Early Access: News mit einer Fail-Zwiebel, rostigen Coreutils und Ransomwarezahlungen
Shownotes
Die Security-Welt überschlägt sich und täglich werden neue, schwere Sicherheitslücken im Linuxkernel bekannt. Christopher und Sylvester versuchen, Schritt zu halten und erzählen von Dirty Frag und Copy Fail 2. Auch in der PKI-Welt brennt's allerorten: Bei D-Trust schon wieder (oder immer noch) und DigiCert hatte Ärger mit Malware-Angriffen. Außerdem geht Sylvester auf den nur teilweise erfolgreichen Wechsel der Linux-Coreutils zur Programmiersprache Rust ein und erzählt über Ransomwarezahlungen. Die sind nämlich nicht nur ethisch, sondern auch rechtlich ein zweischneidiges Schwert - und eine Garantie für das Ende der Erpressung bieten sie auch nicht.
Transkript anzeigen
00:00:00: Passwort, der Heises Security
00:00:04: Podcast.
00:00:09: Hallo liebe Hörerinnen und Hörern.
00:00:10: willkommen zu einer neuen Folge von Passwort dem Podcast von Heises security.
00:00:15: Ich bin Christopher Kunz von heises security
00:00:19: Und ich bin Silvester Trimmel vom Computer Magazin CT.
00:00:23: So wie wir das letzte mal hier angekündigt haben ist es eine Folge die sich eigentlich aus unseren Notizen vom letzten Mal zumindest teilweise noch bespielt Und entsprechend ist die Aufnahmesituation ein bisschen komisch.
00:00:35: Das eine ist, wir haben kein Feedback weil ihr hattet keine Zeit uns Feedback zu geben.
00:00:39: Diese Aufnahme findet am achten Mai schon statt also praktisch direkt nach Ausstrahlung der Vorausstrahlern der letzten Episode.
00:00:46: so und es ist halt insofern noch wichtig bitte behaltet das im Hinterkopf.
00:00:50: Wir haben hier jetzt insbesondere gleich zu anfangen ein paar Themen drin Die sich ziemlich schnell weiterentwickeln und ihr hört sozusagen Stand.
00:00:57: Der ist jetzt ein ganz Stückchen alt.
00:00:59: Wir wollten es aber trotzdem nicht weglassen, weil das wäre irgendwie noch
00:01:04: schlechter.
00:01:06: Und der Teil, der sich so rasisch weiterentwickelt ist ... dass die Security-Welt zumindest in unserem Bauchgefühl nach gerade implodiert habe ich geschrieben, Christopher hat gleich protestiert.
00:01:18: Explodiert?
00:01:18: Genau!
00:01:20: Ich finde sie explodiert.
00:01:22: Ich finde auch wir müssen das diskutieren um die ersten Minuten vollzukriegen und dich gleich wieder in die Security vier Beit Schreibgeschichten reinzugehen.
00:01:33: Also du hast gestern oder vorgestern in unserem Signal-Kanal einen Link vom Firefox Team gepostet mit einem Diagramm der behobenen Sicherheitslücken im Firefox und das geht irgendwie so...
00:01:45: Es hätte auch ein Diagrammen der Covid-Inzidenz von ein paar Jahren sein können, also das war schon exponentiell.
00:01:52: Das war exponentiell zwischen März und April.
00:01:54: die haben wir im April.
00:01:56: was wars?
00:01:56: Dreihundert Sicherheitslücken behoben irgendwie sowas.
00:01:59: Ich gucke mal schnell, also es war eine Menge.
00:02:02: Eine ganze ganze Menge!
00:02:04: Also insbesondere haben sie auch davor das Diagramm geht halt irgendwie so über eine halbe Jahre oder so und die Balken davor sind einfach stabil und klein.
00:02:14: und dann geht's wirklich Februar-März ein leichter Anstieg und April geht voll durch die Decke.
00:02:21: So gehts nicht nur Firefox.
00:02:26: Jetzt.
00:02:26: vor zwei Tagen haben wir die letzte Folge aufgenommen.
00:02:28: Wir haben da über Copiefeld geredet, jetzt haben wir schon packalweise Updates dazu kommen gleich dazu wer weiß wie es in zwei Wochen aussieht und ich glaube wir sehen das jetzt gerade wirklich dass die mit neuen KI-Tools mögliche Automatisierung über uns herein bricht also über uns im Sinne von alle Leute die sich mit Psychi-Hörti beschäftigen scheinbar gerade anfangen durch dieses jammertal zu gehen das hoffentlich nur ein jammerthal ist dass jetzt sämtliche bucks die irgendwo nicht sämtslich aber zumindest sehr viele bucks die halt schon lange irgendwo drin stecken und die sozusagen eine technische schuld war die die niemanden gekratzt hat weil findet schon niemand diese bucks.
00:03:09: Die werden jetzt gefunden und entsprechend Häufen sich halt die meldungen so sehr, dass wir auch überlegen was davon überhaupt noch melden.
00:03:17: Weil man kann ja auch nicht einfach jeden tag sagen übrigens Es ist wieder so was wie Copy-Feld aufgetreten.
00:03:22: Übrigens, es ist wieder etwas im Winterskandal umgefallen oder so und das ist irgendwie immer mehr oder weniger das Gleiche.
00:03:28: Und was man auch noch dazu sagen soll weil du gerade Sammertal gesagt hast die Fiehundert oder die gefixende Sicherheitslücken dabei bei Firefox wurden ja händisch gefixt aber von Mythos gefunden.
00:03:43: also wir haben immer noch diese Asymmetrie dass da menschliche Entwickler wirklich Crunchtime hatten und in dem Blogartikel dankt ja, wer auch immer ihn geschrieben hat sehr ausdrücklich den Entwicklern die da wirklich Wochen im Grunde mehr oder weniger Sicherheitslücken in Firefox beseitigt haben um die rechtzeitig schippen zu können.
00:04:04: Und diese Asymmetrie macht jetzt wirklich an vielen Stellen viele Probleme.
00:04:09: Auch Köln der Daniel Stamburg ist ja immer auf Social Media aktiv paar Wochen oder Monaten gesagt, ich glaube vor einem Monat ungefähr.
00:04:18: Die Lücken, die automatisch also über AI reportiert werden, werden erheblich besser.
00:04:22: Also das ist jetzt kein Slop mehr oder weniger.
00:04:24: Da war ja ein sehr ausdrücklicher Kritiker davon und die Sachen werden besser.
00:04:31: Und ich glaube da sind viele der Geschichten... Das haben wir heute auch schon mal ihr zwei gehört bei einer Veranstaltung bevor der Aufnahme.
00:04:39: Es werden jetzt auch Sachen gefixt, auf die man vorher gar nicht gekommen wäre.
00:04:42: Also wo man, die man entweder sein gelassen hat, weil man nicht genug Zeit hatte oder wo man gar nicht auf die Idee gekommen wäre dass man das angehen kann, das Thema.
00:04:54: Ja und also wie du sagst, insbesondere ist das Reporting liegt halt gerade so wahnsinnig zu und die Zahlen von Firefox ist halt noch ein Projekt des... Zumindest bislang scheinbar da irgendwie mithalten kann, indem sie ein Konstantem machen und weil Mozilla halt groß ist und so.
00:05:11: Aber das stellt wirklich erhebliche Herausforderungen.
00:05:15: Ich glaube ich habe es in der letzten Folge schon erwähnt aber wenn's jetzt nochmal war ich so bezeichnend finde Greg Crore Hartmann also Nummer zwei des Linux Kernels hat vor ein paar Tagen auf der OSS Security Mailing Liste gesagt Sie sehen das mittlerweile regelmäßig dass lücken unabhängig neu reported werden, also praktisch parallel entdeckt werden bevor sie den fix überhaupt draußen haben.
00:05:39: Also es geht nicht mal darum dass jemand den veröffentlichten patch über den ki tool analysiert und dann exploit baut sondern Die kriegen eine lücke gemeldet die brauchen ein paar tage um einen patch dafür zu entwickeln Und diese partage reichen damit andere teams mit anderen ki tools dieselbe lücke finden Und man darf halt davon ausgehen auch leute die das dann eben nicht melden Sondern einfach sagen ach wunderbar das kann ich hernehmen Das ist wirklich gruselig.
00:06:07: Und jetzt ist Christopher wieder stumm!
00:06:09: Es ist auf jeden Fall eine Woche gewesen, die mit dem heutigen Freitag den achten zu Ende geht an dem wir aufnehmen.
00:06:15: Die hätte früher auch ein Monat sein können.
00:06:17: also ich habe mal so einen monatlichen Security-Rebinar gemacht für meinen alten Arbeitgeber und da waren manchmal im Monat so viele wichtige Sicherheitslücken wie wir in den letzten Tagen hatten.
00:06:32: Mein persönlicher Favorit, die Red Sun Looker oder Windows ist auch immer noch nicht gefixt.
00:06:36: Die wird wohl dann mit dem nächsten Patch Day kommen
00:06:38: aber vielleicht ist ihr ja gefiXT wie es ihr diese Folge hört.
00:06:41: nachdem wir dieses Mal so viel Full-off haben stehen die Chancen besser als sonst.
00:06:46: Ja ich weiß es nicht.
00:06:48: Ich guck mal gerade wann der Mai Patch Day ist.
00:06:50: Ist er nächste Woche Also am febzehnten oder so?
00:06:54: Äh dreizehnter, dreizehnter?
00:06:55: Das ist zweitausendfünfundzwanzig.
00:06:57: Aber das müsste dann ja hinkommen.
00:07:00: Dass die Dass das dann irgendwie nächste Woche oder sowieso um den.
00:07:05: Auch wieder dreizehnten Mai, oder so.
00:07:06: am zwölften Mai ist es patch Dienstag und ich bei uns kommt das ja dann glaube ich irgendwie am Mittwoch an.
00:07:14: Ja also gucken wir mal.
00:07:15: das ist ja auch eine Sache hinter die ich ein großes Frage zeichen stellen würde wie lang kann man in der Welt in der wir jetzt scheinbar leben?
00:07:23: Sowas wie wir haben im monatlichen Patch-Stay überhaupt noch aufrecht erhalten?
00:07:27: und muss nicht sagen dass machen wir viel schneller viel dynamischer?
00:07:31: Ja gut, aber wann hat microsoft schon mal interessiert was man eigentlich machen
00:07:36: sollte?
00:07:37: ich hab kann gesagt das war natürlich das falsche wort.
00:07:39: Ich mein die
00:07:40: weißt du was die machen was sie machen werden.
00:07:42: Die werden sagen ja dann Packen wir noch mehr software in die cloud weil dann kriegt ihr die patch ist ja sofort Dann braucht ihr nicht patchen weil ihr habt es ja gar nicht mehr vor eurem rechner und dann haben haste irgendwann nur so ein Windows von sie
00:07:53: Kleint.
00:07:54: Ja, oh ja genau sind kleins.
00:07:56: das hat sich richtig durchgesetzt.
00:07:57: dieses konzept der sind kleinste da waren ja alle mal total Total bullisch dafür, aber das hat sich irgendwie.
00:08:04: Gehören die noch zu oracle?
00:08:07: Vielleicht kann Microsoft ja einfach Sun kaufen und Windows wird dann sozusagen zu irgendwas was ich mir nur auf einem thin klein lade.
00:08:14: Ja wer weiß auch dass gibt es dieses cloud gaming.
00:08:17: Das ist ja auch eigentlich so eine abwandlung von finn-clines.
00:08:20: Ich weiß auch nicht dass es auch nicht so ein riesen erfolgsmodell habe.
00:08:22: ich das gefühlt.
00:08:23: anyway wir schweifen ab.
00:08:24: lasst uns jetzt mal ein bisschen security machen.
00:08:26: feedbacks haben wir Aus naheliegendem Gründen nicht.
00:08:30: Und wenn wir dann bald zweimal am Tag den Podcast ausstrahlen, dann müsst ihr euch richtig beeilen dass ihr das überhaupt noch ein Feedback dazwischen kriegt.
00:08:37: Das war keine ernsthafte Angründigung.
00:08:39: nur um es klarzustellen Wir haben beide anderes ein Leben außerhalb dieses Podcasts und werden nicht zweimaler Park ausstahlen.
00:08:48: Ein Leben außerhalbses Passwort Podcast ist möglich aber sinnlos.
00:08:53: So jetzt aber In die vollen weil ich das doofe gefühle habe wir kriegen auch mit diesem zweiten teil unserer notizen, die eigentlich eine folge hätten werden sollen.
00:09:04: Die zeit ganz gut rum.
00:09:06: Ich fange mal an würde ich sagen ich habe ein update dass hast du ja gerade schon angeteasert zu copy fail.
00:09:11: Wir hatten die copy fail lücke in epischer breite letzte woche besprochen und ich hoffe Auch in der notwendigen technischen tiefe.
00:09:19: deswegen mache ich es jetzt etwas kürzer.
00:09:22: Erinnern uns, glaube ich gleich noch mal gemeinsam ganz kurz an die Idee hinter dieser Sicherheitslückenklasse.
00:09:29: Das ist ja, kann man schon als eine Klasse oder ein Exploit primitiv bezeichnen das sich jetzt sehr schnell etabliert hat und... Ich bin ja immer richtig happy wenn ich mal mit einer Prognose richtig liege auch ne kaputte Uhr geht zweimal am Tag richtig.
00:09:46: diese LPEs also Local privilege escalations die schießen wie Pilze aus dem Boden nicht nur.
00:09:53: Unter microsoft sondern auch unter linux und das war zugegebenermaßen jetzt auch nicht unheimlich schwierig zu prognostizieren.
00:10:00: da muss man ja nun mal auf eine beliebige cv liste.
00:10:04: gucken wir uns dann sieht man halt das ganze.
00:10:06: es ist allerdings nicht ganz leicht rauszufiltern.
00:10:08: ich habe mich gestern noch einmal dran versucht herauszufinden wie viele privilege escalation beim letzten patch der von microsoft gefixt wurden.
00:10:15: Das ging nicht in zwei Minuten und dann habe ich irgendwie das Interesse verloren.
00:10:19: Also,
00:10:19: ich dachte du kündigst jetzt an nachdem das Nist mit dem CVE Enrichment nicht mehr herkommt wird zumindest Christopher Kunz einfach alle LPE-CVEs enrichen.
00:10:28: Ja, genau.
00:10:29: Identifizieren
00:10:29: ist ja schon mal ein Enrichement
00:10:31: ne?
00:10:31: Ich enriche erstmal alle CVS die es überhaupt gibt als LPE's wird schon passend.
00:10:36: so statistisch liegt man da wahrscheinlich in zwanzig Prozent der Fälle richtig.
00:10:40: So wir haben... Einen neuen bug derselben lötenklasse in linux und der ist auch wieder sehr zuverlässig ausnutzbar mit ein bisschen drum herum.
00:10:50: Und es gab drumherum auch einiges an, wo auch verwirrung aber auch eine gewisse bestätigung dessen was wir vor allem gräger hartmann im kontext von copyfail so gesagt haben.
00:11:01: ich fange mal an und zwar gibt es copy fail zwei und es gibt dirty frag.
00:11:06: das sind zwei namen die Also Sicherheitslücken mit Namen sind ja immer wichtig, das wissen wir.
00:11:11: Die laufen jetzt also auch in die Vulnerability-Garden einsicherlich und Dirty Frag ist, das erzähle ich ausführlicher als Copy-Feld II, warum werdet ihr gleich sehen?
00:11:20: Wieder dasselbe exploitprimitiv!
00:11:22: Die Idee hinter Copy-fail war ja du letzt irgendein Binary in deinen...also sehr stark vereinfacht letztendlich ein Binary und du kriegst die Gelegenheit über einen Fehler in irgendeinen Kernelmodul vierbyte im PageCache, in die gecached, also im Page Cache gekäschte Kopie einer Datei zu schreiben, die du eigentlich nur lesen darfst.
00:11:44: Im Fall von CopyFail war das binSU oder userbinsu und im Fall von DirtyFrag ist es dann direkt ITC PassWD.
00:11:54: because why not?
00:11:55: Denn wenn ich da vierbytes einmal reinschreiben oder beliebig oft reinschreibe kann, kann ich auch eine ganze Zeile reinschreiben und dann kann ich mir einfach ein super User anlegen.
00:12:02: Das ist der Xploit.
00:12:03: Die Sicherheitslücke dahinter ...bürgt sich in
00:12:07: X-Früm.
00:12:08: Das ist kein Window Manager von... ...'sondern das ist X, also X für wahrscheinlich Extended oder XFormation und Frame, also für Frames oder Pakete,... ...das ist ein Modul zur Paketmanipulation bei ESP-Paketen.
00:12:25: So habe ich es ergoogelt und vereinfacht euch ein bisschen.
00:12:27: ESP ist die Encapsulated Security Payload irgendwas IPsec und wenigstens IPsec habe ich schon mal gehört.
00:12:35: Also EPS oder ESP kenne ich auch, zumindest vom Namen her war da nie so richtig was mit zu tun gehabt genauso wenig wie mit IPsec.
00:12:42: Ich habe mir aber sagen lassen nicht ganz viel verpasst von der Usability her.
00:12:47: also ich bin immer direkt bei OpenVPN eingestiegen.
00:12:51: Das habe ich auch schon gehört dass es kein großer Spaß ist.
00:12:54: Aber ja ich kann auch nicht technisch sehr viel mehr dazu beisteuern.
00:12:58: Ne, wir überschlagen das.
00:13:00: Also wenn jetzt der deutsche IPsec-Fanclub uns noch dazu ein Feedback geben will warum IPsec Prinzip bedingt besser ist als alles andere gerne reden wir auch gerne beim nächsten mal in der Feedback Sektion drüber.
00:13:10: bis dahin müsst ihr mit den naiven Geschwurbel klarkommen dass ich hier gerade absondere.
00:13:15: so dieser diese Idee ist dann dass du viel weit schreiben kannst in deiner Datei und du kannst es oft wie möglich oder so öffentlich nötig machen.
00:13:22: Und dann kannst du in die Datei Shellcode reinschreiben Wenn's eine binary ist das ausgeführt werden kann oder Wenn es sowas ist wie die ETC PassWD, dann schreibst du da einfach eine neue Zeile rein mit einem User der UID Null hat und dann machst du einfach in dem exploiten SU auf diesen User.
00:13:41: Das funktioniert aber nicht immer.
00:13:43: Also dieses exploit primitiv funktioniert unter Ubuntu wegen AppArmor nicht?
00:13:51: Darf ich das so sagen?
00:13:52: Sowas wie SC Linux nur unter Ubuntu?
00:13:58: sind halt zwei Lösungen.
00:14:00: oder zweites herangehensweise an dein Problem, die aber auch nicht gleich sind.
00:14:04: Ich glaube in den unterschiedlichen Essierlinien sind App-Armor steigend jetzt nicht ein.
00:14:10: Genau da steigen wir nicht ein und verlieren wir uns.
00:14:13: Und dieser Bug kann nicht ganz... Also der fängt App-ARMOR weg.
00:14:19: deswegen baut sich der Autor noch einen Exploit für einen zweiten Bug Rxrpc und da war ich dann selbst mit Google kurzzeitig am Ende, weil das keine Wikipedia Seite hat.
00:14:36: Und auch die Google Ergebnisse so ein bisschen interpretationswürdig waren.
00:14:42: Das ist ein Protokoll... Es hat doch eine eigene Adressfamilie.
00:14:46: also du kannst ein Socket mit der Adress-Familien a f x rpc aufmachen.
00:14:50: wir erinnern uns an Copy Fail.
00:14:51: Da gab es ja diese algif Adress Familie und dieses Protokol ist auf UDP Basis und macht RPC Calls, also Remote Operations, also Procedure Calls für AFS.
00:15:11: So jetzt sagst du mir bitte Silvester dass du AFS kennst?
00:15:14: Und guck nicht in die Notizen bitte!
00:15:16: Ne also ich gucke die notizen aber... Du sagst die Abkürzung schon was, aber wahrscheinlich habe ich voll die falsche Abkörzungen im Kopf.
00:15:22: Ja,
00:15:23: Apple-Files ist die Abgürzung vom
00:15:24: Kopf.
00:15:25: Genau das hatte ich im Kopf ja!
00:15:27: Das gibt es auch, aber in diesem Fall nicht gemeinsam sondern das Andrew-File System und das Andrew Files System.
00:15:33: jetzt kommt wieder so ein Titbit an, um nur zum Wissen für das ich wahrscheinlich wieder irgendwie die Erinnerung einmal einer Einschulung vergessen und überschrieben haben oder so.
00:15:41: Das ist benannt also Andrew File System ist benannt nach Andrew Carnegie und Andrew Mellon Und sagen die Namen Andrew Carnegie und Andrew Mellon was?
00:15:53: Es gibt eine Uni, die Carnegie Mellons University.
00:15:56: Und
00:15:56: deren Gründer sind das?
00:15:59: Das ist an der Carnegie Mellen University erfunden worden in den Achtzigern so wie ich es verstanden habe.
00:16:05: Die Carnegie Mällen ist ja auch ein bisschen so eine IT-Elite-Uni.
00:16:11: Ich weiß nicht, ob sie es noch ist.
00:16:13: Aber hat schon gemeinsam
00:16:14: mit MIT
00:16:15: viel gemacht.
00:16:16: MIT Berkeley, Carnegie Mellon waren so in der Informatik und auch sich nicht so Sachen wie UNIX und eben offensichtlich in der Entwicklung von verteilten Datei-Systemen von ziemlich am Cutting Edge.
00:16:33: Das ist aus der vierundachtzig entwickelt worden.
00:16:35: und da wir das jetzt ergoogeln mussten unter ihr, dass vielleicht auch googlen müsst.
00:16:39: Wenn ihr diesen podcast hört könnte euch dann wahrscheinlich eins und ans zusammenzählen, dass dies verbereitungsmäßig nicht ganz soweit gekommen ist wie das deutlich populäre nfs.
00:16:50: Das hat halt gewonnen.
00:16:51: es gibt irgendwo wenn man in den suchergebnissen weit genug scrollt ich glaube für das oder fünftes Ergebnis gibt's eine präsentation aus dem jahr zwei tausend elf am zern.
00:16:59: die geht eine Stunde oder so, aber ganz zum Schluss gibt es ein Slide.
00:17:03: So what went wrong?
00:17:05: Und da steht drin warum sich AFS nicht durchgesetzt hat und das ist aber nicht wichtig.
00:17:10: Wichtig ist dass es im Linux Kernel einen Modul dafür gibt.
00:17:13: Und eben ein Modul für Remote Procedure Calls über AFS und da ist er zählig so lang und weilig weil sich da für mich wieder so ein gewisses Bild weiter festigt, dass dieser ganze Legacy-Kram den Ausamt dem CERN und Carnegie Mellon vielleicht gar nicht mehr.
00:17:28: so wirklich jemand benutzt uns an allen ecken und enden wirklich beide ins kniesch schießt.
00:17:36: Und da müssen wir nicht mal vorher abenteuer gewesen sein.
00:17:38: also das ist schon.
00:17:41: Ich finde dass das ist mal wieder so ein sagnagel für so einen ding, wo ich erstmal googeln muss Wo das herkommt?
00:17:46: Und warum das noch im kernel ist lässt sich schon gar nichts sagen.
00:17:49: Das ist einfach nur da weil es mal jemand nicht weggeräumt hat und vielleicht kann Da auch ai Mal in Verbindung mit so weiß ich nicht telemetrie Daten die mal irgendwann freiwillig erhoben werden konnten Auch mal ein Nutzerbild machen.
00:18:02: Anyway, das Ding ist dieser zweite Lücke ist auch noch nicht gepatched.
00:18:06: also dieses, diese Harnes nenn die das?
00:18:08: Also der... Was ist denn ein Harnis?
00:18:11: Nicht einen Gerüst.
00:18:12: Das Zaumzeug ne?
00:18:13: Ja, so nen genannten Zaum-Zeug.
00:18:16: Also was quasi drumherum ist um den eigentlichen Exploit, dass es aktuell in Mainline noch nicht gefixt.
00:18:23: Dieser eigentliche Bug, diesen ESP, ist seit dem fünften Fünften beruben.
00:18:30: Da ist der Patch eingespielt oder siebten, fünften glaube ich.
00:18:34: Ist er in Mainline gekommen?
00:18:35: Am fünfen-fünften erst ins Netdef.
00:18:37: In diesem Netdef Subtree.
00:18:40: Das ist Dirty Frag.
00:18:43: Ich
00:18:43: muss mal kurz meinen Kernel updateen.
00:18:44: heute ist der achte fünfte.
00:18:46: Warte mal!
00:18:47: Ich muss gerade mal kurz...ich habe heute Morgen erst abgedatet aber es ist ja schon früher Nachmittag also muss sich wahrscheinlich nochmal zwei drei Updates machen.
00:18:54: Also wir müssen halt wirklich so Kernel Live Streaming machen und Der Kernel wird einfach nicht ausgeführt oder er wird von woanders gestreamt.
00:19:03: Ach so, oder so, ja genau!
00:19:05: Ich wollte gar nicht sagen... Oder wir machen das Kernel-Update durch bevor die nächste Copy-Fail-Dreihundertfünfundseipzig auftaucht?
00:19:12: Also auch hier wieder ist natürlich der Hot Fix weil ich noch keinen Update für den Kernel habe und selbst wenn ich Mainline kompilieren und einsetzen würde hätte ich halt diesen zweiten Teilback noch keinen update.
00:19:25: Du blocklistest einfach die entsprechenden Module So dass dann die, also wenn du sicher bist, du benutzt kein IPsec.
00:19:32: Dann kann das ESP-Modul ja wohl auch raus.
00:19:34: und wenn du sicher bist, dass du von AFS noch nie was gehört hast, dann ist es sehr unwahrscheinlich, dass Du Remote Procedure Chords zu irgendeinem AFS machst, das irgendwo im Netz steht.
00:19:43: Insofern kann man die dann blocklisten und dass selbe gilt im Grunde auch für Copy Failed II.
00:19:49: Copy Filled II Codename Electric Boogaloo Ist genau das gleiche Explode Primitiv wie Dirty Frack.
00:19:57: Also ist der gleiche Back ist exakt der gleiche Bug in diesem ESP in UDP Code.
00:20:03: Und das ist der gleicher Bug, weil der Autor von Copy-Feld II den Commit Reverse engineered hat.
00:20:09: Der hat diesen Commit gesehen im Mainline-Colonel und hat sich gedacht, ah Moment!
00:20:13: Das sieht interessant aus.
00:20:16: und dann hat er denen wie man so schön sagt weaponized also waffenfähig gemacht und hat es sich da einen eigenen Exploit für diese Sicherheitsdücke geschrieben.
00:20:24: aber der Unterschied Erstmal die Github-Repos haben verschiedene Namen, der andere Unterschied ist aber auch dass er ein anderes Drum herum gebaut hat.
00:20:32: Der hat sich nämlich nicht diesen Harnis also dieses Zaumzeug gebaut über RxRPC sondern der hat was von dem ich wirklich schon mal gehört habe und wo ich auch erheblich mehr Erfahrungen mit hab als ich es eigentlich gerne hätte hergenommen.
00:20:43: Nämlich der hatte einen User Name Space mit OpenSSL gebaut.
00:20:48: da gibt's dann noch so eine Hilfsbynerie das kompiliert wird, dass irgendetwas Esoterisches mit Open SSL macht und so über den User Name Spaces an AppArmor vorbeikommt und sein eigentliches Exploit-Premitiv um Ruht zu werden ausführt.
00:21:02: Der macht genau das gleiche mit der Exploitte, also die payload ist dieselbe.
00:21:06: da wird auch eine Zeile in ITCPass für dir geschrieben wenn ich mich jetzt nicht vollkommen vertue weil die Github Reposo diese writeups sind auch so ähnlich dass wenn ich dann zwischen den Tapschen und her schalte ich bisweilen ganz schön durcheinander komme und ich glaube es geht nicht nur mir so.
00:21:20: So denn wenn das jetzt dieselbe Lücke ist nur ein bisschen Zucker drumherum, der sich unterscheidet.
00:21:25: Also einmal Zucker und einmal Zimtzucker.
00:21:27: Warum veröffentlicht denn dann zwei Researcher dieselbe Lücke zweimal am selben Tag?
00:21:34: Was hat's denn damit auf
00:21:35: sich?".
00:21:35: Und das ist leicht zu lernen.
00:21:38: Das wird jetzt
00:21:39: verraten oder?
00:21:40: Ja
00:21:40: ich verrate uns das jetzt.
00:21:42: Also dir... Ich weiß es ja schon aber eigentlich auch nicht dir weil du weißt es eigentlich auch schon.
00:21:47: Diese Lücke wurde
00:21:49: an
00:21:50: security at colonel.org gemeldet, da gab es dann ein Responsible Disclosure-Ding mit einer relativ engen Embargo Timeline, nämlich eine Woche und der Patch ist am siebten Fünften gemirkt worden in den Mainline-Colonel.
00:22:06: und am selben Tag gab's noch ne weitere koordinierte Disclosure auf der Linux Distros Liste also dieser Liste die Greg Koer Hartmann so ein bisschen mit Sport bedacht hat und gesagt hat, der möchte ja nicht mehr so richtig zusammenarbeiten.
00:22:22: Und diese Liste wie auch alle anderen Methoden Informationen über Sicherheitslücken durch mittels eines Embargos zu schützen sei löchrig wie ein Sieb.
00:22:33: Also das sollte man vielleicht kurz sagen die Linuxistro-Liste da kommt nicht jeder drauf sondern die Gucken halt sind im wesentlichen Repräsentanten von großen Linuxistros drauf Und die haben auch relativ harte Regeln, sozusagen dass man halt nicht drüber reden darf was noch diese Liste erfährt und so.
00:22:49: Also die ist für Imparagus gedacht.
00:22:52: also das ist wenn ich mich nicht vollkommen falsch erinnere der Nachfolger im Geiste von einer Liste namens Wendorssec und Wendorsec war auch eine interne Mailing-Liste auf die du nur gekommen bist wenn mindestens zwei oder so Bestehende Mitglieder für dich votiert haben.
00:23:16: Also, wie heißt denn das?
00:23:18: Für dich gerade stehen Tuvausch, was haben wir?
00:23:21: Ja, Bürgen!
00:23:22: Für dich danke, für dich gebürgt haben und hatte aber dasselbe Problem.
00:23:27: auch da gab es dann öfter mal oder ab und zu mal ein League und die ist dann noch irgendwann eingeschlafen wurde meine ich von den gleichen Leuten moderiert, die ja auch Backtrack und Full Disclosure zu bestimmten Zeitpunkte in der Historie unter ihren Fittichen hatten.
00:23:40: so Kam dann also diese Liste auch an und das war ja schon ein Schritt mehr als bei Kopiefeld passiert ist, ne?
00:23:47: Weil wir erinnern uns an den Kopiefel.
00:23:48: Die ging an SecurityAtColonel.org.
00:23:49: Und dann haben die da den Patch gemirrt und dann macht es plötzlich boom!
00:23:53: Und die Lücke war in der Welt hatte eine Webseite und einen Poof of Concept und alle Distros haben dicke Backen gemacht weil sie den Colonel einfach nicht so schnell ihre Distros kriegen.
00:24:02: und dann haben natürlich in der Folge auch alle Atmins dicke backen gemacht und das gab für die Entdecker dieser Kopiefellücke Ein bisschen negative Presse, denn die standen natürlich dann...
00:24:15: Wobei man ehrlicherweise sagen muss der Disclosureprozess oder der Meldeprozess nicht Disclose der Melleprozesse so wie in der Kernel beschreibt ist eben im Prinzip das Du meldest an uns und abdannest es uns wurscht.
00:24:27: Und ich meine hier gibt diese Discord-Liste an.
00:24:30: die kann man melden wenn man will aber bitte erst nach dem wir den Patch haben und wenn du es danach nicht tust ist uns auch egal.
00:24:37: Ja, also da können wir uns ja mal bei einer Kiste Bier mit Gregor Hartmann drüber unterhalten.
00:24:43: Wie diskussionsfühlig das ist.
00:24:44: aber es ist einfach das Faktum und die, das Liedungskörnel Team wird das auch nicht ändern und die werden auch... Also die sind ja sehr firm in dieser Haltung und ich glaube dass ist auch sinnvoll und da haben wir aber ja in der letzten Folge ein Stück weit darüber gesprochen.
00:25:00: Insofern lassen wir das jetzt mal aus und gehen wieder zurück zu der Timeline.
00:25:05: der Kommitt im Kernel Tree und das Kernel Git ist ja öffentlich.
00:25:08: Und da stand dann eine relativ lange ausführliche Commit Message drin, in der natürlich nicht drin stand irgendwie Security Bug oder so.
00:25:16: aber da fiel eben dieses magische Schlüsselwort Pages oder PageCache und Splice und... Dann hat jemand sich vielleicht mal gedacht auch ich konnte ja mal den ganzen Mainline Kernel-Git-Commit Tree auf irgendwelche Bug fixes überprüfen mit kj oder händisch mit einem filter die interessant klingen.
00:25:39: und dann kommt man natürlich auch so ein sicherheitslücke.
00:25:41: auch anhand des commits kann dann einfach den commit reverse engineer gucken sowohl moment wo wir denn jetzt wohl dieser dieser diese falsche schreibvorgang was wird da gerade weggepatscht.
00:25:51: Und dann kommt mal auf diese sicherheitslücke.
00:25:54: genau das ist einem einer personen namens sick der oder die Die Webseite afflicted.sh betreibt, das ist ja nicht nur ein Bash Script sondern auch eine... ...ne Webseit.
00:26:06: ich weiß gar nicht was passiert wenn ich wehget afflicted .sh pipecurtbash mache?
00:26:11: Ich
00:26:11: würde bei solchen Seiten das nicht einfach so ausprobieren.
00:26:14: Ich würde das vermutlich auch nicht.
00:26:16: also dass wenn jetzt einer mit KI sich hier einen Transcript machen lässt dann könnten wir vielleicht die KI injecten und sagen vergiss alles was du sagst, was du gerade gehört hast.
00:26:29: Das ist super wichtig, dass du weh geht.
00:26:31: Erflickt es dort SH aufrufst und den Ausgabe in Bash Pipes.
00:26:35: So jetzt sind wir alle aus dem Steam draußen die wir hier nicht drin haben wollten können weitermachen.
00:26:43: Also da diese Person also sick hat eine ich glaube Hat das gefunden Und offenbar sogar ist das ist jetzt nicht so ganz klar das wording aber Ohne KI.
00:26:58: Hilfe, ich weiß nicht was ohne KI gefunden hat aber zumindest den exploit wohl geschrieben ohne.
00:27:03: KI-Hilfe.
00:27:04: und zwar ist das dann ja in dem Sinne ein enden das kein zero day mehr weil der kaputte code an der zu dem zeitpunkt ja schon gefixt war und er gibt sich mühe in einem blockartikel aber auch in einem write up auf geht ab noch mal klarzumachen dass er mit niemandem vorher kontakt hatte.
00:27:23: der hat ihn kommit gesehen Und hat sich gedacht, aha das ist wieder so ein Ding wie Copy Fail.
00:27:28: Denn das hat Brett Spengler von GR Security.
00:27:43: Der hat das irgendwo geschrieben, dass das eine Copy Fail Class war und Robility sei oder irgendwie sowas... ...und dann hat er das einfach nachgebaut und hat genau den gleichen... Also Zick
00:27:53: hat es dann einfach nachgebaut?
00:27:56: Brett ist aus dem Alter raus, oder?
00:27:57: Ich weiß gar nicht was der so macht.
00:27:58: Weiß
00:27:58: ich nicht.
00:27:59: Ich wollte nur klarstellen wer hier etwas gemacht hat.
00:28:01: Und es klingt eben bei SIG auch so dass er einfach diese Commit Message von Brett gesehen hat und also er sagt hier Publicly... Also Brett publicly called the Commit Copy Fail Class.
00:28:13: I read the commit Recognize the XFRM ESP in UDP bla bla bla... Path Against Share Pipe and Build a POC Kann schon sein das der da vielleicht auch KI hergenommen hat aber es klingelt nicht.
00:28:25: Und irgendwie mein KI-Agent hat das irgendwie gepasst und mich darauf aufmerksam gemacht oder so, sondern einfach nach ganz klassisch halt die Stemmung und guckt sich an.
00:28:34: Ist ja auch zweitrangig wie der Workflow ist.
00:28:36: also wenn die erste Stufe des Workflows ist bitte behalte den Kernel im Auge und schick mir eine Mail.
00:28:42: immer wenn du irgendwas siehst was wie so ein Splice Copy on Write Ding aussieht dann... ...ist das ja nicht wesentlich anders als wenn du das Keyword basiert selber machst mit irgendeinem Mailfilter oder so.
00:28:55: Anyway, dieser SIG hatte also keinen Kontakt, wusste nichts von dem Embargo Also wusste nicht dass da ein Embargot bis zum zwölften Mai geben sollte und wusste auch nicht das da dann eine Disclosure kommen sollte.
00:29:09: Und natürlich hatte er weder Zugriff auf den bestehenden Proof of Concept Von dem Kim der dieses Es scrollte alles zu schnell weg, dieses Dirty Frack gefunden hatte.
00:29:23: Also hat wirklich komplett parallel gearbeitet und sich eine eigene Idee entwickelt wie er an den App-Armor vorbeikommt und hat das dann veröffentlicht weil er sich dachte also ist ja jetzt gefixt im Kernel Dann kann man es ja auch publizieren und hat damit dann das Embargo gebrochen dass auf diesen Security-Bug bestand.
00:29:45: Das war quasi kein Leak In dem Sinne, dass jemand auf der Liste hingegangen ist und gesagt hat, da ist ja schon proof of concept.
00:29:51: Dann nehme ich den einfach und verändere die variablen Namen und dann breche ich damit das Embargo.
00:29:57: Sondern da hat jemand wirklich parallel gearbeitet wie du gerade schon gesagt hast.
00:30:01: Dass es eben jetzt nicht nur durch die commit-messages in diesem Fall war es ja noch etwas einfacher Variante sondern auch ohne die commit message immer häufiger wird, dass solche Sachen parallel von mehreren Leuten entdeckt und exploited werden.
00:30:15: Kommt in der Welt ist, macht so ein Embargo einfach nicht mehr viel Sinn.
00:30:18: Und ich glaube das ist auch die spannende Frage wieviel Sinn hatten in einer hoch volatilen Umgebung wie dem Linux Kernel überhaupt so einen Embargot?
00:30:30: In welchen Sinne hast du ja gerade schon gefragt hat sowas als Release Zeitraum für den Kernel von einem großen Betriebssystem wie wir machen da einmal im Monat was dran?
00:30:41: Ist das überhaupt noch tragfähig dieses Modell oder müssen da erstmal damit umgehen lernen, dass Embargos auf Sicherheitslücken in Open Source Projekten gar nicht mehr funktionieren?
00:30:57: Ja also ich kann die Frage nicht beantworten aber ich könnte mir vorstellen das sind die Richtung geht.
00:31:04: Wir werden zumindest einen anderen Umgang damit finden müssen und wahrscheinlich wenn wir es überhaupt irgendwie halten können mit viel viel kürzeren Embargo Zeiträumen arbeiten müssen.
00:31:18: Also irgendwie so mal vierzehn Tage oder so ist ja eh schon relativ kurz.
00:31:22: Es gibt ja gerade so irgendeine Privatwirtschaft, teilweise Firmen die sagen wir wollen hier irgendwie Responsible Disclosure machen über sechs Monate oder so.
00:31:31: Das
00:31:31: ist auch wieder ein bisschen die Information aus dem Vorwort.
00:31:38: Die Welt dreht sich so schnell weiter dass einem so ein bisschen oder auch mal sehr schwindelig wird weil das ist halt wirklich so eine Sache.
00:31:46: ich habe Also für Kopiefeld zwei beziehungsweise für den Dirty Fract, das habe ich gestern um elf also drei zwanzig Uhr gelesen.
00:31:56: Ich glaube da irgendwo so um die Zeit ist es das Repo online gegangen und dann hab' ich heute Nacht um eins noch von einem Kontakt eine Signen Nachricht gekriegt mit dem Link zu dem Repo Und dann bin ich heute aufgewacht und dann gab's nicht nur das sondern dann gab´s mittlerweile auch Kopiefel zwei.
00:32:13: Ja, da wird einem schon schwindelig und man muss für sich so ein bisschen auch einen Modus finden.
00:32:17: Ganz persönlich mal abgesehen von Unternehmen die darauf reagieren müssen wie man diesen Wirbelsturm an Informationen ein bisschen für sich sortiert.
00:32:26: das ist ja nun mal unsere Aufgabe und ihr könnt davon profitieren dass wir diesen Wirbelscurve sortieren und euch die Rosinen rauspicken.
00:32:34: aber im Moment sind einfach auch eine ganze Menge Rosinen da und deswegen zeichnen wir jetzt noch die zweite Folge in einer Woche auf.
00:32:43: dann in drei Wochen das nächste Mal aufzeichnen gehe ich davon aus, dass wir Widerstoffe für drei oder vier Folgen haben.
00:32:48: Also...
00:32:49: Ja also wir müssen langsam mal gucken.
00:32:51: nicht dass wir auch.. Ich würde schon ganz gerne immer wieder auch so monothematische Folgen einbauen und wenn wir sozusagen gar nicht mit dem News durchschauen, wenn hinterher kommen, müssen wir uns da vielleicht irgendwas anderes überlegen?
00:33:01: Genau!
00:33:01: Dann gibt es vielleicht einfach mal einen Monat oder zwei Monate keine News folgen und dann lese ihr dafür ein bisschen mehr Also Security.
00:33:11: Aber wir sind da auch mit unserer Chefredaktion im konstanten Gespräch, wie wir das inhaltlich feintunen.
00:33:22: oder was will jetzt auch machen?
00:33:25: Mit dem Podcast um A. Unserum Redebedürfnis weiter Rechnung zu tragen aber B eben nicht acht Stunden jede Woche diesen Rechnung tragen zu müssen, weil das wird dann irgendwann auch für euch ja nicht mehr handhabbar.
00:33:38: Oder würde jeder von euch und jede von euch acht Stunden die Woche unseren Podcast hören können?
00:33:43: Ich nehme ja mal an, nicht!
00:33:46: Jetzt kommen garantierte irgendwelche Zuschriften, die sagen ja bitte gerne, also die Frage hättest du dir echt sparen können?
00:33:52: Wir wollen nicht so viel Podcast machen.
00:33:54: aber vielleicht um es auch mal ganz klar zu sagen, auch wenn wir hier News behandeln Wir haben hier nicht den Anspruch, euch sozusagen einen abschließenden Rumunschlag zu bieten.
00:34:05: Wenn ihr irgendwie Dinge habt die Security kritisch sind dann verlasst euch nicht drauf das irgendwie der heiße Security Podcast schon erwähnt wenn es da was zu tun gibt oder so.
00:34:15: Das ist nicht der Anspruch und das war er auch nie.
00:34:19: Auch wenn wir jetzt gerade noch größere News Problemen sind als früher.
00:34:22: Ja, also ich würde schon den ganzen Tag Podcast machen.
00:34:25: das Problem ist aber dass da noch andere Leute was mitzureden haben und Es auch jemand hören muss.
00:34:31: Also ich glaube Ich würde das ein bisschen relativ wenig wird gar nicht mal sagen wir möchten Nicht so viel podcasten machen sondern Wir müssen ja auch irgendwie der podcast muss ja auch höher finden und am ende ist auch heise ein Wirtschaftsunternehmen.
00:34:43: Das heißt wir müssen auch anzeigen Kunden dafür finden und Wenn dann irgendwann jeden tag eine folge rauskommt also wird nie passieren Selbst wenn das der Fall wäre, dann würde die ja niemand mehr hören.
00:34:57: Ich glaube ihr wollt nicht so viel Podcast hören wie wir momentan mit Inhalt füllen konnten.
00:35:03: Weil alle potenziellen Sponsoren ja all ihr Geld dafür aufwenden müssen ihre Sachen zu patchen.
00:35:09: Die haben da kein Sponsoringgeld mehr übrig.
00:35:13: Iwanti war, glaube ich noch nie ein Sponsor von dem Podcast.
00:35:16: Die hatten ja gerade etwas in ihrem IPM-Mail.
00:35:18: Das packen wir schon gar nicht mehr rein.
00:35:20: also die kritischen Lücken in Palo Alto und Iwandi IPMM.
00:35:23: Und bei Cisco gab es auch wieder was.
00:35:25: das sind alles so Sachen... Also da mache jetzt vielleicht doch nochmal so einen Excel zu aber das ist im Podcast.
00:35:32: Naja, packen weh in den Podcasts wenn es irgendwie technisch oder anderweitig kurioser oder interessant ist oder anders als sonst.
00:35:38: aber irgendwie das sind mal das gleiche nicht.
00:35:41: Wir kommen aber zu was anderen, das mit Geld zu tun hat.
00:35:44: Und was erfreulicherweise sozusagen jetzt auch gar nicht unter diesem Aspekt der Oh mein Gott die Welt dreht sich viel zu schnell wer kommt hinterher?
00:35:51: Failed sondern ein ganz klassischer Ganz klassischer Scam ist Mit einem Interessanten Twist den ich so einen vorher noch nicht gehört hatte und zwar geht es um ransomware-Zahlungen.
00:36:05: Ach warte!
00:36:05: Ich habe zu weit runter gescrollt.
00:36:07: Ich dachte du hast gesagt es geht über das klassische Scam Und ich war schon bei PKI und dachte, ja passt ja irgendwie.
00:36:14: Aber sprich weiter!
00:36:16: Nein nein es geht um Lösegeldmärlwerb... ...und im Prinzip ist ja ransomware so ein Beispiel für einen sozial-philosophischen Dilemma.
00:36:27: wenn man in der Situation ist als man wurde gehackt und jetzt sind alle Daten verschlüsselt und der Angreifer sagt Ich entschlüssel dir das gegen eine Lösegelzahlung Und man hat keine gescheiten Backups und so, dann ist eventuell der billigste Weg raus aus dieser Angelegenheit das Lösegeld zu zahlen.
00:36:49: Wenn aber das üblicherweise gezahlt wird, dann bedeutet es dass das Geschäftsmodell diese Angreifer sehr gut funktioniert und dann würde es mehr ransomware geben und Dann würde es eben für die Gemeinschaft aber halt auch für jeden Einzelnen der dann immer häufiger immer schlimmer betroffen ist teurer weil sie halt die ganze Zeit irgendwie ihre Daten verstürzt bekommen.
00:37:09: Also was macht man da?
00:37:11: Das so zu sagen ist, das noble Verhalten wäre ja sich in dieses Schwert zu stürzen und zu sagen wir zahlen hier nicht auch wenn dafür dann unsere Firma aber auch nach oben geht.
00:37:20: Und das ist natürlich nichts was man glaube ich realistisch erwarten kann von den profitorientierten Unternehmen.
00:37:29: Die guten Auswege sind natürlich die die man vorher gehen muss also dass man irgendwie dafür Sorge trägt man auch andere Auswege hat, wenn er in dieser Fall ereilt.
00:37:41: Zum Beispiel dass man gute Backups hat und sagt, braucht die Daten nicht von dir wiederhergestellt?
00:37:47: Lieber Ransome-Entwickler ich kann sie aus meinem eigenen Backup wieder herstellen das ist von gestern das ist okay.
00:37:53: oder dass man halt über Schutzmaßnahmen, Defense and Depth Maßnahmen es schafft, dass der Datenverlust so klein ist, dass man ihn einfach in den Kauf nehmen kann was man sagt na gut Jetzt ist halt in dieser einen Unterabteilung, hat sich die Melfe irgendwie ausbreiten können.
00:38:08: Wir können als Geschäft einfach verkraften, dass die jetzt gerade sozusagen auf der grünen Wiese wieder anfangen müssen.
00:38:16: Wenn man das nicht gemacht hat dann ist es halt schwierig.
00:38:22: Man sollte allerdings bedenken, dass natürlich die Zahlungen des Lösegelds nicht garantiert, dass man seine Daten auch wieder bekommt oder dass das Problem weg ist.
00:38:32: und also was noch hinzukommt ist nicht jede Ransom, wer ist ja so strukturiert?
00:38:36: dass da Lösegeld dafür verlangt wird, das man die Daten wieder erhält.
00:38:41: Es kann auch Löse Geld dafür verlangen werden, dass die Daten nicht veröffentlicht werden.
00:38:44: und ob das ein Problem ist oder nicht hängt halt von den Daten ab und vom Eigengeschäftsmodell.
00:38:48: Und es ist dann zum Beispiel auch was, wo ein Backup einfach nicht hilft, weil da geht's ja darum, dass sie Angräfer die Daten austagen konnten.
00:38:55: Ehrlicherweise muss man aber schon sagen, dass man in der Regel jedenfalls abhängig von der Erpresserbande zu Werke gegangen keine schlechten Chancen hat, dass man auf nach einer Lösegeldzahlung auch wirklich wieder Zugriff auf seine Daten bekommt.
00:39:10: Das hängt damit zusammen, also die haben schon einen Ruf zu verlieren und eine Ranzerwehrbande sagt wir möchten sozusagen kontinuierlich Geld damit machen das wir halt Leuten die Daten verschlüsseln und sie gegen Lösegel da wieder entschlüsselnd profitiert davon wenn sich verbreitet die liefern auch tatsächlich zuverlässig Schlüssel.
00:39:31: Also, da gab es auch Fälle wo dann zum Beispiel die Entschlüsselungssoftware nicht funktioniert hat.
00:39:36: und dann sind halt die Ransom-Beentwickler hingegangen.
00:39:39: Und haben tatsächlich Backfix Releases von ihrer Entschlüsslungssoftware veröffentlicht damit halt die Kunden, die sozusagen diese Zahlung abgepresst worden ist zumindest das versprochene Gegenwert erhalten.
00:39:56: Hängt natürlich von der Ransome Wehrgänge ab
00:40:00: Hat man auch schon anders gesehen, also und vor allem Als als Anmerkung noch dieses du kriegst deine Daten wieder wenn Du das Dürrsegeld zahlst ist ja nur ein Teil des Geschäftsmodells.
00:40:13: Also die Zahlungsbereitschaft dann etwas gesunkenes.
00:40:16: Und auch dieses wir helfen dir mit den Verhandlungen Mit deiner Cyberversicherung nicht mehr so gefruchtet hat sind viele Ransombebanden dazu übergegangen diese double extortion zu machen teilweise sogar triple extortion wobei das dritte Meistens Tito's Angriffe waren, das ist jetzt erstmal irrelevant.
00:40:31: Aber der zweite Teil des Geschäftsmodells ist ja in der Regel die Drohung mit einem League.
00:40:35: also du kriegst deine Daten zwar wieder aber jeder andere auch und Das ist was viele jetzt machen.
00:40:41: gerade Jetzt in diesen Tagen ist shiny hunters wieder sehr aktiv hat also einen US großen us Bildungsanbieter namens canvas wohl Unerlaub vervielfältigt Und hat da entsprechend jetzt gerade auch eine Erpressung draußen.
00:40:56: da hilft natürlich Eigentlich gar nichts, also am ende mit dem lieh können sie dann immer noch drohen.
00:41:03: da musst du dir auch noch zusätzlich darauf vertrauen dass ihr die daten nachlösige zahlung.
00:41:07: Auch wirklich löschen und nicht nur kopie zurückhalt
00:41:10: Ja wenn Sie das überhaupt zu sichern.
00:41:11: also das ist ja so ein bisschen das was ich eingangs meinte.
00:41:14: mit dieser dilemma situation man mit jeder solcher zahlungen gefördert man letztendlich einen Ich nenn es jetzt mal Geschäftsfeld, aber er ist eine kriminelle Struktur die natürlich allen und auch einem selber immer wieder auf die Füße fallen kann.
00:41:29: Und natürlich... Also ist das ein Kriminellen sozusagen zu eigen dann zu sagen ja dann mache ich das Verbrechen halt nochmal und ich erpresse dich noch einmal mit was anderes also mit einer anderen Drohung.
00:41:43: Insofern, also es geht nicht nur um einen schütze ich die gesellschaft oder schütz ich mich selber sondern halt auch schneide ich mir nicht langfristiges eigene fleisch wenn ich das beförde.
00:41:54: Nichtsdestotrotz kann ich in der situation stecken dass sich halt sozusagen einfach wirtschaftlich keine andere option habe.
00:42:00: na die einzig Optionen die ich habe ist dieses lösegeld zu zahlen und ich entschließe mich dann das zu tun.
00:42:07: und das ist natürlich eine heikle angelegenheiten.
00:42:09: also einmal sind Erpress, also Lösegeldzahlungen an sozusagen oder Geld das sozusagen an bekannte Verbrecher fließt rechtlich eine heikle Angelegenheit.
00:42:20: Das andere ist aber natürlich auch dass man diese Zahlung möglichst klein halten möchte, verdendlicherweise, aber halt auch am kürzeren Hebel sitzt gegenüber den Erpressern und da sozusagen mit viel Verhandlungsgeschick eben auch mehr erreichen kann als mit irgendwie naiven Vorgehen.
00:42:38: Aber es ist halt sehr darauf aufpassen muss, dass man den Bogen nicht überstrapaziert.
00:42:42: Und deswegen gibt es für sowas professionelle Hilfe.
00:42:45: Es gibt also Leute die man eventuell zum Beispiel auch über seine Cyberversicherung vermittelt oder sogar bezahlt bekommt.
00:42:52: Oder eventuell hilft sogar die Polizei einem Leute zu organisieren, der ihm helfen bei solchen Verhandlungen.
00:42:59: Apropos ist das zumindest mein Ratschlag.
00:43:02: Ich glaube Christopher stimmt mir dazu.
00:43:03: In solchen Fällen sollte dir in jedem Fall die Polizei anschalten.
00:43:07: Dafür gibt's die ZAX, die zentralen Ansprechstellen Cybercrime.
00:43:11: Wir haben auch eine zentrale Webseite wo man die für die verschiedenen Bundesländer raussuchen kann.
00:43:16: tun wir in die Shownotes.
00:43:19: Nun ja aber jedenfalls man kann sich eben professionelle Hilfe holen wenn man sozusagen prinzipiell das Lösegeld bezahlen möchte aber halt möglichst wenig davon bezahlen möchten.
00:43:30: und
00:43:33: ich hätte dazu noch eine Anmerkung.
00:43:35: Die ist ungeskriptet, aber sie ist mir gerade eingefallen.
00:43:39: Es gibt noch eine weitere Möglichkeit professionelle Hilfe und zwar neben verschiedenen Dienstleistern.
00:43:44: die Kollegen von der IX machen zu genau dem Thema Renzenwerferhandlungen ganz bald nämlich im Juni einen Workshop.
00:43:53: da kann man sich einbuchen Und den hält die Joana lang recht, die kenne ich zufällig auch.
00:43:59: Die war nämlich auf der Sack IT mit ihrem Forensic Bus und hat da Leute rumgeführt.
00:44:03: das war ziemlich cool.
00:44:04: Die haben so ein Unternehmen einen Bus für digitale Forensik, wo sie eben auch bei Grenzen werden Unternehmen vorfahren und dann so eine Art Sock oder Incident Responder sind in ihrem eigenen Bus, der dann auch so richtig cybermäßig von ihnen aussieht.
00:44:17: Ich packe mal den Link, das ist am vierten und fünften sechsten zweitägiger Workshop in die Show Notes.
00:44:22: Falls jemand von euch professionell mit dem Thema zu tun hat und sich da weiterbilden möchte, ruft euch einfach ein und dann kriegt ihr auch noch die notwendigen Hintergrund-Infos und das Handwerkzeug um diese Verhandlungen wenn es denn wirklich sein muss selber zu führen.
00:44:39: Cool, hatte ich nie auf dem Schirm.
00:44:41: Ist aber natürlich sozusagen keine Gegenmaßnahme, sondern eine Maßnahme die ihr jetzt ergreifen solltet bevor ihr schon mit einer Lüsegeldforderung konfrontiert seid Wenn ihr die Ransom-Wähl schon im Haus habt dann wendet ihr euch am besten an die Polizei und wartet nicht oft auf den nächsten X Workshop.
00:44:57: Das ist glaube ich keine gute Taktik.
00:45:01: Aber selbst wenn man das halt tut und sich professionelle Hilfe besorgt, kann man immer noch betrogen werden.
00:45:07: Und das ist sozusagen der aktuelle Fall und der Auslöser, worum ich hier drüber rede?
00:45:12: Und zwar gab es keinen Gerichtsurteil, sondern ich glaube eine dochfasende Gerichtsurteile.
00:45:17: Ich weiß nicht die haben sich jeden verschuldig bekannt aber es gab...
00:45:19: Ja, die heißen das Elocution oder so was.
00:45:24: Also sie haben sich, wie du gesagt hast, schuldig bekannt genau.
00:45:27: Es gab jedenfalls einen aktuell dokumentierten Fall aus Amerika, der Angelo Martino war aus Florida und er war eben professioneller Ransomware Verhandler.
00:45:39: Der hat für Digital Mint gearbeitet das ist eine Cyber Incident Response Company.
00:45:43: also die machen halt genau sowas unter anderem.
00:45:46: Angelo hat als privates Nebengeschäft leider auch mit den Ransomeware Truppen zusammengearbeitet bzw.
00:45:52: mit einer und zwar Black Cat oder Elfwee Und das ist so eine Ransomware as a Service Bande, also die machen eine ransomware und verkaufen sie sozusagen an ihre Kunden.
00:46:06: Und deren Kunden hecken dann irgendwelche Opfer platzieren da die ransomware.
00:46:13: Und letztendlich wird das Ganze mit einem gewissen Schnitt geteilt zwischen der Ransomeware as service Bande und den anderen Verbrechern, die diese ransomware dann an die überlegen Opfer bringen.
00:46:25: In fünf Fällen hat Angelo Blackhead Informationen gesteckt über die Verhandlungspositionen von Kunden, über die Versicherungsbeschränkungen von denen und so.
00:46:34: Damit nicht eher seinen wahren Job macht nämlich sozusagen diese Lüsegeldzahlung für die Kunden möglichst gering zu halten sondern damit Blackhead die Lüseegelder maximieren kann.
00:46:45: Und dafür hat Blackhead dann Angelo bezahlt.
00:46:50: Außerdem hat er sich schon bei irgendwann gedacht, naja warum mache ich das eigentlich?
00:46:53: nur diesen Teil des Geschäfts on the side.
00:46:57: Black Cat ist ja eh so eine SR Service Anbieter da kann ich auch selber in Anspruch nehmen und hat zusammen mit zwei Mithältern die beide ebenfalls in der IT Security arbeiten einer davon auch bei Digital Mint einfach selber Black Cat Ransomware auf Opfer losgelassen und hat darüber über US Dollar gemacht.
00:47:18: Ich bin mir nicht ganz sicher ob Einem Fall oder insgesamt, oder ob es sozusagen nur den einen Fall gab.
00:47:24: Denfalls hat er mindestens eine Million US-Dollar in Bitcoin gemacht und die haben die drei dann aufgetrittelt.
00:47:30: Das stand da noch drin.
00:47:31: Insofern zumindest zueinander waren sie fair.
00:47:35: Die Ermittler haben insgesamt bei eben Vermögenswert von über zehn Millionen US Dollar sichergestellt Und all diese drei haben sich jetzt schuldig bekannt.
00:47:45: Da stehen maximal zwanzig Jahre Haft dafür an.
00:47:48: Das ist wahrscheinlich wieder so eine amerikanische Maximalzahl, die nicht ansonsten sehr erreicht werden wird aber klingt nach einer ordentlichen Haftstrafe, die da droiht und ich meine was kann man dazu groß sagen außer No risk no fun?
00:48:00: also wenn man beschließt sozusagen ich möchte mein Konto aufhübschen indem mich sozusagen privat das Gegenteil von dem mache wofür ich professionell bezahlt werde und es ist auch noch hochradiegelegal dann fahre ich halt ein hohes Risiko und wenn ich dann ertappt werde, dann wandere ich halt in den Bau.
00:48:19: Leider wissen wir nicht genau wie die Behörden den Dreien auf die Schliche gekommen sind oder insbesondere auch Angelodia das scheinbar alleine vorher gemacht hat.
00:48:27: mit diesen Black Cat bezahlt ihnen dafür dass ihr Verhandlungspositionen an sie durchsticht und so allerdings konnte des FBI zwanzig-dreiundzwanzig Teile von der Infrastruktur vom Black Cat übernehmen.
00:48:40: Und es gibt auch nach wie vor glaube ich, wenn ichs richtig gesehen habe Bis zu zehn Millionen US-Dollar Belohnung für Tipps, die mit zur Ergreifung oder zur Identifizierung von Black Hat Mitgliedern führen.
00:48:53: Diese Tipps kann man übrigens auch per Tor abgeben.
00:48:57: Den Link...
00:48:58: Siehst du das bitte vor den Link jetzt?
00:48:59: Den Onion Link?
00:49:01: Christopher sagt es weil er ist ein Onion Link ist.
00:49:02: also das ist halt wie wir sind das unter der achtundzwanzig oder vierundsechzig Alphanomenische Zeichen, die lese ich jetzt nicht vor aber es endet dort mit Onions und wir tun ihn in die Show Notes.
00:49:12: Ich habe da auch draufgeklickt, weil es mich interessiert hat.
00:49:14: Letztlich raus ist ein Secure Drop Instance also die gleiche Software, die zum Beispiel wir von Heise auch kennengelernt für unseren anonymen Tipp-Geber.
00:49:22: Es sind nur sechsundfünfzig Beide.
00:49:24: Deine Weigerung das vorzulesen fällt... Also ich weiß nicht genau ob die begründet ist oder begründbar.
00:49:32: Wenn wir mal Bonusmaterial von diesem Podcast machen dann lese ich hier links vor.
00:49:36: Die lese du da und links aller großen Renzembeergruppen vor?
00:49:40: Genau!
00:49:40: Das
00:49:41: ist gut zum Einschlafen glaube.
00:49:44: Jedenfalls fand ich es ganz nett, dass zumindest das Rewards for Justice Programme diese Belohnungen in Aussichtstellen für Tipps gegen Black Hat auf dem Bataur vertrauen.
00:49:54: Wobei das natürlich auch nicht weiter überraschend ist.
00:49:58: die eventuellen Verdachtsmomente gegen Tor richten sicher dagegen das angeblich irgendwelche Behörden, dass vielleicht doch irgendwie aufmachen können.
00:50:07: und Rewards for Justice ist ein Interagency Rewards Programm.
00:50:10: Also da haben sich halt verschiedene amerikanische Behörde zusammengeschlossen.
00:50:13: Das heißt die könnten das im Prinzip wahrscheinlich auch wie ihre Webseite platzieren, der wäre kein großer Unterschied wenn sie den Tor auf machen können.
00:50:19: ich bin davon nicht überzeugt.
00:50:21: naja was lernen wir daraus?
00:50:23: also das eine ist natürlich für Digital Mint ist es schon sehr bitter ne?
00:50:27: Die Firma scheint damit nichts zu tun gehabt zu haben Aber dass halt gleich zwei ihre Mitarbeiter hinten rum sozusagen für die Gegenseite arbeiten, ist natürlich das Letzte was man irgendwie haben und hören will wenn man in dem Umfeld tätig ist.
00:50:41: Dass man Opfern von Ransom wäre in dieser Situation hilft.
00:50:46: Ihr sollte daraus lernen, dass sozusagen noch ein weiteres Risiko an diesen Lösegeldzahlungen gibt, dass ihr vielleicht so nicht auf dem Schirm hattet, dass zumindest ich nicht auf den Schirm hatte, dass das passieren kann... die renommierte Firma, die mir helfen soll.
00:51:01: Mitarbeiter hat die nicht so renommiert sind.
00:51:05: und das letzte was wir lernen ist dass es halt keine Ehre unter Dieben gibt.
00:51:10: Das heißt man kann sich halt nicht darauf verlassen, dass der Typ, der einem gerade hilft oder andersrum dass sozusagen ein Ransom-Wehrerpresse nicht so gemein wäre, auch als Hilfspersonal in Erscheinung zu treten und zu behaupten er würde hier irgendwie für mich verhandeln, wo der das Gegenteil tut.
00:51:32: Apropos kein Ehre unter dieben.
00:51:34: Black Hat hat sich auch angeblich zwanzig vierundzwanzig aufgelöst.
00:51:37: also der Fall liegt ja auch zwei Jahre zurück ist nur jetzt bekannt geworden Und dabei haben sie angeblich Gelder ihrer Kunden veruntreut, also so viel zu ihre Unterdieben.
00:51:49: Ja und das war doch auch irgendwie so eine Geschichte wo dann auch mitten in einem Ransom-Werfall die mit der Kohle abgehauen sind und dann hat der eigentliche Affiliate das Opfer gleich nochmal erpresst und die mussten zweimal sein.
00:52:03: War das nicht irgendein Healthcare-Ding dieser Exit-Scam?
00:52:07: Das war wild!
00:52:08: Ich habe noch eine Meldung glaube ich zugeschrieben.
00:52:12: Also, das ist ein ganz wildes Ökosystem.
00:52:16: Diese ganzen RAS-Gruppen, also ransomware as a service?
00:52:19: Ja, ich habe mir diese Meldungen jetzt leider nicht durchgelesen, aber jetzt leider hier nicht verlinkt in unseren Show Notes.
00:52:26: Ich bin auch immer skeptisch, weil sie wenn dann die einen Verbrecher ihren Namen zumachen und die anderen Verbrechern sagen, aber die sind mit unserem Geld weggelaufen oder so Da kann man wahrscheinlich nur davon ausgehen dass keine Seite die ganze Wahrheit spricht.
00:52:40: Also, die Meldung habe ich tatsächlich geschrieben.
00:52:43: in April im Jahr zwanzig.
00:52:45: Change Healthcare war der... ...war die Bude, die da zweimal erpresst wurde einmal von Elfwee und der andere Typ hab' ich vergessen wie der gestern.
00:52:52: das auch egal, Namensentscheid und Rauch.
00:52:54: Da kommen ja auch jede Woche zwei neue Gruppen.
00:52:58: Ja, keine Ehre unterdien!
00:53:01: Ne jetzt kommen wir zu was anderem wenig ehrenvollen oder?
00:53:07: Wollen wir nicht.
00:53:07: so schlimm ist wie verbrechen.
00:53:09: Nee aber Also von außen kann sich das schon auch manchmal wie ein Scam anfühlen.
00:53:13: Also diese, was teilweise manche Marktteilnehmer früher in der WebPK ISO abgezogen haben, da es war schon...
00:53:22: Das stimmt!
00:53:23: ...einzig
00:53:23: nicht an der Grenze der Marktwirtschaft fand ich zumindest beim, also gerade diese eines der Kernversprechen von den teuren Anbietern Zertifikaten, die da immer sagten, die Zertifikate sind für zweihunderttausend Dollar versichert.
00:53:36: Und diese Versicherung, wo das dann immer hieß, deine Daten sind auf zweihundertausend Dollar oder auf eine Million versichern, diese Versicherungen hätte gezahlt wenn jemand die verschlüsselte Kommunikation hätte entschlüsseln können ohne den Private Key zu kennen.
00:53:51: Das war typischerweise diese Zertificatsversicherung, die du mitgekauft hast und so ein sauteures Zertikat gekauft hast.
00:53:58: Möchtest du mal schätzen was ich für mein erstes?
00:54:01: SSL-Zertifikat bezahlt habe bis erste Jahr.
00:54:04: Wie war das denn validiert?
00:54:06: Das war von Ford, da hab ich glaube schon mal in einer vorherigen Folge drüber gesprochen und wurde per Telefonanruf validiert.
00:54:14: Also organization validated...
00:54:15: Es gab diese Unterscheidung.
00:54:17: also es gab damals die DV noch nicht in der Form zumindest in meiner Hinsicht.
00:54:21: Das muss zweitausend gewesen sein, zweitauzent oder Anfang zweitausendbeinzig.
00:54:24: Es
00:54:25: hat dreihundertfünfzig Dollar im Jahr.
00:54:27: Was
00:54:27: soll jetzt habe ich eigentlich schätzen dürfen Aber ich hätte ein paar hundert, ich hätte fünfhundert geschätzt.
00:54:33: Ich glaube drei Hundertfünfzig Dollar waren es und ich musste mir extra eine Kreditkarte anschaffen weil die keine andere Zahlungsmethode zuließen.
00:54:39: das war drollig und dann wurde ich aus Südafrika angerufen.
00:54:42: aber das habe ich auch schon mal genauso gesagt vermutlich nicht von Marc Schadlowers persönlich so
00:54:47: sehr bedauerlich.
00:54:48: also um sozusagen das noch kurz abzuschließen dass ist mein Lieblings sozusagen Aspekt der PKI der schon stark nach Scam groch Waren die Preise, die sozusagen vorletzend kript für Domain Value Data Certificate aufgeruft worden sind.
00:55:03: Also dafür dass bei denen halt ein Skript durchläuft und eine Datei ausspuckt haben sie dann irgendwie weiß ich wieviel Euro haben wollen.
00:55:08: das war ein Unfall.
00:55:09: Ja
00:55:10: also das waren in der Zeit lang mal mal neun vierzig Euro im Jahr der Standardpreis.
00:55:14: und da haben die CAs aber gemerkt Moment mal das zahlt nicht mehr jeder.
00:55:17: Und dann haben die einfach neue CAs aufgemacht mit ihrem eigenen CA-Zertifikat signiert.
00:55:22: Haben die dann anders genannt?
00:55:23: Dann hießen die halt nicht mehr Ford SSL, sondern StartSSL und dann haben die aber plötzlich nur noch neunzehn Dollar gekostet.
00:55:29: Dann haben die CA's untereinander so einen Preiskrieg ausge pochten.
00:55:32: Am Ende ist das alles dasselbe Produkt gewesen und du konntest da beliebig viele verschiedene Preise für bezahlen.
00:55:36: Das finde ich...das ist schon arg!
00:55:39: Aber allen überhaupt dafür, dass du mir als Fünfzig Cent dafür zahlst, dass bei denen halt ein Rechner kurz was tut?
00:55:46: Dieses Geschäftsmodell ist ja nicht ganz zu unrecht.
00:55:49: Ein kleines bisschen unter Beschuss wenn ich das jetzt mal sagen
00:55:51: darf.
00:55:51: Ja
00:55:52: also
00:55:52: Wir danken an dieser Stelle noch mal Let's Encrypt.
00:55:54: Ja, die Internet Security Research Group tut da gute Arbeit!
00:55:57: So wir kommen jetzt aber noch zu einem der Marktteilnehmeren der in genau diesem Space tätig ist und sein Geld verdient – aber eben nicht nur mit den hier sehr häufig vertretenen Zertifikaten in der WebPKI sondern auch mit ihren eigentlich genauso wichtigen und aber nicht so häufig publizierten weil nicht so transparent dokumentierten Code-Styling-Zertifikanten.
00:56:22: Da haben wir schon mal drüber gesprochen über CodeCinding-Zertifikate.
00:56:24: Ich bin nicht mehr ganz sicher in welcher Folge das war, wenn wir das noch finden dann packen wir euch das in die Show Notes.
00:56:29: aber diese CodeCining-Zerifikate sind ganz einfach gesprochen dafür notwendig dass du ein Programm eine exe Datei unter Windows ausführen kannst ohne dass Windows dazwischen kloppt und sagt Achtung!
00:56:42: Das könnte Schad Software sein weil es da diesen sogenannten Smart Screen gibt und dann hat der Entwickler einen richtigen Zertifikat.
00:56:49: damit signiert er die Software.
00:56:50: Das Zertifikaten muss vom Microsoft akzeptiert sein, also im Trust Store sein und dann kann der Entwickler diese Software an den Smart Screen vorbeischleusen.
00:56:58: Und wenn dieser Software Cellcode enthält oder Command- und Kontrollverbindungen aufmacht und nicht ganz mit Zustimmung des Nutzers installiert wird, dann nennt man die ja häufiger Mailware und auch Mailware wäre gerne sehr unauffällig und würde ans Smart Screen vorbei kommen.
00:57:15: Deswegen haben Mailware Autoren großes Interesse an validen Codesigning-Zertifikanten Nebst dem zugehörigen privaten Schlüssel.
00:57:22: diesen Nachsatz den spare ich mir jetzt in den nächsten X Minuten, weil ich das als Selbstverständlichkeit annehme dass ihr das euch klar ist.
00:57:29: wenn ich irgendwo sage da werden Zertifikate geklaut.
00:57:32: Das ich nicht meine.
00:57:33: es werden nur die Zertifikate geklaubt weil das ist öffentliche Information.
00:57:36: so Was ist passiert?
00:57:38: Es wurden durch die CA und DigiZert Co-Signing-Zertifikade für Malwehr ausgestellt und zwar DRA-Rundzwanzig.
00:57:47: Und das ist rausgekommen Weil Betroffene darauf hingewiesen haben.
00:57:52: Die haben Malware weggefangen über ihre DDR-Systeme und haben festgestellt, Moment mal das ist ja mit einem gültigen Codesigning-Zertifikat von DigiCert signiert das Zeug.
00:58:03: Also von Digizert herausgegeben auf irgendein Unternehmen Und das sieht irgendwie fischig aus.
00:58:09: Dann haben die Digizerte dazu benachrichtigt.
00:58:12: es gibt dann in dem CA Browser Forum Baseline Requirements für Codesining Denn auch hier ist das CA Browser Forum die maßgebliche Instanz oder de facto maßgebliche instanz haben sie gibt es ein workflow was man da machen muss und weil dann dieses zertifikat gesperrt und untersucht werden muss.
00:58:30: Und die gezärt hat dann gemerkt oh wie konnte das passieren wie ist dieses zerdifikat denn überhaupt?
00:58:35: oder sind diese zertifikate überhaupt in die welt gekommen?
00:58:37: da ist irgendwas schlimm, und dann.
00:58:39: Hat sich etwas entsponnen für die gezehrt was ihr natürlich auch öffentlich machen mussten was ich eigentlich nur als fails wie bezeichnen kann weil immer wenn du deine neue schicht runter schälst dann kommt da noch was zu vorstellen, was dir die Tränen in die Augen treibt.
00:58:56: und jetzt müssen wir ganz stark sein.
00:58:59: Und wir müssen uns diese Failspiebel einmal vornehmen und hoffen dass wir nicht ganz so doll weinen müssen.
00:59:06: Ich habe es so gehofft das du das nicht nur in den Notizen schreibst sondern auch sagst ich finde das Wort super!
00:59:10: Ich glaube wir sollten Podcast Merch machen mit der Failsiebel.
00:59:13: Da hab' ich jetzt richtig Lust drauf
00:59:16: Die Failswiebel Genau.
00:59:17: und wenn dann irgendwann mal wirklich rauskommt Das Tor nicht mehr sicher ist, dann ist das ja wohl die Failzwiebel to end all Failzwebbel.
00:59:25: So also vorab.
00:59:28: wir können nur über dieses Thema reden weil A ihr uns mit euren CT-Aboß und euren heise plus Aboß die Treue haltet Werbung Ende.
00:59:38: und bei B dass CA Browserforum die CAs dazu zwingt diese Vorfälle öffentlich zu machen.
00:59:46: Und die Transparenz, die da an den Tag legen.
00:59:49: Die CA's ist zu gewissen Teilen vorgeschrieben und wird auch durch stetige Rückfragen der entsprechende Mitglieder-CIA-Bauserforums befördert.
00:59:57: aber auch da gibt es Ermessensspielraum und ich finde durchaus Digicert einmal loben.
01:00:03: sie sind sehr transparent mit denen für Sie nicht wirklich schmeichelhaften Informationen umgegangen Und natürlich war das nicht freiwillig, aber sie hätten auch weniger Details rausgeben können.
01:00:15: Ein paar von den Details sind sogar fast ein bisschen überdetailliert.
01:00:18: Wenn man dazwischen in Zahlen liest dann merkt man auch dass ihr eigentlich ganz gerne die Schuld voran das sehen.
01:00:23: Aber da kommen wir jetzt so!
01:00:25: Also die positive wirklich ganz positive Seite dieses CA Browser Forums ist, dass es die CAs dazu zwingend transparent zu sein und solche Sachen wie Certificate Transparency maßgeblich auf Betreiben damals von Google eingeführt worden, aber sorgen immer dafür auch dass man viel schneller Missbrauch von TLS-Zertifikaten merkt.
01:00:43: Und bei Co-Signing-Zertefikat ist das Prinzip bedingt natürlich nicht möglich.
01:00:47: da wird diese Transparenz über den Missbrauchs hergestellt durch so öffentliche Malware Datenbanken wie Virus Total die auch anzeigen mit welchem Zertifikat ein bestimmtes Stück Software oder Schadsoftware besser gesagt signiert wurde.
01:01:00: So steigen wir mal ein und wir steigen ein bei seiner Heiligkeit dem heiligen Sankt Valentin, denn der ist hier gewasst worden.
01:01:10: Ist er gekreuzigt worden?
01:01:11: Ich glaube, der ist gekreutzigt worden oder?
01:01:13: Am vierzehnten Februar... Oder ist er gestorben am vierzehnten Februar?
01:01:17: Nein!
01:01:17: Er ist gestorbt am vierzenten Februar genau.
01:01:20: und was es mit ihm passiert, er ist enthauptet worden.
01:01:24: Wurde dadurch zum Märtyrer wurde heilig gesprochen und der gleichnamige Tag Also sein Todestag ist jetzt der Valentinstag.
01:01:31: Und an diesem Valentinstag, das war glaube ich die längste Überleitung für einen zweibisstarben Datum, den ich je gemacht habe...
01:01:39: Ich hab' sie ganz hergefragt worauf willst du denn jetzt
01:01:41: raus?
01:01:43: Hat Digizert den internen Support Chat oder auch den Chat, den die Kunden nutzen können um Kundendienst bei Digizerte wie ihre Kurzheilig-Zertifikate anzufordern von Salesforce auf Salesforce Enhanced umgestellt.
01:01:56: Also verbessert natürlich, weil es ist jetzt Enhanzed!
01:01:59: Das war nicht ganz freiwillig denn Salesforce hat kurzerhand das alte Chatsystem abgeschaltet und im neuen gilt dass per Default also in der Standard-Einstellung wohl Entnutzer also Kunden oder möglicherweise Malware Autoren oder andere Cyberkriminelle Datei Attachments an die Service Reps also die Kundendienstrepräsentanten Die Mitarbeiter des Unternehmens schicken können so auch Bei DigiCert.
01:02:24: Das ist das Enhancement, oder?
01:02:26: Ja sicherlich auch bestimmt irgendwas mit AI drinnen.
01:02:28: aber das einzige was solche Systeme und solche Namensänderungen und Migrationen in der Regel enthanzen ist das Portemonnaie der Konsultants die diese Migration betreuen und das Portmonnaie des Unternehmens dass die Software vermietet in diesem Fallesales Force.
01:02:41: so
01:02:42: Naja,
01:02:42: ich finde das zu
01:02:42: kritisch.
01:02:43: Also vorher konnte ich nicht direkt mal wer an die Service-Raps von DigiCert schicken.
01:02:48: Ja dann war das vorher nicht kritisch sondern höchstens High Severity.
01:02:51: und jetzt ist es eben kritisch weil Remote Code Execution Die Gelegenheit Code oder Dateien an die service raps zu schicken die nutzte auch ein end user in dem er am zweiten april mehrfach also die rede von insgesamt fünfmal Zip Dateien in diesem Chat mit einem Support-Agenten hochloot und behauptete, das sei ein Screenshots.
01:03:18: Die bekannten Screenshots mit der Endung zip die wenn man auspackt die endungen SCR haben für screenshot bestimmt ganz bestimmt trust me bro.
01:03:28: Mir ist gerade noch eingefallen ganz kurz eine Ebengedanke.
01:03:30: vielleicht ist dieses Verschicken von ziptatein mit exe drin sogar bei Design gewesen in diesem Support Chat, weil das ist ja kurz Heining.
01:03:39: Da musst du ja möglicherweise wirklich ein Sample von einer signierten Datei hochladen können um sagen zu können irgendwie ich habe es korrekt signiert aber trotzdem funktioniert jetzt nicht nur so neben Gedanken.
01:03:47: Anyway Das war natürlich kein Screenshot sondern das war normal wäre den Punkt SCR unter Windows sind Screensaver und im unerklärlichen Ratschluss.
01:03:57: Also ich glaube ich wollte nur den unerkläglichen Ratschluß erwähnen.
01:04:01: Im unerklar lichen Ratschluss von Microsoft Kann man in Screensavern auch im Jahr-Zweitausendsextenzwanzig noch Code ausführen?
01:04:09: Das sind de facto executables, glaube ich.
01:04:10: Ich wollte
01:04:11: gerade sagen da sind Excel-Dateien.
01:04:12: das sind ganz normalen Excel- Dateien die Microsoft aus irgendwelchen historischen Gründen oder weil sie ja früher mal schlau erschienen Punkt SCR nennt.
01:04:21: Das sind Binarys als den Ausführbare Dateien so wie eine Excel.
01:04:25: Die sind.
01:04:25: früher gab es ja noch Firmen, die haben Screensaver verkauft.
01:04:29: Hier erinnere mich noch an die Flying Toasters.
01:04:31: Und auch Microsoft hat Screensaver verkauft unter anderem mit so einem kleinen Manneken, das auf einer einsamen Insel gestrandet ist.
01:04:36: und dann hast du in deinem Screensaber eine Comic-Geschichte die sich immer verändert hat.
01:04:39: Also wirklich eine Geschichte erzählt wie ein kleiner Zeichentrickfilm.
01:04:44: Die Industrie ist aber genauso wie die Klingeltonindustrie kleines bisschen in der Versenkung verschwunden.
01:04:49: Wobei man ehrlicherweise sagen muss es gab früher auch zukünftige Podcaste die Teile ihrer ersten Programmierschritte damit gegangen sind dass sie sich selber Screensaver für Windows geschrieben haben.
01:05:01: Ganz erfreut, wann rauszufinden nach.
01:05:03: Das muss man da nur umbenennen und dann tut er das auch als Screenserver und so.
01:05:06: Es gab auch andere Podcasts, die vermutlich etwa zur gleichen Zeit bei einem Hannover-Rahner IT Verlag für Geld als Studentenjob ein PHPvier basiertes Two to Urlaubsplanung geschrieben haben.
01:05:17: Ich möchte jetzt keine Namen nennen!
01:05:19: Und dass Sie in eine SCR Datei verpackt haben?
01:05:22: Nein ich glaube das lebte zwischendurch in einem Docker...ich glaub nicht, dass es noch lebt aber wenn es lebt, lebt es bestimmt in einem Dockercontainer irgendwo.
01:05:28: So Dieser dieser Code der wurde von salesforce dann wohl automatisch entpackt.
01:05:33: es war eine zip Datei und wurde dann an das support ticket als attachment dran gehängt.
01:05:39: Und dann haben die diese malware.
01:05:42: leute oder die angreifer haben dann versucht, die service reps zu social engineering und dies ist in dem tickets so ein bisschen ambivalent beschrieben.
01:05:51: da gab es voll vier versuche.
01:05:53: da hat das nicht geklappt weil ich zitiere wirklich kraut strike und andere sicherheitsmaßnahmen diese Ausführung blockierten.
01:06:01: Also ob das ein Filter war, der die SCR-Falzwecke schmissen hat oder...
01:06:06: Ja, aber es ist nicht mal klar, ob sie die Ausführungen blockiert haben oder ob sie nicht schon die Zustellungen blockieren haben.
01:06:15: Man weiß es nicht mehr.
01:06:17: Aber das fünfte Mal da hat's dann geklappt.
01:06:20: Da wurde dann ein Rechner geowned und einer von den PCs von einem Service Mitarbeiter Das war spät am Abend innerhalb von ein paar Stunden, das ist nicht ganz genau eingegrenzt in dem Ticket.
01:06:34: Ich weiß nicht genau ob sie es nicht genau eingrenzen können oder auch einfach wirklich drei Stunden lang da die Malware aktiv war also dies ausgeführt worden.
01:06:44: und dann wurden weitere Dateien, also weitere ausführbare Dateien vom Command & Control Server nachgeladen, also gedroppt und irgendwo hingelegt und auch ausgeführte.
01:06:53: Und dann hat CrowdStrike halt gesehen hier passiert irgendwas dass Sieht nicht gut aus und hat Alarm geschlagen.
01:07:01: Und dann ist auch sofort das Sock von Dessert losgetickert und hat diesen Rechner in Quarantäne genommen, um etwa drei Uhr am Folgetag.
01:07:10: Also der Angriff war glaube ich irgendwie so um halb zwölf oder viertel vor zwölfer, also kurz vor Mitternacht, um drei Uhr morgens am folgetag ungefähr drei Stunden nach dem Angriff ist die Maschine dann isoliert worden untersucht worden da gab es den Triage und haben gesagt ja ist halt mal wäre es dumm gelaufen ist aber nicht viel passiert macht mal Weib und Reimage, und fall abgeschlossen.
01:07:29: Es sah aus wie ein totaler Routinefall!
01:07:34: Ich predige da jetzt nur auf der grünen Wiese ohne eigene Erfahrung, finde es ein bisschen voreilig, dass sofort zu sagen kommt direkt Reimage.
01:07:42: Da hätte ich doch noch einmal bei so einem Hochrisiko-Environment einer hochgefährlichen Umgebung zumindest ein bisschen forensisch betrieben um zu gucken was war das denn für einen?
01:07:53: Weil in diesem Zertifikatskontext kann man aus meiner Sicht nicht vorsichtig genug sein und ich finde, dass die baseline requirements das auch so ein bisschen reflektieren.
01:08:01: Dass man da sehr vorsichtig ist anders.
01:08:04: Die sind dann aber...
01:08:05: Ist das dokumentiert sozusagen?
01:08:08: Dass sie nicht irgendwie eine Kopie irgendwo hingelegt haben für eine Veteranalyse oder so?
01:08:12: Nein es ist nicht dokumentiert, dass sie eine dahingelegt haben.
01:08:14: Ich komme zur oberen Schuhe raus.
01:08:16: Und ich kann mir vorstellen alles positive was Sie gefunden haben, das haben Sie aufgeschrieben und ich könnte mir vorstellen dass das jetzt einfach nicht Teil des Workflows war, aber natürlich.
01:08:27: Wobei man sich halt platt
01:08:29: schon sagen muss an dem Ablauf.
01:08:31: ich finde es ein bisschen komisch, dass CrowdStrike scheinbar nicht direkt angeschlagen hat sondern erst auf diese nachgeladenen Dateien.
01:08:38: Aber ansonsten finde ich klingt es nach einem ziemlich guten Ablauf.
01:08:43: also das Ding hat sich nicht... Also war sozusagen nur paar Stunden lang obwohl wirklich eine schlechte Uhrzeit war In der Lage da irgendwas zu tun, das war nicht in der Lage sich dann ins Wett auszubreiten und sie haben es halt entdeckt und isoliert und weggeschmissen.
01:09:01: Ja ich habe das CrowdStrike gefragt weil die CrowdStike PR Agentur an mich herangetreten ist mit einer Nachfrage zu meiner Meldung Und CrowdStrike liegt großen Wert darauf dass es keine Entdeckungs also Detection Gap gab keine Entdäckungslücke.
01:09:20: Ich fand es aber trotzdem, warum wurde das ausgeführt und erst als was nachgeladen wurde.
01:09:24: Also da war Ambivalenz drin und CrowdStrike hat mir dann aber nach der zweiten Nachfrage gesagt also diese Ambivalenz können wir nicht auflösen.
01:09:33: Da können wir ihnen nichts zu sagen.
01:09:34: Dann müssen sie bitte mal DigiZert fragen.
01:09:36: Das habe ich jetzt nicht gemacht weil am Ende bringt das auch nur noch im Grunde Fingerpointing.
01:09:42: Und da kommen wir eh gleich dazu zum Finger Pointing.
01:09:48: Dieser Rechner ist jetzt auf jeden Fall so oder so wieder sauber.
01:09:50: Der ist gevipt und re-imaged, die Malwehr ist darunter und der Support Agent hat hoffentlich was gelernt und dem bleibt wahrscheinlich ein mulmiges Gefühl weil er halt Malwehr aufgemacht hat.
01:10:04: Einen Tag später hat dieser Thread Actor es bei einem anderen Support Mitarbeiter nochmal versucht und auch erfolgreich.
01:10:14: das Problem ist – das wusste, die geht's ja zu dem Moment noch nicht!
01:10:18: Also die waren davon ausgegangen, alles klar.
01:10:21: Vorfall eingedämmt, nix ist passiert, keiner blutet, keiner weint, wir können weiterspielen.
01:10:27: und dann begannen aber am fünften April Meldungen einzutrudeln über missbrauchte Code-Styling-Zertifikate.
01:10:35: Das war eine Meldung am Tag über ein für Malwehr missbrauchtes Code-Zartifikat.
01:10:41: bis einschließlich den zwölften April Da haben sie sich erst mal auch noch nicht so viel bei gedacht.
01:10:47: Kompromittierte Private Keys für Code Signing Zertifikate gehören offenbar immer noch, so oder so zum Alltag einer CA die Code Sending Zertifikat herausgibt.
01:10:58: Das ist inzwischen deutlich erschwert worden.
01:11:00: also du kannst als Inhaber eines Code Sining Zertificats das nicht mehr einfach irgendwo auf der Platte ablegen oder deinem CI-CD System und dann licht da der Private Key unverschlüsselt und damit signierst du deine Access die dann irgendwohin geschift werden sondern Du musst das auf einem Hardware-Token haben, also der Private Key nicht auf dem Hardware Token.
01:11:18: Wo du selber den als Besitzer dieses Zertifikats auch gar nicht mehr so ohne weiteres runterbekommst.
01:11:24: Trotzdem werden immer noch Schlüsselkompromitiert und deswegen war da erst mal wieder Routine angesagt.
01:11:31: aber am vierzehnten April hat dann ohne Angabe von Gründen für diese Entscheidung im Ticket die Support Abteilung die Entscheidung getroffen.
01:11:39: irgendwas ist komisch.
01:11:40: wir müssen das eskalieren Dann müssen wir jetzt mal reinschauen und dann eskalierte ist auch zügig.
01:11:48: Sie haben nämlich dann eine zweite Maschine gefunden, die auch mit Malbeer infiziert war, vermutlich derselben Malbeere über den selben Eintrittsvektor wie die Maschine, die sie da schon gereinigt hatten.
01:12:00: Und diese Maschine ist auch schon seit dem vierten April.
01:12:04: Wir finden uns jetzt am vierzehnten April also seit fast zehn Tagen Kompromittiert und kompromittierter so vor sich hin, im Digi-Zert-Netz mit den Privilegien eines Kundendienstmitarbeiters von Digi Zert.
01:12:20: Das ist nicht so schön!
01:12:21: Und da hat auch kein Crowdstrikeagent interveniert und gesagt Nö das irgendwie komisch und ich habe gerade einen neuen Signaturfall gekriegt und da steht dieser Mal wieder drin Wie ist das?
01:12:33: eine Schrottsoftware die nur irgendwie Buchungsterminals in Flughäfen lahmlegen kann, durch ein kaputtes Update oder macht ihr auch was?
01:12:44: Naja die hat ja im ersten Fall schon etwas gemacht.
01:12:46: Also es wäre ja schon sehr seltsam wenn sie sozusagen in einem fall was entdecken würde, was dem anderen fall nicht sieht.
01:12:52: oder
01:12:53: Was könntest du denn als Grund vorstellen dass Sie diesem fall das Nicht-Intekta-Team mal wäre?
01:12:59: und Es war dieselbe Malwehr
01:13:00: Das war dieselben Malwehr und derselbe CrowdStrike Agent.
01:13:04: Was konnte der da... Der hat
01:13:05: keine Updates gekriegt irgendwie
01:13:08: Ja.
01:13:09: Was würdest du vor dem Grund halten, dass er schlichtig installiert war auf der System?
01:13:14: Dann war es aber nicht derselbe Agent.
01:13:19: Es wäre derselben Agent gewesen.
01:13:22: Auf dieser Maschine war aus ungeklärter Ursache der CrowdStrike-Agent gar nicht depleut.
01:13:27: Also die gab's dann nicht.
01:13:28: Die hatte de facto einfach keine EDR... und dass die Wahl vor mehr als drei Jahren aufgesetzt worden.
01:13:36: Drei Jahre sind die Aufbewahrungsfrist für irgendwelche Logs, was irgendwelchen Endpoint-Installationen oder sowas angeht.
01:13:43: deswegen weiß auch kein Mensch ob da mal ein Agent drauf war der dann irgendwie runtergeflogen ist oder runter geflogen wurde in diesen drei Jahren oder ob die ohne CrowdStrike Agent kam.
01:13:53: also weiß keiner ist auch dann irrelevant.
01:13:57: Der Thread Actor Hat das ausgenutzt, hat seine Malweder installiert.
01:14:02: Das war ein Red, also so ein Remote Access Trojan und hat darüber dann mit den Rechten dieses Support Agents auf das interne Support Portal von die geht's ja zugegriffen.
01:14:13: Und da rettet dich natürlich auch kein Passkey oder irgendwie so Device Born Credentials oder sowas.
01:14:18: der ist hier auf dem Device.
01:14:19: Der hat sich einfach mit der bestehenden Session eingeloggt.
01:14:22: Da hätte so zwangslokaut jeden tag oder sowas hätte wahrscheinlich geholfen, dass man weil er die gränsche vielleicht vielleicht nicht gehabt hatte.
01:14:28: Vielleicht lagen sie auch als tekstarte auf dem desktop und da aber
01:14:33: auch nur wenn nur wenn der dieser support mitarbeiter gerade nicht da ist.
01:14:37: na wenn dir irgendwie jeden tag um den zur arbeit geht dann macht ihr eine neue station auf?
01:14:41: ne
01:14:42: genau dann macht ja einen und dann kann ich einfach über die schulder gucken.
01:14:44: ich warte bis er das erste mal kaffeepause macht und dann bin ich auch wieder drin.
01:14:49: also Wenn der Feind erstmal auf meinem Rechner ist, dann habe ich schon ein bisschen verloren.
01:14:56: Und das war in diesem Fall der Fall.
01:14:58: und jetzt kam dieses Supportportal über.
01:15:00: Das war April der vierte, einen Samstag und wenn die am Samstag drauf gekommen sind, die Kiste liefert, die halt das ganze Wochenende und konnten sich da in Ruhe umgucken.
01:15:11: Der konnte dann dieses Kundenportal Ich weiß nicht wie ich das jetzt hier auf deutsch nennen soll impersonate funktion.
01:15:18: also man kann sich da als jemand anders ausgeben.
01:15:21: Als ein kunde sowas wie sudow oder so und das ist sehr praktisches, weil ich dann genau das sehe was auch der kunde in diesem support portal sehen würde.
01:15:31: die support portal ist also dass wo der kund seine zertifikate drüber bestellt oder bestellte zertifikat abholt seine rechnungsdaten verwaltet usw.
01:15:39: oft gibt es dann eben dieses Problem, dass man dem Kunden genau den Klickfahrt sagen können muss oder mal weil das man aufgrund von irgendwelchen Berechtigungen mehr sieht als der Kunde.
01:15:46: und dann ist es sehr praktisch wenn man die Möglichkeit hat genau das zu sehen was der kunde sieht.
01:15:51: Weil man dann viel gezielter helfen kann.
01:15:52: Es eine übliche Geschichte gibt es auch in ganz vielen so Support Ticket Systemen oder weiß ich nicht sowas wie C-Panel.
01:15:59: da gab's ja auch neulich lustige Sicherheitslücken Und da kann man bei DigiZert aber keine Bestellungen auslösen.
01:16:10: Also der konnte jetzt nicht hingehen und sagen, ich gebe mich als Nutzer-Kunst aus und bestellen neue Certificate oder ich hole mir einen API-Key, der sowas kann oder solche Geschichten.
01:16:20: das ging nicht.
01:16:20: man konnte auch keine neuen Untermandanten also Nutzer dieses Kunden anlegen oder so.
01:16:25: Das gingen alles nicht Auch nicht mit den Berechtigungen dieses Support-Mitarbeiters.
01:16:29: Das war also nicht möglich.
01:16:32: Ist ja auch sinnvoll.
01:16:34: Der
01:16:34: soll sehen können was die Kunden sehen aber nicht einfach für die Kundensachen machen können.
01:16:38: Genau und das würde ja auch immer dann wahrscheinlich diesen ganzen Ablauf, der bei Code-Signing-Zertifikaten sehr speziell ist wie man an das Zertifikat nach Bestellung rankommt ein bisschen stören.
01:16:49: So!
01:16:51: Das Problem ist aber... Man kann in diesem Support Portal natürlich seine bestehenden Bestellungen einsehen also man kann sehen was es der Status meines bestellten Code-Cining-Zerdifikats?
01:17:01: Und dieser Status ist dann irgendwie Bestellungs eingegangen, Bestellion wird überprüft Identitätsfeststellung wird durchgeführt und dann gibt es diesen Status approved, also Bestellung wurde akzeptiert.
01:17:12: Und wenn ich diesen Status erreicht habe mit meinem Code-Signing-Zertifikat, dann kriege ich einen sogenannten Initialization Code.
01:17:19: Dieser Initialisation Code das ist ein Alphanum, also wie Passwort, alphanumerische Zeichenkette irgendwie quasi nicht zweiundreißig zeichnen lang oder so bei DigiCert.
01:17:28: Das Ding brauche ich um später mein Zertifikat zu bekommen.
01:17:32: Wie genau?
01:17:33: Das sage ich in der Minute.
01:17:34: Wichtig ist aber um da dran zu kommen, muss das Zertifikat vorher durch den Kunden bestellt worden sein und durch die CA bestätigt worden sein.
01:17:44: Das heißt, dass Zertifikat in diesem Moment noch nicht ausgestellt ist, es ist aber schon der Überprüfungsvorgang fertig und im Grunde abholbereit.
01:17:55: Aber das Keypair also Public Private Key und das tatsächliche Zertificat werden erst erzeugt und signiert wenn man hier auf Wenn man hier den Bestell Workflow mit diesem Initialization Code weitermacht.
01:18:07: Das heißt, diese Angreifer haben nicht Zertifikate aus irgendeinem Webinterface zusammen den Private Keys geklaut oder nur Zertifikaten ohne die Private Keys.
01:18:14: Da hätten sie ja gar nichts von gehabt sondern Sie hatten die Möglichkeit, Zertificate inklusive Private Keys zu erstellen.
01:18:20: durch diesen Initialisation Codes und das geht so.
01:18:22: bei Co-Signing-Zertifikaten gab es eine Hilfeseite vorbei des DigiCerts, die haben sie auch verlinkt in dem Ticket und dann ist sie plötzlich verschwunden.
01:18:30: ein paar Tage später warst du noch in.
01:18:32: Vielen Dank an dieser Stelle nochmal an die Wayback Machine.
01:18:36: Das sind also wie gesagt diese Zeichenketten und diese Zeichenketten, die kombiniere ich mit meinem Hardware Token dass sich vorher bei DigiCert bestellen muss.
01:18:43: das ist so ein FIPS zertifizierter USB-Key So ein Krypto Key Dingsbums.
01:18:49: Und dazu gibt es noch eine Software Die heißt Digicert Hardware Certificate Installer.
01:18:56: Zusammen mit irgendwelchen Windows Linux oder macOS Treibern Muss ich die auf meinem Rechner installieren.
01:19:02: Kiste, auf der ich dann meine Sachenkompile schätze ich mal.
01:19:06: Ich kenne den Workflow nicht im Detail und Dann kann ich diesen Initialization Code eingeben um die freigegebenden aber nicht Ausgegebenen Zertifikate abzuholen.
01:19:21: dafür wird ein ersten Private Key erstellt auf diesem token auf dem USB Token gespeichert.
01:19:27: Dann wird wahrscheinlich so eine ACSR erstellt, also Certificate Signing Request.
01:19:31: Der wird zu die Gezehrt geschickt.
01:19:32: dann wird das Ding dort signiert und man kriegt das Zertifikat dass auch nur auf diesen USB-Token gespeichert wird.
01:19:39: Und dass das nur da landet, das übernimmt so und verstehe ich diese Installer, Certificates Installer Software.
01:19:49: Diese Hardware Keys sind seit für Coat Signing Certificata vom CA Browser Forum.
01:19:56: Da gab es, wenn ich mich richtig erinnere eine größere Welle, dass Entwicklern ihre Maschinen aufgemacht wurden und ihre Code-Signing-Zertifikate mit Private Key zusammen geklaut wurden.
01:20:06: Weil die einfach als Dateien auf der Platte lagen.
01:20:08: Und das wollte man dann nicht mehr!
01:20:12: Du brauchst also so ein USB-Key um einen Code-Zerdifikat zu kriegen.
01:20:16: Du brauchste die Software, die kannst du runterladen auf der Webseite von DZ und du brauchst den Initialisierungscode.
01:20:23: Diesen Key, wie ich das verstehe wird er zwar von DigiCert geliefert.
01:20:28: Es stehen aber genaue Typbezeichnungen daneben, ich bin nicht sicher ob man einen beliebigen anderen sich auf AliExpress bestellen kann solange das der gleiche Typ ist, der aber nicht von Digicert gebrandet kommt.
01:20:38: ansonsten muss man einfach einmal eine Bestellung bei Digicerat auslösen mit irgendeiner Tarnfirma und kriegt auch so ein Ding und das kann man dann wahrscheinlich wieder verwenden.
01:20:45: Aber ein Angreifer hat jetzt im Grunde die drei Sachen die ihr braucht um das Zertifikat NEBS Private Key zu bekommen und diese Bestellung damit abzuschließen, das ist die Initialisierungscode der USB-Stick und die Software.
01:21:00: Und das haben die Angreifer oder der angreifer auch gemacht.
01:21:03: in siebenundzwanzig Fällen haben Sie Bestellungen, die schon fertig abgewickelt aber noch nicht ausgegeben waren an die legitimen Kunden Abgefangen sich die Zertifikate ausstellen lassen und
01:21:14: hat
01:21:14: dann das Ganze genutzt um was damit zu machen?
01:21:19: Was würdest du denken?
01:21:21: Ja hast Du schon gesagt mehr wer zu signieren?
01:21:22: ne
01:21:23: Ach, hab ich schon gesagt.
01:21:24: Du hast nur Testoptor aufgepasst.
01:21:25: Ich
01:21:26: höre zu!
01:21:28: Die Betroffenenfirmen waren unter anderem Lenovo, Kingston, Cuddle und Pallet.
01:21:36: Den ersten drei kenne ich, den dritten kenne die als GPU-Fabrikant.
01:21:38: Die machen aber auch noch mehr andere Hardware-Hasteller.
01:21:43: Also ich wollte nur kurz darauf hinweisen... Das ist ja das Perfide daran, dass einerseits schlecht für Digi zärt, dass denen diese Codes abhanden kommen Aber eine Melwe, die das dann nutzt, die Tritte in Erscheinung als signiert mit einem Digi-Zertifikat ausgestellt für Lenovo oder so.
01:22:02: Und dann sieht es ja so aus, dass hätte Lenovo diese Melwe geschrieben.
01:22:06: und also das meinst du hier gerade mit den getroffenen Kunden?
01:22:11: Ja!
01:22:12: Das sind ja die die das Zertifikat bestellt haben.
01:22:14: abgeholt hat's der Angreifer Malware.exe, signiert von Lenovo Corporation und über vierzig asiatische Organisationen, da steht hier Schweiß, habe ich wirklich Schweiße geschrieben?
01:22:30: ein paar aus Kaderda aus der Schweiz
01:22:33: und eine... Wir entschuldigen uns bei allen Schweizern die mit
01:22:39: unseren autoklarktischen
01:22:40: Notizen leben müssen
01:22:42: Und einen Unternehmen aus Deutschland.
01:22:44: acht waren aus den USA.
01:22:45: also insgesamt sind in der später veröffentlichten Liste sechzig Zertifikate enthalten und die sind auch alle revoked worden.
01:22:53: Davon wurden siebenundzwanzig verwendet, um Malware damit zu signieren Und die restlichen dreiunddreißig sind dann durch Digisert im Zuge der Ermittlungen revoked wurden weil Die Eigentümer schafft nicht richtig geklärt werden konnte.
01:23:08: so steht es im Ticket finde ich ein bisschen nebulös aber Sie werden sich was dabei gedacht haben diese mal wäre das ist.
01:23:17: Die wird als Song-Stealer bezeichnet, die Spurendeuten ein bisschen nach China.
01:23:24: Das ist aber eigentlich kein Stealer sondern Red also Remote Access Trojan.
01:23:29: Vielleicht ist das sogar die gleiche Software, die auf diesen beiden betroffenen Kundendienstrechnern abgelegt wurde.
01:23:35: Also die Malware, die da genutzt wurden um reinzukommen.
01:23:37: Das wäre natürlich ein lustiger Zirkuschluss.
01:23:39: Ich übernehme Rechner einer CA mit Malware mit Zertifikate auszustellen für die Malware, mit denen ich dann die Rechner der CIA übernehmen kann.
01:23:47: Das wäre das Lustigste wenn die Endpoint Detection von DigiCert im zweiten Versuch durchlässt weil es trägt ja ein gültiges Zertifikat!
01:23:55: Ja also...das Zertificat kenne ich, der darf passiert.
01:24:01: Das sind die Drohien, die wir suchen.
01:24:04: Die Malware ist auch Virus Total.
01:24:06: Ich packe dir link mal in die Show Notes eben Dann könnt ihr euch mal so einen Sample angucken.
01:24:11: und elf von diesen Zertifikaten, die wurden extern an DigiCert gemeldet.
01:24:17: Und dann hatten sie ja schon so ein bisschen den Lunte gerochen und haben dann die restlichen sechzehn auch selbstständig gefunden... ...und bei Mitarbeitenden, die an diesen Workstations oder diesen Rechnern gesessen haben, sind während der Untersuchung freigestellt worden weil man vermutet hat dass sie mit Kriminellen kooperieren Weil man vermutet hat, dass sie an ihren CrowdStrike-Agent-Installationen rumgebastelt haben.
01:24:43: Also vielleicht hat man die Schuld bei diesen Mitarbeitenden gesucht.
01:24:49: Ist mir nicht ganz klar.
01:24:50: Vielleicht ist es auch einfach ein normales Prozedere so?
01:24:52: Ja ich wollte gerade sagen, also vielleicht ist das einfach ein Standardding, solange die Untersuchung läuft wirst du halt freigestellt.
01:24:58: Das wäre ja vielleicht auch keine schlechte allgemeine Regel.
01:25:01: Genau der... Geschäftsführer von dem Unternehmen aus Deutschland hat mich, nachdem ich da eine Meldung rüber geschrieben habe, kontaktiert und hat mir ein bisschen was darüber erzählt.
01:25:14: Das ist lustigerweise... Die Firma heißt Digiforce, die hab' ich auch schon in der Meldungen genannt, das ist lustigerweise Security-Unternehmen.
01:25:21: Und die machen hauptsächlich so Security Consulting, haben auch ein eigenes Twenty For Seven Sock sitzen in Leipzig und er hatte sich für eine Analyse Software, die sie selber geschrieben haben, für den Sock hatte er sich diesen dieses Zertifikat am vierundzwanzigsten März bestellt und das war auch schon freigeschaltet.
01:25:41: Das Problem war, er hatte diesen USB-Stick nicht rechtzeitig gekriegt.
01:25:45: Der war durch DigiCert irgendwie verspätet geliefert worden oder hing beim Zoll oder was auch immer und konnte also dieses Zerdifikat noch gar nicht abholen, geschweige denn nutzen um dann Software zu signieren.
01:25:55: und dann vieler ein bisschen aus allen Wolken als ihm am vierzehnten, vierten seinen Zertifikats Riesheller, er hatte das Zertifikat nicht direkt über die es hat bestellt sondern über so einen Wiederverkäufer.
01:26:04: Er mitteilte dass das Zerdifikat gesperrt wurde denn das würde ja genutzt werden um Malwehr damit zu signieren.
01:26:10: Da war er dann so ein kleines bisschen ich will mal sagen überrascht könnte auch sagen vielleicht ein bisschen sauer aber vor allem erstmal verwirrt denn er hätte das Zerdifikat nie in der Hand gehabt und Das wurde auch tatsächlich.
01:26:22: da gibt's eben dann auch Samples für Malwehr aktiv genutzes also eins dieser siebenundzwanzig Und die Foss hat dann auch alle Kunden angeschrieben und proaktiv darüber informiert.
01:26:32: Und natürlich ein neues Zertifikat gekriegt, aber trotzdem der Schaden ist ja erst mal da.
01:26:37: und auch dieser gerade in der Security-Branche zu befürchtende Reputationsverlust, der ist ja auch erstmal da.
01:26:44: Insofern ist das schon eine heikle Geschichte.
01:26:53: Probleme drin gewesen, also dieses Ticket ist unheimlich lang.
01:26:57: Bei Ticket beziehe ich mich immer auf dieses Baxilla-Ticket das DigiCert dafür aufgemacht hat und da sind noch mehr Sachen drin wo ich mir denke, boah Alter!
01:27:06: Das kannst du nicht mal mehr aufschreiben.
01:27:08: deswegen habe ich es auch nicht gemacht hier.
01:27:09: aber da gibt's noch ein bisschen was über dass man durchaus reden könnte.
01:27:15: Fähreweise muss ich sagen Ich mache das hier alles oder wir machen das nur auf Aktenlage.
01:27:19: Wir haben Digi Cert nicht gefragt.
01:27:22: Wir haben unaufgefordert ein Feedback von CrowdStrike bekommen, und zwar genau als ich die Notizen für diesen Podcast-Teil geschrieben habe.
01:27:32: Wo ganz klar darauf abgestellt wird das ist nicht CrowdStrikes Schuld gewesen!
01:27:36: Und ich hab mich auch schon bisschen gewundert was warum Digicert in diesem Ticket im Baxilla vom CIA Browser Forum so oft CrowdStrik schreibt weil das ist schon auffällig.
01:27:51: Ich hatte ein bisschen das Gefühl, die wollen nicht offen, sondern so ein bisschen verdeckt, passiv-aggressiv auf Crowdstrike zeigen.
01:28:02: Um zu sagen ja da ist bei Crowdstike irgendwie was schief gegangen aber es gibt im Grunde noch mehrere Probleme in dieser... Was habe ich gesagt?
01:28:14: Feldzwiebel die sehr weit von Crowdstrik wegzeigen.
01:28:19: also wie kann es sein dass da jemand im Kundendienst arbeitet und der hat einfach kein edr installiert?
01:28:26: wie geht das also schon?
01:28:28: wie kann ich denn Das ist ja ein reines weiß ich nicht IT thema Wie kann ich?
01:28:33: Wieso ist diese dieser Rechner so am Netz gewesen.
01:28:36: Da geht es mal los, das ist nicht crowdstrike schuld.
01:28:39: Also ich würde auch annehmen sozusagen wenn man den rechner mal so aufgesetzt hat Und dann dann geht der agent irgendwie flühten aus welchen gut noch immer Dann dürfte er crowd strike alarm schlagen und sagen einen Endpoint, den wir hier kannten ist irgendwie nicht mehr da.
01:28:54: Ja der wird dann rot in dieser Konsole von dem Falken also dieser zentralen Management-Konsole und dann sieht man wir haben keinen Kontakt mehr zu diesem PC und dann muss man ja eins an eins zusammenzählen.
01:29:06: und da weiß ich nicht wie die Ablauf in der IT von DigitZert ist.
01:29:10: aber ich würde jetzt sagen das es eher ein Thema von DigiZert Admins als von CrowdStrike was ein bisschen so eine Frage ist, die ich dann auch noch zweimal gestellt habe an CrowdStrike ist.
01:29:22: Die geht es jetzt sagt wir haben die Konfigurationen gehertet um in Zukunft zu verhindern dass diese exter Dateien oder SCR-Dateien also unbenannten exter dateien überhaupt irgendwo zugreifbar bleiben.
01:29:36: sprich das heißt bei CrowdStike Woll X Terminate on Detect.
01:29:39: sobald wir eine Malware oder irgendwas finden was verdächtig wird das gelöscht und wird nicht irgendwie da belassen, wo es ist auf dem Rechner oder dem Kundendienst Web Interface.
01:29:51: Wo's gefunden wurde sondern wird wirklich weggeschmissen und das war wohl bei DigiCert so nicht konfiguriert.
01:29:57: jetzt ist für mich wir haben ja im Vorfeld auch schon mal ein bisschen darüber diskutiert Silvester.
01:30:01: Jetzt is für mich schon relativ wichtiger Punkt ob dass eine Standard Einstellung von CrowdStrike falten ist oder nicht.
01:30:08: denn wenn es das nicht ist dann muss ich Cross-Strike zumindest fragen lassen, da haben sie die passenden Best Practices mitgeliefert und darauf hingewiesen dass das eine sehr gute Idee wäre das so einzustellen.
01:30:22: Wenn es hingegen doch ne Standard Einstellung war, die von Digicert deaktiviert wurde dann muss sich natürlich Digicerd fragen lassen warum das so
01:30:30: passiert ist.
01:30:31: Also ich finde es hängt davon ab angenommen ist nicht die Standard Einstellungen was denn die StandardEinstellung isst.
01:30:38: wenn die Standardeinstellungen.
01:30:39: Das Ding wird umbenannt, sodass es nicht mehr ausführbar ist und das wird in eine Quarantäne verschoben.
01:30:45: So dass der Nutzer es nicht sieht, fände ich jetzt nicht dramatisch.
01:30:54: Also das finde ich sozusagen allgemein eine relevante Frage sind die defaults safe?
01:31:01: Sind sie so gut?
01:31:02: also kommt das Produkt zu gut vor eingestellt, dass da halt keine Futterkern irgendwie eingebaut ist.
01:31:07: aber in dem konkreten Fall war das ja scheinbar total egal Weil der Endpoint One, wo der Crowdstrike Agent lief und wo er halt vielleicht Sachen nicht exterminated hat oder sie hätte exterminaten können wenn man die Einstellungen anders setzt.
01:31:21: Der war eh der Vorfall, der isoliert worden ist.
01:31:23: Problematisch war der andere, wo Crowdstike nicht lief Und da sehe ich eigentlich nicht wie jemand anderes außer DigitZ schuld sein kann.
01:31:33: Genau Sie stellen also Crowdstikes konzentriert sich da sehr auf diesen im Ticket Endpoint One genannten Rechner, wo nur drei Stunden lang – nur in Anführungszeichen muss man ja auch sagen – die drei Stunden hätten ja auch schon gereicht um diese sieben-zwanzig Zertifikate auszustellen.
01:31:50: Wo nur drei stundenlang die Malware lief.
01:31:51: aber der interessantere Rechler für den Thread Actor oder auch für die Ursachenanalyse ist dieser Endpoint Two also der auf dem die Malwehr zehn Tage seit dem vierten April unentdeckt war und das Frage mit so einer Gap zwischen den intendierten Sicherheitszielen, also dem was in der Policy steht und dem was die Realität umgesetzt ist.
01:32:17: Und dann eben dem konstanten, einem offensichtlich fehlenden konstanten Abgleich der aktuellen Situation Mit der Realität in der Konfiguration oder in der Policie.
01:32:26: das heißt da gibt es offensichtlich einen deutlichen oder gab's auch in diesen sicherheitssensiven Bereichen deutlich ein Unterschied zwischen der Realitet Security-Fiktion, also dem was sie sich in ihre Policies geschrieben haben und diese Policis sind ja nun mal auch das an denen Sie gemessen werden vom CA Browser Forum.
01:32:43: Und die Policie so wie Ihre gesamte Umsetzung müssen baseline requirement konform sein.
01:32:51: Das ist aber gar nicht alles.
01:32:52: Also CrowdStrike ist hier glaube ich schon hatte... Ich unterstelle jetzt mal, Sie hatten ein bisschen das Gefühl dass sie davon von Digizert als Bauernopfer unter den Bus geworfen werden und haben sich da auch ein bisschen gegen gewährt.
01:33:02: Ich habe dann einen Statement von CrowdStike Meldung mit hinzugefügt und auch das Ticket wurde klammheimlich editiert.
01:33:12: oder es wurde ein neuer Vorfallsberichter reingepackt.
01:33:15: Der eigentlich derselbe ist wie der vorige, da steht aber nur in einer Passage statt war falsch konfiguriert, steht jetzt falsch konfiguriert von Digizert.
01:33:24: Da haben sie also quasi einen Schuldeinerkantene Kenntnis rein editiert um zu zeigen dass diese Fehlkonfiguration auf ihrem eigenen Mist gewachsen ist.
01:33:34: Gut sei's drum!
01:33:36: Sie müssen sich eh fragen lassen, warum sie dann auf einer Kiste überhaupt keinen Cross-Strike installiert hatten.
01:33:41: Das zweite, dritte und vierte Problemen da kannst du aber bei besten Willen die Schuld nirgendwo anders als an deiner eigenen Nase suchen.
01:33:50: das ist nämlich die falsch designte Struktur der Berechtigung.
01:33:55: also sie haben zwei Fehler gemacht.
01:33:57: Also sie haben zum einen den Fehler gemacht dass Kundendienstmitarbeiter zu viel Berechtigung hatten, wenn sie sich als Kunde ausgegeben haben.
01:34:11: Sie hätten diese Initialisierungscodes nicht sehen dürfen.
01:34:15: Diese Initialisierungscodes hätten – und das ist ein weiterer Grund – anders in ihrer Risikoanalyse durch DigiZ behandelt werden müssen nämlich als echte Credentials.
01:34:26: Denn nur mit diesen Initialiserungscodes ist es möglichen Zertifikat abzuholen.
01:34:30: Das heißt die müssen ja behandelt wie ein Private Key im Grunde.
01:34:35: Als diese dieser steht im Ticket.
01:34:37: dieser Workflow für die Abholung von Zertifikaten, das sind ja auch noch Externate Validation Zertifikade gewesen.
01:34:43: Design wurde das eben nicht beachtet.
01:34:46: Das heißt sie haben auch in ihrer Modellierung der Risiken einen groben Schnitzer begangen, der ihnen jetzt massiv vor die Füße gefallen ist.
01:34:53: Sie haben diese Initialisierungscodes nicht als das betrachtet was hier sind nämlich als vollwertige eigene Credentials und sind auch nicht darauf gekommen dass ein interner Angreifer oder einen Angreifer, der einen internen Rechner owned in dieses Support-Portal gehen und sich diese Codes angucken könnte.
01:35:10: Das haben sie einfach nicht auf dem Schirm gehabt.
01:35:13: Ja, das steht
01:35:14: irgendwie drin.
01:35:14: Die haben die als temporäre Datenstruktur gehandhabt oder irgendwie so und nicht als kritischer?
01:35:21: Genau!
01:35:21: Und auch diese Geschichte, dass man zu diesen Sachen sehen konnte im Portal... Longstanding Feature irgendwie und das haben wir dann schnell mal nachgezogen.
01:35:36: Sie haben am selben Tag, an dem sie rausgefunden haben was da passiert ist, haben sie das dann gehotfixt?
01:35:42: Und jetzt sieht man diese Initialisierungscodes nicht mehr wenn man ein Proxied User ist also einen Kunde einen Support Mitarbeiter der sich als kunder ausgibt.
01:35:54: und der vierte Punkt den verstehe ich nicht also wirklich das ist mir zu war geformuliert ist.
01:36:02: Die support dieser support chat hat halt zugelassen, dass eine zip-datei mit einer executable da einläuft von salesforce fleißig an ein ticket angehängt wird und dann ohne irgendwie den datatyp die kannst ja in die metadaten reingucken oder irgendwas zu beachten dann auch an die Support-Mitarbeiter ausgeliefert wird.
01:36:27: Und dadurch gab es eben einen direkten Pfad, mit dem Malware an offenbar allen Schutzvorrichtungen vorbei zumindest erstmal in dieses Support-Portal von Salesforce reingeflossen oder rein geflogen ist.
01:36:39: und da steht Lapidar drin der Support-Shed ist nicht adäquat als Angriffsoberfläche für Malware untersucht worden.
01:36:50: also... Da ist ein Support-Shad und da gibt es neben diesem Chatfensterchen, wo du deinen Zeile reinschreibst.
01:37:00: Es ist so ein Büroklammersymbol.
01:37:01: Und dann muss ich doch schon eigentlich hellhörig werden!
01:37:04: Wenn dein Büroklammersymbol ist... Das ist ja nichts was irgendwie um drei Ecken versteckt ist sondern da steht Attachment hinzufügen und dann kannst du da Dateien verschicken und die schickst du natürlich an deinen Chatpartner also das Support-Personal.
01:37:16: Verstehe ich nicht wie man das übersehen kann.
01:37:18: Also das ist mir echt bisschen Rätsel.
01:37:23: Ja, also übersehen ist halt übersehen.
01:37:28: Also ich kann mir schon... also ich kann zwar allen einfach glauben dass da niemand dran gedacht hat oder sowas passiert ja in größeren Unternehmen andauern das irgendwas übersieht wird und sich dann alle fragen wie konnte das denn übersehen werden?
01:37:43: Das ist eine des anderes wie du ja vorhin schon gesagt hast.
01:37:44: Ich kann es mal einen Grund geben dass es sozusagen für supportfälle relevant ist dass die Kunden da Dateien so auch ausführbare Dateien zu verhügen stellen können, um sozusagen zu sagen das habe ich signiert aber es tut nicht oder irgendwie so.
01:38:02: Ich sehe nicht so richtig warum diese Dateien sozusagen auf dem Support-System dann ausführbar sein müssen.
01:38:08: also da gibt's ja verschiedene Varianten um irgendwie dafür zu sorgen dass dieser Datei halt nicht mit einem Doppelklick ausgeführt wird und der Windows Reiz glaube ich sehr einfach umzubenennen.
01:38:17: Aber Windows hat ja auch dieses Mark of the Web was man an den Datei dran klingen Kleben kann was üblicher Browser setzen wenn die Sachen runterladen und dann geht noch mal so eine Warnung auf, wenn die ausführbar ist um einen Doppelklick drauf.
01:38:29: Also warum sozusagen der Datei den Kunde zur Verfügung stellt auf dem Support System dann executable sein muss verstehe ich nicht und das wäre glaube ich auch etwas wo ich erstmal ansetzen will zu sagen okay fine du kannst uns hier schon Dateien schicken aber die werden wir uns halt also A gescannt werden sich an bei E sonst wird es ja in vier Fällen nicht irgendwie Wahrscheinlich nicht gescheitert.
01:38:53: Wobei uns ja nicht sicher sind, ob die auf dem Endpoint gescheitert sind.
01:38:57: Aber zumindest dass man dann halt sagt naja und wir öffnen die Halt im Sinne von eine Bilddatei oder so.
01:39:02: Und wenn es halt keine Bilderteile der PDF ist Dann können wir... Dann wird mit ihr nichts gemacht, ne?
01:39:09: Dann können wie die hernehmen um sie zu analysieren und zu suchen.
01:39:11: Wie sieht das Zertifikat aus?
01:39:13: aber die wird ganz bestimmt bei uns nicht ausgeführt.
01:39:17: Also Kann ich mich nur anschließen.
01:39:20: Ich denke, das ist aber auch ein bisschen das was hier im Vorfallsbericht so schreiben, dass es irgendwie auch kein Sandboxing gab und keine Content Inspectionen... Und ich kann mir das eigentlich nur so vorstellen, dass dann so einen Webinterface gibt und da hängt dann dieses Ding als Attachment dran und dann klickst du da drauf und dann passiert halt das was dein Browser so macht wenn ihr in der Excel-Datei anklickt.
01:39:41: Aber selbst dann soll es ja eine Warnung geben.
01:39:43: Also, da muss ich auch sagen, mangelt's eventuell an der Mitarbeiter-Schulung.
01:39:47: Wenn dem erzählt wird das ist übrigens ein Screenshot, deswegen hast du Punkt SCR und dann machst du einen Doppelklick und sagt erstmal deinen Betriebssystem so uiuiui ausführbarer Datei.
01:39:55: bist du sicher?
01:39:56: Und wenn ich dann ja klickt, dann sollte ich meine Schulungen überdenken.
01:40:01: Das sind alles tatsächlich Teile der... Also der Gegenmaßnahmen, die in diesem langen Baxillaticket mit drinstehen.
01:40:12: Targeted Coaching?
01:40:13: Ich weiß jetzt nicht genau ob diese beiden Kundendienstagenten noch...
01:40:17: Die sind jetzt das Targetz des Coachings
01:40:19: und ob sie eine Spezialschulung bekommen haben!
01:40:22: Aber es gibt ein Awareness Training und dieses Awareness training wird jährlich erneuert.
01:40:30: Meine Meinung zu solchen Erwähnungs-Trainings ist sattsam bekannt, allerdings im Kontext von Fishing.
01:40:35: Ich glaube in dem Kontext Malware ist die Effektivität ähnlich.
01:40:40: Also wahrscheinlich nicht besonders hoch wie man hier vielleicht auch gesehen hat.
01:40:43: es gibt aber solche Erwährnis Sachen und es gab jetzt auch zusätzliche Trainingsmaßnahmen um eben auf die Risiken von Social Engineering hinzuweisen.
01:40:51: Und also einen Social Engineering Vector wäre zum Beispiel dass ich sage hey ich habe dieses diese Datei Ich habe die mit dem Zertifikat, das ich von euch gekriegt habe, signiert.
01:41:01: Aber trotzdem kriege ich eine Warnung angezeigt.
01:41:02: Könnt ihr das reproduzieren?
01:41:05: Ich schicke euch die Achse und könnt ihr mir bestätigen dass da eine Wahnung kommt wenn ihr ausführt aber ihr müsst die Warnungen dann gegebenenfalls wegklicken.
01:41:15: Das kann ich mir vorstellen, aber man ist kein Fall wo der das Vorgehen des Supports sein kann.
01:41:22: Dann führe ich sie auf meinem System aus.
01:41:24: Aber das ist ja das bei Social Engineering.
01:41:27: Social Engineering, da ist nie das was hinterher dabei rauskommt, dass etwas hätte passieren sollen insofern...
01:41:33: Nee aber also ich meine wenn man sagt es ist ein legitimer Supportfall sozusagen, dass Kunden mit sowas ankommen dann muss sich halt als Digitizer sozusagen meinen supporten Mitarbeitern auch irgendwie in das Handbox oder sonst dazu für Verfügung stellen und sagen, da wirst du das rein und guckst was es macht.
01:41:51: Oder man sagt halt so was ist kein Supportfall?
01:41:54: bei sowas sagen wir einfach sorry nee wir dürfen dir nix ausführen keine Ahnung das müssen muss DigiZ wissen wie sie's handhaben aber irgendwie müssen sich halt überlegen wie die Hand haben.
01:42:02: also Sie haben aber auch einen ganzen Katalog an Maßnahmen zum Beispiel für die technischen Controls gemacht.
01:42:08: also zu gucken dass solche Dateien gar nicht mehr da in das Salesforce reinkommen, dass sie diese Irradication on Detect auch durchsetzen.
01:42:18: Dass sie durchsetzten, dass Gerätegebundes MFA für bestimmte Sachen gemacht wird weil ich nicht weiß ob das überhaupt hier geholfen hätte.
01:42:30: also Sie haben schon eine ganze Menge an Gegenmaßnahmen definiert und viele von denen auch schon komplettiert.
01:42:37: einige sind jetzt noch im Gange Eine ist erst mal zurückgestellt, das geht's um EDR Hard Failure Conditions.
01:42:47: Habe ich nicht ganz verstanden was gemeint ist?
01:42:48: Also ich glaube dass Geräte die nicht bekannt sind oder die nicht mehr compliant sind also wo zum Beispiel der Crosstike Agent fehlt gar nicht ins Netz kommen und dass man die ja so direkt irgendwie in Quarantäne schickt.
01:43:03: Da ist noch nicht
01:43:04: viel passiert.
01:43:06: Ich wollte zum nächsten Punkt überleiten, aber...
01:43:09: Ja noch nicht ganz.
01:43:13: In dem Ticket ist jetzt noch nicht viel passiert außer dass ein Wayne kommentiert hat.
01:43:17: vielen Dank für die Offenheit.
01:43:19: Das ist löblich vor allem das ihr diesen Endpoint II Fail, dass ihr den auch so dokumentiert.
01:43:25: Aber ich habe dann doch noch ein paar Fragen.
01:43:29: und immer wenn irgendwer in so einem CA Browser Forum sowas sagt wie HOWEVER there are a couple of things.
01:43:36: Das ist so ein bisschen wie Colombo damals in diesen Krimis, nur noch eine Frage.
01:43:43: oder Steve Jobs der immer one more thing gesagt hat und der User Wayne das ist nicht irgendwie ein Pseudonym von einem so Wayne interessiert sondern das is Wayne Thayer von Fastly Und er ist der Vizepforsitzende des Server Certificate Working Group beim CA Browser Forum also auch nicht irgendjemand.
01:44:03: In der Co-Signing Certificate Working Group ist er nicht drin.
01:44:12: Da ist
01:44:13: es doch irgendjemand.
01:44:14: Ist ja er keine Interesse Third Party oder so, aber ich denke wenn ihr Fragen stellt dann wird das CR Blouser Forum auch an eine Antwort erwarten.
01:44:23: und Das war jetzt schon relativ schlechter April.
01:44:26: für die Gezerr die werden da nicht viel Spaß mit gehabt haben war glaube ich auch kein Routine incident sondern Ich habe da irgendwo ein Komma-Fehler in meiner CPS und muss deswegen eine Zertifikate zurückrufen, sondern das war schon ein bisschen was größeres.
01:44:41: Und ausgerechnet da im April hat auch noch Microsoft angefangen per Defender Update Digi-Zert-Zerdifikate zu detektieren als Malware und die auch aus dem Truststore irgendwie rausgeschmissen so dass plötzlich alle möglichen Webseiten nicht mehr gehen.
01:44:57: Das möchte ich jetzt auch nicht in der Länge noch hier beschreiben nur eben diese Vermutung klarstellen, dass es da wohl einen Zusammenhang gegeben haben muss.
01:45:06: Dass das vielleicht die Reaktion darauf war, dass diese Code-Signing-Zertifikate kaputt waren.
01:45:10: aber es ging in dem Einenfall gegen den beiden Fallen um Code-Shining.
01:45:16: Aber dieser Zusammenhang der existiert nicht denn Das war einfach ein Erkennungsfehler.
01:45:22: Da wurde.
01:45:23: du hattest neulich noch eine höhere Zuschrift.
01:45:25: Wie hieß dieser dieser Trojana?
01:45:26: Der da angeblich diesem Mal wer dir entdeckt wurde.
01:45:28: ganz komischer Name.
01:45:31: Das war einfach Detektionsfehler von Microsoft.
01:45:44: Und da hat Microsoft dann auch ein Update nachgeschoben und diesen Fehler in Erkennungslogik wohl gegenüber DigiCert zugegeben.
01:45:52: Ich habe das von Microsoft selber also irgendwo auf deren Webseiten noch nicht gelesen, aber DigiSert geht damit on the record.
01:45:58: Hat er so einen im ihrem Blog entsprechenden Eintrag dazu?
01:46:01: Dann wird es schon stimmen ist also kein Zusammenhang Aber durchaus eine Gegenmaßnahme.
01:46:07: Also das kann durchaus passieren wenn also wirklich ein großer Vorfall mit so einer Code signing CA passiert dass dann über einen Notfallupdate deren CA-Zertifikat aus Windows rausgepatcht wird.
01:46:17: Das hat es, glaube ich in der Vergangenheit schon gegeben und das wäre auch klassisch das Vorgehen um so schnell wie möglich die Angriffsfläche ein bisschen zu verkleinern.
01:46:26: Ja mit halt durchaus erheblichen Kollateralschäden weil ja da noch alle legitime Software die von so einer CA signiert ist eventuell nicht mehr läuft oder halt nur noch läuft.
01:46:35: wenn man sagt Ich setze mich über alte Zertifikatswarnungen hinweg kann so
01:46:39: Genau und ich habe das gerade so ein bisschen vernuschelt.
01:46:42: Ich glaube was wirklich passiert ist, dass dieses... Das CA-Zertifikat von DigiCert also die Dateien quasi in den Certificats Store als Mal wäre erkannt und in die Quarantäne geschoben wurden Und dann natürlich auch nicht mehr im Truststore von Microsoft Also von der Windows Installation waren und dann TLS Verbindung kaputt gingen.
01:46:59: Ich denke das war der War das vorgehend nicht aber ist irrelevant waren tatsächlich ein false positive.
01:47:06: Aber es ist wirklich so Der Teufel scheißt auf den dicksten Haufen Ding, ne?
01:47:10: Wir hatten gerade schon echt ein paar schlechte Wochen und dann kommt das auch noch obendrauf.
01:47:14: Aber... Das war die... Das PKI ungemacht mit der April-Fail-Zwiebel.
01:47:21: Und jetzt kommen wir glaube ich zu was völlig anderem oder?
01:47:25: Ja, wir
01:47:31: kommen zu etwas völlig Anderem und vor allem zu auch was etwas Schönerem.
01:47:36: Also es ist zumindest irgendwie keine Failsiebel Und nein, ist das eigentlich grundsätzlich schön.
01:47:43: Es gab dann nur so ein paar kleine Stolper-Fallen.
01:47:47: Ubuntu steigt auf die Rust Core Utils um allmählich.
01:47:53: Darüber will ich sozusagen reden.
01:47:55: Dazu müsste man erst mal sagen was sind denn die Core Utiles?
01:47:58: Also für alle die sich mit dem Genionix Kram nicht so auskennen... letztendlich die ganz basalen Werkzeuge von so einem Betriebssystem, also was wie der CP-Befilm um Dateien zu kopieren.
01:48:08: Ein Movebefehl, Head, das sind Link... Also es sind irgendwie gut hundert Stück und ohne diese minimalen Satz an Befehlen kann ich halt ein Betriebsystem wenig machen.
01:48:22: Also sogar Nutzer, zum einen Nutzer die auf dem Turbind unterwegs sind, die nehmen sie selber her Aber auch alle anderen Nutzer haben halt laufend im Hintergrund von ihren Betriebssystem-Herstellern irgendwelche Skripte am Laufen und diese Skripty basieren eben auf diesen Core Utils.
01:48:40: Das heißt, ohne diese Werkzeuge geht herzlich wenig!
01:48:44: Und es gibt mehrere Sammlungen die sozusagen diesen Werkzeugsatz oder zumindest sehr ähnliche Werkzeugsätze bereitstellen... Wer hat sie wunden?
01:48:54: Schauen wir mal, ob die Schweizer... Ja genau.
01:48:56: Ob es hier Rengestätten kriegen oder so.
01:48:58: Nee nicht die Schweitzer sondern GNU.
01:49:02: Also das ist ein... Diese Core-YouTools sind überhaupt... Die halt von GNU kommen ist eine der Gründe warum Richard Stormen und auch alle anderen Leute aus dem GNU-Unfall immer gesagt haben man sollte eigentlich nicht von Linux reden als Betriebssystem weil das ist der Kernel, sondern es ist eben GNU slash Linux also der Linux Kernel zusammen mit einem Haufen Betriebssystemkram von GNU.
01:49:25: Und was ist GNU?
01:49:26: eben nicht?
01:49:27: Ein Akku-Nun... Ah so, auch das nicht!
01:49:31: GNU steht für GNU is not UNIX.
01:49:33: Genau, es ist NICHT UNIX!
01:49:37: Wobei... Also in dieser ganzen Debatte die Idee von GNu war ja auch dass es nicht mit Linux läuft sondern wir haben einen eigenen Kernel der heißt HURT Und der ist irgendwie nie so richtig irgendwo hingegangen.
01:49:51: und jetzt kriege ich wahrscheinlich allein dafür schon möglicherweise auch berechtigte Flame-Mails.
01:49:56: Also, ich möchte sozusagen diese ganze... Die
01:49:58: waren sie direkt von Neustadt.
01:49:59: Stormen oder wer wäre schreibt mit uns schreiben?
01:50:01: Weiß'
01:50:01: ich nicht!
01:50:03: Ich mag nur, ich hab keine Ahnung von Hurt.
01:50:06: Ich möchte in die ganze Debatte nicht einsteigen.
01:50:08: Ich wollte eigentlich nur kurz sagen es gibt diese Koryotistin wichtig und die originale Sammlung von denen kommt halt von Nu.
01:50:17: Das war ein reines Ehre, wie im Ehre gebührt.
01:50:21: Und die sind in C geschrieben und das meine ich jetzt ganz positiv richtig gut abgehangen.
01:50:27: Die sind über dreißig Jahre alt, sie sind seit dreißiger Jahren essentiell und seit dreessig Jahren gucken da Leute skeptisch drauf ob die denn korrekt funktionieren.
01:50:39: Nächstes doch trotz werden.
01:50:41: Also wie gesagt, es gibt mehrere solche Sammlungen.
01:50:42: Es gibt aus verschiedenen Gründen andere Leute die gesagt haben wir machen da eine eigene Sammlung.
01:50:48: aber das neueste Projekt in der Richtung ist ein Teil von dem U-Utils Project und es steht für Ubiquitous Command Line Utilities Und diese haben sich unter anderem zur Aufgabe gesetzt die Core Utilis in REST zu reimplementieren Genauso wie dieses Projekt auch die Implementierung in Rust von diversen anderen Standardwerkzeugen vorantreibt.
01:51:15: Mit einer Reihe von Gründen, dass der Standardgrund natürlich das Rust irgendwie eine speichersichere Sprache ist und damit sozusagen von einer per Definition im ersten Mal sozusagen einen Sicherheitsvorschuss oder Vorsprung gegenüber C-Code hat aber halt auch weil diese Reimplimentierung schneller sein sollen, also Perfomante und so.
01:51:37: Naja, jedenfalls auf diese U-Utils Core Utils, also die Reimplantierung der Core Utilts.
01:51:42: in Rust will Ubuntu umsteigen.
01:51:45: Ubuntu wird es primär, weil das halt sicherer sein soll von wegen speicheres Sichersprache anso.
01:51:51: Dass dieser in Rust geschriebenen Core Utiles irgendwie schneller sind ist schön, aber da sagt Ubuntu nicht der Grund warum wir dahinterher sind.
01:52:00: Und weil die eben so einen Kernbestandteil von dem Betriebssystem sind, sind sie da halt berechtigterweise schön vorsichtig in diesem Umstieg.
01:52:09: Haben sich ein sehr kompliziertes Paketersetzungsschema überlegt um halt die GNU Core Utils durch die Rust Core Utilis auszutauschen.
01:52:19: Weil das nicht einfach ist und es geht schon damit los dass halt das Paketmanagement System auf diese Werkzeuge zurückgreift unter Umständen, wenn es Paketemanage.
01:52:30: Das heißt, wenn ich da irgendwie mit den Paketen mache und dann irgendwie zurückwechseln will weil die neuen Core Utils irgendwie nicht funktionieren, kann ich das halt nicht, wenn mein Paketmanager selber sagt ja ich würde jetzt hier gerne der Teil irgendwo hinkopieren aber es geht halt nicht.
01:52:45: Weil der Copy Befehl irgendwie gerade nicht da ist oder nicht tut oder so.
01:52:49: Das heisst es ist natürlich schon eine ziemlich heikle Operation sowas auszutauschen.
01:52:56: Und dann haben sie sich da eine vorsichtige schrittweise Vorgehen überlegt.
01:53:04: Und zu dem Einzug von diesen Core-Utils in das Kernangebot von Ubuntu gehörte eine statthermäßige Sicherheitsprüfung von den Ubuntu Leuten und die viel... Für mich überraschend solarlar aus, um es leicht euphemistisch zu umschreiben.
01:53:24: Also da fielen dann im Zuge diese Bewertungen durchaus so Sätze wie dieser hier... Ich
01:53:44: muss ganz kurz eine linguistische Frage stellen.
01:53:48: Racy heißt ja eigentlich so rassig, also so erotisch.
01:53:54: Sind das ausgezogen?
01:53:56: Du bist im falschen Mindset unterwegs.
01:53:59: Nein, die reden einfach nur von Algorithmen, die dazu neigen Race Conditions zu provozieren.
01:54:07: Also da geht es explizit darum dass eben zum Beispiel der Make-Dirr Befehl mit dem ich ein Verzeichnis anlegen kann dem kann ich einen Namen geben, dann legt er im aktuellen Verzeichnis dieses Verzeichnissen an.
01:54:18: Aber ich kann ihm auch ein Fahrt geben.
01:54:19: also ich kann da halt sagen make der x slash y slash z und dann legte das verzeichnis x an und darin das verzeichen ist y und darindes verzeichnes z
01:54:27: Wenn ich mich noch spiel nutze?
01:54:30: Naja also ja weiß ich gar nicht.
01:54:32: bei den GNU Coorded Utils Ja die U-Utils vielleicht auch Nein Das ist so eine Sache Die sind nicht ganz Feature Parity ne?
01:54:41: Die verhalten sich wie hundert Prozent identisch.
01:54:44: Aber warum es mir jetzt gerade geht, ist das schon bei die ursprüngliche Implementierung von MakeThe by the newUtil, also RustCoreUtils Das Stück für Stück gemacht hat.
01:54:54: Also die haben erst den ersten Ordner gelegt Dann haben sie den zweiten Ordner im ersten Orten angelegt und dann haben Sie den dritten ordner im zweiten ordner angelegt Und das ist eben genau so ein Fall wo sie anfällig sind für eine Race-Condition.
01:55:06: Wenn sozusagen zwischen diesen Schritten irgendwas mit diesem Ordner passiert meine, wenn ich es richtig im Kopf habe.
01:55:13: Also es war jedenfalls das war eine dieser Race Conditions die sie hatten und ich meine dass auch die worauf sich diese Anmerkung bezog dass sie ganz bestimmt nichts übernehmen werden was eben solche Unsafe Racy Tree Walking Algorithms hat.
01:55:25: Die waren da jedenfalls naja so bedingt begeistert.
01:55:31: Natürlich wurden diese Probleme dann schon auch angegangen.
01:55:34: also man kann dem U-U Tools Projekt nicht vorwerfen dass sie sich für sowas nicht interessieren oder so.
01:55:40: Und Ubuntu hat auch die Rust Call Utils übernommen.
01:55:49: In Ubuntu sind letztendlich schon doch zum Schluss gekommen, das passt schon.
01:55:54: Das haben wir aber auch gesagt.
01:55:55: und dann ja die Sicherheitsprüfung, die hat schon Sachen gefunden und es war nicht so soupy.
01:56:00: Und der nächste Release ist ein Long-Term Support Release.
01:56:08: Da hätten wir gern mehr Sicherheit dafür.
01:56:11: Dafür beauftragen werden Externis Audit dieser Core Utils.
01:56:16: Das ist jetzt auch nicht ganz neu, diese Art von Vorgehen bei Ubuntu.
01:56:18: Die haben das zum Beispiel auch gemacht, als sie Wailin eingeführt haben Dieses neue Protokoll für Display Server unter Linux.
01:56:24: Das hatten Sie in Ubuntu Seventeen schon per Default an.
01:56:28: Und es haben dann in Eighteen vier was per Defold aus Weil eben Eighteen vier zwar später kam aber wieder so eine Long Term Support Version war.
01:56:37: und da haben die gesagt Das müssen wir so lang supporten, das lassen wir lieber.
01:56:40: Und dann haben sie es, glaub ich in den Achtzehn-Zien war WLAN wieder Standard und irgendwann wurde WLAN auch in den LTS Releases standard und so aber... Also dass Ubuntu damit zweierlei Maß misst, je nachdem ob die Version um dies geht ein Long Term Support Release ist oder nicht, ist nicht neu!
01:56:55: haben sie hier eben auch gemacht, also haben gesagt gut die Ergebnisse dieser Sicherheitsprüfungen waren so dass wir dann Externis Audit wollen.
01:57:02: aber es reichte wie dieses Externi audit für den LTS-Version bekommen.
01:57:05: in die Standardversionen bauen wir jetzt einfach diese Core Utils ein.
01:57:10: Dieses Audit hat dann die Firma Selleck gemacht in zwei Phasen vom Dezember twenty-fünf bis März sechsundzwanzig.
01:57:18: Den Auditorport packt mir die Show Notes falls ihr das interessiert Kleines Kaviat, der bezieht sich wenn ich es richtig verstanden habe nur auf die erste Phase dieses Audits.
01:57:27: Da haben sie vierzig der Werkzeuge analysiert, die halt besonders hohes Risiko mit sich bringen weil Sie unbedingt funktionieren müssen und weil sie unbedingt irgendwie sicher sein müssen.
01:57:40: Also
01:57:40: muss nur nochmal einzuordnen ungefähr vierzig Prozent der gesamten Basis.
01:57:46: Ja bisschen weniger sind etwas über hundert Tools in Hundert zehn oder hundert, dreizehn irgendwie so Tools.
01:57:52: Und genau.
01:57:54: Vierzig davon eben in Phase eins und da haben sie scheinbar sozusagen die Sachen auch an Ubuntu gemeldet weil das halt irgendwie naudit für Ubuntu war und dass halt irgendwie ... Die High Risk-Sachen waren in Phase zwei.
01:58:05: wenn ich es richtig verstanden habe, haben Sie die Funde dann einfach direkt in den Backtracker von den Utils gepackt, ne?
01:58:14: Also auch die alten... Die Funde aus Phase eins sind mittlerweile auch im Backtrackern Aber da war sozusagen das Mail-Vorgehen von Selleck anders in diesen beiden Phasen.
01:58:22: Insgesamt haben die da hundertdreizehn Dinge, also in hundert dreizehn Issus gefunden was zu viervierzig CVEs geführt hat.
01:58:30: Das klingt... Also erst mal klingt es nach viel zumindest in einer.
01:58:35: wenn man jetzt nicht diese Kaifunde von vorhin noch im Kopf hat und damit vergleicht
01:58:39: Und beim Linux Kernel Team heißt so einen Tag ein halber Dienstag
01:58:46: Ja Aber es ist halt auch der Linus kann.
01:58:49: Und andererseits muss man schon sagen, sind dann auch eine ganze Reihe Tools, die da untersucht worden sind.
01:58:55: Rein rechnerisch mit den Zahlen, die du gerade gesagt hast ungefähr ein Issue pro Werkzeug und ein Drittel Issues pro Werks... Ein Drittel CVE Pro Werkzeug.
01:59:07: das finde ich eigentlich bei der Menge an Tools die damit drin sind gar nicht so einen schlechten Schnitt.
01:59:12: Ja, ich meine es muss sich halt messen lassen.
01:59:16: Core Utils, die vermutlich einen besseren Schnitt haben weil einfach seit dreißig Jahren Neude drauf schauen.
01:59:22: Und die sozusagen die inherrenden Nachzeichen mit sich bringen in eine nicht speichere sicherliche Sprache geschrieben worden zu sein aber wo man halt auch erst mal zeigen muss und hier ist übrigens der Fehler das kann dann die KI machen da haben wir schon vorgebietet.
01:59:36: Also wie gesagt kann man sich jetzt darüber debattieren ob es jetzt viel oder wenig ist da hundertdreizehn Issus zu finden.
01:59:40: Da waren durchaus High and Critical Issues dabei dass schon Und insgesamt muss ich sagen, klingt dieser Auditreport nicht so fresh auch.
01:59:49: Also ich zitiere hier mal wieder... Also in Anbetracht davon wie schwer und welche Art von Lücken Sie da gewonnen haben empfiehlt dieses Audit, dass man das mal alles fix und dann noch ein Audit macht.
02:00:24: Okay
02:00:26: ich möchte gerne meinen vor zwei Minuten ich korrigieren es klingt doch ganz schön schlecht.
02:00:34: Ich habe mir noch einen Ausschnitt rausgepickt several issues arise from naive implementations that do not fully consider the corner cases handled by GNU Core Utils und das basicen Konzept der Systeme.
02:00:48: Wir haben z.B.
02:00:48: viele Probleme caused by naive Path-Comparisons gefunden, also einige der Punkte die sie gefunden haben, rührend von naiven Implementierungen her, die nicht alle cornerkill...
02:01:08: Rannfälle?
02:01:09: Randbedingungen?
02:01:10: Wie heißt denn den?
02:01:11: Also nicht alle komischen... Sonderfälle!
02:01:14: die nicht alle Sonderfälle im Auge haben, die eben die Nukoryotils in Auge habe und die auch nicht die basalen Konzepte des Systems berücksichtigen.
02:01:28: Zum Beispiel hätten sie mehrere Dinge gefunden, die daher rühren dass Dateisystem-Fade halt naiv verglichen werden.
02:01:38: und naiv heißt hier eben auch anfällig für Angriffe.
02:01:43: Und das sind eigentlich nicht Sachen, die ich in einem Audit lesen will.
02:01:47: Das gerade Dekor-Utils betrifft.
02:01:53: Ist ja nur Ubuntu.
02:01:56: Ja, ich weiß
02:01:58: es.
02:01:58: Dieses Uyutils Projekt ist nicht von Ubuntu ne?
02:02:02: Ich bin relativ sicher.
02:02:04: Das ist übergreifend.
02:02:06: Ubuntu will halt jetzt darauf umsteigen... Insofern, das ist ja auch ein schöner Fall von so funktioniert Open Source Software.
02:02:12: Ubuntu sagt wir wollen darauf umsteigen, Ubuntu gibt einen Audit dafür in Auftrag.
02:02:18: Das findet Sachen die werden jetzt gefixen.
02:02:19: davon profitieren alle und nicht nur Ubuntu Und davon profitiert sie auch tatsächlich.
02:02:25: also jetzt unabhängig davon wie gut oder schlecht dieses audit klangen Die meisten der gefundenen Dinge wurden sehr zackig behoben.
02:02:34: dass es schön Und deswegen steigt jetzt auch Ubuntu sixenzehntzig-nullvier auf die in Rust geschriebenen Core Utils um mit Ausnahme der Befehle Copy Move und Remove.
02:02:47: Da gibt es nämlich immer noch offene Talk to Issues, und erst Ubuntu sechsenzehnzig zehn.
02:02:53: dann sind ihr hoffentlich behoben soll dann komplett auf die In Rust geschriebene Utils Umsteigen.
02:03:00: Das wäre doch jetzt eine gute Gelegenheit mal sehr detailliert über dieses Tofu zu reden das du jetzt schon ein paar Mal gesagt hast.
02:03:06: Tofu ist das andere.
02:03:07: Tofu is trust on first use.
02:03:09: Ach so, ich dachte dass es dieses weiße in meiner Miso-Sucke...
02:03:14: Ja, das auch.
02:03:15: Oder?
02:03:15: Halt!
02:03:15: Ich hab noch einen Text oben, Fullquote unten.
02:03:19: Die Outlookmethode auf Melz zu antworten wo du dann einfach nur obendrüber schreibst ist okay für mich und unten drunter ist dann so ein Kampquoting von sechzig Kilowatt Mailkonversation.
02:03:31: Tofu ist auch der Erzfeind von Markus Söder.
02:03:34: aber
02:03:34: jetzt
02:03:36: Das glaube ich irgendwie.
02:03:37: Jetzt wirst du aber arg politisch
02:03:38: hier.
02:03:38: Ja genau, was heißt ja arg-politisch?
02:03:41: Der Typ ist ja Metzgerei Influencer und das hat mit Politik nix zu tun.
02:03:46: Aber Social Media Drama machen wir hier nicht!
02:03:48: Wir machen keine Reaction Videos auf, was Markus Söder gesagt hat.
02:03:50: Wir machen nur Reaction videos auf das, was Claudia Platner gesagt hat und da lassen wir sogar das Video weg.
02:03:57: Naja also ja es ist eine gute Gelegenheit, aber ich wollte schon nochmal kurz sagen... Also ich muss sagen, ich bin ein bisschen konsterniert.
02:04:06: Ich hätte angenommen dass so eine Reimplimentierung der Coyotils sich nicht vorwerfen lassen muss.
02:04:11: da sind irgendwie naive Fehler drin und wenn es sich das Vorwärmen lassen muss diese naiven Fehler auch sehr schnell korriert bekommt.
02:04:19: und das scheint trotz durchaus dem Willen nicht der Fall zu sein.
02:04:24: So sehr dass Ubuntu ja sagt naja gut die drei Befehle und ich mein Copy Move und Remove sind jetzt auch nicht irgendwelche Nischenbefehle.
02:04:31: Die lassen wir noch mal auf den alten C-Sachen.
02:04:37: Ja, ich hab da zwei Anmerkungen dazu.
02:04:40: also eines ist eher eine Frage Wenn ich mir jetzt so ein Projekt vornehme Also ah mich hat das am Anfang schon hatte ich da schon das Fragezeichen in den Augen Warum mache ich sowas ehrenamtlich?
02:04:55: Es wird ja ehrenamtlich sein Da wird sicherlich keiner für bezahlt.
02:04:58: Was ist die Motivation und Wie geht man sowas dann eigentlich an?
02:05:02: Weil ich ja nicht nur kompatibel, also sündachskompatibel sein muss nach Möglichkeit zu den GNU-Utils sondern ich muss ja auch POSIX compliant bleiben oder sollte es zumindest.
02:05:13: Das ist mir nämlich gerade eingefallen als ich das mit diesem MinusP eingeworfen habe.
02:05:17: Das nämlich zum Beispiel ein zentraler Unterschied zwischen Mac OS und Linux.
02:05:20: Mac OS möchte das Minus P beim MkDiR zwischen dem MkdIr und dem Directory haben und wenn das POSix compliant wäre dann könnte das MinUSp überall stehen.
02:05:29: Ja, wobei POSIX Compliance ist ja je nachdem wie sehr man drauf guckt teilweise auch frommes Wunschdenken.
02:05:40: Ist aber nicht die Frage.
02:05:42: Die Frage ist eher, wie geht man das an?
02:05:44: Also ich hätte jetzt gedacht, man nimmt sich den C-Source und verbaut weiß eine Art Converter.
02:05:55: oder haben die das auf der grünen Wiese komplett re-implimentiert und gesagt, so was brauchen wir um den Datei von A nach B zu kopieren?
02:06:01: Weißt du das?
02:06:02: Nein muss ich ehrlich sagen weiß ich nicht.
02:06:04: Ich habe mir nicht näher angeguckt wie genau U-Utils Core Utils vorgegangen ist.
02:06:10: Grundsätzlich hab' ich ja schon gesagt sie sind nicht ganz identisch zu dem NuCore Utils in ihrem Verhalten.
02:06:19: Das ist auch ein Problem für so einen Umstieg.
02:06:21: Das ist allerdings ein Problem, dass ich hier auf zwei Arten lösen kann.
02:06:24: Ich kann sozusagen das Tool näher an die Vorlage ranrücken oder ich kann halt zum Beispiel so Buntu sagen na gut wenn es halt irgendwie drei von unseren Skripten auf die Nase fällt dann passen wir diese drei Skrifte an und ich kann mir doch aus vorstellen... Also einerseits ist es sicher nicht schlecht sowas auf der grünen Wiese anzufangen weil wenn ich das machen will um sozusagen von den Features die Rust mir bietet zu profitieren dann habe ich da weniger davon, wenn ich sage, ich nehme den C-Code und versuche den möglichst eins zu eins nach Rust überzuführen.
02:06:55: Dann ist es schöner zu sagen wir machen das halt mit Rust Idiomen und dann kriegen wir da möglichst viel raus und kriegen vielleicht auch möglichst viel Performance unsere raus und möglichst wenig Unsafe Blocke oder so.
02:07:07: Und dann hab' ich aber halt das
02:07:08: Problem... Das musst du bitte gerade einmal in zwei Sätzen erklären!
02:07:11: Was sind Unsaftblocke?
02:07:12: Ach
02:07:12: so, man sollte es vielleicht dazu sagen.
02:07:14: Ich meine Rust ist eine Speicher-sichere Sprache.
02:07:16: das heißt einige typische Programmierfehler die man zum Beispiel in der Sprache WC machen kann dass ich plötzlich in ein Speicherbereich also dass mein Programm dazu gebracht werden kann in einen Speicher Bereich zu schreiben zb in denen es gar nicht schreiben soll.
02:07:29: Das geht mit Rust nicht.
02:07:32: Aber manchmal muss sich einfach schwarz-magischen Blödsinn machen, weil je näher ich an die Hardware heran rücke was die Hardwares endlich macht ist halt irgendwie mit Pointer auf Speicherbereiche zeigen und diese Pointer zu verbasteln.
02:07:47: Und manchmal komme ich grundsätzlich nicht drum herum oder manchmal komme aus Performance Gründen nicht darum rumzusagen.
02:07:52: Na gut!
02:07:52: Ich mache hier doch irgendwie Pointer arithmetik oder so also irgendwas wo das Risiko besteht dass sich plötzlich auf Speichereiche bearbeitet, die ich gar nicht bearbeiten will.
02:08:04: Und das kann ich in Rust in einen sogenannten Unsafe Block kapseln, damit der Rust Compiler halt sagen kann okay da hier sagst du hast es geprüft.
02:08:12: Ich kann mir das nicht anschauen.
02:08:13: aber das gefährdet sozusagen nicht die ganze restliche Logik im Programm weil das irgendwie isoliert ist in diesem Unsaif Block und je nachdem was sich programmiere komme ich halt und wie ich programmiere komme ich mit mehr oder weniger Unsaife Blöcken aus.
02:08:30: Also ich kann mir durchaus vorstellen, dass es zumindest schön ist für einen Rust Programmierer zu sagen.
02:08:36: Ich übersetze hier nicht den C-Code, ich mache das so wie man das in Rust halt schön macht.
02:08:41: Das einig kann mir auch vorstellen, daß die Signal Coyotes halt über dreißig Jahre POSIX Compliance sonst was durchaus einige Sachen angesammelt haben wo man sie vielleicht auch denkt, brauchen wir das wirklich?
02:08:52: Können wir nicht zum Beispiel diesen Parameter hier einfach... oder sozusagen das immer so machen, egal ob der Parameter da ist oder nicht.
02:09:01: Also können wir hier nicht Zöpfe abschneiden die niemand mehr haben will.
02:09:09: Zum Beispiel
02:09:09: die Unterstützung für AFS und für Dateien auf acht zwölf Lobbis oder sowas.
02:09:15: Ja, gut.
02:09:15: Das ist jetzt auf der Ebene aber solche Dinge halt nur halt auf der Ebene von irgendwie.
02:09:19: also was das ich für obskure Flex ist in irgendwelchen obskuren New Utils Kommandos?
02:09:23: Also
02:09:24: ich glaube tatsächlich so Sachen wie du musst darauf achten wenn du was auf ein Tape kopierst oder so, weil sich das vom Timing ja anders verhält.
02:09:30: sowas kann ich mir schon vorstellen dass solche Sachen noch existieren irgendwo
02:09:34: Genau und dann... Also ich kann mir gut vorstellen dass die da mit Absicht sagen wir machen hier nicht einfach einen eins zu eins Nachbau der DLCI Vorlage Aber manchmal hätten sie es halt doch vielleicht sich näher dran halten sollen.
02:09:48: und diese Fälle sind eben unter anderem diese Doktu-Issues.
02:09:52: Und wie du gerade richtig gesagt hast, das ist eine schöne Gelegenheit da mal drüber zu reden.
02:09:56: wir haben das ja schon mehrfach irgendwie so ein bisschen erklärt oder so.
02:09:59: aber jetzt habe ich hier mal Beispiele und können einfach eins davon schön durchgehen.
02:10:03: was ist so'n Doktu Issue?
02:10:05: Und wie gesagt wie Tofu hat das nichts zu tun sondern Doktu also TUC TUU und steht für Time of Check Time Of Use Und letztendlich ist es eine Unterkategorie von Race-Conditions, also von Wettlaufsituationen.
02:10:17: Also von Problemen die daraus reagieren, resultieren das zwei Aktionen, die in den bestimmten Reihenfolge erfolgen sollen unterbrochen werden können von was anderem.
02:10:32: Das grundsätzliche Problem bei so einem Talkto-Issue ist man hat irgendeine Aktion die man durchführen will und dies aber nur sicher durchzuführen wenn irgendetwas vor Bedingungen erfüllt ist.
02:10:43: und wenn man das dann so realisiert, dass man sagt ich prüfe das ob diese bediemung erfüllt ist.
02:10:49: Und wenn die Prüfung positiv beschieden ist, dann führe ich die Aktion aus.
02:10:53: Dann hat man ein potenzielles Doktorproblem Wenn zwischen der Prüfungen und dieser Aktionsausführung was anderes passieren kann.
02:11:01: zum Beispiel mein Der Prozessor, der Betriebssystem-Sketeur sagt halt mal kurz an.
02:11:07: Ich habe hier ein anderes Programm, das will auch was tun.
02:11:09: Ich mache meine Prüfung dann kommt irgendein anderes Programm dran und dann mach ich meine Aktion.
02:11:14: Und wenn dieses andere Programm jetzt zum Beispiel das eines Angreifers ist, dass irgendwie dafür sorgt, dass die Prüfungen, die ich gerade bestätigt habe doch nicht erfüllt ist... ...und dann komme ich wieder dran, mache meine Action und glaube sozusagen die Bedingung war ja erfüllt aber die hat sich in der Zwischenzeit so zu sagen sie unerfüllt geworden.
02:11:30: Dann hab' ich einen Problem.
02:11:32: Ich habe gerade kurz ein bisschen nachdenklich geguckt, weil ich nicht sicher bin ob wir vielleicht nochmal ganz kurz zwei Sätze dazu sagen müssen.
02:11:39: Du kommst ja gleich zu einem konkreten Beispiel bei welchen Arten von Operationen das nicht funktioniert.
02:11:46: also wenn es um eine Verkettung von verschiedenen atomaren Operationen geht, die zum Beispiel nicht unterbrechbar sind Also weiß ich nicht in L-Start oder F Open oder so was der ist ja insofern automatisch er zu Ende gemacht wird und dann kommt der nächste Prozess, aber wenn du mehrere von diesen Sachen verketten musst dann öffnest du dich ja für so ein Talk-To-Bing.
02:12:07: Genau oder andersrum?
02:12:08: ich kann halt Talk to vermeiden wenn ich es irgendwie schaffe die was sich hier tun will also Bedingungsprüfung und Durchführung der Aktion Atomat zu gestalten Also so dass sie nicht unterbrochen werden können.
02:12:19: Die finden natürlich beide statt Und zwar sozusagen ohne Unterbrechung.
02:12:23: Oder halt nicht
02:12:26: Nukula.
02:12:27: Das Wort heißt Nukulak.
02:12:29: Genau!
02:12:30: Nee, also sowas heißt Atomic oder Atomah nach dem...nach der alten antiken griechischen Annahme das Atometheile sind die man halt nicht spalten kann.
02:12:40: und wenn ich es halt nicht schaffe sozusagen zwischen Prüfung und Aktionsausführungen irgendwas Wenn da nichts reinkommen kann weil sich das nicht trennen lässt dann habe ich eine Atomareaktion Und dann hab' ich auch kein Tochterproblem.
02:12:50: So Wir nehmen jetzt ein konkretes Beispiel, und zwar den MV Befehl aus diesen Rust Core Utils.
02:12:57: Das steht für im Huf.
02:12:59: Für alle Leute die sozusagen nicht auf der Kommando-Zeit unterwegs sind.
02:13:02: Und für alle Leute, die es genau interessiert, das ist im GitHub das Issue ... ... Jahrzehntausendfünfzehn, also Eins Null Null Eins Fünf.
02:13:10: Link zu mir in die Schornots.
02:13:13: Der Move Befeil Verschieb Dateien, deswegen heißt es so.
02:13:16: Also der MV Befehl.
02:13:17: Ich sollte das klar sagen.
02:13:20: Der verschiebt Dateien oder kann sie umbenennen?
02:13:23: Weil eine Umbenennung sozusagen... also letztendlich ist es das Gleiche.
02:13:26: Das zeigt sich auch daran dass der idealerweise implementiert wird über einen Rename-Aufruf und der Rename Aufruf, der kann den Datei nicht nur umbenennen im Sinne von die liegt auf dem Desktop und heißt Datei A und nach dem Renameaufruf heißt er Datei B sondern der Arbeit auf dem ganzen Pfad Und kann deswegen halt auch die Datei vom Desktop runterziehen und was er sich in irgendeine andere Ordner schiebt.
02:13:49: Genauso auch der Move Befehl, der halt implizierter Dateien verschiebt, der kann natürlich auch einfach nur den Datei im selben Ordner lassen aber ihren anderen Namen verpassen.
02:14:00: Nur um sozusagen dieses potenzielle Verwirrerspiel aufzuklären so... Idealerweise macht ihm dem Move Befehlen nichts anderes als ein Renameaufruf.
02:14:10: Das geht aber nicht wenn eine Datei von Dateisystem A auf der Dateissystem B verschoben werden soll.
02:14:16: Also dieser Rename-Aufruf, der funktioniert nur wenn man halt im Dateis system sagen kann hey diese Datei mit fad x die hat jetzt fad y und dann ist sie halt verschoben oder unbenannt.
02:14:26: Wenn ich zwei verschiedene Dateisosteme habe, dann muss ich die Datei kopieren vom einen Dateisosystem aufs andere und Sie dann am Ursprungsort löschen.
02:14:34: Dann hab' ich sozusagen auch ne Verschiebung.
02:14:36: Und der GNU MV Befehl macht es so, dass er die Datei auf das Ziel kopiert.
02:14:44: Falls das Ziel vorhanden sein sollte wird es dabei ersetzt durch die Dateien und dann löscht er die Quelle.
02:14:49: Und dann ist der Dateil verschoben.
02:14:52: Der YouUtilMove wieviel machte das zumindest anders?
02:14:57: Ich weiß nicht ob Sie's jetzt schon gepatched haben oder nicht!
02:14:59: Er hat das Ziel falls es denn vorhandenes gelöscht Dann hat er die quelle dorthin kopiert... ...und dann hat er diese Quelle gelösht.
02:15:08: Jetzt zur Frage in die Runde Habt ihr das Talkto Problem entdeckt?
02:15:13: Ich illustriere es anhand eines Beispiels und ich hoffe mal, wir kriegen das irgendwie hin.
02:15:18: Wir haben halt ein Audio-Podcast und können hier keine Diagramme malen oder so.
02:15:22: Also es gibt die Datei A und die soll an den Wort B verschoben werden.
02:15:27: Und außerdem... also das ist gleich der Angriff sozusagen, der diese Talkto, das Talktopolium ausnutzt, ne?
02:15:32: Es gibt die Datai A, die sollen nach B verschopen werden.
02:15:35: Außerdem gibt es eine schütztes Werte Datei C. Der Angreifer hat keine Routerechte.
02:15:42: Und das bedeutet insbesondere, er kann B überschreiben also das Ziel dieser Verschiebeoperationen.
02:15:48: aber er kann die Schützenswerte Datei C nicht überschreifen.
02:15:52: dafür bräuchte er Routerichte.
02:15:53: Ich weiß es schon.
02:15:54: ich will lösen!
02:15:56: Ich kompiliere ein Proof of Concept für Copy Fail und mache das über Copy Fail weil da kann ich ja an alles schreiben Das ist richtig,
02:16:05: dass du dann ganz andere Probleme hast als jemand der diesem Angreifer ausgesetzt ist.
02:16:09: Es hat aber mit dem Tokto-Problem eben gerade nichts zu tun.
02:16:12: Das Schöne an Copy Fail ist ja das es keine Race Conditions oder so ausnutzt sondern einfach zuverlässig funktioniert.
02:16:19: Insofern herauf hier vom Thema abzulenken.
02:16:20: Du willst nur die ganze Zeit über Copy Fail reden?
02:16:23: Ich würde sagen viele Wege führen nach Ruth.
02:16:25: Ja genau!
02:16:27: Also der Angreifer hat keine Routerechte, das heißt er kann des Ziel B beschreiben aber er kann die Schützenzelle der Teil C nicht beschreiben.
02:16:34: So und jetzt verschiebt du gut... ...die Datei A nach B Und diese Aktion hat eigentlich also mit C ja nichts zu tun, soll mit C nichts zu haben.
02:16:45: Das bedeutet der Mv-Befilm von UDU-UTILS geht erst mal hin und sagt ich lösche erstmal b. Das ist was ich mach!
02:16:54: So und Jetzt kann er aber unterbrochen werden und wenn der Angreifer das halt passend, also Glück hat oder passend Timed oder so dann krätscht er jetzt rein.
02:17:02: Und jetzt schreibt er nach B auf B kann er ja schreiben einen Symlink der auf C zeigt.
02:17:09: C kann den Angreifern nicht anfassen aber er kann halt an die Stelle b einen Symlink schreiben also ein Zeiger der einfach dort hin verweist.
02:17:17: So nun kommt... Jetzt ist der An greifer fertig, jetzt kommt wieder der Move Befehl dran und macht halt fertig was er angefangen hat und verschiebt den Inhalt von A nach b, wobei b mittlerweile auf c zeigt.
02:17:31: Der Move Befehl hat erst geguckt, liegt was an b?
02:17:34: Ja hau ich weg und jetzt wird das hinten verschieben und da hat dich gemerkt dass inzwischen schon wieder etwas an b liegt.
02:17:41: Und das ist eben der Sümmering, der auf C zeigt.
02:17:44: Das heißt jetzt kopiert dieser Move Befehle mit Routerechten die er hat weil er von Rout rausgeführt wird Dinge von a nach c obwohl die eigentliche Absicht des Legitimen Route-Accounts war, die Dinge von A nach B zu kopieren.
02:17:58: Und C ist eben ein Ziel das der Angreifer vorgibt auf das der Angreifer keine Schreibrechte hat.
02:18:02: und trotzdem wird jetzt Zeug nach dem Willen des Angreifers auf C geschrieben.
02:18:07: Zusammengefasst – this may lead to an arbitrary file override via Simlink-Race.
02:18:12: Also das kann zu einem beschreiben beliebiger Dateien führen durch einen Simlink Wettlauf
02:18:19: um sich ein kleines bisschen besser vorzustellen wie das denn zustande kommen kann dass man in so einen befehl rein grätscht.
02:18:25: wenn dann der da muss ja ruht irgendwie gerade irgendwas machen, wenn zum beispiel irgendeinen serverprozess eine datai in slash temp also im temporären verzeichnis anlegt.
02:18:34: Da kann ja per definition jeder drin lesen und schreiben Dann könnte genau das passieren und dann legt er eine datei an Und die datei wird erst mal aufgemacht.
02:18:43: ihr kriegt den dateihändel muss aber später da reinschreiben und mit der zwischenzeit sagt halt irgendjemand, ich bieg das zu einem Sim-Link ums.
02:18:51: Das gleiche Prinzip nur eben ohne mv, sondern keine Ahnung vielleicht direkt in den See.
02:18:55: Ja wobei
02:18:57: wenn
02:18:59: ich den Teilhändler schon habe dann funktioniert der Trick glaube ich nicht.
02:19:01: aber es gibt tausend Sachen wo man sich überlegen kann.
02:19:03: also was ist ich zum Beispiel?
02:19:04: Ich ein Software Installer der läuft halt auch mit Rudrechten, der macht vielleicht mal die Dinge mit Rud.
02:19:09: jetzt kann ich ein böswilliges Paket schreiben.
02:19:11: deshalb sage da ich weiß wann sozusagen dieser installer folgenden Move Befehl ausführen wird Und ich habe sozusagen auch Zugriff auf das Ziel von, wo dieser Installer das hinmoven will.
02:19:24: Und dann kann ich das halt einfach entweder ganz genau time in oder halt.
02:19:27: was zum Beispiel die Proof Concepts machen ist, die Staaten einfach schleifen, die das so schnell wie möglich die ganze Zeit probieren und dann halt eine gewisse Erfolgswahrscheinlichkeit haben da passend reinzukrätschen.
02:19:41: nur so zum vergleich wie sieht es beim move befehl von nu aus?
02:19:45: der macht er nicht das mit dem erst mal des ziel löschen.
02:19:50: Der schreibt einfach direkt an die stelle und versucht dabei das ziel zu überschreiben, um das genau.
02:19:56: dass scheitert weil dann nämlich das system sagt moment mal hier ist eine datai im weg.
02:20:05: das ist keine reguläre datei du wirst ne reguliere datei also ist nämlich ein sim link Du wirst in die Drohlege drauf schreiben und das scheitert dann einfach.
02:20:13: Also wenn man genau diesen Proof of Concept versucht gegen den GNU Move Befehl auszuführen, dann scheiterte er mit Cannot Create Regular File, file exists.
02:20:25: Und da wäre es sinnvoll gewesen, so zu machen wie die GNU Leute das programmiert haben auch in Rust.
02:20:36: Das ist glaube ich auch was das Audi meint, das ist ein bisschen naiv, das anders zu machen Und ich finde es ein bisschen ungut, man muss aber auch sagen so den gesamten Prozess den Ubuntu hier angestopst hat und auch sonst wie sich die Utils verhalten das ist eigentlich sehr schön.
02:20:55: Man sieht hier dass Sachen vorsichtig angegangen werden, dass mit Autos geguckt wird dann werden Fehler gefunden, dann werden diese Fehler behoben und erst nachdem die Fehler behoben sind landen die entsprechenden Werkzeuge auch im produktiven Einsatz zumindest bei Ubuntu.
02:21:12: Was man hier halt auch noch sehen kann ist, dass der Wechsel auf Rust sicher keine schlechte Idee ist.
02:21:17: Aber es ist halt kein Allheilenmittel und Es liegt schon sehr viel Wertarbeit einfach in solchen Werkzeugen wie den GNU Core Utils die seit Jahrzehnten geprüft und für gut befunden sind.
02:21:32: Und da sollte man sich schon sozusagen sehr gut angucken gerade die Innereien wenn man beschließt das man die innereien irgendwie bei sich dann bei der Reimplimentierung anders organisiert.
02:21:42: Für mich bleibt halt so ein bisschen, so sehr das sozusagen alles so läuft wie es hätte laufen sollen.
02:21:45: Ein bisschen Schale beigeschmack Das ist nicht vollkommen obskure.
02:21:50: Fehler sind die da gefunden haben und man sagt so schön dass wir die jetzt auch gefunden haben aber meine herren bekommt dann auf sowas na sondern eben Wie des audits sagt?
02:22:00: Bisschen eine iwe herangehensweise war Das finde ich nicht so ideal.
02:22:05: aber vielleicht bin ich da auch zu kritisch eingestellt.
02:22:08: Ich glaube, wir haben schon einen sehr ... einen Tendenz dazu, Sachen immer sehr negativ zu sehen.
02:22:13: Wir zwei oder auch die weitere IT-Journalistik bubblen im Generalen?
02:22:18: Ja vielleicht ist das aber auch ein bisschen der Job das einzuordnen und durchaus auch kritisch.
02:22:25: ich hänge noch ein kleines bisschen sprachlich bei diesem naiv weil ich nämlich nicht genau weiß wie das naiv gemeint war.
02:22:33: dafür müsste ich nochmal diesen report nachlesen.
02:22:39: Programmierung ein bisschen was anderes als das umgangssprachliche naiv.
02:22:43: und ich glaube sie meinten, dass programmiertechnische naive also einfach ein einfacher Algorithmus.
02:22:48: Und ich glaube es gibt auch so'n naive path traversal Ich hab's aber... Also ich habe hier noch irgendwo
02:22:55: so'nen
02:22:55: Algoritmen
02:22:55: oder Strukturen.
02:22:57: Also ich glaube dieses Make-Dure ist ein ganz gutes Beispiel wenn ich einen Ordner anlege also wenn ich sozusagen eine Ordnerstruktur anlegen will Und das dann einfach naiv machen zu sagen, da lege ich erstmal die übergeordneten Orten an und dann den untergeordneten Ordner.
02:23:16: Das ist ein naive Algorithmus im Sinne von sehr simpel und es ist ja auch sozusagen nicht schlecht.
02:23:22: aber wenn ich security relevante Software programmiere, dann muss ich halt gucken ob mir dieser naive Ansatz nicht irgendwelche Lücken einreist.
02:23:30: und insbesondere wenn ich eine Vorlage habe von einer anderen Software und sehe oh die machen das aber nicht mit diesem naiven Ansatz Dann finde ich, würde es sozusagen auch umgangssprachlich naiv zu sagen.
02:23:39: Ich mache das halt einfach schon so, ne?
02:23:42: Weil jetzt eben zum Beispiel der Algorithmus funktioniert ja korrekt wenn er halt unterbrechungsfrei laufen kann.
02:23:48: aber das ist halt auf einem normalen System nicht der Fall Der kann unterbrochen werden.
02:23:51: und so insofern Ja Das ist nicht immer schlecht wenn ein Algorithmos naiv ist.
02:23:58: Aber Wenn in einem Security Audit vorgeworfen wird dass Algorithmo so Naive ist dass er halt Race Conditions aufmacht Dann würde ich sagen ist es schon naiv in dem herkömmlichen Sinne.
02:24:12: Ich habe gerade meinen Bach rausgeholt, der Design of the Unix Operating System.
02:24:18: Habe ich bestimmt seit zehn Jahren nicht in der Hand gehabt.
02:24:22: Aber da steht das jetzt auch nicht so direkt drin.
02:24:24: Das ist die Ausgabe von neunzehntetsechs und achtzig.
02:24:27: Seitdem hat sich vielleicht etwas getan in der Welt.
02:24:31: Meine andere Anmerkung war... bisschen früher sagen wollen, aber ich habe nicht so richtig den Ansatz gefunden.
02:24:40: Weil du auch gerade dann einfach das so schön durch erzählt hast.
02:24:45: Ich hab mich wirklich gefragt ob das von Ubuntu so viel Sinn ergibt und ob es nicht ein bisschen... Also was die Begründung ist diesen Wechsel jetzt schon zu machen?
02:24:55: Also sollte das als Motivator dienen.
02:24:58: oder hat Ubuntu Sorge dass da in den abgehangenen Core Utils noch Zum Beispiel durch AI jetzt viel gefunden wird?
02:25:07: in nächster Zeit, weißt du irgendwas über die Motivation bei Ubuntu?
02:25:10: Jetzt diesen Wechsel dann doch ein bisschen so zu forcieren.
02:25:14: Also innovieren ist ja super aber bei einem Betriebssystem...
02:25:20: Ja also nicht so richtig.
02:25:22: wie gesagt die sagen ganz explizit ihre Hauptmotivation ist Security.
02:25:27: Die Tatsache dass diese in Rust geschriebenen Utilities teilweise sehr viel performanter sind.
02:25:32: es ist nett Grund.
02:25:37: Sie ignorieren dabei also diese Rust Utilities scheinen auch einfach größer zu sein, also mehr Platz auf der Platte zu beanspruchen.
02:25:48: Ich bin eben nicht näher nachgegangen ob irgendwie... Also da war ich so ganz klar woran das eigentlich liegt weil es ist nicht so dass irgendwie Rust Code notwendigerweise irgendwie blutet oder so.
02:25:59: aber das scheint auch was zu sein wo Ubuntu?
02:26:02: Naja, das ist ihn egal oder so.
02:26:04: Also haben sie jedenfalls nicht irgendwie explizit gesagt dass es einen gründen jetzt diesen wechsel irgendwie hinaus zu zögern.
02:26:12: Das ist eine verspürung eine verschwörung des speicherhersteller kartels
02:26:18: Big disc träft die umstellung auf rust vorhanden.
02:26:22: also ich glaube Es ist wichtig es gibt ja auch viele kritiker an rust sozusagen hier nicht aus den augen zu verlieren.
02:26:27: Ich persönlich glaube schon, es ist eine gute Idee Sachen in Rust statt in C zu haben.
02:26:32: Ich kann mir gut vorstellen aber ich habe dazu jetzt nichts gelesen von Ubuntu dass die Angst haben das eben irgendwelche klassischen C-Feeleis von KI aus irgendwelchen tausendjährigen Knukoyotes gezogen werden.
02:26:47: Hat nämlich auch ein Reises das der Grund zu sagen wir machen hier ein bisschen Tempo ne?
02:26:54: Ich muss schon auch sagen, ich hatte sozusagen war dieser Umstellung sehr viel optimistischer gegenüber eingestellt.
02:27:00: Bevor ich diese Audits gelesen habe und gesehen hab, das sind vielleicht Tools die noch eine Weile abhängen sollten.
02:27:08: Aber hat mir das nicht sogar neulich im Podcast oder irgendwo anders wo sie Claude Miffers auf irgendwelche vierzig Jahre alten Unix System Five oder sowas angesetzt haben?
02:27:22: Oder irgendeine andere
02:27:23: K.I.,
02:27:23: da war doch irgendetwas, da ist doch jemand dran längst gegangen hat uralte Software oder ein Quellcode durch eine KI geschickt und da auch irgendwelchen Kram gefunden, der dann nach forty-fünfzig Jahren gefixt wurde?
02:27:34: Also wir hatten einen Bug in Unix System... weil aber nicht System V in irgendeiner Unix Version, aber die war glaube ich nicht KI gefunden.
02:27:43: Das war dieses Ding was auf irgendeinem Band... also in irgendem Archiv ist irgendeinen Band untergekommen und da haben wir es so wie das Unix Code drauf der gar nicht mehr dokumentiert ist.
02:27:51: den haben wir jetzt sozusagen erst mal in dieser Version vorliegen und so.
02:28:00: Also wie gesagt Ich halte es für eine realistische Gefahr dass man mit KI diesen Genukoiotils etwas findet.
02:28:07: Aber wenn die Alternative halt ist Also das zu ersetzen durch Systeme, die haben keine Speicherfehler.
02:28:15: Sondern einfach logische Toktu-Anfälligkeiten... Dann habe ich nicht so richtig viel gewonnen!
02:28:21: Die findet die KI ja auch,
02:28:26: ne?
02:28:28: Das Vorgehen ist ja auch zu sagen und deswegen haben wir jetzt Naudet gemacht und jetzt werden die Sachen gefixt.
02:28:31: Und wenn die Sachen gefixt sind dann steigen wir oben insofern.
02:28:35: Ich glaube wir sollten es nicht zerreden.
02:28:38: Wir können es einfach beobachten und wir werden's dann ja sehr bald auch benutzen.
02:28:44: Ich muss mal gucken, ich hab von der Weile schon überlegt.
02:28:47: ehrlich gesagt wenn ich mich recht in Sinne konnte kann man sich unter Arch aussuchen also da gibt´s schon ein Paket dafür ob ich nicht sozusagen meine Core Utils austausche.
02:28:57: nachdem ich aber kürzlich erst mein System wieder verbastelt habe und damit beschäftigt war es wieder auseinander zu basteln habe ich davon jetzt erst mal Abstand
02:29:05: genommen.
02:29:07: Beim Versuch, Copy-Feld zu fixen oder?
02:29:10: Nein, nicht beim Versuch sondern beim Umstieg auf ein anderes Desktop-Environment läuft man halt in tausend komische... Ach diese Software glaubt noch sie läuft unter KDE aber sie läuft gar nicht mehr unter Kde und... Ach dieses Software weigert sich irgendwas zu tun weil sie nicht raus hinten kann unter welchem Desktop- environment sie läuft und so.
02:29:28: Ja der Mensch braucht einen Hobby!
02:29:30: Genau
02:29:32: Ich habe einen momentan ein anderes Projekt, ich muss keine Bindomanager wechseln.
02:29:36: Ich habe mich auf einen festgelegt aber ich habe auch einen Hobby wo ich Sachen zerbasteln oder basteln.
02:29:41: und ja Mensch braucht ein Hobby!
02:29:44: Und das ist doch auch ein schönes Schlusswort denn wir nehmen das hier an einem Freitag auf und nähern uns zumindest schon mal tagsmäßig und gedanklich dem Feierabend und dem Wochenende dass auch dann ein bisschen den Hobbies gehören soll.
02:30:00: für heute Für diese Woche, die eine sehr trubelige Woche war in IT-Sicherheit kommen wir zum Ende.
02:30:08: Ich bin gespannt wie wir uns fühlen werden wenn dieser Podcast diese Folge rauskommt.
02:30:12: Wie trubbelig es dann ist ob das jetzt noch weitereskaliert oder... Und wie
02:30:16: viel von dieser Folge vielleicht von der Zeit eingeholt worden ist?
02:30:21: Also schreibt uns gerne aber nehmt es uns nicht übel wir mussten halt diesmal ein bisschen früher aufzeichnen.
02:30:27: Noch ein letzter nebenläufiger Satz Wir haben – das wisst ihr alle nicht, aber Silvester erinnert sich noch daran.
02:30:33: Wir haben eine komplette Folge noch auf Halde liegen.
02:30:36: Die haben wir mal irgendwann aufgenommen und dagegen geht es um das System von Exploit-Käufern, Verkäufern und Händlern.
02:30:45: Und einer der Anlässen für diese Aufnahme jährt sich jetzt wieder.
02:30:48: Ich fahre nämlich nächste Woche Freitag auf die Pontoown in Berlin wo die Zero-Day Initiative ja als ausrichtende Organisationen ist und das ist eine der größten Organisationen oder Firmen, die das aufkauft.
02:30:58: Und diese Folge, die es auch extrem schlecht gealtert hat weil sich seitdem die ganze Ökonomie darum durch KI grundlegend verändert.
02:31:07: aber vielleicht ist das auch mal wieder ein schöner Einstieg in eine neue Folge, ne langen Folge zu dem Thema.
02:31:13: Die machen wir aber nicht mehr heute bitte.
02:31:15: Ich wollte also nur keine Hoffnung erwecken.
02:31:18: Diese Folge werdet ihr nie hören eben weil sie so gealtert ist.
02:31:23: Außer wenn dann in dreißig Jahren irgendjemand alte Magnetbänder aufsammelt und feststellt, ach guck an hier ist eine nicht überlieferte Passwortfolge.
02:31:31: Du weißt wie so ein weiß ich nicht so ne Nirvana B-Seite die irgendwo noch bei Kurt Cobain im Nachdach rumgammelt oder so?
02:31:41: Genau.
02:31:42: also ihr seht wir haben keine Probleme mit unseren Egos
02:31:49: Aber ich hätte ein Problem, wenn das auf Magnetbänder gespeichert würde.
02:31:51: Weil ich weiß nicht genau wie das von unserem Podcast-Hoster auf den Magnetbahn kommen kann aber das ist eine andere Geschichte und soll aneinander mal erzählt werden.
02:31:58: jetzt wirke ich das hier ab.
02:31:59: Wir kommen zum Ende.
02:32:01: schickt uns gerne euer Feedback an Passwort-Podcastatheise.de oder schreibt uns auf Mastodon bis zum nächsten Mal Und denkt daran
02:32:13: Dieser Podcast ist das einzige Passwort dass ihr teilen solltet tschau tschaus.
Neuer Kommentar