Fragen? Antworten! Siehe auch: Alternativlos
Das Problem habe ich leider jedes Jahr aber so schlimm wie diesmal war es noch nie. Und es hört auch nicht auf! Guckt euch nur mal Palo Alto an. So blöde ist ja hoffentlich keiner von euch, bei denen zu kaufen. Die Meldung da ist vom Juni.
Die stellen also ihr "Expedition"-Produkt ein, das noch nie durch eine vertrauenswürdige Qualitätssimulation aufgefallen ist.
Warum? Nun, das könnte etwas hiermit zu tun haben: auth bypass (schöner Writeup dazu) SQL Injection OS Command Injection.
Ich applaudiere ja Palo Alto, dass sie erkennen, das ihr Produkt Schrott ist und weggeschmissen gehört. Das sollten viel mehr Hersteller machen. Aber wieso bei Expedition aufhören? PAN-OS hat genau solche Bugs auch gehabt. Von anderen Herstellern wie Fortinet oder Cisco mal ganz zu schweigen.
Mich fragte heute jemand, ob die das abreißen, weil zu viele Bugs reinkamen, und sie daher gemerkt haben, wie schrottig das ist. Meiner Erfahrung nach wissen alle Hersteller, wie schlecht ihre Produkte sind. Einige wollen es auf Management-Schicht nicht wahrhaben, und ganz, GANZ selten gibt es auch Produkte, bei denen die Ingenieure nicht wissen, wie Scheiße ihr Produkt ist, aber das ist echt die Ausnahme. Habe ich in knapp 30 Berufsjahren zweimal erlebt. Die meisten Firmen wissen das, und die sehen das als Gelegenheit, mit Supportverträgen Profit zu machen.
Häufig ist das so, dass ein Produkt ein Team hat, das über die Jahre technical debt aufgehäuft hat, und häufig geht der Verantwortliche dann, weil ein Mann von meiner Statur muss sich nicht mit brennenden Mülltonnen herumärgern, und der Rest des Teams erzählt mir beim Audit dann "das ist nicht mein Code, ich habe den bloß geerbt" (soll heißen: Ich habe keine Ahnung, was der tut, und traue mich nicht den anzufassen). Da kann ich echt die Uhr nach stellen bei Audits.
Natürlich will niemand in den Rückbau von technical debt investieren, daher wird das immer teurer und träger und am Ende sitzt man Monate auf Bugfixes (das Palo-Alto-Dingens gerade wurde denen im Juni gemeldet). Und guckt euch mal an, was das für ein geiler Bug ist. Die haben da eine PHP-Datei, per Web erreichbar, die das Admin-Passwort auf "paloalto" zurücksetzt. Ohne Authentisierung, versteht sich. Kann man einfach aufrufen und ist Admin.
Sorry, aber das ist kein "Bug". Das wusste die Firma auch, dass sie das haben. Dafür müsste in einer gerechten Welt jemand in den Knast.
Übrigens, am Rande: Falls ihr euch dachtet, Programmierer würden doch von ihrer Ethik und ihrer guten Erziehung davon abgehalten, brennende Mülltonnen in der Landschaft zu verteilen, dann solltet ihr diesen Artikel lesen. Programmierer sind von allen Berufsgruppen die unethischsten. Alle haben ein schlechtes Gewissen und fühlen sich als Betrüger, wenn sie "KI" fragen und dann so tun als sei das ihre Arbeit gewesen. Außer Programmierern. Die finden das normal.
Zentrale Gründe für das Unbehagen seien das Gefühl, Nutzung generativer KI fühle sich wie Mogeln an (47 Prozent), sowie Ängste, als weniger kompetent (46 Prozent) oder gar faul gesehen zu werden (46 Prozent).Coder sind schlechte Menschen. Nur schlechte Menschen wie Scammer, Spammer, Marketing-Kokser und Coder lassen sich von "KI" helfen und haben kein schlechtes Gewissen.In Deutschland waren es hauptsächlich Nachrichten an Chef (31 Prozent) oder an Kollegen auf der gleichen Hierarchiestufe (27 Prozent), Leistungsbeurteilungen (24 Prozent) oder Ideen-Brainstormings (22 Prozent), bei denen Befragte keine KI-Nutzung eingestehen mochten. Sich beim Coden von der KI helfen zu lassen, wäre hingegen nur neun Prozent peinlich.
"Compromised data: Github projects, Gitlab Projects, SonarQube projects, Source code, hard coded credentials, Certificates, Customer SRCs, Cisco Confidential Documents, Jira tickets, API tokens, AWS Private buckets, Cisco Technology SRCs, Docker Builds, Azure Storage buckets, Private & Public keys, SSL Certificates, Cisco Premium Products & More!," reads the post to a hacking forum.Auffällig: Alles Cloud-Dienste. Ist das am Ende gar keine tolle Idee, seine kritischen Daten in die Cloud hochzuladen?! Hätte uns nur rechtzeitig jemand gewarnt!1!! (Danke, Mark)
Cisco Systems mit Hauptsitz in San José will in einer zweiten Entlassungsrunde in diesem Jahr noch einmal Tausende von Arbeitsplätzen abbauen, berichten die Nachrichtenagenturen Reuters und Bloomberg. Der Hersteller von Routern und Switches wolle seinen Schwerpunkt auf wachstumsstärkere Bereiche wie Künstliche Intelligenz (KI) und Cybersicherheit verlagern.WENN sich jemand mit Cybersicherheit auskennt, besonders mit hartkodierten Hintertür-Passwörtern, dann ist es ja wohl Cisco!
Ich bin kein Freund von "KI", aber wenn Cisco dann aufhört, unsichere Router und Software zu bauen, dann unterstütze ich das nachdrücklich.
Das klingt jetzt wie eine Strategieänderung, aber es ist keine. Ciscos Geschäftsmodell war schon immer, dumme Idioten von ihrem Geld zu trennen. Das machen sie weiter, aber halt mit anderen Triggerwörtern.
Am Ende ist es eh egal. Wer E-Mail-Gateways von Cisco kaufen würde, würde auch "KI" von Cisco kaufen. Kein Mitleid.
Hier sind ein paar davon.
BSI-Chefin Plattner meinte: Ich liebe Checklisten, aber Checklisten werden uns nicht retten. Da freut mich immerhin der hintere Teil von. Ihre Lösung war dann leider, man müsse da eben mehr Dinge automatisieren.
Das finden viele Softwarehersteller auch und automatisieren seit Jahren immer mehr Prozesse. Ergebnis: Der Druck auf dem Opfer, dem Kunden, wächst immer mehr, weil immer mehr Patches rauskommen.
Ich finde, man sollte Patches hier nicht so positiv sehen. Jeder Patch ist ein Nachweis dafür, dass der Hersteller versagt und unsichere oder anderweitig kaputte Software verkauft hat. Ich finde es gut, dass die Hersteller überhaupt Patches machen. Aber erinnern wir uns: Das war nicht die Arbeit des BSI, die das herbeigeführt hat, sondern dass Hacker lauter Exploits verbreitet haben, so dass man das nicht mehr unter den Teppich kehren konnte.
Leider ist über die Jahre ein bisschen unter den Tisch gefallen, dass wir heute nicht wirklich sicherer sind als früher, weil immer noch jede Software die ganze Zeit unsicher ist. Es gibt einen unaufhörlichen Nachschub an Bugs, wir kennen sie nur noch nicht.
Da wo wir wirklich Fortschritt gebraucht hätten, nämlich dass die Software weniger Patches braucht, haben wir das Gegenteil davon gekriegt. Frau Plattner meinte dann auch noch, moderne Software ließe sich besser schützen als alte. Das ist leider auch genau die Linie der Softwarehersteller, die Security nicht als Pflicht sondern als Vertriebsvehikel sehen. Was setzt du denn auch den alten Windows Server ein, kauf doch lieber einen neuen Windows Server!1!!
Plattner hat sich dann auch als "KI"-Fan geoutet, was mich ein bisschen zusammenzucken ließ. Sie sagte dann, was auf dieser Veranstaltung noch mehrere andere sagten: KI hilft Angreifern, wir müssen zur Verteidigung daher genau so schnell auf KI setzen.
Dafür kurz als inhaltliche Klarstellung: Nein. KI hilft Angreifern nicht. KI erzeugt keine Exploits, identifiziert keine Bugs, analysiert keine Patches. In einigen Proof of Concept Fällen kann man möglicherweise eine Demo faken, aber KI hilft Angreifern nicht.
KI kann dafür sorgen, so erklärten dann einige Teilnehmer, dass die Scam-Mails weniger Rechtschreibfehler haben. Die haben nicht verstanden, dass die Rechtschreibfehler absichtlich drin sind. Die Scammer richten sich ja nicht an Leute, die Scams erkennen, und dann möglicherweise Ärger machen und ihr Geld zurück haben wollen oder die Polizei rufen, wenn die noch was machen kann. Die richten sich an naive alte Menschen und filtern mit den Rechtschreibfehlern die anderen raus.
OK, nächste Aussage, die ich lustig fand: Da saß ein Typ von Rohde und Schwarz auf der Bühne in dem einen Podium mit der Plattner, der mehrfach negativ auffiel, indem er sie demonstrativ duzte. Ich würde ja schon grundsätzlich gegen die Anwesenheit von R&S opponieren, aber das fand ich echt auffallend respektlos und eine Frechheit. Jedenfalls, wieso ich den erwähne: Der erzählte (als Anekdote, dass in Deutschland Innovation ja wegen Überregulierung ausgebremst würde), sie hätten ja "KI" einführen wollen, seien aber am Personalrat gescheitert. Wieso ich R&S nicht mag ist weil sie IMSI-Catcher für den Unterdrückungsstaat bauen, und Militär und Geheimdienste mit Spezialequipment beliefern. Aus meinen Augen ist das unethisches Geschäftemachen.
Was haben wir noch ... da saß noch ein Telekom-Mensch, deren Cloud Security-Chef glaube ich, der sich (für Nerds humoristisch) verplapperte, dass man ja im Moment auch Mails von Servern mit abgelaufenen TLS-Zertifikaten annehmen müsse, weil der Zustand der Security-Landschaft da draußen so schlimm sei. Bei SMTP mit TLS präsentiert nur der annehmende Server ein Zertifikat. Der Einsender zeigt gar keines, das abgelaufen sein könnte. Den Versprecher fand ich lustig genug zum notieren :-)
Neben dem Telekom-Typ saß ein Cisco-Schlipsträger auf dem Podium, der dann erzählte, wenn sich Kleinunternehmer keine IT-Abteilung leisten können, dann müssen sie halt managed Services einkaufen von jemandem. Die Telekom daneben nickte. Da hab ich mich ziemlich geärgert, weil sich hier die Täter (die Telekom hat Millionen von schrottigen Plasteroutern im Feld und Cisco hat mehr Hintertüren in ihren Produkten gehabt als alle Konkurrenten zusammen und war gerade an dem Webex-Debakel Schuld) auf der Bühne erzählen dürfen, die Kosten solle mal ihr Kunde/Opfer tragen. Da hätte ich mir gewünscht, dass der Moderator mit dem großen Holzhammer draufkloppt.
Die Keynote von dem BKA-Chef war spannend, weil das mein erstes Mal war, dass ich die BKA-Panikslides sehe, mit denen sie die Politik immer wieder dazu kriegen, ihnen mehr Befugnisse zu geben. Kommunikationstechnisch waren die Slides brillant gemacht. Auf ihnen standen lauter PANIK-PANIK-Zahlen und Grafiken drauf, Milliardenschäden, alles furchtbar, wir sind so gut wie tot, die Kriminellen sind super ausgebildet und besser organisiert als wir und so weiter, aber der Vortrag war das glatte Gegenteil. Der Mann ist ein Karriere-Polizist, ein lockerer Typ mit nach Hamburg klingender Sprache, der da weitgehend ruhig und cool vorträgt, dass das ja alles schlimm aussähe, aber man sei am Ball, die Quote der Lösegeld bezahlenden Ransomwarebefälle sei rückläufig, und man habe ja schon folgende Domains beschlagnahmt und jeweils MILLIONEN von Euros in Bitcoin vom Markt genommen.
Die Folien sagten PANIK PANIK PANIK aber die Worte sagten: Alles im Griff. Wir werden hier nicht von technischen Dingen ausgebremst sondern von den Befugnissen. Wenn ihr nur kurz das Grundgesetz ändert (trug er wirklich so vor!), dann können wir die auch verhaften, bevor sie auch ransomwaren. Vorschlag dazu liegt auf dem Tisch, muss nur noch vom Parlament abgestimmt werden. Alles in Ordnung. Wir handlen das.
Das ist kein leichter Spagat! Auf der einen Seite OH MEIN GOTT IHR MÜSST JETZT SOFORT HANDELN kommunizieren aber gleichzeitig "bei uns ist das in guten Händen, wir haben alles im Griff" zu sagen und noch für eine Grundgesetzänderung für Gefahrenabwehr zu werben, ohne dass das wie Erpressung aussieht (ihr müsst das jetzt machen sonst sind wir alle tot).
Ich muss sagen: Hut ab vor dem BKA-Chef. Der weiß, was er tut, und wie er es tun muss. Der sammelt seit Jahren erfolgreich immer mehr Befugnisse ein, ohne dafür dann irgendwas vorzuzeigen zu haben.
Der nächste Vortrag war dann von ZITIS, hatte ich ja schon erzählt, mit den mobilen Quantencomputern. Der hatte noch ein paar andere haarsträubende Projekte, von denen er erzählte. Er wollte Quantenoptik haben (seine Begrifflichkeit!), damit man vor dem Tür eintreten durch die Wände gucken kann. Das ist meines Wissens nichts, was die Physik-Disziplin der Quantenoptik überhaupt auch nur versucht, geschweige denn als Ziel formuliert, aber da lasse ich mich gerne korrigieren. Desweiteren fand er "KI" transformativ und wir müssen schnell aufspringen, und im Übrigen werden Drohnen immer billiger und wichtiger, das brauchen wir auch, und dann warnte er noch vor kriminellen LLMs, die mit Darknet-Daten trainiert seien, und dann nicht wie bei den guten Menschen von OpenAI einen Filter drin haben, der sich weigert, Bombenbauanleitungen auszuhändigen. ZITIS lässt außerdem an neuronalen Netzen zur Erkennung von Hass im Internet forschen, und hat ein Projekt für die "Robustheit von KI" gestartet (kann ich jetzt schon sagen, dass das scheitern wird), und sie machen sich Sorgen vor der Manipulierbarkeit von "KI". Stöhn.
Den Schenkelklopfer des Tages brachte aber der CISO der Bundeswehr, schön in Ausgehuniform, der sich auch zu Ransomware äußerte (offenbar sehen sich da auch Bundeswehr-Behörden von angegriffen): Davon geht keiner aus, bei uns Lösegeld erpressen zu können. Das Publikum wieherte vor Lachen :-)
Update: Wenn ich hier gefühlt alles kritisiere, was Frau Plattner vorgetragen hat, wieso sah ich ihre Person trotzdem positiv am Ende? Ich hatte den Eindruck, dass die halt noch nicht alle Fakten gehört hat, und möglicherweise umgestimmt werden kann, wenn ihr mal jemand die andere Hälfte der Realität zeigt, und andere Blickwinkel. Den BKA-Chef, der Bundeswehr-CISO, den ZITIS-Typen, die wirst du alle nicht umgestimmt kriegen, egal was du vorträgst. Die machen da halt ihren Job und werden sich nicht von Fakten behindern lassen.
Update: Übrigens, am Rande: Der ZITIS-Chef war vorher Abteilungsleiter für technische Aufklärung beim Bundesnachrichtendienst.
Karl war viermal als Zeuge in den NSA-Untersuchungsausschuss des Deutschen Bundestags geladen. Als Unterabteilungsleiter im Bundesnachrichtendienst war er zuständig für die Übermittlung deutscher Internetdaten an die National Security Agency in der Operation Eikonal und deutscher Telefondaten an die Central Intelligence Agency in der Operation Glotaic.
Ja klar! Was machst du mit so jemandem? Rausschmeißen geht ja nicht, denn dann müsste man ja auch lauter andere Leute rausschmeißen. Bleibt ja quasi nur befördern! Mobile Quantencomputer, ich leg mich flach.
Eine ähnliche Kategorie von "da krieg ich Gewaltfantasien"-Neusprech ist "-scale". Was die alle immer rumgefurzt haben, wie geil ihr Scheiß skalieren würde! Und dann guckst du mal vorbei und wartest 20 Sekunden auf das Laden der Homepage.
Und jetzt ist alles "internet scale" oder zumindest "cloud scale", man sagt nicht mehr "Cloud-Drückerkolonne" sondern "Hyperscaler" (das einzige, was da skaliert, sind die Rechnungen). Furchtbar.
Höchste Zeit also, dass sich ein Depp findet, der mit "AI-native" und "AI-scale" Werbung macht.
Was soll ich euch sagen? Cisco liefert! Ja, DAS Cisco, das mit den ständigen apokalyptischen Sicherheitslücken. Die mit den Dutzenden von versehentlich hart einkodierten Admin-Account-Passwörtern. DIE. Die erzählen uns jetzt nicht nur was von Security sondern machen gleich noch die volle Familienpackung "AI" dran. Vorsicht: Wenn man irgendwas von irgendwas versteht, kriegt man von der Lektüre direkt Ganzkörper-Juckreiz. Das Produkt heißt "Hypershield". Wie Hypeshield aber mit r. Damit man assoziiert, es sei für Hyperscaler (und damit BESTIMMT SICHER GUT GENUG FÜR UNS HIER).
Eine Sache glaube ich ihnen. Dass die Presseerklärung direkt aus einer "KI" fiel. Das ist alles so falsch, dass nicht mal das Gegenteil stimmt.
Auf der anderen Seite kann man Punkte für alle Schlangenöl-Tropes in der IT-Security-Werbung vergeben. Das checkt alle Boxen.
DOCH! Das geht! In der unseriösen Werbung einer anderen Firma: Nvidia. Ihr seht wahrscheinlich schon kommen, was als nächstes passiert:
Cisco [blahsülz] with NVIDIA, is committed to building and optimizing AI-native security solutions to protect and scale the data centers of tomorrow.Und schwupps, mit einer kleinen Handbewegung, ist was eben noch ein Nachteil war (nämlich dass hier ohne Domain Knowledge eine "KI" Dinge halluziniert, die darauf trainiert ist, dass das plausibel aussieht, nicht dass es funktioniert) ein Vorteil! Weil, äh, "AI-native"!!1!Ja aber Moment, Fefe, da stand ja noch gar nicht "empower"! Ohne "empower" geht sowas doch gar nicht!!
"AI has the potential to empower the world's 8 billion people to have the same impact as 80 billion.Das hingegen finde ich ein tolles Zitat. Er sagt hier also: Wenn die Leute alle "KI" machen, dann werden sie zehnmal so viel Ressourcen verbrauchen, ohne einen Vorteil daraus zu ziehen. Glaubt mir, wenn das Vorteile brächte, hätte er die hier erwähnt.Wo wir gerade bei Warnungen waren:
The power of Cisco Hypershield is that it can put security anywhere you need it – in software, in a server, or in the future even in a network switch.Du brauchst dann halt in jedem Ethernetport eine Nvidia-GPU. Das wird das Power-Budget geringfügig senken, das für tatsächliches Computing übrig bleibt in einem Data Center, aber für Nvidias Aktienkurs wird es großartig werden!When you have a distributed system that could include hundreds of thousands of enforcement points, simplified management is mission critical. And we need to be orders-of-magnitude more autonomous, at an orders-of-magnitude lower costBeachtet das "autonomous" her. Eine "KI", die keiner versteht, weil sie nicht programmiert sondern trainiert wurde, soll autonome Entscheidungen darüber treffen, welche Netzwerkpakete erlaubt sind und welche nicht. Oh und wie immer bei "KI" gibt es auch kein Debugging, nur "nach-trainieren", was dann andere Stellen kaputtmacht. Das wird ja eine tolle Zukunft!So, jetzt kommen wir zum technischen Teil. Weiter unten, damit er die Deppen nicht mit Fakten verwirrt.
AI-Native: Built and designed from the start to be autonomous and predictive, Hypershield manages itself once it earns trust, making a hyper-distributed approach at scale possible.Cisco sagt also selbst, dass man dem nicht trauen kann, bis es sich Vertrauen erarbeitet hat. Wenn wir es hier mit denkenden Kunden zu tun hätten, wäre die logische Folge, dass man das nicht einsetzen kann. "manages itself" sollte natürlich auch alle Alarmlampen angehen lassen, genau wie "hyper-distributed" und "at scale", aber vermutlich nicht bei Leuten, die Cisco kaufen. Das ist eine Vorselektion vom unteren Rand des Spektrums.Cloud-Native: Hypershield is built on open source eBPF, the default mechanism for connecting and protecting cloud-native workloads in the hyperscale cloud. Cisco acquired the leading provider of eBPF for enterprises, Isovalent, earlier this month.Langsam zeichnet sich ein Bild ab. Irgendein Sprallo bei Cisco sah die Firma mit der Überflüssigkeit konfrontiert, die aus Software Defined Networking einhergeht (ach, man kann Switches in Software machen? Man braucht gar keine Hardware mehr, von Cisco oder sonstwem?), dann haben sie schnell einen Panikkauf von einer eBPF-Klitsche gemacht und mit einem Hype-Überperformer (am Aktienmarkt, nicht bei den Produkten) geredet, also Nvidia, und sagen jetzt den Investoren: We heard you like AI! We put Nvidia in you eBPF so you can hallucinate while you kernel panic!Ich ruf gleich mal den Notarzt. Wenn DAS keinen Herzinfarkt oder Schlaganfall auslöst, dann bin ich möglicherweise schon tot und werde hier gerade bloß von einer "KI" weitersimuliert. Das kann niemand überleben, der mehr als zwei Hirnzellen übrig hat.
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen."Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Punkt 1: Das war ein 0day! Da konnte man nichts machen!
Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.
2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.
3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.
5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!
6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.
6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und *papierraschel* Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!
Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.
Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!
Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Fallt also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik. (Danke, Max)
Unter den Fehlern befinden sich neben SQL-Injections auch Möglichkeiten für Angreifer, beliebige Kommandos auf Appliances des kalifornischen Unternehmens auszuführen.Wie, gar keine Backdoors mit hartkodierten Credentials? So wird das nicht mit der Cisco-Konkurrenz.
RSA digital signatures can reveal a signer’s secret key if a computational or hardware fault occurs during signing with an unprotected implementation using the Chinese Remainder Theorem and a deterministic padding scheme like PKCS#1 v1.5.Der Angriff ist mächtig genug, dass ein einziger beobachteter Fehler reicht.Dann fiel jemandem auf, dass es solche Fehler auch "natürlich" vorkommen, weil Hardware kaputt geht oder vielleicht ist es zu heiß an dem Tag oder irgendein Softwarebug triggert das. Tja und in diesem Paper haben sie mal passiv Verkehr mitgeschnitten und nach solchen Fehlern gesucht, und ... das hat geklappt.
Nun macht SSH aber nicht rohes RSA sondern hat einen Diffie-Hellman-Schritt darüber, und man nahm an, dass es deshalb gegen diesen Angriff immun ist. Ist es aber nicht, sagt dieses Paper jetzt.
In this paper, we show that passive RSA key recovery from a single PKCS#1 v1.5-padded faulty signature is possible in the SSH and IPsec protocols using a lattice attack described by Coron et al. [16 ]. In this context, a passive adversary can quietly monitor legitimate connections without risking detection until they observe a faulty signature that exposes the private key. The attacker can then actively and undetectably impersonate the compromised host to intercept sensitive data.Das ist eines dieser Papers aus der Kategorie "vielleicht doch lieber Rosenzüchter werden?"Der Angriff betrifft SSH und IKE (Schlüsselaustausch für IPsec). Sie haben dann geguckt, was für Geräte betroffen waren, und das waren ein paar alte Cisco und Zyxel Appliances, und dann noch Geräte von Hillstone Networks und Mocana (beides nie gehört), die sie nicht kontaktieren konnten. Cisco und Zyxel meinten, das betrifft nur Versionen, die seit Jahren out of service sind. Immerhin.
Die Prävalenz dieser Fehlerart ist aber bestürzend groß finde ich:
Our combined dataset of around 5.2 billion SSH records contained more than 590,000 invalid RSA signatures. We used our lattice attack to find that more than 4,900 revealed the factorization of the corresponding RSA public key, giving us the private keys to 189 unique RSA public keys.
Meine Überraschung hält sich in Grenzen.
Ich fasse mal die wesentlichen Punkte zusammen:
we can defeat Apple’s low-resolution timer, compressed
35-bit addressing, and value poisoning countermeasures, allowing
us to read any 64-bit address within the address space of Safari’s
rendering processApple hat, wie vor ihnen Microsoft und andere, auf irgendwelche mehr oder weniger nutzlosen Mitigations gesetzt, ohne ihre tatsächlichen Probleme zu lösen. Seit Jahren meine Rede, dass das nicht gut ist.Combining this with a new technique for con-
solidating websites from different domains into the same renderer
processDas erzähle ich in meinen Vorträgen seit Jahren, dass man einen Prozess pro Request braucht, damit die sich nicht gegenseitig die Daten extrahieren können.Finally, we note that Safari
/ WebKit is the only browser engine permitted on iOS devices re-
gardless of web browser app.Dass DAS eine bekloppte Idee ist, war schon klar, bevor Apple es angekündigt hat. Apple-Kunden war das immer egal, ob Apple Dinge tut, die zu ihren Ungunsten sind. You are holding it wrong.Was an dem Angriff jetzt besonders ist, ist dass das halt mal jemand alles gemacht hat. Dass das prinzipiell geht, und dass Apple nichts tun wird, bis jemand die Arbeit investiert, um das zu zeigen, war auch offensichtlich.
Was ich an der Sache am gruseligsten finde:
This research was supported by the Air Force Office of Scientific Research (AFOSR) under award number FA9550-20-1-0425; an ARC Discovery Project number DP210102670; the Defense Advanced Research Projects Agency (DARPA) under contract HR00112390029 and W912CG-23-C-0022; the Deutsche Forschungsgemeinschaft (DFG, German Research Foundation) under Germany's Excellence Strategy - EXC 2092 CASA - 390781972; the National Science Foundation under grant CNS-1954712; and gifts by Cisco and Qualcomm.Wer fehlt auf der Liste? Richtig! Apple!Apple-User lügen sich immer selbst einen in die Tasche, dass Apple schon irgendwie der einzige Tech-Konzern ist, der edel und rein ist und für seine Kunden nur das Beste will.
Kurz: Aus meiner Sicht ist das die Aufregung gerade nicht wert. Ist alles genau so, wie es schon lange klar war. Apple verkauft Mist und weiß es, sitzt auf unfassbaren Bargeldbergen und weiß nicht wohin damit, aber überlässt die Finanzierung derartiger Forschung dem Steuerzahler, Konkurrenten und dem Militär. Ja geil. Da willste doch deine Geräte kaufen!!
Ja gut, Adobe ist ja das Cisco bei den Kreativ-Tools, insofern berichte ich nur sehr zurückhaltend über die. Seit die von Kaufen auf Abo umgestellt haben, und ihre Kunden dageblieben sind, habe ich da kein Mitleid mit irgendwem mehr.
Und Farben? Nunja. Ich erinnere mich da an die Telekom-Nummer, als die die Farba Magenta als ihr Eigentum betrachtet haben.
Aber stellt sich raus: Doch, ist wirklich was dran. Ist keine Satire. Cory Doctorow hat die Details. Wenn ihr nur mal den Screenshot sehen wollt: Hier ist ein Tweet damit.
Es geht um Pantone. Geht mal zu deren Webseite und guckt, ob eure Fantasie reicht, euch etwas Bekloppteres auszudenken als diese Firma.
Dabei ist das ganz einfach, sich etwas noch Bekloppteres auszudenken! Ein Rechtssystem, in dem jemand mit dem Benennen von Farben Lizenzgebühren einfordern kann! Genau das haben die getan, und Adobe hat offenbar jahrelang gezahlt. Aber offenbar nicht genug, oder vielleicht wurde Pantone noch gieriger, weil sie ja das Gehalt für ihre Trendexpertin reinkriegen müssen, jedenfalls schmeißt Adobe jetzt Pantone-Farben raus. Wer die haben will, und das sind einmal die meisten professionellen Kunden, der muss sie extra lizenzieren. Wie? Nein, natürlich keine Einmalzahlung. 21 Dollar pro Monat! Für ... immer.
Ja, äh, benutze ich halt die alte Version weiter. Nee, geht nicht, denn das ist jetzt alles Cloud-Software. Das hast du nicht unter Kontrolle, welche Änderungen Adobe an der vornimmt.
Doctorow vergleicht die Situation mit Apple in China. Dass China alle Apple-User mit einem Befehl an Apple in ihr Überwachungsnetz zwängen konnte, lag nicht an China sondern an Apple. Es ist nicht China, was verhindert, dass Leute einfach eine andere VPN-App sideloaden. Es ist Apple.
Und genau so ist das hier, argumentiert Doctorow. Wenn Adobe nicht auf SaaS umgestellt hätte, dann hätte Pantone hier keinen Hebel gehabt. Money Quote:
Pantone started out as a tech company: a way to reliably specify ink mixes in different prepress houses and print shops. Today, it's an "IP" company, where "IP" means "any law or policy that allows me to control the conduct of my customers, critics or competitors."https://locusmag.com/2020/09/cory-doctorow-ip/
That's likewise true of Adobe. The move to SaaS is best understood as a means to exert control over Adobe's customers and competitors. Combined with anti-competitive killer acquisitions that gobble up any rival that manages to escape this control, and you have a hostage situation that other IP companies like Pantone can exploit.
Hostage situation ist eine schöne Zusammenfassung der Situation, wenn ihr mich fragt.
Wie bei Cisco stellt sich auch bei Atlassian die Frage: WARUM?!
There are currently no fixed versions of Confluence Server and Data Center available. In the interim, customers should work with their security team to consider the best course of action. Options to consider include:- Restricting access to Confluence Server and Data Center instances from the internet.
- Disabling Confluence Server and Data Center instances.
If you are unable to take the above actions implementing a WAF (Web Application Firewall) rule which blocks URLs containing ${ may reduce your risk.
Oh wow. Einmal mit Profis.
Aber im Markt wurde es irgendwie nie angenommen. Kein Wunder. So ganz ohne "vergessene" hartkodierte Admin-Accounts und andere Backdoors sind die F5-Produkte einfach nicht Enterprise-fähig.
Aber keine Sorge, F5 denkt mit und baut dann halt auch hartkodierte Admin-Accounts ohne Passwort ein. Man macht einfach einen Post-Request auf bash mit der Kommandozeile als Json, basic authentication, username "admin", passwort leer.
Mal gucken, ob sie wirklich Cisco-Level Enterprise-fähig sind und die Sicherheitspatches ebenfalls nur gegen bezahlten Supportvertrag verbreiten. Sie dürfen natürlich keine Erklärungsversuche bringen jetzt. Das wäre unprofessionell.
Wer kauft eigentlich von solchen Firmen? Kann mir das mal jemand erklären? Warum?!
Nein, nein, keine Sorge. Diesmal waren es keine hartkodierten Backdoor-Passwörter. Diesmal waren es "unintentional debugging credentials". Das ist was GANZ anderes!!1!
Diesmal war es keine Absicht!1!!
So glaubt uns doch!
Oh, warte, das war noch nicht alles!
The other critical hole is CVE-2021-40113, which can be exploited by an unauthenticated remote attacker to perform a command injection attack on the equipment's web-based management portal, thanks to insufficient validation of user-supplied input.Einmal mit Profis!"A successful exploit could allow the attacker to execute arbitrary commands on an affected device as the root user."Was macht die Security-Abteilung bei Cisco eigentlich beruflich?
Wie? Nein, diesmal keine Hintertür. Diesmal eine wormable remote code execution.
Fortschritt!!
Benutzt ihr Webex deshalb, weil ihr gehört habt, dass bei Zoom unautorisierte Dritte reinkommen und mithören können?
Nicht authentifizierte Dritte konnten sich in Webex-Konferenzen einklinken, ohne dass sie zu einem Meeting eingeladen wurden. Dabei konnten die Eindringlinge die Konferenzen mithören und -sehen, sprechen und teils auf geteilte Medien zugreifen, ohne dabei in der Teilnehmerliste aufzutauchen - wie ein Geist. Der einzige Hinweis auf den Geist sei ein zusätzlicher Beitritts-Piepton gewesen - der bei großen Besprechungen jedoch häufig deaktiviert werde, schreibt IBM in einem Blogeintrag.Ja gut. Glücklicherweise werden in Meetings ja keine vertraulichen Dinge besprochen.
Sonst hätte man das ja von Anfang an nicht in die Cloud verlagern können, nicht wahr?
Ich meine, so blöde werden die Firmen doch nicht sein, dass sie ihre vertraulichen Besprechungen über jemand anderes Infrastruktur abwickeln? Oder? ODER?
All payload are processed in the context of NT AUTHORITY\SYSTEM.Hey, Produkte dieser Firma will man doch einsetzen?! Die Qualität springt einen förmlich an!1!!Ach was reg ich mich auf. Die Deppen da draußen patchen das und vergessen sofort, dass Cisco "vergessen" hat, sie auf diese Lücken aufmerksam zu machen. Dass eine der Lücken ausgerechnet in einem nach Backdoor klingenden Dienst namens SecretServiceServlet ist, das merkt ihr wahrscheinlich gar nicht.
Not my department, says Wernher von Braun.
Ein Einsender schreibt mir gerade::
Unis in Deutschland: Oh nein, völlig überraschend noch ein Online-Semester! Schnell, wir brauchen ein robustes Videokonferenz-System, shut up and take my money *schielt zu Cisco Webex*Daher fragt man für sowas ja auch Leute, die sich mit sowas auskennen.Schulen in Griechenland: Oh nein, völlig überraschend müssen wir wieder Online-Unterricht anbieten, Cisco, schafft ihr das?
Cisco: Kein Proble.. ups.
Ergebnis: WebEx in halb Europa kaputt (vermutlich wegen der plötzlichen, unerwarteten Last, oder wegen des CVEs neulich?):
Alternativen gibt's kurzfristig natürlich keine, aber "Cisco arbeitet an einer Lösung". Ach so, na denn wird ja alles jut.
Übrigens, Lacher am Rande (die Webseite lädt gerade ein bisschen langsam; warum wohl?):
Cisco Webex ist eine sichere, Cloud-basierte Collaboration-PlattformCloud, wir erinnern uns, machte man, damit man auf plötzliche Lastspitzen souverän reagieren kann, indem man einfach Server nachklickt. Und dass sie es wagen, nach dem CVE neulich da noch "sicher" hinzuschreiben, das ist auch echt geil.
Eigentlich müsste man den Satz gar nicht weiterführen nach "jemand".
Cisco hat mal wieder ein paar 0days in der Wildnis beobachtet, und war schockiert — SCHOCKIERT!!1!, dass die gegen Cisco-Anyconnect gerichtet waren! Ansonsten haben auch Kunden von Webex die Arschkarte, und SD-WAN scheint selbst für Cisco-Verhältnisse richtig doll schlecht zu sein.
Wieso kauft denen eigentlich immer noch jemand ihren Ranz ab? Was müssen die noch machen!?
In a previously unreported statement to members of Congress in July seen by Reuters, Juniper said an unnamed national government had converted the mechanism first created by the NSA. The NSA told Wyden staffers in 2018 that there was a “lessons learned” report about the Juniper incident and others, according to Wyden spokesman Keith Chu.Na, äh, den wollen wir doch mal sehen, den Report, oder wie seht ihr das?“NSA now asserts that it cannot locate this document,” Chu told Reuters.Oh ach so. Naja gut, äh, … Softwareproblem. Da kann man nichts machen.
Ich finde das ja geil, dass ausgerechnet die NSA mit der Ausrede durchkommt, sie könnten etwas in ihrem Datenhaufen nicht finden. Ist ja nicht so als wäre genau das genau die Kernkompetenz von denen, für die sie bezahlt werden. Oder anders herum: Wenn die schon so zentral wichtige Dokumente verlieren, wieso dürfen die dann überhaupt andere wichtige Daten horten?
Und ihr solltet euch mal alle fragen, ob ihr irgendeinem US-amerikanischen Tech-Unternehmen vertrauen könnt, wenn öffentlich bekannt ist, dass sowohl Cisco als auch Juniper Backdoors der Geheimdienste hatten.
Hätte uns doch nur rechtzeitig jemand gewarnt!!1! (Danke, Christian)
Wer da Präsentationen hochladen darf, hat Admin-Zugriff.
Update: Hanno Böck hat den Bigbluebutton-Leuten das im Mai (!) gemeldet. Seit dem sitzen die darauf. Stellt sich raus: Man kann da ne Präsentation hochladen und der Server öffnet das dann in Libreoffice. Lasst mich da völlig klar ansagen: DAS IST EINE FURCHTBAR SCHLECHTE IDEE. Dass das Projekt diese Idee überhaupt implementiert hat, ist für mich ein Zeichen, dass ich nie wieder mit Software interagieren will, bei der diese Leute Teil der Entscheidungsfindung waren. Die sind fürs Leben verbrannt. Das ist ungefähr so schlau wie im Winter einen Krieg gegen Russland zu starten. Nicht nur offensichtlich eine schlechte Idee sondern da sind sogar schon vorher andere mit auf die Fresse geflogen. Diese Officeformate sind eine einzige Schlangengrube und die Wahrscheinlichkeit, dass das irgendjemand anständig implementiert kriegt, ist sehr nahe an Null. Aber in diesem Fall musste gar kein Exploit her, denn die Dateiformate haben (völlig ohne Not, möchte ich anmerken!) ein Feature, über das man externe Ressourcen über eine URL einbinden kann. Da kann man natürlich auch eine file://-Url nehmen und sich beliebige Dateien auf dem Server anzeigen lassen.
Vom Niveau her ist das absolut am unteren Ende der Skala. Tiefer sinkt nur Cisco mit ihren ständigen Hintertüren und "vergessenen, versehentlich hart einkodierten Passwörtern".
Attacken sollen vergleichsweise trivial sein. So könnten Angreifer aus der Ferne und ohne Authentifizierung die volle Kontrolle über Systeme erlangen.Ja super!
Cisco Talos recently discovered two vulnerabilities in the popular Zoom video chatting application that could allow a malicious user to execute arbitrary code on victims’ machines.Da bieten sich jetzt natürlich Witze an, wie schlimm das sein muss, wenn sogar Cisco Lücken findet, aber Talos ist zugekauft. Die Frage muss also eher sein, wieso Cisco nicht mal die Talos-Leute auf ihre eigenen Produkte gucken lässt. Vielleicht wollen sie denen einen Schlaganfall ersparen oder so.
IP Encapsulation within IP (RFC2003 IP-in-IP) can be abused by an unauthenticated attacker to unexpectedly route arbitrary network traffic through a vulnerable device.Betroffen ist deren Nexus-Reihe. (Danke, Christian)
five critical vulnerabilities in [...] the Cisco Discovery ProtocolDas betrifft einmal die ganze Hardware-Produktpalette bis hin zu IP-Telefonen.
In this post, I share three (3) full exploitation chains and multiple primitives that can be used to compromise different installations and setups of the Cisco DCNM product to achieve unauthenticated remote code execution as SYSTEM/root. In the third chain, I (ab)use the java.lang.InheritableThreadLocal class to perform a shallow copy to gain access to a valid session.Es ist ja nicht so, als ob noch irgendjemand was von Cisco erwarten würde. Aber das ist selbst für deren Verhältnisse auffallend schlecht. Man muss sich fragen, wieso es bei uns keine Behörde gibt, die diese Firma aus dem Verkehr zieht. (Danke, Kristian)
Ach naja, denkt ihr euch jetzt vielleicht, generiert man halt neue.
Da habt ihr die Rechnung ohne Cisco gemacht!
Self-signed X.509 PKI certificates (SSC) that were generated on devices that run affected Cisco IOS® or Cisco IOS XE software releases expire on 2020-01-01 00:00:00 UTC. New self-signed certificates cannot be created on affected devices after 2020-01-01 00:00:00 UTC. Any service that relies on these self-signed certificates to establish or terminate a secure connection might not work after the certificate expires.LOOOOOL! Warte mal, gibt es nicht Leute, die Cisco einsetzen, weil sie deren Produkte für enterprise-fähig halten?ZWEI WOCHEN VORHER fällt Cisco das auf? Und die verbleibende Zeit ist Weihnachten und Ferienzeit?
Geil!
Das gibt bestimmt eine IT-Apokalypse zum Jahreswechsel. In großen Firmen kannst du gar nicht mal eben deine Cisco-Geräte updaten. Da musst du erstmal ein Wartungsfenster beantragen. Das alleine dauert vier Wochen und du brauchst ein paar Monate Vorlauf, damit du die Leute warnen kannst. (Danke, Markus)
The security expert and bug-hunter John “hyp3rlinx” Page discovered an arbitrary code execution vulnerability, tracked as CVE-2019-9491, in the Trend Micro Anti-Threat Toolkit.Hey, ich habe eine Idee. Wir installieren einfach noch eine zweite Packung Schlangenöl! Die schützt uns dann vielleicht vor den Lücken, die das erste Schlangenöl aufgerissen hat!Wie wäre es mit Avast! Oder Norton! Gut, Norton hat den Nachteil, dass dann mein Blog nicht mehr geht. Aber für die Sicherheit muss man manchmal halt Kompromisse eingehen!1!!
Und zur Abrundung was von Cisco!
Und wenn ihr ganz sicher gehen wollt, dann nehmt Kaspersky. Die laden das in ihre Cloud und prüfen dort noch manuell!
2019-10 Security Bulletin: Junos OS: Kernel crash (vmcore) upon receipt of a specific link-local IPv6 packet on devices configured with Multi-Chassis Link Aggregation Group (MC-LAG) #CVE-2019-0067 Respekt! Ein Ping of Death hatten wir schon lange nicht mehr! Ich dachte schon fast, die seien ausgestorben! (Danke, Christian)
Several devices manufactured by WAGO contain an undocumented account with administrative privileges. The password for this account is device dependet, but easily brute-forcable.Cisco leistet so viel, um für das Thema Hintertür-Admin-Accounts Awareness zu schaffen, und es finden sich IMMER noch welche! Unglaublich.
Ja. SCHON WIEDER.
Ob das eine Strategie ist? Die Kunden so lange mit Sicherheitslücken bombardieren, bis sie das für normal halten? Scheint zu funktionieren!
Aber keine Sorge. Ist bloß Superuser-Zugriffe für Angreifer.
Keine der Lücken gilt als kritisch.Na dann ist ja nicht so schlimm, nicht wahr?
PS: Heise hat aus irgendwelchen Gründen diese Meldung nicht in ihrem Newsticker verlinkt. Ob sie sich für den oben zitierten Satz geschämt haben?
"Es gibt Risiken, die mit 5G und einer möglichen Beteiligung von Huawei daran verbunden sind", sagte Schindler dem Redaktionsnetzwerk Deutschland (RND) am Mittwoch. Wer die neue Technik bereitstelle, der sei auch "in der Lage, Kommunikationsinhalte abzugreifen".Ja und nein. Das ist wie zu behaupten, der Hersteller von Zellentüren könne Gefangene ausleiten. Stimmt, aber dann ist der erstmal nur aus der Zelle raus, nicht aus dem ganzen Knast. Ein Huawei-Router kann natürlich Daten routen. Aber nur an Ziele, zu denen er eine Leitung hat. Und der nächste Router auf dem Weg könnte den Traffic sehen. Telcos machen Traffic-Überwachung. Solange die nicht alles von Huawei kaufen (und Monokulturen sind sicherheitstechnisch inhärent problematisch), heißt das nicht automatisch, dass eventuelle Ausleitungen auch erfolgreich und unerkannt wären.
Aber gut, geben wir Schindler mal den Punkt. So geht es weiter:
"Die Technologie von Huawei ist anderthalb bis zwei Jahre weiter als unsere", erläuterte Schindler.Wait, what!? Was genau meint er denn bitte mit "unsere" hier? Die vom BND? Die haben ihre Abhörschnittstellen noch nicht fertig oder was?!
Dass Huawei da auf UFO-Technologie sitzt, das kann ich ausschließen. Und zwar ohne die Technologie von denen konkret gesehen zu haben. Die Standards sind alle verfügbar. Die kann man beschaffen und das nachimplementieren. Niemand hat da außerirdische Raketentechnologie. Das sind prinzipiell offene Standards. Gut, sie könnten noch offener sein, geschenkt.
Zum Vergleich: Videocodecs werden auch standardisiert, aber bei MPEG kriegt man nur eine Definition des Bitstreams und eine Beschreibung, wie man das dekodiert. Encoder können immer noch proprietäre Raketentechnologie drin haben. So ist das bei Netzwerk-Equipment nicht. Auch nicht bei 5G. Insbesondere ist bei LTE und noch mehr bei 5G ja gerade der Punkt, dass man proprietäre Bitfrickelscheiße rausschmeißt und lieber IP mit TCP, HTTP und JSON drüber macht. Das ist die Antithese zu Raketentechnologie. Das ist absichtlich so gewählt, dass es jeder Depp ohne Raketen-Knowhow bauen kann.
Aber wartet, das war noch nicht der Hammer. Das hier ist der Hammer:
"Wir sind also gar nicht in der Lage, zu beurteilen, was da eingebaut wird.Das Statement ist eine Lüge und eine Frechheit. Der Schindler und seine BND-Spezialexperten sind vielleicht nicht in der Lage. Andere sind es selbstverständlich schon. Huawei legt im Gegensatz zu ihren Konkurrenten den Quellcode für Inspektionen offen. Und im Gegensatz zu Cisco ist Huawei auch noch nicht mit Hintertüren erwischt worden. Das ist eine absolute Frechheit, was der Schindler sich hier zurechtlügt. Schämen sollte der sich. Aber das wird einem wahrscheinlich beim BND abtrainiert. Schamgefühl.
Update: Kontext, mehr, noch mehr. Schindler, falls das jemand verpasst hat, ist jetzt übrigens Consultant. Mit lauter anderen Ex-Funktionären. Wenn ihr mal bei Schindler auf "mehr" klickt, kommt als Beschreibung seiner Kernkompetenz beim BND:
Weltweite Informationsbeschaffung
Wie jetzt, Herr Schindler, aber die Information, dass Huawei als einzige Einblick in ihren Quellcode gewähren, die konnten Sie nicht beschaffen?! Das war ja wohl GAR nichts. Wer die wohl gerade beauftragt? Die Amerikaner vielleicht? Oder hat sonst noch jemand ein Interesse an der Darstellung, dass Huawei weiter als alle anderen Marktteilnehmer ist? Ihre Konkurrenten ja wohl eher nicht, oder?
Sagt der gerade ernsthaft:
Deswegen müssen Sie überall, an allen Stellen, Security an Platz 1 stellenAch. Ist das so, Cisco?
Ernsthaft? IMMER noch?!
Wie, fragt ihr, der Client hat doch gar keinen Port offen? Nein, aber er installiert einen Service, und der hat einen Port offen.
The summary is: when the WebEx client is installed, it also installs a Windows service called WebExService that can execute arbitrary commands at SYSTEM-level privilege. Due to poor ACLs, any local or domain user can start the process over Window's remote service interface (except on Windows 10, which requires an administrator login).Ja super! (Danke, Bernhard)
Mit Klassikern wie "Root-Passwort im Plaintext im Filesystem abgelegt", "der Webserver kann dir die Datei mit dem Plaintext-Passwort geben" und "Shell Command Injection via Webserver".
Hey, D-Link? Was macht ihr eigentlich beruflich?
Update: Die wollten halt nicht das Feld Cisco überlassen.
Das die immer noch ein "nach dem Update ist alles sicher" pullen und die Presse und ihre Kunden sie immer noch damit durchkommen lassen, ist mir echt unbegreiflich.
Hey Fefe, Cisco waren doch die, zu denen man geht, damit man keine Ausfälle hat, oder?
A vulnerability in Cisco Video Surveillance Manager (VSM) Software running on certain Cisco Connected Safety and Security Unified Computing System (UCS) platforms could allow an unauthenticated, remote attacker to log in to an affected system by using the root account, which has default, static user credentials.
Wie, echt jetzt? Immer noch?!?
Wie häufig muss Cisco euch eigentlich kaputte Produkte verkaufen, bis sie als Vendor durchgefallen sind?
Nein, wirklich, echt jetzt?!? Wie häufig und wie schlimm müssen die eigentlich verkacken, damit ihr mal aufhört, deren Produkte einzusetzen!?!?
Ist mir ein völliges Rätsel, dass die überhaupt noch namentlich Erwähnung finden bei Marktstatistiken, und nicht unter "Sonstige" laufen. WTF!?
Diesmal waren es schon wieder einkompilierte Standard-Passwörter.
Oder ersetze IBM durch Microsoft. Oder Cisco. Immer die gleiche Nummer. Die können gar nicht so übel verkacken, dass die Leute ihnen nicht mehr ihren Scheiß abkaufen.
Und dann, 20 Jahre später, merkte ich, dass das auch umgekehrt so läuft. Noch niemand ist gefeuert worden, weil er von den Russen gehackt wurde. Egal was passiert, man sagt einfach, man sei von den Russen gecybert worden, und dann ist der Job sicher. Niemand wird gefeuert, weil die Russen ihn gecybert haben. Egal wie krass der vorher verkackt hat. Spielt keine Rolle. Ist wie mit IBM, nur andersherum.
Das Prinzip ist sehr mächtig. Achtet mal drauf. Ich glaube sogar, dass das das eigentlich Muster ist, und die IBM-Geschichte ist davon abgeleitet.
Ich war mal mit ein paar Freunden in einem Escape Room. Lauter Nerds. Alle selbstredend davon überzeugt, besonders intelligent zu sein. Für alle war es also unakzeptabel, einen Escape Room nicht zu schaffen. Daher haben wir selbstredend den schwersten genommen, den noch nie jemand geschafft hatte vor uns. Wir haben ihn auch nicht geschafft. Aber gegen den dicksten Endboss im ersten Anlauf zu verlieren ist keine Schande. Ich habe mich nachträglich geärgert, dass ich da nicht stärker gegen opponiert habe damals. Aber diese Muster greifen halt überall.
Mir fällt das gerade ein, weil in Berlin immer so Plakate aushängen, für ein Theaterstück. Es heißt "Ich bin's nicht gewesen, Adolf Hitler ists gewesen". Hier ist eine schöne Kritik von dem Stück.
Naja und eigentlich bin ich drauf gekommen, weil ich diese Meldung hier las. Das Militär vertreibt Hundertausende aus der muslimischen Hinderheit in Myanmar. Und wer ist Schuld? Facebook! Klarer Fall von: Ich war's nicht, Facebook ists gewesen!
Noch nie ist jemand gefeuert worden, weil er sich von Facebook zum Hass hat anstacheln lassen!1!! Facebook ist das neue "die Russen". Oh, Facebook war Schuld? Na dann kann man da wohl nichts machen. Dann können wir ja alle weitermachen wie bisher *achselzuck*
Ich hatte vor ner Weile ein Gespräch in einer Organisation, die angeblich von den Russen mit einem APT gehackt wurde. Die Presse so: APT!! DIE RUSSEN!!! Und der Typ so, zu mir: Nix APT, eher so Back Orifice-Style megapeinliche Uralt-Malware… Aber hey, "DIE RUSSEN HABEN UNS MIT APT GECYBERT", … dann sprach der Mann einen Satz aus, der mir bis heute im Gedächtnis geblieben ist: Damit konnten alle gut leben.
Ja, meine Damen und Herren. So läuft das.
Facebook ist Schuld.
Die Russen haben uns gecybert.
Die Reichen werden immer reicher und die Armen immer ärmer.
Damit konnten alle gut leben.
Update: Das gilt natürlich auch außerhalb der IT und der Politik, aber ich wollte Beispiele nehmen, die aus meiner Lebenserfahrung kommen. Ein Leser kommentiert:
Anderswo hört man: "Das ist der Marktführer" und meint: Das wäre er nicht, wenn er nicht besonders gut wäre und da kann man ex definitione nix falsch machen. Beispiel: Spedition. Verkackt einen Termin, Geschäft platzt, Riesenschaden. Versandleiter: "Aber XY ist der Marktführer hier!" Geschäftsführer: "Ja, dann kann man nichts machen." Zu mir: "Sie machen keine Fixtermine mehr!"
Warum eigentlich? Was müssen die NOCH verkacken, damit die Leute aufhören, bei denen zu kaufen? Aktuell geht es um hard-coded passwords.
The reasons are that an attacker can infect another device on the same network and use it as a proxy for his SSH connection to the vulnerable Cisco PCP instance, allowing for remote, over-the-Internet exploitation.Wurmbar!
Hey Cisco? Was, würdet ihr eigentlich sagen, ist eigentlich eure Kernkompetenz?
Bedroht sind nur Nutzer, die die VPN-Funktion aktiviert haben. Ist das der Fall, müssten Angreifer Cisco zufolge lediglich präparierte XML-Pakete an das webvpn-configured-Interface schicken, um Speicherfehler auszulösen. Anschließend erfolgt ein Reload des Gerätes oder Angreifer könnten sogar die volle Kontrolle übernehmen.Schon toll, so Security-Lösungen. Wie die einen immer vor Angreifern schützen!
Aber mir glaubt ja immer keiner, wenn ich sage, dass man Komplexität senken und Angriffsoberfläche minimieren soll. You had me at XML.
Ernsthaft? Immer noch? Auf welche Meldung wartet ihr eigentlich noch? Die hier vielleicht?
Die Schwachstelle findet sich im Authentifizierungsmodul. Setzt ein Angreifer dort an, soll er sich aus der Ferne ohne Log-in-Daten Super-Admin-Rechte verschaffen können.Aber nicht doch, mein Herr, das ist keine NSA-Hintertür, das ist ein … bedauerlicher Bug! Kommt ja immer wieder vor!1!!
Echt? Da gibt es doch seit Jahren schon keine Entschuldigung mehr für…!?
Gut, dass man bei Cisco immer den Wartungsvertrag mitkauft, gell? *nudge* *nudge*
Gute Nachrichten: Ihr braucht keine Fernwartungssoftware mehr!
Merkt euch das mal. Demnächst wird wieder jemand kommen und was von Cyber faseln und dass wir der Bundeswehr oder den Geheimdiensten Geld geben müssen für Cyber. DAS IST, was dann passiert.
Die waren ja bei dem NSA-Malware-Dump prominent vertreten.
Cisco fixt jetzt doch mal die 0days der NSA, also die öffentlich gewordenen.
Cisco schmeißt übrigens demnächst mal 20% ihrer Mitarbeiter raus. Ich bin mir sicher, das hat nichts damit zu tun.
Das Beste aber ist die Punchline am Ende. Die Daten enden 2013, weil das der Zeitpunkt war, an dem Snowden seinen Leak veröffentlichte, und da haben die NSA alle ihre Tentakel schnell zurückgezogen. D.h. Snowden hat verhindert, dass die Russen da jetzt mehr Daten haben. Er schließt mit "You're welcome, NSA. Lots of love."
Badumm tssssss
Indeed, it quickly came to light that Juniper have a page where they say that the VPN devices in question here “do utilize Dual_EC_DRBG, but do not use the pre-defined points cited by NIST”.Das war genau der Zufallszahlengenerator, der von der NSA kam, und den NIST nach Snowden zurückziehen musste. Mit anderen Worten: Der Eigengeruch dieser Backdoor erinnert relativ deutlich an die NSA.Reports indicate a backdoor designed by NSA has been repurposed by America's adversaries and used against us:-)Oh und noch ein wichtiges Statement hat er geäußert, zur Deppen-Entgegnung "na wer ist schon so doof und kauft Juniper":
This thinking misses the point. Juniper just *closed* backdoors in their product. Cisco's still wide open.Ich würde mich ja jetzt nicht so weit aus dem Fenster lehnen wollen, dass das die einzigen Backdoors bei Juniper waren. Das meinte Snowden auch nicht, aber zur Sicherheit, falls jemand auf die Idee kommt, das so zu lesen.
Die schlechte: RSA BSAFE benutzt das als Default-RNG. Und nicht nur die, NIST hat eine Liste. Cisco, Apple, Juniper, McAfee, Blackberry, … bei den meisten wird das allerdings nicht Default sein.
Die gute Nachricht: BSAFE wird von keiner freien Software eingesetzt. Wenn ihr also Firefox unter Linux einsetzt, seid ihr sicher.
Ich bin mir gerade nicht sicher, wie das unter Windows ist. Da gibt es ein TLS vom System namens "SChannel". Das wird meines Wissens u.a. von IE und Chrome verwendet. Benutzt der BSAFE? Vermutlich. Es gab mal eine Zeit, da konnte man RSA und co gar nicht ohne BSAFE legal einsetzen in den USA, aus Patentgründen. Das müsste mal jemand herausfinden, wie das ist, und ob Windows den NSA-RNG einsetzt.
OpenSSL ist auch auf der Liste, aber die haben schon angesagt, dass sie das nur implementiert haben, weil ihnen jemand dafür Geld gegeben hat, und das ist nur an, wenn man den FIPS-Modus aktiviert, von dem sie im Übrigen dringend abraten und was nicht der Default ist.
Update: die erste plausibel klingende Erklärung liegt vor. Dieses Phänomen triff auf, wenn die Bosse zwar Geld für die Expansion brauchen, aber damit den Wert ihrer Optionsscheine nicht verwässern wollen. Der Aktienrückkauf erhöht den Wert der Optionen, und die Anleihen bringen das Kapital für die Expansion rein.