatstrojaner-Dropper. Der kursiert seit einer Weile in der Antivirusindustrie. Ein Dropper ist sowas wie ein SETUP.EXE für Viren, der Installer sozusagen. In dem Dropper kann man sehen, dass es auch ein 64-bit Kernelmodul gibt. Wir hatten uns ja darauf gefreut, dass man da womöglich eine die Quelle preisgebende Signatur dran sehen könnte, aber das ist leider nicht so. Da ist zwar ein Zertifikat dran, aber das ist nicht vertrauenswürdig und wird daher von Windows abgelehnt. Hier wäre also ein weitere Eingriff durch die installierende Behörde nötig, damit das überhaupt sauber lädt.
Oh und for the record: Antiviren sind Schlangenöl. Ich habe keinen installiert.
Antivirenhersteller wissen natürlich, dass sie unseriöse Geschäftemacher sind, und kennen auch 42.zip. Warum erzähle ich das alles? Yahoo hat mit McAfee einen Deal gemacht, und wenn man bei deren Suchmaschine nach fefe sucht, kriegt man bei fefe.de ominöse Warnungen, ich würde Trojaner oder Adware verteilen.
Kennt jemand einen Anwalt, der Lust hat, an Yahoo ein Exempel zu statuieren?
[Screenshot 1, Screenshot 2] (Danke, Korbinian)
Ich muss ja sagen, da hätte ich gerne die Videos der Vorträge. Falls es überhaupt welche gibt. Falls da jemand hingeht und mitfilmt: bitte einmal Cc an mich! :-)
Als Fazit lese ich aber heraus, dass die Industrie im Grunde kurz vor der Kapitulation steht. Insofern hole ich mal den Schampus raus und melde ein "hab ich ja gleich gesagt" an.
Was ich vielleicht dazu sagen sollte: ich habe vor vielen Jahren auch mal EXE-Unpacker geschrieben, im Wettstreit mit Herrn Bogk. Seufz. Das waren noch Zeiten. Da war das aber auch alles noch vergleichsweise einfach.