Fragen? Antworten! Siehe auch: Alternativlos
Ja gut, Adobe ist ja das Cisco bei den Kreativ-Tools, insofern berichte ich nur sehr zurückhaltend über die. Seit die von Kaufen auf Abo umgestellt haben, und ihre Kunden dageblieben sind, habe ich da kein Mitleid mit irgendwem mehr.
Und Farben? Nunja. Ich erinnere mich da an die Telekom-Nummer, als die die Farba Magenta als ihr Eigentum betrachtet haben.
Aber stellt sich raus: Doch, ist wirklich was dran. Ist keine Satire. Cory Doctorow hat die Details. Wenn ihr nur mal den Screenshot sehen wollt: Hier ist ein Tweet damit.
Es geht um Pantone. Geht mal zu deren Webseite und guckt, ob eure Fantasie reicht, euch etwas Bekloppteres auszudenken als diese Firma.
Dabei ist das ganz einfach, sich etwas noch Bekloppteres auszudenken! Ein Rechtssystem, in dem jemand mit dem Benennen von Farben Lizenzgebühren einfordern kann! Genau das haben die getan, und Adobe hat offenbar jahrelang gezahlt. Aber offenbar nicht genug, oder vielleicht wurde Pantone noch gieriger, weil sie ja das Gehalt für ihre Trendexpertin reinkriegen müssen, jedenfalls schmeißt Adobe jetzt Pantone-Farben raus. Wer die haben will, und das sind einmal die meisten professionellen Kunden, der muss sie extra lizenzieren. Wie? Nein, natürlich keine Einmalzahlung. 21 Dollar pro Monat! Für ... immer.
Ja, äh, benutze ich halt die alte Version weiter. Nee, geht nicht, denn das ist jetzt alles Cloud-Software. Das hast du nicht unter Kontrolle, welche Änderungen Adobe an der vornimmt.
Doctorow vergleicht die Situation mit Apple in China. Dass China alle Apple-User mit einem Befehl an Apple in ihr Überwachungsnetz zwängen konnte, lag nicht an China sondern an Apple. Es ist nicht China, was verhindert, dass Leute einfach eine andere VPN-App sideloaden. Es ist Apple.
Und genau so ist das hier, argumentiert Doctorow. Wenn Adobe nicht auf SaaS umgestellt hätte, dann hätte Pantone hier keinen Hebel gehabt. Money Quote:
Pantone started out as a tech company: a way to reliably specify ink mixes in different prepress houses and print shops. Today, it's an "IP" company, where "IP" means "any law or policy that allows me to control the conduct of my customers, critics or competitors."https://locusmag.com/2020/09/cory-doctorow-ip/
That's likewise true of Adobe. The move to SaaS is best understood as a means to exert control over Adobe's customers and competitors. Combined with anti-competitive killer acquisitions that gobble up any rival that manages to escape this control, and you have a hostage situation that other IP companies like Pantone can exploit.
Hostage situation ist eine schöne Zusammenfassung der Situation, wenn ihr mich fragt.
Wie bei Cisco stellt sich auch bei Atlassian die Frage: WARUM?!
There are currently no fixed versions of Confluence Server and Data Center available. In the interim, customers should work with their security team to consider the best course of action. Options to consider include:- Restricting access to Confluence Server and Data Center instances from the internet.
- Disabling Confluence Server and Data Center instances.
If you are unable to take the above actions implementing a WAF (Web Application Firewall) rule which blocks URLs containing ${ may reduce your risk.
Oh wow. Einmal mit Profis.
Aber im Markt wurde es irgendwie nie angenommen. Kein Wunder. So ganz ohne "vergessene" hartkodierte Admin-Accounts und andere Backdoors sind die F5-Produkte einfach nicht Enterprise-fähig.
Aber keine Sorge, F5 denkt mit und baut dann halt auch hartkodierte Admin-Accounts ohne Passwort ein. Man macht einfach einen Post-Request auf bash mit der Kommandozeile als Json, basic authentication, username "admin", passwort leer.
Mal gucken, ob sie wirklich Cisco-Level Enterprise-fähig sind und die Sicherheitspatches ebenfalls nur gegen bezahlten Supportvertrag verbreiten. Sie dürfen natürlich keine Erklärungsversuche bringen jetzt. Das wäre unprofessionell.
Wer kauft eigentlich von solchen Firmen? Kann mir das mal jemand erklären? Warum?!
Nein, nein, keine Sorge. Diesmal waren es keine hartkodierten Backdoor-Passwörter. Diesmal waren es "unintentional debugging credentials". Das ist was GANZ anderes!!1!
Diesmal war es keine Absicht!1!!
So glaubt uns doch!
Oh, warte, das war noch nicht alles!
The other critical hole is CVE-2021-40113, which can be exploited by an unauthenticated remote attacker to perform a command injection attack on the equipment's web-based management portal, thanks to insufficient validation of user-supplied input.
Einmal mit Profis!"A successful exploit could allow the attacker to execute arbitrary commands on an affected device as the root user."
Was macht die Security-Abteilung bei Cisco eigentlich beruflich?
Wie? Nein, diesmal keine Hintertür. Diesmal eine wormable remote code execution.
Fortschritt!!
Benutzt ihr Webex deshalb, weil ihr gehört habt, dass bei Zoom unautorisierte Dritte reinkommen und mithören können?
Nicht authentifizierte Dritte konnten sich in Webex-Konferenzen einklinken, ohne dass sie zu einem Meeting eingeladen wurden. Dabei konnten die Eindringlinge die Konferenzen mithören und -sehen, sprechen und teils auf geteilte Medien zugreifen, ohne dabei in der Teilnehmerliste aufzutauchen - wie ein Geist. Der einzige Hinweis auf den Geist sei ein zusätzlicher Beitritts-Piepton gewesen - der bei großen Besprechungen jedoch häufig deaktiviert werde, schreibt IBM in einem Blogeintrag.Ja gut. Glücklicherweise werden in Meetings ja keine vertraulichen Dinge besprochen.
Sonst hätte man das ja von Anfang an nicht in die Cloud verlagern können, nicht wahr?
Ich meine, so blöde werden die Firmen doch nicht sein, dass sie ihre vertraulichen Besprechungen über jemand anderes Infrastruktur abwickeln? Oder? ODER?
All payload are processed in the context of NT AUTHORITY\SYSTEM.
Hey, Produkte dieser Firma will man doch einsetzen?! Die Qualität springt einen förmlich an!1!!Ach was reg ich mich auf. Die Deppen da draußen patchen das und vergessen sofort, dass Cisco "vergessen" hat, sie auf diese Lücken aufmerksam zu machen. Dass eine der Lücken ausgerechnet in einem nach Backdoor klingenden Dienst namens SecretServiceServlet ist, das merkt ihr wahrscheinlich gar nicht.
Not my department, says Wernher von Braun.
Ein Einsender schreibt mir gerade::
Unis in Deutschland: Oh nein, völlig überraschend noch ein Online-Semester! Schnell, wir brauchen ein robustes Videokonferenz-System, shut up and take my money *schielt zu Cisco Webex*Daher fragt man für sowas ja auch Leute, die sich mit sowas auskennen.Schulen in Griechenland: Oh nein, völlig überraschend müssen wir wieder Online-Unterricht anbieten, Cisco, schafft ihr das?
Cisco: Kein Proble.. ups.
Ergebnis: WebEx in halb Europa kaputt (vermutlich wegen der plötzlichen, unerwarteten Last, oder wegen des CVEs neulich?):
Alternativen gibt's kurzfristig natürlich keine, aber "Cisco arbeitet an einer Lösung". Ach so, na denn wird ja alles jut.
Übrigens, Lacher am Rande (die Webseite lädt gerade ein bisschen langsam; warum wohl?):
Cisco Webex ist eine sichere, Cloud-basierte Collaboration-PlattformCloud, wir erinnern uns, machte man, damit man auf plötzliche Lastspitzen souverän reagieren kann, indem man einfach Server nachklickt. Und dass sie es wagen, nach dem CVE neulich da noch "sicher" hinzuschreiben, das ist auch echt geil.
Eigentlich müsste man den Satz gar nicht weiterführen nach "jemand".
Cisco hat mal wieder ein paar 0days in der Wildnis beobachtet, und war schockiert — SCHOCKIERT!!1!, dass die gegen Cisco-Anyconnect gerichtet waren! Ansonsten haben auch Kunden von Webex die Arschkarte, und SD-WAN scheint selbst für Cisco-Verhältnisse richtig doll schlecht zu sein.
Wieso kauft denen eigentlich immer noch jemand ihren Ranz ab? Was müssen die noch machen!?
In a previously unreported statement to members of Congress in July seen by Reuters, Juniper said an unnamed national government had converted the mechanism first created by the NSA. The NSA told Wyden staffers in 2018 that there was a “lessons learned” report about the Juniper incident and others, according to Wyden spokesman Keith Chu.
Na, äh, den wollen wir doch mal sehen, den Report, oder wie seht ihr das?“NSA now asserts that it cannot locate this document,” Chu told Reuters.Oh ach so. Naja gut, äh, … Softwareproblem. Da kann man nichts machen.
Ich finde das ja geil, dass ausgerechnet die NSA mit der Ausrede durchkommt, sie könnten etwas in ihrem Datenhaufen nicht finden. Ist ja nicht so als wäre genau das genau die Kernkompetenz von denen, für die sie bezahlt werden. Oder anders herum: Wenn die schon so zentral wichtige Dokumente verlieren, wieso dürfen die dann überhaupt andere wichtige Daten horten?
Und ihr solltet euch mal alle fragen, ob ihr irgendeinem US-amerikanischen Tech-Unternehmen vertrauen könnt, wenn öffentlich bekannt ist, dass sowohl Cisco als auch Juniper Backdoors der Geheimdienste hatten.
Hätte uns doch nur rechtzeitig jemand gewarnt!!1! (Danke, Christian)
Wer da Präsentationen hochladen darf, hat Admin-Zugriff.
Update: Hanno Böck hat den Bigbluebutton-Leuten das im Mai (!) gemeldet. Seit dem sitzen die darauf. Stellt sich raus: Man kann da ne Präsentation hochladen und der Server öffnet das dann in Libreoffice. Lasst mich da völlig klar ansagen: DAS IST EINE FURCHTBAR SCHLECHTE IDEE. Dass das Projekt diese Idee überhaupt implementiert hat, ist für mich ein Zeichen, dass ich nie wieder mit Software interagieren will, bei der diese Leute Teil der Entscheidungsfindung waren. Die sind fürs Leben verbrannt. Das ist ungefähr so schlau wie im Winter einen Krieg gegen Russland zu starten. Nicht nur offensichtlich eine schlechte Idee sondern da sind sogar schon vorher andere mit auf die Fresse geflogen. Diese Officeformate sind eine einzige Schlangengrube und die Wahrscheinlichkeit, dass das irgendjemand anständig implementiert kriegt, ist sehr nahe an Null. Aber in diesem Fall musste gar kein Exploit her, denn die Dateiformate haben (völlig ohne Not, möchte ich anmerken!) ein Feature, über das man externe Ressourcen über eine URL einbinden kann. Da kann man natürlich auch eine file://-Url nehmen und sich beliebige Dateien auf dem Server anzeigen lassen.
Vom Niveau her ist das absolut am unteren Ende der Skala. Tiefer sinkt nur Cisco mit ihren ständigen Hintertüren und "vergessenen, versehentlich hart einkodierten Passwörtern".
Attacken sollen vergleichsweise trivial sein. So könnten Angreifer aus der Ferne und ohne Authentifizierung die volle Kontrolle über Systeme erlangen.Ja super!
Cisco Talos recently discovered two vulnerabilities in the popular Zoom video chatting application that could allow a malicious user to execute arbitrary code on victims’ machines.
Da bieten sich jetzt natürlich Witze an, wie schlimm das sein muss, wenn sogar Cisco Lücken findet, aber Talos ist zugekauft. Die Frage muss also eher sein, wieso Cisco nicht mal die Talos-Leute auf ihre eigenen Produkte gucken lässt. Vielleicht wollen sie denen einen Schlaganfall ersparen oder so.
IP Encapsulation within IP (RFC2003 IP-in-IP) can be abused by an unauthenticated attacker to unexpectedly route arbitrary network traffic through a vulnerable device.
Betroffen ist deren Nexus-Reihe. (Danke, Christian)
five critical vulnerabilities in [...] the Cisco Discovery Protocol
Das betrifft einmal die ganze Hardware-Produktpalette bis hin zu IP-Telefonen.
In this post, I share three (3) full exploitation chains and multiple primitives that can be used to compromise different installations and setups of the Cisco DCNM product to achieve unauthenticated remote code execution as SYSTEM/root. In the third chain, I (ab)use the java.lang.InheritableThreadLocal class to perform a shallow copy to gain access to a valid session.
Es ist ja nicht so, als ob noch irgendjemand was von Cisco erwarten würde. Aber das ist selbst für deren Verhältnisse auffallend schlecht. Man muss sich fragen, wieso es bei uns keine Behörde gibt, die diese Firma aus dem Verkehr zieht. (Danke, Kristian)
Ach naja, denkt ihr euch jetzt vielleicht, generiert man halt neue.
Da habt ihr die Rechnung ohne Cisco gemacht!
Self-signed X.509 PKI certificates (SSC) that were generated on devices that run affected Cisco IOS® or Cisco IOS XE software releases expire on 2020-01-01 00:00:00 UTC. New self-signed certificates cannot be created on affected devices after 2020-01-01 00:00:00 UTC. Any service that relies on these self-signed certificates to establish or terminate a secure connection might not work after the certificate expires.
LOOOOOL! Warte mal, gibt es nicht Leute, die Cisco einsetzen, weil sie deren Produkte für enterprise-fähig halten?ZWEI WOCHEN VORHER fällt Cisco das auf? Und die verbleibende Zeit ist Weihnachten und Ferienzeit?
Geil!
Das gibt bestimmt eine IT-Apokalypse zum Jahreswechsel. In großen Firmen kannst du gar nicht mal eben deine Cisco-Geräte updaten. Da musst du erstmal ein Wartungsfenster beantragen. Das alleine dauert vier Wochen und du brauchst ein paar Monate Vorlauf, damit du die Leute warnen kannst. (Danke, Markus)
The security expert and bug-hunter John “hyp3rlinx” Page discovered an arbitrary code execution vulnerability, tracked as CVE-2019-9491, in the Trend Micro Anti-Threat Toolkit.
Hey, ich habe eine Idee. Wir installieren einfach noch eine zweite Packung Schlangenöl! Die schützt uns dann vielleicht vor den Lücken, die das erste Schlangenöl aufgerissen hat!Wie wäre es mit Avast! Oder Norton! Gut, Norton hat den Nachteil, dass dann mein Blog nicht mehr geht. Aber für die Sicherheit muss man manchmal halt Kompromisse eingehen!1!!
Und zur Abrundung was von Cisco!
Und wenn ihr ganz sicher gehen wollt, dann nehmt Kaspersky. Die laden das in ihre Cloud und prüfen dort noch manuell!
2019-10 Security Bulletin: Junos OS: Kernel crash (vmcore) upon receipt of a specific link-local IPv6 packet on devices configured with Multi-Chassis Link Aggregation Group (MC-LAG) #CVE-2019-0067
Respekt! Ein Ping of Death hatten wir schon lange nicht mehr! Ich dachte schon fast, die seien ausgestorben! (Danke, Christian)
Several devices manufactured by WAGO contain an undocumented account with administrative privileges. The password for this account is device dependet, but easily brute-forcable.
Cisco leistet so viel, um für das Thema Hintertür-Admin-Accounts Awareness zu schaffen, und es finden sich IMMER noch welche! Unglaublich.
Ja. SCHON WIEDER.
Ob das eine Strategie ist? Die Kunden so lange mit Sicherheitslücken bombardieren, bis sie das für normal halten? Scheint zu funktionieren!
Aber keine Sorge. Ist bloß Superuser-Zugriffe für Angreifer.
Keine der Lücken gilt als kritisch.Na dann ist ja nicht so schlimm, nicht wahr?
PS: Heise hat aus irgendwelchen Gründen diese Meldung nicht in ihrem Newsticker verlinkt. Ob sie sich für den oben zitierten Satz geschämt haben?
"Es gibt Risiken, die mit 5G und einer möglichen Beteiligung von Huawei daran verbunden sind", sagte Schindler dem Redaktionsnetzwerk Deutschland (RND) am Mittwoch. Wer die neue Technik bereitstelle, der sei auch "in der Lage, Kommunikationsinhalte abzugreifen".Ja und nein. Das ist wie zu behaupten, der Hersteller von Zellentüren könne Gefangene ausleiten. Stimmt, aber dann ist der erstmal nur aus der Zelle raus, nicht aus dem ganzen Knast. Ein Huawei-Router kann natürlich Daten routen. Aber nur an Ziele, zu denen er eine Leitung hat. Und der nächste Router auf dem Weg könnte den Traffic sehen. Telcos machen Traffic-Überwachung. Solange die nicht alles von Huawei kaufen (und Monokulturen sind sicherheitstechnisch inhärent problematisch), heißt das nicht automatisch, dass eventuelle Ausleitungen auch erfolgreich und unerkannt wären.
Aber gut, geben wir Schindler mal den Punkt. So geht es weiter:
"Die Technologie von Huawei ist anderthalb bis zwei Jahre weiter als unsere", erläuterte Schindler.Wait, what!? Was genau meint er denn bitte mit "unsere" hier? Die vom BND? Die haben ihre Abhörschnittstellen noch nicht fertig oder was?!
Dass Huawei da auf UFO-Technologie sitzt, das kann ich ausschließen. Und zwar ohne die Technologie von denen konkret gesehen zu haben. Die Standards sind alle verfügbar. Die kann man beschaffen und das nachimplementieren. Niemand hat da außerirdische Raketentechnologie. Das sind prinzipiell offene Standards. Gut, sie könnten noch offener sein, geschenkt.
Zum Vergleich: Videocodecs werden auch standardisiert, aber bei MPEG kriegt man nur eine Definition des Bitstreams und eine Beschreibung, wie man das dekodiert. Encoder können immer noch proprietäre Raketentechnologie drin haben. So ist das bei Netzwerk-Equipment nicht. Auch nicht bei 5G. Insbesondere ist bei LTE und noch mehr bei 5G ja gerade der Punkt, dass man proprietäre Bitfrickelscheiße rausschmeißt und lieber IP mit TCP, HTTP und JSON drüber macht. Das ist die Antithese zu Raketentechnologie. Das ist absichtlich so gewählt, dass es jeder Depp ohne Raketen-Knowhow bauen kann.
Aber wartet, das war noch nicht der Hammer. Das hier ist der Hammer:
"Wir sind also gar nicht in der Lage, zu beurteilen, was da eingebaut wird.Das Statement ist eine Lüge und eine Frechheit. Der Schindler und seine BND-Spezialexperten sind vielleicht nicht in der Lage. Andere sind es selbstverständlich schon. Huawei legt im Gegensatz zu ihren Konkurrenten den Quellcode für Inspektionen offen. Und im Gegensatz zu Cisco ist Huawei auch noch nicht mit Hintertüren erwischt worden. Das ist eine absolute Frechheit, was der Schindler sich hier zurechtlügt. Schämen sollte der sich. Aber das wird einem wahrscheinlich beim BND abtrainiert. Schamgefühl.
Update: Kontext, mehr, noch mehr. Schindler, falls das jemand verpasst hat, ist jetzt übrigens Consultant. Mit lauter anderen Ex-Funktionären. Wenn ihr mal bei Schindler auf "mehr" klickt, kommt als Beschreibung seiner Kernkompetenz beim BND:
Weltweite Informationsbeschaffung
Wie jetzt, Herr Schindler, aber die Information, dass Huawei als einzige Einblick in ihren Quellcode gewähren, die konnten Sie nicht beschaffen?! Das war ja wohl GAR nichts. Wer die wohl gerade beauftragt? Die Amerikaner vielleicht? Oder hat sonst noch jemand ein Interesse an der Darstellung, dass Huawei weiter als alle anderen Marktteilnehmer ist? Ihre Konkurrenten ja wohl eher nicht, oder?
Sagt der gerade ernsthaft:
Deswegen müssen Sie überall, an allen Stellen, Security an Platz 1 stellenAch. Ist das so, Cisco?
Ernsthaft? IMMER noch?!
Wie, fragt ihr, der Client hat doch gar keinen Port offen? Nein, aber er installiert einen Service, und der hat einen Port offen.
The summary is: when the WebEx client is installed, it also installs a Windows service called WebExService that can execute arbitrary commands at SYSTEM-level privilege. Due to poor ACLs, any local or domain user can start the process over Window's remote service interface (except on Windows 10, which requires an administrator login).
Ja super! (Danke, Bernhard)
Mit Klassikern wie "Root-Passwort im Plaintext im Filesystem abgelegt", "der Webserver kann dir die Datei mit dem Plaintext-Passwort geben" und "Shell Command Injection via Webserver".
Hey, D-Link? Was macht ihr eigentlich beruflich?
Update: Die wollten halt nicht das Feld Cisco überlassen.
Das die immer noch ein "nach dem Update ist alles sicher" pullen und die Presse und ihre Kunden sie immer noch damit durchkommen lassen, ist mir echt unbegreiflich.
Hey Fefe, Cisco waren doch die, zu denen man geht, damit man keine Ausfälle hat, oder?
A vulnerability in Cisco Video Surveillance Manager (VSM) Software running on certain Cisco Connected Safety and Security Unified Computing System (UCS) platforms could allow an unauthenticated, remote attacker to log in to an affected system by using the root account, which has default, static user credentials.
Wie, echt jetzt? Immer noch?!?
Wie häufig muss Cisco euch eigentlich kaputte Produkte verkaufen, bis sie als Vendor durchgefallen sind?
Nein, wirklich, echt jetzt?!? Wie häufig und wie schlimm müssen die eigentlich verkacken, damit ihr mal aufhört, deren Produkte einzusetzen!?!?
Ist mir ein völliges Rätsel, dass die überhaupt noch namentlich Erwähnung finden bei Marktstatistiken, und nicht unter "Sonstige" laufen. WTF!?
Diesmal waren es schon wieder einkompilierte Standard-Passwörter.
Oder ersetze IBM durch Microsoft. Oder Cisco. Immer die gleiche Nummer. Die können gar nicht so übel verkacken, dass die Leute ihnen nicht mehr ihren Scheiß abkaufen.
Und dann, 20 Jahre später, merkte ich, dass das auch umgekehrt so läuft. Noch niemand ist gefeuert worden, weil er von den Russen gehackt wurde. Egal was passiert, man sagt einfach, man sei von den Russen gecybert worden, und dann ist der Job sicher. Niemand wird gefeuert, weil die Russen ihn gecybert haben. Egal wie krass der vorher verkackt hat. Spielt keine Rolle. Ist wie mit IBM, nur andersherum.
Das Prinzip ist sehr mächtig. Achtet mal drauf. Ich glaube sogar, dass das das eigentlich Muster ist, und die IBM-Geschichte ist davon abgeleitet.
Ich war mal mit ein paar Freunden in einem Escape Room. Lauter Nerds. Alle selbstredend davon überzeugt, besonders intelligent zu sein. Für alle war es also unakzeptabel, einen Escape Room nicht zu schaffen. Daher haben wir selbstredend den schwersten genommen, den noch nie jemand geschafft hatte vor uns. Wir haben ihn auch nicht geschafft. Aber gegen den dicksten Endboss im ersten Anlauf zu verlieren ist keine Schande. Ich habe mich nachträglich geärgert, dass ich da nicht stärker gegen opponiert habe damals. Aber diese Muster greifen halt überall.
Mir fällt das gerade ein, weil in Berlin immer so Plakate aushängen, für ein Theaterstück. Es heißt "Ich bin's nicht gewesen, Adolf Hitler ists gewesen". Hier ist eine schöne Kritik von dem Stück.
Naja und eigentlich bin ich drauf gekommen, weil ich diese Meldung hier las. Das Militär vertreibt Hundertausende aus der muslimischen Hinderheit in Myanmar. Und wer ist Schuld? Facebook! Klarer Fall von: Ich war's nicht, Facebook ists gewesen!
Noch nie ist jemand gefeuert worden, weil er sich von Facebook zum Hass hat anstacheln lassen!1!! Facebook ist das neue "die Russen". Oh, Facebook war Schuld? Na dann kann man da wohl nichts machen. Dann können wir ja alle weitermachen wie bisher *achselzuck*
Ich hatte vor ner Weile ein Gespräch in einer Organisation, die angeblich von den Russen mit einem APT gehackt wurde. Die Presse so: APT!! DIE RUSSEN!!! Und der Typ so, zu mir: Nix APT, eher so Back Orifice-Style megapeinliche Uralt-Malware… Aber hey, "DIE RUSSEN HABEN UNS MIT APT GECYBERT", … dann sprach der Mann einen Satz aus, der mir bis heute im Gedächtnis geblieben ist: Damit konnten alle gut leben.
Ja, meine Damen und Herren. So läuft das.
Facebook ist Schuld.
Die Russen haben uns gecybert.
Die Reichen werden immer reicher und die Armen immer ärmer.
Damit konnten alle gut leben.
Update: Das gilt natürlich auch außerhalb der IT und der Politik, aber ich wollte Beispiele nehmen, die aus meiner Lebenserfahrung kommen. Ein Leser kommentiert:
Anderswo hört man: "Das ist der Marktführer" und meint: Das wäre er nicht, wenn er nicht besonders gut wäre und da kann man ex definitione nix falsch machen. Beispiel: Spedition. Verkackt einen Termin, Geschäft platzt, Riesenschaden. Versandleiter: "Aber XY ist der Marktführer hier!" Geschäftsführer: "Ja, dann kann man nichts machen." Zu mir: "Sie machen keine Fixtermine mehr!"
Warum eigentlich? Was müssen die NOCH verkacken, damit die Leute aufhören, bei denen zu kaufen? Aktuell geht es um hard-coded passwords.
The reasons are that an attacker can infect another device on the same network and use it as a proxy for his SSH connection to the vulnerable Cisco PCP instance, allowing for remote, over-the-Internet exploitation.
Wurmbar!
Hey Cisco? Was, würdet ihr eigentlich sagen, ist eigentlich eure Kernkompetenz?
Bedroht sind nur Nutzer, die die VPN-Funktion aktiviert haben. Ist das der Fall, müssten Angreifer Cisco zufolge lediglich präparierte XML-Pakete an das webvpn-configured-Interface schicken, um Speicherfehler auszulösen. Anschließend erfolgt ein Reload des Gerätes oder Angreifer könnten sogar die volle Kontrolle übernehmen.Schon toll, so Security-Lösungen. Wie die einen immer vor Angreifern schützen!
Aber mir glaubt ja immer keiner, wenn ich sage, dass man Komplexität senken und Angriffsoberfläche minimieren soll. You had me at XML.
Ernsthaft? Immer noch? Auf welche Meldung wartet ihr eigentlich noch? Die hier vielleicht?
Die Schwachstelle findet sich im Authentifizierungsmodul. Setzt ein Angreifer dort an, soll er sich aus der Ferne ohne Log-in-Daten Super-Admin-Rechte verschaffen können.Aber nicht doch, mein Herr, das ist keine NSA-Hintertür, das ist ein … bedauerlicher Bug! Kommt ja immer wieder vor!1!!
Echt? Da gibt es doch seit Jahren schon keine Entschuldigung mehr für…!?
Gut, dass man bei Cisco immer den Wartungsvertrag mitkauft, gell? *nudge* *nudge*
Gute Nachrichten: Ihr braucht keine Fernwartungssoftware mehr!
Merkt euch das mal. Demnächst wird wieder jemand kommen und was von Cyber faseln und dass wir der Bundeswehr oder den Geheimdiensten Geld geben müssen für Cyber. DAS IST, was dann passiert.
Die waren ja bei dem NSA-Malware-Dump prominent vertreten.
Cisco fixt jetzt doch mal die 0days der NSA, also die öffentlich gewordenen.
Cisco schmeißt übrigens demnächst mal 20% ihrer Mitarbeiter raus. Ich bin mir sicher, das hat nichts damit zu tun.
Das Beste aber ist die Punchline am Ende. Die Daten enden 2013, weil das der Zeitpunkt war, an dem Snowden seinen Leak veröffentlichte, und da haben die NSA alle ihre Tentakel schnell zurückgezogen. D.h. Snowden hat verhindert, dass die Russen da jetzt mehr Daten haben. Er schließt mit "You're welcome, NSA. Lots of love."
Badumm tssssss
Indeed, it quickly came to light that Juniper have a page where they say that the VPN devices in question here “do utilize Dual_EC_DRBG, but do not use the pre-defined points cited by NIST”.
Das war genau der Zufallszahlengenerator, der von der NSA kam, und den NIST nach Snowden zurückziehen musste. Mit anderen Worten: Der Eigengeruch dieser Backdoor erinnert relativ deutlich an die NSA.Reports indicate a backdoor designed by NSA has been repurposed by America's adversaries and used against us
:-)Oh und noch ein wichtiges Statement hat er geäußert, zur Deppen-Entgegnung "na wer ist schon so doof und kauft Juniper":
This thinking misses the point. Juniper just *closed* backdoors in their product. Cisco's still wide open.
Ich würde mich ja jetzt nicht so weit aus dem Fenster lehnen wollen, dass das die einzigen Backdoors bei Juniper waren. Das meinte Snowden auch nicht, aber zur Sicherheit, falls jemand auf die Idee kommt, das so zu lesen.
Die schlechte: RSA BSAFE benutzt das als Default-RNG. Und nicht nur die, NIST hat eine Liste. Cisco, Apple, Juniper, McAfee, Blackberry, … bei den meisten wird das allerdings nicht Default sein.
Die gute Nachricht: BSAFE wird von keiner freien Software eingesetzt. Wenn ihr also Firefox unter Linux einsetzt, seid ihr sicher.
Ich bin mir gerade nicht sicher, wie das unter Windows ist. Da gibt es ein TLS vom System namens "SChannel". Das wird meines Wissens u.a. von IE und Chrome verwendet. Benutzt der BSAFE? Vermutlich. Es gab mal eine Zeit, da konnte man RSA und co gar nicht ohne BSAFE legal einsetzen in den USA, aus Patentgründen. Das müsste mal jemand herausfinden, wie das ist, und ob Windows den NSA-RNG einsetzt.
OpenSSL ist auch auf der Liste, aber die haben schon angesagt, dass sie das nur implementiert haben, weil ihnen jemand dafür Geld gegeben hat, und das ist nur an, wenn man den FIPS-Modus aktiviert, von dem sie im Übrigen dringend abraten und was nicht der Default ist.
Update: die erste plausibel klingende Erklärung liegt vor. Dieses Phänomen triff auf, wenn die Bosse zwar Geld für die Expansion brauchen, aber damit den Wert ihrer Optionsscheine nicht verwässern wollen. Der Aktienrückkauf erhöht den Wert der Optionen, und die Anleihen bringen das Kapital für die Expansion rein.