Visionen der CISA, Niedergang von XSLT, Makel von NPM

00:00:00:

00:00:02: Passwort,

00:00:03: der Heise Security Podcast.

00:00:09: Hallo liebe Hörerinnen und Hörer, willkommen zu einer neuen Folge von Passwort, dem Podcast von Heise Security.

00:00:16: Ich bin Silvester Tremmel vom Computer Magazin CT

00:00:19: und mein Name ist Christopher Kunz von Heise Security.

00:00:23: Heute haben wir mal wieder ein paar News für euch und die sind durchaus gut durchmischt.

00:00:29: Und ihr wundert euch jetzt vielleicht ein bisschen, denn wir haben euch was anderes versprochen.

00:00:33: Und zwar eine Folge zur Seventiesigsten Ausgabe von Frack, das ja in diesem Jahr auch vierzig wird.

00:00:40: Die mussten wir aus aktuellem Anlassen ein kleines bisschen schieben, aber wir versprechen euch.

00:00:45: Das hat einen guten Grund und lohnt sich für euch.

00:00:49: Und ich weiß es nicht so richtig, ob wir daraus die Lehre ziehen sollen.

00:00:52: Wir sagen solche Planungen nicht mehr an, weil wir sich dann verschieben müssen.

00:00:58: Oder wir sagen noch viel mehr solche Planungen an, weil sich dann schöne Gelegenheiten ergeben, so wie die.

00:01:03: Also da könnt ihr euch auch was freuen.

00:01:06: In diesem Fall möchte ich mal, ich weiß nicht mehr, ob den Jüngeren oder den älteren Graf Moltke zitieren.

00:01:11: Kein Plan, egal wie ausgefeilt, überlebt die erste Feindberührung.

00:01:16: Da so ist das mit unserer Inhaltsplanung auch, denn auch wenn wir zum Beispiel die News planen, dann kommt plötzlich wieder jemand und schleust Würmer in MPM ein und schwuppt die Wupp, fällt auch unsere Inhaltsplanung für die News folgen in sich zusammen.

00:01:30: Aber wir haben trotzdem noch ein paar Sachen für euch.

00:01:34: rausgesucht, die wir auch schon seit einer weile machen wollten und die wir spannend finden, fangen aber mit ein bisschen Feedback und Updates erstmal an.

00:01:45: Und das erste Update betrifft ein bisschen eine Eigenwerbung beziehungsweise eine Ankündigung hier aus dem Verlag.

00:01:52: Wir haben jetzt bei Heise die erste Ausgabe von Darknet Diaries.

00:01:58: auf deutsch gelangt und zwar ich glaube am sechzehnten.

00:02:01: also wir sind hier nehm hier am achtzehnten.

00:02:03: neunten auf vorgestern.

00:02:05: das ist die übersetzung des podcasts von jack rice seda.

00:02:11: Bin ich ganz sicher wie man den ausspricht.

00:02:13: ich habe die erste folge mir angehört und das ist ein erzählformat also ganz anders als unser.

00:02:18: Leicht despektierlich immer laber podcast genanntes format.

00:02:21: hier ist das ein durchscriptetes erzählformat wo es um eine sehr spannende darknet story rund um.

00:02:28: Ein Portal einen Marktplatz für angebliche Auftragsmorde geht.

00:02:33: Das ist eine eingedeutschte Variante die inhaltlich eben sehr nah an den englischen Folgen ist und auf jeden Fall eine total spannende Geschichte ist wenn ihr eher sowas erzählerisches haben wollt was aber trotzdem immer noch mit der Realität zu tun hat.

00:02:47: also es geht um echte Fälle ist also insofern schon auch ein bisschen to crime aber ist sehr spannend erzählt.

00:02:51: also hört mal rein.

00:02:52: auf den üblichen Plattformen, wo ihr auch unseren Podcast findet.

00:02:56: Ich packe aber auf jeden Fall auch noch einen Link in die Schau-Nurz.

00:03:01: Ja, ich habe leider selber es noch nicht geschafft, reinzuhören, aber es steht auf meiner Liste.

00:03:06: Ich habe leider,

00:03:07: sozusagen,

00:03:07: ich war beruflich gezwungen, andere Podcasts mir anzuhören, die gar nicht mal so toll waren.

00:03:13: Insofern hätte ich das schon lieber gehört, aber man kann sich es halt nicht immer aussuchen.

00:03:19: Ich wollte mich noch bedanken, ich habe das letzte Mal darum gebeten, dass uns bzw.

00:03:25: mir Maze zugeschickt werden, die keine Fishing Maze sind, aber die man dafür halten könnte, weil die PR-Abteilungen scheinbar nicht besser wissen, wie man sowas nicht machen sollte.

00:03:40: Vielen Dank für die vielen Weldungen.

00:03:43: I guess, vielen Dank.

00:03:44: Ich meine, ich hab drum gebeten, es gruselt mich von dem, was ich sehe.

00:03:49: Aber ich kann ja niemanden die Schuld geben aus mir selber.

00:03:52: Und ich kann sie auch wirklich brauchen.

00:03:53: Wie gesagt, ich möchte zumindest Teil davon irgendwie in den Vortrag einbauen.

00:03:57: Also, gerne mehr davon, wenn ihr irgendwie Mails habt, die aussehen wie Fishing und sich dann aber rausstellen, nee, da hat nur jemand irgendwie keine gute Idee gehabt.

00:04:08: Der Silvester erzählt seinem Therapeuten jetzt ganz viel davon, der bin manchmal ich.

00:04:12: Ich hatte auch so eine Begebenheit.

00:04:15: ganz kürzlich, ich glaube gestern oder vorgestern, hat mich ein Leser angeschrieben mit einer Mail, die er für Fishing hielt von Amazon.

00:04:22: Und zwar ging es darum, seinen Amazon-Konto auf ein Business-Konto umzustellen und die las sich eins a, wie Fishing.

00:04:28: Also so ganz komisches Deutsch von einem Menschen, der eine Amazon-Mail-Adresse hatte und die Hedder waren irgendwie halb kaputt.

00:04:35: Es kam auch von Outlook, also von M-M-M-M-M-M-M-M-M-M-M-M-M-M-M-M-M-M-M-M-M-M.

00:04:41: war sehr, sehr strange.

00:04:42: Und es hat aber keinen Link zu irgendwas anderem als Amazon.de in dieser Mail.

00:04:46: Da habe ich dann die Amazon Pressestelle, die Pressestelle gefragt.

00:04:50: Und die haben sich in Tagzeit gelassen und dann gesagt, ja, wir haben intern nachgeräuscht.

00:04:54: Wofür ich übrigens Amazon dieser Stelle herzlich danken möchte, das ist tatsächlich leider nicht selbstverständlich.

00:04:59: Und diese E-Mail kommt tatsächlich vom Geschäftsgrundvertrieb von Amazon Deutschland, der damit eben ja Business-Konten, also Leute in Business-Konten konvertieren will.

00:05:10: Also sehr sehr schwierig ist es inzwischen einfach so dass man wirklich solche emails als jemand der auch viel mit email zu tun hat der viel mit it und it sicher zu tun hat nicht mehr zuverlässig einsortieren kann in das.

00:05:25: Gute oder schlechte töpfchen und das ist schon ein echtes problem.

00:05:30: Also vor allem es ist ein echtes problem und es ist halt wahnsinnig bitter.

00:05:34: das ist nicht nur daran liegt dass die fishing mails besser werden.

00:05:38: sondern auch daran, dass wirklich so grundlegende Best Practices, was man halt nicht machen sollte, von den Unternehmen missachtet werden.

00:05:47: Also wie dann mit so einer unpersönlichen Anrede, obwohl sie den Nutzernamen ja kennen könnten und irgendwie die Mail kommt scheinbar von der einen Domain und die Links zeigen aber auf die andere Domain, also all so eine Grütze.

00:06:01: Also wenn ihr mehr solche Beispiele habt, schickt es uns gerne.

00:06:05: Ich sage nicht, dass ich mich darüber freue, ob ich sage, dass ich es gut brauchen kann.

00:06:10: Ansonsten wollte ich hier noch ein kleines, also beziehungsweise Arne hat uns ein gar nicht kleines Feedback geschrieben, das auch sehr interessant war und dass ich hier nur kurz ansprechen werde, weil ich dazu auch selber gar nicht viel sagen kann.

00:06:24: Und zwar verweist ihr auf IEEE-AchtnullZwuppunktIg-Eins-X.

00:06:30: Das ist ein Protokoll.

00:06:33: Ähm, mit dem man solche Hardware-Edition-Angriffe, also dass jemand die die Firma reinspaziert und an irgendeine freie Netzwerksboxe halt mal irgendwas anschließt und Shubs hat ja irgendwie zugefauftes Firmen-Internennetz, ne?

00:06:45: Verhindern kann.

00:06:47: Ich glaube, ich hoffe es mal korrekt wiederzugeben, ne?

00:06:50: Es geht im Prinzip darum, dass der Client sich an dem nächsten Knotenpunkt Switch-Router, was auch immer, mit dem er da halt Spicht ausweisen muss, mit einem Zertifikat.

00:07:00: Eh, Zertifikate.

00:07:04: Und wenn er das nicht kann, dann kriegt er gar keine IP oder sonst was nach, da kommt sein Traffic einfach nicht weiter.

00:07:10: Das Ganze findet auf dem Data Link Layer statt, also Schicht zwei recht weit unten.

00:07:15: Und sozusagen da, wo man das haben will, sehr früh, wenn der nicht belegen kann, dass er in diesem Netzwerk was verloren hat.

00:07:21: dann kommt er gar nicht weiter.

00:07:23: Er verweist auch auf ein paar Hersteller, die sowas einsetzen für IP-Telefone und so.

00:07:28: Ich weiß dazu nicht mehr.

00:07:30: Ich fand es aber ganz interessant, was er an sich aufgeschrieben hat und wollte das einmal hier reintragen, einfach nur zur Weitergabe, aber halt auch mit der Frage, interessiert euch sowas?

00:07:39: Sollten wir uns da mal ein bisschen mehr Wissen darauf schaffen und dann vielleicht darüber reden oder jemanden versuchen zu organisieren, der als Gast dann darüber reden kann?

00:07:49: Weißt du, was mir aufgefallen ist, als du gerade Zertifikate gesagt hast?

00:07:56: Nein.

00:07:57: Wir haben in dieser Folge überhaupt nichts zu PKI.

00:08:00: Aber ich

00:08:02: habe doch gerade Zertifikate gesagt.

00:08:04: Ja, aber das ist ja das ja nur ein Bord.

00:08:05: Weißt du, was mir aber auch aufgefallen ist?

00:08:07: Wir haben auch nichts zu Microsoft.

00:08:08: Was machen wir denn jetzt?

00:08:10: Wir machen einfach jetzt weiter.

00:08:12: Moment.

00:08:15: Wir haben was zu NPM und NPM gehört zu Github und Github gehört zu Microsoft, oder?

00:08:21: Ja gut, das kann man gelten.

00:08:22: Wir kriegen's hin.

00:08:27: Ja, weiß ich nicht.

00:08:28: Ich meine, das ist ja auch schön, wenn mal zwei Wochen ins Land gehen, ohne dass man irgendwie sagt, wir... Also weil es ja meistens nicht positive Gründe sind, warum wir über Microsoft oder PKI reden, ne?

00:08:41: Ja.

00:08:43: Okay, also ihr müsst stark sein.

00:08:45: Ich hab gerade Zertifikat gesagt, das muss irgendwie halten.

00:08:47: Vielleicht schaffen wir es später nochmal, Microsoft zu sagen.

00:08:54: Wir haben noch ein weiteres Feedback.

00:08:55: Wir haben das schlecht ausgewürfelt beim letzten Mal.

00:08:58: Soll ich das machen und du machst das nächste?

00:09:00: Von mir aus.

00:09:02: Sonst musst du so viel reden.

00:09:03: Nicht, dass du vielleicht ganz heiser bist, wenn der Hauptteil losgeht.

00:09:06: Also das war nämlich auch mein Thema.

00:09:09: Dieses Thema wird der Fishing Awareness und da haben wir ein anonymes Feedback bekommen, das auch eine sehr lange Mail mit vielen interessanten Punkten war und wir beschränken uns hier mal auf einen und zwar das verfügbare geld auf technische lösungen zu werfen ist gut für alle angriffe die technisch abwärber sind schreibt unser hörer.

00:09:29: wir wissen aber auch aus der erfahrung dass sobald technische abwehrmaßnahmen verbessert werden, wieder der rückgriff auf social engineering kommt.

00:09:35: Da werden wir gleich noch eine ganze weite reden.

00:09:37: also bei den aktuellen angriffen sieht man genau das hat er vollkommen recht und mfa tokens lassen sich mit evil jinx auch abgreifen schreibt unser hörer weiter.

00:09:45: wir werden also nicht umherkommen auch die menschen mitnehmen zu müssen.

00:09:49: Total klar was ich.

00:09:51: Ab anklingen lassen.

00:09:52: aber was explizit silvester gesagt hat in der folge war, dass es in der regel auf der technischen seite so viel nachholbedarf gibt, dass du als organisation in der normalerweise noch gar nicht am cutting edge bist also wir sind ja jetzt nicht da, dass jede organisation schon wer weiß wo pass keys ausgerollt hat und manchmal vielleicht noch nicht mal SSH-Kies für irgendwelche Dinoxboxen, sondern dass wir eben an vielen Stellen immer noch darüber reden, dass die Leute bitte einen Passwort nehmen, wo nicht ihr Geburtsdatum und ihr Lieblingsfußballverein drin steht.

00:10:24: Und solange dieser technische Nachholbedarf, diese technische Schuld, aber auch das technische Bewusstsein nicht in den Köpfen ist, also das ist dann ja auch wieder ein Erwärmesthema.

00:10:35: Kann man wahrscheinlich muss man wahrscheinlich da erst mal besser ansetzen anstatt diese Schulungsgeschichten einfach als Ja so ein checkbox compliance ting auf Sachen drauf zu kleben.

00:10:46: und je mehr technische Maßnahmen umsetzt desto höher wird der auffand für angreifer und du wirst dann einfach unaktraktiver als ziel.

00:10:55: Genau das war auch ein punkt den ich noch sagen wollte.

00:10:58: so aus so eine egoistischen perspektiv also natürlich völlig recht der höhere.

00:11:02: wenn man Wenn sich irgendwas weit verbreitet, irgendeine technische Gegenmaßnahme, die sozusagen nicht mehr technisch ausgehebelt werden kann, dann schwenken die Eingrafer halt wieder auf Social Engineering um oder so.

00:11:17: Aber... Dazu muss sie erst mal weit verbreitet sein.

00:11:20: Vorher passiert es ja, dass man selber die ausrollt, andere haben sie noch nicht ausgerollt und dann schwenken die Angriffe einfach um auf all die anderen.

00:11:28: Und das hilft jetzt dem Ökosystem nicht unbedingt weiter, aber aus so einer Eigenschutzperspektive ist es natürlich auch schon ein ordentlicher Erfolg.

00:11:35: Wenn man sagt, na gut, die Art von Angriff, die kriege ich einfach nicht mehr ab, weil es gibt leichtere Ziele woanders.

00:11:43: Ansonsten würde ich es genauso sehen wie du, wenn wir mal da sind, dass wir sozusagen das Ökosystem nah am Cutting Edge haben von dem was technisch hergeht und die Angreifer mass auf die verbleibenden Socialmöglichkeiten umschwenken.

00:11:58: Dann werden wir natürlich auch wieder über sowas reden müssen und wie man die Leute irgendwie mitnehmen kann.

00:12:04: Aber wir werden halt auch in einer sehr viel schöneren Situation sein, nämlich an, dass es die Angreifer einfach viel viel schwerer haben als jetzt.

00:12:14: Wo?

00:12:17: Ach so, jetzt bin ich dran.

00:12:21: Ich habe noch eine Anmerkung eigener Sache, sozusagen.

00:12:23: Ich habe in der letzten Folge so neben Bayer Van, ich habe von Google so einen Blog-Boss gelesen, der ganz toll gewesen sei, wie man so eine minimal wirkende Lücke weaponized und hab da irgendwie versucht, das Gedächtes zusammen zu kratzen, was das war und hab irgendwie erzählt, es wäre so ein Ein-Bit-Out-of-Bound-Right gewesen und das war natürlich... Erwartbar bei dem Schweizer Käse, die nicht gehören nenne, nicht ganz richtig zusammen gestopstelt.

00:12:50: Also tatsächlich geht es um den Bug, der ein, ein Byte Read Primitive liefert, das man wiederholt anwenden kann.

00:12:58: Also man kann nach und nach jeweils ein Byte lesen.

00:13:01: Und ein Write Primitive, das einen Wert, also einen ganzen, ein Byte um eins inkrementiert.

00:13:09: Und vom Offset her so liegt das so ein sixty-fünf-Bitzeiger, also da sozusagen nicht das niederwertigste byte inkrementiert, sondern höherwertig ist, sodass so ein sixty-bit Zeige oder halt ein andere sixty-bit Werte sich um um vier Gigabyte erhöht.

00:13:24: Das war sozusagen die Situation.

00:13:25: Man hat einen read, der ein byte liefern kann und man hat einen write, der ein byte um eins inkrementieren kann.

00:13:33: Und aus solchen Sachen können halt manche Zauberer und ich finde Zauberer ist das passende Wort.

00:13:41: Dann einen X-Board bauen, also in diesem Fall geht es um Jan Hornd vom Google Project Zero.

00:13:46: Einen X-Board bauen, der aus der Sandbox vom Chrome-Renderer ausbricht.

00:13:50: Und das ist... Also ich finde es einfach faszinierend, sowas zu lesen.

00:13:54: Und ich wollte eben, weil ich es nicht ganz richtig wiedergegeben habe, was das war, nochmal darauf zurückkommen.

00:13:58: Und den Link tun wir diesmal auch in die Show Notes.

00:14:02: Und dann könnt ihr euch das selber durchlesen, wenn ihr wollt.

00:14:04: Es ist natürlich ein wahnsinnig technischer Blog-Post, aber vielleicht hat da ja jemand von euch Lust darauf.

00:14:10: Dazu passen sehr gut die klarkischen Gesetze von Arthur C. Clark, das dritte Gesetz.

00:14:15: Jede hinreichend fortschrittliche Technologie ist von Magie nicht zu unterscheiden.

00:14:20: Das ist wohl wahr.

00:14:23: Gut, jetzt haben wir, glaube ich, Feedback und Errata so ein bisschen abgehakt und können uns dem ersten etwas längeren Thema widmen.

00:14:35: Und jetzt muss ich mich in meiner Rolle ein kleines bisschen verändern, üblicherweise.

00:14:41: haben wir ja hier und besonders ich in den vergangenen folgen die us cyber sicherheitsbehörde CISA eher kritisch betrachtet Und auch ihr verhältnis zum cve ökosystem und darum soll es jetzt noch mal ein bisschen gehen allerdings nicht besonders lange weil es auch noch nicht ganz so viel zu erzählen gibt.

00:14:58: aber ich fand es trotzdem schon Bemerkenswert also dass die CISA und das cve ökosystem das ja als von der Unternehmen Mitre sozusagen als Auftragsarbeit gewartet wird und weiterentwickelt werden soll.

00:15:12: Das war ja in der Vergangenheit Folge ein Dreißig, haben wir drüber geredet.

00:15:17: Ein bisschen in Jepa, die wie sagt man in Gefahr.

00:15:22: Weil der Vertrag auslaufen sollte und da war gerade dosch irgendwie an diesen ganzen Verträgen zum gange und hat gesagt brauchen wir das noch oder kann das eigentlich weg.

00:15:30: Das wurde in letzter Minute verlängert und es gab allerlei Initiativen die sagten wir möchten aber auch gerne.

00:15:36: Und ihr könnt das gerne nochmal nachhören in folge einundreißig haben wir drüber gesprochen und in folge fünf hatten wir eine komplette Folge über das cvi ökosystem.

00:15:43: also wenn ihr jetzt gerade mit dem fragezeichen vorm Gerät sitzt und denkt was ist dieser cvi eigentlich und warum redet über den so viel dann hört euch gerne nochmal folge fünf an.

00:15:51: Oder seid froh, dass ihr davon noch nie gehört habt.

00:15:55: In unseren Notizen hat die Silvester gerade parallel das kleine E, das ich versehentlich bei CVE an einer Stelle geschrieben habe, korrigiert in den internen Notizen.

00:16:06: Gut, also ich habe auf jeden Fall geunkt in Folge ein und dreißig paraphrasiert.

00:16:10: Nächstes Jahr im Mai sitzen wir hier wieder und führen dasselbe Gespräch noch mal, weil dann wieder alle ganz aufgerecht wie die kopflosen Hühner in der Gegend herumlaufen und dem Vertrag beim Auslaufen zu sehen, denn der wurde nur um ein Jahr verlängert.

00:16:21: Was aber jetzt nicht unheimlich unüblich ist bei diesen ganzen Regierungsgeschichten mit Vergaberecht und so und auch die amerikanischen Regierungsprojekte haben dann glaube ich unheimlich komplexe rechtliche Rahmenbedingungen.

00:16:33: Die Caesar möchte aber jetzt tatsächlich mal ein bisschen vor die Welle kommen und sich da positionieren, was sie gemacht hat mit einem Positionspapier.

00:16:41: Das packen wir euch in die Show Notes.

00:16:42: Das ist ein zwei-Seiter als PDF, wenn ihr es mal nachlesen wollt.

00:16:45: Und da hat sie ihre Vision vom CVE-Ökosystem ein bisschen skizziert.

00:16:51: Und mit Vision meine ich jetzt nicht, dass die zu viel Drogen genommen haben und jetzt irgendwelche komischen Dinge sehen, sondern sie haben eine Haupthiese aufgestellt, die ich durchaus unterschreiben würde.

00:17:01: und Sylvester... sagt er bestimmt auch gleich noch was zu, wie er das so sieht.

00:17:05: Die Hauptjese ist nämlich, wir müssen von einer Wachstumsphase mit vierhundertsechzig CNAs, die also CVEs selbstständig vergeben können, vierzigtausend CVEs im Jahr zwei tausend vierundzwanzig, die neu in die Datenbank reingekommen sind, in eine Ära der Qualität übergeben.

00:17:21: Das ist ja erstmal ein relativ starkes Statement.

00:17:23: Was sagst du dazu?

00:17:27: Also, ja... Ich finde, Wachstumsphase ist ein bisschen Neufismus, ne?

00:17:33: Also es ist ja nicht so, dass das so vor sich hingewachsen ist, weil die das alle so super finden und da unbedingt mitmachen wollen.

00:17:43: Und man muss jetzt irgendwie dieses positive Wachstum irgendwie in eine Ehre der Qualität überführen, sondern... Also viele dieser CNA, es gibt's meiner Meinung nach, weil die Leute auf das CVA System im Grunde keinen Bock haben oder der Meinung sind, es läuft nicht rund und der Ausweg, den sie haben, ist selber CNA werden und dann drüber entscheiden, was die CVA kriegt und was nicht.

00:18:06: Und das ist also kein, kein in irgendeinem Sinne positives Wachstum, sondern mehr so, naja, wenn wir halt auch CNA werden, dann haben wir wenigstens Ruhe.

00:18:16: aufblähen des Systems, insofern Ja, also eher der Qualität wäre sicher gut.

00:18:22: Ich hätte die aktuellen Statusquo nicht mit Wachstumsphase betitelt, sondern eher mit Blähphase oder so.

00:18:30: Die Blähphase klingt aber vielleicht jetzt auch in so einem Regierungsdokument nicht so hübsch.

00:18:36: Also Sie sagen so ein bisschen so wie dieses Netzwerk, also auch die vielen CLRs haben beigetragen zu dem exponentiellen Wachstum.

00:18:44: und naja, also... Vielleicht ist das mit der mit der Wachstumsphase doch ne, sie schreiben so growth growth.

00:18:53: Ich dachte, das hätte ich selber dazu fantasiert, aber nicht nur die nicht nur ich habe Visionen, sondern auch die ZISA.

00:18:58: Also die machen jetzt aber ein paar Punkte auf die, wo ich durchaus sage, da.

00:19:02: also sicherlich gibt es da Verbesserungsbedarf.

00:19:04: Das haben sie gut gesehen und das ist auch was, was man durchaus unterstützen kann.

00:19:09: Erstens möchte ich ZISA gerne Partnerschaften mit der Community vertiefen.

00:19:15: Da gibt's extra ein Zwischenüberschrift die heißt Partnerships meta.

00:19:18: was jetzt dieses vertiefen bedeutet also expand on Community Partnerships kann auch heißen erweitern.

00:19:24: Das kann natürlich auf der einen Seite heißen die Community soll mal bitte ein bisschen mehr machen und Sieser lehnt sich im Lehnsessel zurück und lässt die mal machen aber tatsächlich.

00:19:36: Möchten Sie wahrscheinlich da auch eine intensive in der intensivere Zusammenarbeit wirklich.

00:19:43: wirklich reinkommen, um nicht wieder nur dieses Jahr.

00:19:48: im Zweifelsfall macht Meitre irgendwas und Caesar kriegt dann nochmal auf den Deckel, weil nicht angereichert wurde, so ein bisschen auf mehr Schultern zu setzen.

00:19:56: Vielleicht werden sie auch mehr Commitment, also tatsächliche Zusagen von den CNAs fordern.

00:20:01: Wäre ja vielleicht auch mal ein Schritt, dass man sagt, die CNAs können nicht einfach nur... Eine komplette, was habe ich gestern gesehen, fünf Kilobyte Komet Message vom Linux Kernel, als CVE in die Beschreibung kiffen, sondern die müssen auch irgendwas sinnvolles da reinkippen.

00:20:14: Ich habe so eine private Open CVE Instance, wo ich dann jeden Morgen immer gucke, was für CVE sind eingeflogen und da sind dann immer, wenn der Linux Kernel, der dann Greg Kroa Hart mal wieder Lust hat, dann kommen wir wieder, sechzig Wilderbild, die ist aus dem Kernel.

00:20:26: Und da sind dann einfach teilweise so Dinge drin, wo ich mir denke, das ist die Komet, also die nehmen eins zu eins die Komet Message, das denke ich mir nicht aus.

00:20:33: Die nehmen die Komet Message.

00:20:34: Und da haben wir auch, glaube ich, schon mal darüber geredet.

00:20:37: Danke, dass du sozusagen meinen Terminus der Blähphase bestätigst.

00:20:42: Also, weil das ist ja einfach nur bloat.

00:20:45: Das ist bloat, wenn irgendwie der Linux-Körner, wie blöd sie VES rausfeuert.

00:20:49: Und es ist bloat, wenn die Commit-Messages dann halt griesige, nicht-sagende Textböcke sind.

00:20:56: Also, davon hat einfach niemand was, was ja auch so ein bisschen der Punkt ist, den der Linux-Körner damit machen will.

00:21:02: Die halten das ja eher alles für den Krampf.

00:21:04: Ja, ja, ja, das machen sie aber eben auf dem, ja ich habe ihn gefunden, das machen sie aber auf dem Rücken der Leute, die auf das Security System auf die ein oder anderen Rat angewiesen sind, so wie eben wir, die darüber berichten oder eben die anderen Unternehmen, die irgendwie, das plötzlich dann so, wie es da ist, in ihrem Threads Feed haben.

00:21:22: Also jeder, der den Linux-Können einsetzt, der sieht ja dieses Ding auch in seinem Basu oder irgendeinem anderen Strad-Management-Programme, eine Drei-Kommer-Sieben-Kilobytes-Warnis.

00:21:32: Also nicht fünf, da habe ich Bitmasters übertrieben.

00:21:35: Sorry, lieber Greg, ich werde es nicht nochmal machen.

00:21:37: Doch, ich werde es nochmal machen.

00:21:38: So, zweitens.

00:21:41: Die CSER sieht sich auf jeden Fall auch als finanzieller Hauptunterstützer des CVE-Systems.

00:21:47: Also diese Verpflichtung sehen Sie schon bei sich und schreiben aber auch so ein bisschen als Öffnungsklausel.

00:21:55: Wir möchten auch schauen, was für alternative Möglichkeiten es gibt.

00:22:02: Aber Sie schreiben auch im Fließtext Ihres Thesenpapiers, Sie sind definitiv nicht der Meinung, dass das CVE-Ökosystem oder das CVE-Programm nennen Sie das, dass das privatisiert werden sollte.

00:22:17: möchten sie vielleicht nicht die einzigen sein, aus dessen Budget das Geld abgeht, obwohl es, glaube ich, insgesamt ein relativ kleiner Posten ist.

00:22:24: Aber vielleicht nehmen sie andere Regierungsagenturen mit rein, also andere Ministerien oder Agencies.

00:22:30: oder vielleicht sagen sie auch, dass es in irgendeiner Weise, weiß ich nicht, dass es einen Beitrag für die CNAs gibt, den die zahlen müssen.

00:22:36: Keine Ahnung.

00:22:38: Bin ich aber auf jeden Fall auch wichtig zu sagen, wir werden das weiter bezahlen.

00:22:42: Ob die das im nächsten Mai dann noch genauso seht oder ob das oder ob das PDF dann wortlos von der Webseite verschwindet weiß ich nicht.

00:22:48: Ich lasse mir mal vor sich selber runter.

00:22:49: Ich denke, es wird auch inzwischen im Web Archive gelandet sein.

00:22:52: Aber das haben wir ja auch schon gehabt, dass da plötzlich irgendwelche Dokumente nicht mehr da waren.

00:22:57: Ja, und ganz ehrlich, bitte aktuell in amerikanischen Regierungen muss man auch einfach sagen, das kann halt gut sein, dass die nächsten Mai oder von mir ist auch diesen Dezember oder so hören.

00:23:09: Nee, doch nicht.

00:23:10: Das Geld ist jetzt weg.

00:23:12: Mir vollkommen egal, was ihr eurer Webseite stehen habt oder nicht.

00:23:17: Ja, also deswegen finde ich das aber auch so bemerkenswert, denn der generelle Duktus und die ganze, die ganze Aufmachung dieses PDF ist, wir möchten als verlässlicher Partner wahrgenommen werden und wir sind der verlässliche Partner und auch so ein bisschen, fühlt sich ein bisschen an wie die Stimme der Vernunft, weil auch bei der CISA ja in den vergangenen Monaten einiges an eher schrillen Tönen kamen.

00:23:41: durchaus auch auf eine gewisse interne instabilität hinde leuteten.

00:23:44: es gab einen größeren exodus anführungskräften und in es wurden irgendwelche teams eingespart.

00:23:49: durch hat da ja auch einiges direkt oder indirekt angerichtet.

00:23:53: aber jetzt scheint es so zu sein dass sie sehr darauf bedacht sind ihre a ihren führungsanspruch zu untermachen.

00:23:59: aber wir zu sagen leute wir sind die guten so ein bisschen.

00:24:06: sie möchten modernisieren also die Services für die CNAs, also für die CVI Number Authorities, Numbering Authorities heißen sie, die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die die.

00:24:37: in der Vergangenheit auch ein bisschen zwischenzeitlich so gewesen, dass ich da mal in Geo-Block gerannt bin.

00:24:42: Ich weiß nicht, ob der noch aktiv ist, aber ich habe mir immer jeden Tag die Liste der neuen CVEs gezogen über die offizielle API und irgendwann war meine VM, die habe ich bei Hetzna gehostet, die war irgendwann Geo-Blocked und ich habe das über einen VPN aus den USA angeguckt und ich glaube auch aus dem Reisevpn und hat super funktioniert.

00:25:00: Aber manche Providers, manche IP-Ranges waren einfach geblockt wegen Gründen, man weiß es nicht.

00:25:06: Erzähl doch mal, was du sonst so mit dieser vor ihm noch gemacht hast.

00:25:10: Das könnte ich jetzt machen, aber dafür müsste ich jetzt auf Russisch umsteigen.

00:25:17: Einen wichtiger Punkt, der in der Vergangenheit immer wieder auch fast immer vollkommen zurechtbegrittelt wurde.

00:25:22: Ich habe es gerade auch schon wieder gemacht, ist das Thema Transparenz und Kommunikation.

00:25:26: Und zwar zum einen bei der Caesar selber, die ohne weitere kommentare irgendwelche statements editiert hat und dann waren die plötzlich nie weg und Lassen sich ganz anders und so ich erneu mich da noch ein sehr interessanter geschichten rund um dieses personalkeroussell was der herrschte.

00:25:43: und sie möchten aber auch zum anderen die kommunikation bei solchen streitfällen wie das ich cna's gegenseitig die cvs wegnehmen oder nicht anerkennen oder sowas.

00:25:53: da möchten sie also auch konfliktärmer werden.

00:25:57: Sie schreiben sie wollen konfliktfrei und Hersteller neutral führen.

00:26:01: also sie wollen sich als Führungsinstanz des des Programms schon etablieren und wollen das aber eben.

00:26:08: Ja konfliktfrei machen und so dass kein Hersteller irgendwie bevorzugt wird unfairerweise oder durch Markt macht oder sowas.

00:26:19: sie wollen transparente Prozesse und sie wollen Accountability und das ist natürlich gerade in der aktuellen.

00:26:25: politischen Lage in den USA, wo jeder nach meinem Gefühl eher Cover US betreibt, als echte Accountability zu machen, da finde ich das schon ein interessantes Statement.

00:26:38: Und sie schreiben sogar Expressives Verbies, National Security, da habe ich was ausgelassen und so weiter, Require Government Accountability.

00:26:47: Also nationale Sicherheit benötigt die Verantwortungsübernahme durch die Regierung.

00:26:54: und dass die Regierung accountable ist.

00:26:55: Und das finde ich fast eine komplette Gegenposition zu den Shitcoins, die jetzt gerade von höchster Regierungsstelle gelauncht werden, um sich persönlich zu bereichern.

00:27:05: Also schon spannend.

00:27:07: Ja also, ich meine eigentlich einen allgemeinen Platz.

00:27:11: Natürlich ist es so, aber wie du sagst, es ist halt leider bei Leibe nicht so, dass man das in der aktuellen politischen Situation erwarten kann.

00:27:19: Und umso schöner, dass die ZISA zumindest da noch mal klarstellt so hat das eigentlich zu sein.

00:27:26: schlimm das ist klarstellen müssen.

00:27:29: Ja das ist der vierte Punkt gewesen.

00:27:33: der fünfte Punkt ist die Verbesserung der Datenqualität und das ist glaube ich technisch.

00:27:37: technisch, organisatorisch und von den Auswirkungen auf das Ökosystem der wichtigste Punkt, dass wir uns eine konsistente Datenqualität erarbeiten oder die CISA, die für uns erarbeitet zusammen mit den CNAs, mit der alle dann nach einigermaßen hohen Verlässlichkeit arbeiten können.

00:27:53: Und ich persönlich sehe dadurch aus auch, dass die großen Konsumenten da kommerziell ins Boot geholt werden sollten.

00:27:59: Also wenn ich mir anschaue, Wie es zum Beispiel aussieht, wenn man einen ganz neuen CVE, über den wir gerade berichten, den wir gerade recherchieren, wo irgendein Proof of Concept irgendwo in irgendeinem Untergrundform rausgekommen ist, wie da die Google Suchergebnisse aussehen, dann sieht man, dass die ganzen großen Anbieter von Threat Intelligence Feeds, also Tenable und Co, sofort irgendwelche vollkommen nicht sagenden KI oder skriptgesteuerten.

00:28:24: Artikel dazu schreiben für ihre sogenannte Knowledge Base, die einen aber nicht wirklich schlauer macht, sondern manchmal eher dümmer, wo sie dann einfach nur die CVE, die Titel des CVE, das Produkt und was sie sonst noch an Daten aus der CVE-Date mal rausziehen können, in so ein Artikel verpacken.

00:28:40: Aus Seeo-Grunden.

00:28:41: Diese großen Konsumenten von CVEs, die leben, also die verdienen ja tatsächlich mit diesen Fred Feeds relativ viel Geld und... Ich glaube, dass es auch schon Sinn ergibt, wenn man mal guckt, falls das nicht schon tatsächlich passiert, ob man die dann auch ins Boot holt und sagt, ihr entweder ihr beteiligt euch zum Beispiel an der Aufwertung der Datenqualität, dass man so eine Art Community Effort draus macht oder aber möglicherweise müsst ihr dann vielleicht auch einen kleinen Obolus zu zahlen.

00:29:08: Das ist natürlich immer ein schwieriges Feld, gerade sowas wie API Access Paywall, da kann man auch sehr leicht den falschen erwischen, aber Das fällt mir sehr stark auf, dass da einige Player gibt, die da einfach sehr schnell irgendwelchen Content draus machen aus Daten, die überhaupt noch nicht angereichert sind.

00:29:25: Und diese Anreicherung beinhaltet ja CVSS Scoring, was ich trotz aller Unzulänglichkeiten des CVSS Score Systems immer noch für wichtig finde, um einfach diese Triage betreiben zu können.

00:29:40: Das betrifft aber auch die CVEs, also die Arten,

00:29:47: Common Weaknesses.

00:29:49: Common Weaknesses.

00:29:54: Common Weaknesses.

00:29:56: Also ist das ein XSS oder Command Injection oder Off by One und weitere Punkte des Wilden Bridgements.

00:30:03: Es gibt ja auch so ein Exportability Score und solche Sachen und das die Datenqualität zu verbessern und dann eben auch bei der großen Menge an CVEs in einer vernünftigen Qualität zu... zu halten, dass es eine wichtige Aufgabe ist, die dieser angehen möchte.

00:30:18: Also in der vernünftigen Qualität und ich weiß nicht, ob Sie das geschrieben haben, aber was ich mal wünschen würde, auch konsistent.

00:30:29: Man sieht es ja oft, dass sozusagen die CVSS Scores sehr unterschiedlich gehandhabt werden können und dann kommt dann sehr hoher Wert raus und dann sehr niedriger Wert.

00:30:40: Das macht den halt ein bisschen sinnlos.

00:30:43: Insbesondere wenn man dann irgendwie Kontextwissen braucht, das natürlich nicht an der CW dran steht.

00:30:49: Wer jetzt, warum sozusagen den CBSS so oder anders eingeteilt haben, also das sollte ja eigentlich ein Wert sein, wo sich alle darauf ereignigt haben, so wird der gemessen.

00:30:59: Jetzt sei da hingestellt, ob das immer Ideale ist oder so, aber wenn ich zwei nebeneinander halte und die haben irgendwie unterschiedliche Werte, dann sollte die eine Lücke schlimmer sein als die andere und nicht der eine bewährter Strickter als der andere.

00:31:11: Spiel es sich zufällig auf gewisse Microsoft-Lücken der letzten Monate an, die auch so ein bisschen kreativ gescored waren.

00:31:18: Nicht nur, nicht nur.

00:31:20: Ich hatte sogar andere, wir hatten das glaube ich letztens im Podcast, die Lücke, die dann hochgescored wurde, über drei Punkte oder so.

00:31:26: Also es geht ja auch nicht, dass man hier von Komma zwei auf Komma vier redet oder so.

00:31:32: Also sie reden von einem höheren... minimal Standard.

00:31:38: also es geht auch schon wirklich darum dass ein CV E. Von der Datenqualität her ein bestimmtes eine bestimmte ein bestimmten Standard erfüllen soll.

00:31:47: Die Scoring Differenzen ich glaube die wirst du nicht ausräumen können weil die auch in der Praxis häufig der Clash zwischen dem Researcher der sich die Sicherheitsdruck gemeldet.

00:32:00: und dem Unternehmen, das die Sicherheitslücke fixen muss und wirklich klein halten möchte, definieren.

00:32:04: Das ist ja dann auch so ein bisschen immer so ein Diskussionspunkt.

00:32:12: Also, ich meine, ja, du wirst da nicht alle Unterschiede in der Sichtweise irgendwie ausmerzen können oder so, aber ich meine, werde ich mir auf so einer Mailingliste wie OSS Security, wo sich die Leute rumtreiben, die sich die ganze Zeit damit beschäftigen.

00:32:27: wenn die dann sagen so hm den punkt habe ich so bewertet und jemand anders sagt so nee ich glaube der punkt gehört anders bewertet.

00:32:35: so was sollte eigentlich nicht vorkommen?

00:32:36: es sollte eigentlich völlig klar sein wie das gemeint ist und dass man überhaupt keine diskussion darüber führen muss ob das jetzt so oder anders gemeint ist.

00:32:47: ist es noch irgendwie eine eine minimal privilege wenn man schon local also ein local user account haben muss oder ist es no privilege oder wie auch immer?

00:32:56: das sollte einfach fix klar sein irgendwie und keine Diskussion hervorrufen.

00:33:00: Also es gibt da, glaube ich, schon durchaus Spielraum, um dieses Bewertungssystem in sich konsistent herzumachen.

00:33:08: Ich sage jetzt nicht irgendwie hundertprozentig konsistent, weil es sind halt verschiedene Leute, die es hernehmen.

00:33:15: Ein häufiger Punkt, weil CVSS III, der auch viel, ich glaube, der macht einen ganzen Punkt aus, ist dieses Scope Changed und Scope Unchanged.

00:33:24: Und das ist eine Sache, wo ich auch bei der ich selber immer wieder mehr anschauen muss was ist jetzt genau gemeint?

00:33:31: und warum ist jetzt hier kein scope change drin?

00:33:33: und da wo es auch immer wieder diskussionen gibt und wo ich die tendenz sehe bei wendors zu sagen nein wir nehmen immer erst mal keinen scope change an und bei den researchern dann eher zu sagen naja ich habe jetzt hier.

00:33:45: Ich bin zwar immer noch in derselben Web Anwendung, aber ich kann jetzt Kommandos ausführen, die eigentlich auf einer Stelle ausgeführt werden.

00:33:52: Also es ist eine Scope-Enderung und dann sagt der Wendor, ne, ne, du bist ja immer noch in unserem Security-Appliance-Webinterface in den Firewall-Einstellungen, also da hat sich der Scope nicht geändert.

00:34:00: Und das sind Sachen, die für Diskussion sorgen, aber hier möchte die CISA zumindest nach ihrem Thesenpapier moderieren und möchte da auch ledigbar Example machen.

00:34:08: Das ist für sie also ein wichtiger Punkt, da auch eine Vermittlerrolle einzunehmen.

00:34:12: und Und da kommen wir zum letzten Punkt.

00:34:14: Sie möchten sich auch um diese sogenannte CNA of Last Resort kümmern.

00:34:19: Das ist eine CNA, das ist also das CVEs vergeben werden, wenn sich keine CNA für zuständig erklärt.

00:34:26: Und da möchte die ZISA eben auch ja im Grunde in die Breche springen und auch wieder mit gutem Beispiel hoch angehen.

00:34:37: So, das sind die sechs Thesen.

00:34:40: Dann dankt man noch allen Beteiligten, legt noch mal fest.

00:34:44: Und das finde ich auch bemerkenswert.

00:34:46: Keine Privatisierung.

00:34:47: CVE-Daten sind gemeingut.

00:34:50: Und die CISA ist die Agentur, also Federal Agency, Bundesbehörde der USA, die das Mandat hat, das CVE-Programm zu betreuen und in die Zukunft zu bringen.

00:35:01: Das sagen sie ganz deutlich.

00:35:02: Also sie sehen sich, als man datiert und keine andere Behörde, aber auch keine Privatorganisation.

00:35:08: Soweit die CISA.

00:35:10: Jetzt du.

00:35:13: Also ich finde es eigentlich gut.

00:35:17: Ich wäre auch nicht überrascht gewesen, wenn sich jetzt ein Jahr lang nichts getan hätte und dann wäre es wieder irgendwie vor der Abschaltung gestanden oder sogar abgeschaltet worden oder so.

00:35:31: dass sie jetzt relativ schnell finde ich, also ich meine das ist eine Behörde und man muss ja auch erst mal überlegen was man machen will oder so, aber ich finde relativ schnell mit so eine Positionspapier um die Ecke kommen und da zumindest, manchmal nach auch wirklich viele von den Punkten, die ich für sehr schwierig an dem ganzen System halte, benennen als Punkt an denen sie arbeiten wollen, finde ich gut.

00:35:57: Ehrlich gesagt, keine allzu große Hoffnung, dass sie das schaffen, aber ich wünsche mir, dass sie das schaffen, weil es liegt mir fern zu behaupten, dass sowas wie das CVE System oder sowas wie CVSS, CVS Scores, ich glaube das zweite S steht eh schon für Score, als Idee schlecht sind.

00:36:15: Ich halte sozusagen nur die aktuelle Realisierung für häufig wenig sinnvoll.

00:36:21: Ich hoffe, dass sie das einfach verbessert kriegen.

00:36:25: Und du wünschst uns allen das.

00:36:27: Und halt mich halt mal mit meinem Pessimismus hinter dem Berg.

00:36:31: Dann geben wir der ZISA jetzt einfach mal einen kleinen Vertrauensvorschuss und schauen, was sie aus dem Statement machen und wie sie das Statement auch in internen und bei Bundesbehörden garantiert existierenden Machtkampf oder in den politischen Diskussionen.

00:36:48: anbringen und umsetzen werden.

00:36:50: Meine Sorge ist ein bisschen, dass wir hier eine freundlich formulierte Version eines US-zentrischen Power-Graps ein bisschen sehen.

00:36:59: Es hat ja auch einige EU-Initiativen gegeben, also die GCVE zum Beispiel, um das Thema CVE auch außerhalb der USA weiterzuentwickeln.

00:37:11: Es gibt die EUVD, also die Europäische European Vulnerability Database.

00:37:17: Und die sind alle ja im Umfeld dieser Wirren und Irrung, um die CISA und das CVE-Programm gelongt und haben da auch einigen aufentbekommen, der aber aus meiner Sicht leider noch eher ein Sturm im Wasserglas ist.

00:37:30: Die könnte jetzt eben auch so ein bisschen eine sehr, wie heißt das, vergiftetes Geschenk sein, dass man dem der Community damit macht, indem man sagt, hey, wir wollen mit euch zusammen das alles weiterentwickeln, aber eben auch wir.

00:37:43: Und bitte kein anderer und wir haben den alleine.

00:37:46: Herrschaftsanspruch in den USA über dieses CVE-Programm.

00:37:49: So könnte man das, wenn man ein bisschen weniger optimistisch daran geht, auch lesen.

00:37:55: Versuche ich mal irgendwie den ganzen Positivversicht.

00:38:00: Also ja, ich habe ehrlich gesagt nicht so die Befürchtung, weil also wie viel schlimmer kann es schon werden.

00:38:07: Sie sagen selber, diese Daten sind allgemein gut.

00:38:10: Es ist ja auch momentan so, dass ich hatte gerade... Vorgestern oder so, wollte ich CVE's nachschlagen und die Suche von cve.org war kaputt, die hat einfach nur Fehlermähnungen geliefert.

00:38:23: Und dann habe ich es halt in der UVD nachgeschlagen.

00:38:25: Die CVE-Nummer, weil die da ja auch drin stehen, hat funktioniert und ich denke mir so, also das Schlimmste, was passieren kann, ist irgendwie, dass die Ziele da halt nicht ordentlich hinkriegt und dann kann man halt nur hoffen, dass wirklich irgendeine von diesen anderen Initiativen, die da jetzt angefangen haben, zu vorstellen.

00:38:45: Das durchhält, aber ich sehe jetzt nicht, also was sollte das für ein Power Grab sein, der dann sozusagen irgendwie andere klein hält?

00:38:54: Andere können ja die Daten jederzeit nehmen, wenn die EU das für sinnvoll hält und das würde ich auch für sinnvoll achten, zu sagen, wir brauchen ja was, was notwendig auf eigenen Beinen stehen kann, dann können sie das ja auch ziehen, also unabhängig davon, ob jetzt die ZISA weiter CVE als zentrale, globale Anlaufstelle ordentlich pflegt oder nicht.

00:39:13: Hintert ja niemand die EU daran, was Eigenes auf der Tasche zu haben, was in zweites Fall auch einspringen kann.

00:39:21: Ja, stimmt schon.

00:39:22: Und ich habe auch die Situation in Russland und China mir mal angeguckt, im Umfeld der Recherchen für diese, im Mai oder April oder wann das war.

00:39:32: Und die haben ja schon lange auch ihre eigenen Schwachstellen, Datenmagen, die auch unabhängig sind.

00:39:38: Also abgeglichen werden.

00:39:39: Es gibt, glaube ich, jemanden, die einen Mapping auf eine CVE, aber die ihre eigenen IDs vergeben und die eben auch IDs für Sicherheitslücken vergeben, die nie eine CVE sehen.

00:39:46: Also für Produkte, die es nur in China gibt oder nur in Russland oder so.

00:39:48: Und ich meine mich dunkel zu erinnern, dass zumindest in Russland das auch inzwischen gesetzlich geregelt ist, dass Schwachstellen gemeldet werden müssen.

00:39:57: Und da in dieser Schwachstellen-Datmarglande und in China ist es inzwischen ja so, dass Unternehmen für Sicherheitsvorfälle und wahrscheinlich auch für Sicherheitslücken eine Stunde für die Meldung haben danach.

00:40:07: fängt das taxameter an so ticken uns die zahlen strafen gehen gerade irgendwie durch die ticker gestern und vorgesehen.

00:40:13: Na gut, also wir schauen uns das sehr genau an.

00:40:16: Müssen wir ja.

00:40:17: wir arbeiten ja jeden tag mit cv's und wir beobachten mal weiter was die cisa da macht und dann schauen.

00:40:23: Was wir uns auch anschauen oder angeschaut haben in den letzten paar wochen war.

00:40:30: Die diskussion um die xsl t abschaltung.

00:40:34: also los ging es damit dass ein mitarbeiter von chrome.

00:40:38: Ein Issue erstellt hat in diesem GitHub Report, wo der Living Web Standard verwaltet wird.

00:40:47: Der Titel war Should We Remove Access LTE from the Web Platform.

00:40:53: Da gab es dann sehr viel Widerspruch und es gab ein paar vorsichtige Zustimmungen.

00:40:58: Das ist eine gute Idee sein könnte.

00:41:01: maßgeblich Widerspruch gab, erschien kurz darauf ein Pull Request, Remove Mention of Accessibility from the HTML-Spec.

00:41:10: Also sozusagen ein Antrag sozusagen die Spezifikation zu ändern und das ganze hat einen großen Aufschrei zur Folge gehabt.

00:41:18: Chrome will Accessibility abschalten, böses Google, böse Megakonzerne, böses, keine Ahnung was.

00:41:25: und das war ehrlich gesagt ziemlich müdend, weil es Also es war wirklich ein Lehrstück, warum es keinen Spaß macht, oft Diskussionen im Internet zu führen.

00:41:37: Das sind entsprechende Github-Issues, bzw.

00:41:40: der Pull-Request.

00:41:41: Die Diskussion da drin wurde dann auch sofort gecarbert von irgendwelchen Leuten, die halt... wilde Atombinem-Anschuldigung gebracht haben oder halt irgendwie finstere Motive bei Google vermutet haben, die es dadurch ausgeben mag, aber die vermutlich ursächlich nichts mit diesem Vorschlag zu tun haben.

00:41:58: Und es bringt halt einfach überhaupt nichts, wenn Google irgendwas vorschlägt, instruktiv zu schreien wird.

00:42:05: Nein, das macht ihr nur, weil ihr irgendwie ein böser Megakonzern seid, ohne sich ein bisschen näher damit zu beschäftigen, was eigentlich die Motivation dahinter ist und ob sie überhaupt.

00:42:16: von Google ausgeht.

00:42:18: Ich erzähle mal der Reihe nach, bzw.

00:42:19: ein bisschen Kontext.

00:42:21: Ich weiß nicht, also für mich ist XSLT so fast was Nostalgisches, aber ich hoffe mal, dass es vielen Zuhörern und Zuhörern anders geht.

00:42:31: Deswegen erzählt jetzt hier mal der Opa ein bisschen, also ich hoffe, dass der Opa vom Krieg erzählt und unsere Hörer und Hörerinnen nicht alle sagen, ja wieso, ich war da auch dabei.

00:42:39: Es gab, es war einmal vor langer Zeit, da war alles XML.

00:42:44: oder zumindest sollte damals alles XML sein.

00:42:47: Also es gab halt einen echten halb XML, war irgendwie cool.

00:42:49: XML war irgendwie für alles geeignet.

00:42:53: XML sollte man für alles hernehmen.

00:42:55: Alles was noch nicht XML ist, sollte durch irgendeine XML-Variante ersetzt werden.

00:43:00: HTML, was ja nicht richtig XML ist, wurde dann irgendwie halt, da gab es ein X-Hat-ML-Standard, die sozusagen das halt... aus HTML ein ordentliches XML-Dokument gemacht haben.

00:43:10: Es gab sowas wie XOL, was damals von Mozilla ganz stark vorangetrieben war.

00:43:15: Das war eine Beschreibungssprache für Oberflächen, also die Firefox und Thunderbird Oberfläche, die wir auch lange Zeit in XOL beschrieben.

00:43:24: Sie sind seit Jahren dabei, die Sachen rauszurupfen.

00:43:27: Ich weiß ehrlich gesagt gar nicht, ob sie auch nicht immer noch XOL irgendwo in Firefox und Mozilla in Thunderbird drinsteckt oder nicht.

00:43:35: Damals kamen auch diese neuen Office Standards auf, also der Open Document Format oder das ODF.

00:43:44: Und halt auch XML von Microsoft, also es sind auch diese, also DocX und ODT und so, das sind ja jetzt sich ZIP Dateien, könnt ihr mit dem ZIP, mit dem Archivprogramm aufmachen und dann fliegt da drin ganz viel XML rum.

00:43:57: Und also XML hatte halt einfach eine echte Hochzeit, XML war toll.

00:44:01: Man konnte fast alles mit XML machen und man sollte irgendwie fast alles mit XML machen.

00:44:05: und XSLT war auch volles sauber Werkzeug.

00:44:11: Das ist die Extensible Style Sheet Language Transformations oder Sint Extensible Style Sheet Language Transformations.

00:44:17: Und XSLT ist eine Beschreibung oder eine Sprache, um Konversionen zwischen XML Dokumenten zu beschreiben.

00:44:24: Also dann mit XSLT kann ich sagen, hier ist ein XML Dokument.

00:44:28: Das ist folgend so wie folgt aufgebaut und bitte führe das über in ein anderes xml Dokument das wie folgt aufgebaut ist und dann kann ich da zum Beispiel sagen hier habe ich irgendwie ein eine html also x html Seite.

00:44:42: bitte die führe die über in ein o xml Office Dokument mit dem gleichen Inhalt und dann kann ich das zum Beispiel in Word irgendwie bearbeiten wieder abspeichern und dann kann ich auch mit x ist xlt das wieder zurück schreiben nach X hat Meld oder nach irgendwas anderem, was sollte ja eh alles XML sein?

00:45:01: Also XSLT war schon eine ziemlich machtvolle Idee in einer Welt, in der alles aus XML besteht.

00:45:07: XSLT selber ist auch ein XML Dokument, also eine XSLT-Transformation beschreibe ich als XML, in der XML sind Tax, das heißt ich kann im Prinzip auch XSLT auf XSLT anwenden, ich weiß nicht ob... dass es dafür praktischen Nutzen gibt, aber es ist halt irgendwie sehr logisch, dass in dieser Hypephase, wo alles XML sein soll, natürlich auch die Sprache, mit der man XML-Dokumente transformiert, selber XML ist.

00:45:35: Und XSLT ist durchaus komplex.

00:45:39: Unter anderem ist es touringvorständig, aber halt auch einfach.

00:45:41: die Tatsache, dass sozusagen beliebige XML-Dokumente in beliebige andere irgendwie eher so, dass ich solche Transformationsregeln angeben kann, zeigt schon, dass das nichts triviales ist.

00:45:51: Es ist sogar so, also kleine Anmerkung, das muss nicht notwendigweise XML nach XML transformieren.

00:45:56: Also die Input-Daten müssen irgendwie so strukturiert sein, dass sie halt für XSLT zugänglich sind.

00:46:00: Das muss aber nicht unbedingt ein XML-Dokument sein.

00:46:03: Und die Output-Daten, also das kann auch plaintext produzieren oder so.

00:46:07: Aber diesen plaintext dann wieder in XSLT zu füttern, dann habe ich ein Problem, weil der hat da keine Struktur, wo diese XSLT-Regeln irgendwie drauf operieren könnten.

00:46:15: Naja, das war sozusagen die Zeit, aus der XSLT kommt.

00:46:21: Das viel alles ein bisschen aus der Mode.

00:46:24: Hat dem Elffünff hat sich die Exkluzit davon verabschiedet, XML sein zu wollen.

00:46:29: XML das Beschreibungssprache ist einfach aus der Mode gekommen, weil sie so wahnsinnig wortreich ist.

00:46:37: Heutzutage würde man dann nimmt man für wahnsinnig viele Sachen JSON her, wo man früher halt irgendwie XML hergenommen hätte.

00:46:45: Aber es steckt halt noch an tausend Orten.

00:46:47: Also... So ein Hype geht ja nicht spurlos an der IT-Landschaft vorüber und die IT-Landschaft ersetzt ja auch selten Dinge, sie stapelt einfach neue Dinge oben drauf.

00:46:57: Und natürlich der XML noch an vielen, vielen Stellen, oft vielleicht so, dass man es gar nicht sieht, aber zum Beispiel eben in diesen Dokumentenstandards, also euer DocX oder ODT oder was so immer was eben wird oder Writer oder wie auch immer halt produziert, ist ein XML Konklo-Marat.

00:47:15: Und auch XSLT ist keineswegs tot, ne?

00:47:17: Also es hat sich weiterentwickelt.

00:47:19: Aktuell ist XSLT-Dreibunknull von... ...von... ...zw.

00:47:24: und an der Version vier Punkt Null wird es gearbeitet.

00:47:26: Also das lebt.

00:47:28: Und, das war mir, ehrlich gesagt, auch nicht mehr so richtig klar, Browser unterstützen... ...XSLT.

00:47:33: Und zwar... Trommelwirbel habe ich aufgeschrieben, jetzt müssten wir eigentlich so ein Jingle einspielen.

00:47:40: Danke sehr.

00:47:41: XSLT-Einspunkt Null von... und das nicht unbedingt vollständig.

00:47:47: Aber sie haben willful Violations, wo sie den XSLT-Eins.null-Standard verletzen.

00:47:53: Das Ganze haben sie in ihre Browser-Engines integriert, das heißt vermutlich in C++ Code oder irgendwas anderes, was nicht speichersicher ist.

00:48:01: Sie haben sie eher vernachlässigt, weil es nicht wirklich mehr in Mode ist und nicht im Augenmerk viele Leute.

00:48:09: Und es harmoniert auch irgendwie überhaupt nicht so gut, wie sich halt das moderne Web weiterentwickelt hat.

00:48:13: von irgendwie incrementellem Rendering des Browserjahr machen, versus halt.

00:48:18: XSLT sagt, ich transformiere ein vollständiges Dokument in ein anderes vollständiges Dokument.

00:48:25: Es ist auch so, dass nur Firefox sozusagen DOM zu DOM, also XSLT so unterstützt, dass er DOM zu DOM Transformationen macht, also dass er halt sozusagen den internen Struktur umbaut, Chrome.

00:48:38: Streamt einfach das ganze Ding in Text, haut der XSLT drauf und rendert es dann neu, zumindest wenn ich es richtig verstanden habe.

00:48:46: Was einfach ist, was auch ein bisschen sicherer ist, aber was halt brutal ineffizient ist.

00:48:52: Das heißt, es ist alles so ein bisschen ungeliebt, das ist tausend Jahre alt.

00:48:56: Es ist eine wahnsinnig komplexe, große Angriffsfläche und es ist sehr nachvollziehbar aus meiner Sicht, dass Browser das gerne los werden würden.

00:49:09: Und es ist auch nicht das erste Mal, dass die Brausehersteller irgendwie sagen, hey, können wir dieses XSLT irgendwie loswerden.

00:49:16: Und daher kam eben dieses Issue.

00:49:18: Das hat tatsächlich ein Chrome-Mitarbeiter eingestellt, angeblich.

00:49:24: Das habe ich allerdings nur in irgendeinem Block gelesen, wo ich weiß, ob das stimmt, ging das gar nicht von denen aus, sondern resultierte aus einer internen Diskussion, wo Musilla-Kollegen sozusagen gesagt hätten, können wir nicht mal drüber reden, ob wir XSLT irgendwie rausschmeißen.

00:49:41: Stellt sich auch raus, diese paar vorsichtigen Zustimmungen, die ich anfangs erwähnt habe, das waren halt die Stimmen von Mozilla und von Apple.

00:49:50: Also ja, da waren sehr viel mehr Leute, die den lauten eingeschrien haben, aber das waren halt einfach irgendwelche Leute, die in dieser öffentlichen Diskussion eingeschrien haben, die Leute, die sehr viel relevanter sind sozusagen weil sozusagen was was die machen ist halt letztendlich das was dann in den browser passiert.

00:50:07: Die haben gesagt ja ist eine interessante idee würden wir uns auch mal anschauen und wenn die da vorgeht dann würden wir eventuell mitgehen und so.

00:50:17: Ich lasse das ganze Drama aus der Diskussion raus weil weil das auch wie gesagt einfach nur deprimierend ist.

00:50:23: reales Problem, das sie sozusagen ergeben hat, wo sich dann eben auch viel von diesem Nein-Geschrei daran entzündet hat, war, dass XSLT zwar in der totalen Nische vor sich hin vegetiert, aber halt in dieser Nische noch genutzt wird.

00:50:39: Unter anderem ist es wohl recht beliebt, um RSS-Feed, die auch XML sind, nach HTML zu transformieren, sodass wenn man mit einem Browser, der keinen RSS-Reader eingebaut hat, So ein RSS-Feed aufruft, dann kann der Browser, weil er XSLT unterstützt, aus diesem RSS, mit dem man nichts anfangen kann, ein HTML-Dokument bauen, mit dem man was anfangen kann und das dann rendern.

00:51:07: Und dann kann man da diesen Feed schön aufbereiten oder auch nur irgendwie reinschreiben, so, hey, das ist ein RSS-Feed, du brauchst ein RSS-Feed, ja, was auch immer.

00:51:13: Also man kann diese Transformationen, die müssen ja das Dokument nicht erhalten, die können alles mögliche machen, die können das Dokument auch ersetzen durch eine Nachricht, in der drin steht, das ist ein RSS-Feed.

00:51:24: Es gibt auch noch andere Nischen.

00:51:25: Also congress.gov, also der US-amerikanische Congress, die für öffentlichen scheinbar ihre Bills irgendwie im XML-Format und nutzen auch XSLT im Klient, um aus diesem XML-Format HTML zu bauen, damit der Browser dann halt diese gesetzte Texte anzeigen kann.

00:51:44: Naja, also es wird in seiner winzigen kleine Nische genutzt.

00:51:48: Das wäre insofern auch irgendwie schade, wenn die Browser das einfach rausschmeißen würden.

00:51:53: Trotzdem finde ich es eine sehr legitime Frage, also sehr legitim zu fragen, braucht man das überhaupt.

00:52:00: Und wohl gemerkt, es geht nicht darum, XSLT abzuschalten, es geht nicht darum irgendwie diese Technologie zu deprecaten, sondern es geht darum, muss der Browser das selber machen.

00:52:18: gibt natürlich Alternativen.

00:52:19: Man könnte zum Beispiel viele von diesen Transformationen eventuell serverseitig anwenden und einfach sagen, so, hey, wenn hier ein Browser anfragt, dann nehme ich halt das, also ich als Web-Server nehme das XML-Dokument, werft der XSLD daraus, baut HTML daraus und schickt es dann dem Browser.

00:52:35: Der Google-Mitarbeiter hat vorgeschlagen, man könnte das mit einem Javascript-Polyfill lösen, da rede ich gleich noch dazu, nur kurz, weil... fand ich faszinierend, wusste ich eigentlich, dass es überhaupt geht.

00:52:47: Man kann auch XML mit CSS stylen.

00:52:50: Da geht halt sehr wenig, weil wenn der Browser das XML nicht gescheitert rendern kann, dann kann ich da auch so nicht viel machen.

00:52:55: Aber wenn es zum Beispiel nur darum geht, bei so einem RSS Feed anzuzeigen zu sagen, hey, das ist ein RSS Feed, du brauchst ein RSS Feed, das kriegst du auch mit CSS hin.

00:53:03: Dass du halt einfach sagst, so kannst du auch mit CSS sagen, ihr mach ein neues Pseudo-Element, schreibt da folgende Texte rein, tut es nach oben in die Seite und so.

00:53:11: Also für solche Warnmeldungen, nur so würde das reichen.

00:53:16: Und es gibt natürlich die Überlegung, man macht es halt, wenn das unbedingt kleinseitig sein soll, mit Javascript.

00:53:21: Dann ist so ein bisschen die Frage, wie bettet man das ein?

00:53:24: Man kann natürlich so ein Script Tag in so einem XML-Dokument notieren, aber dann ändert sich einfach die Struktur dieses XML-Dokuments.

00:53:35: Das ist je nachdem auch eventuell nicht valide.

00:53:39: Das Gegenregiment dazu ist also sehr wenige XML-Paser.

00:53:44: sind validierende Paser, die meisten Paser versuchen zu verarbeiten, so viel wie sie halt verarbeiten können und stören sich nicht an irgendwelchen Skriptext, die sie nicht verstehen.

00:53:54: Aber da gibt es so ein bisschen Überlegungen, so naja, was gibt Polyfill, was irgendwie XSLT versteht, ist vielleicht ganz nett, aber das kriegen wir ja irgendwie nicht an alle Stellen, wo wir es brauchen, ohne die Paser, die das XML pasen wollen, irgendwie aus dem Tritt zu bringen.

00:54:11: Und dann kam natürlich auch sehr schnell die Debatte auf, sondern was bringt das denn?

00:54:15: Ihr sagt irgendwie wollt aus Sicherheitsgründen dieses alte XSLT loswerden, weil das eine zu große Angriffsfläche ist.

00:54:23: Und jetzt wollt ihr doch Javascript ersetzen.

00:54:24: Jetzt muss ich ja Javascript aktivieren für eine Seite, wo ich halt vorher kein Javascript gebraucht habe.

00:54:30: Das vergrößert doch nur die Angriffsfläche.

00:54:34: Und ich habe da Sympathie dafür.

00:54:36: Also es geht mir auch auf einen Zeiger, wieviel Blödsinn.

00:54:39: die ja gar nicht mit Javascript gemacht werden müsste, wenn Javascript gemacht wird.

00:54:44: Aber ich bin mir echt nicht sicher, ob Javascript aus, aber einen unvollständigen, willful Violations XSLT-Parser von der Neunzehnneunneunzig, den die Browserhersteller gar nicht mehr richtig supporten wollen, ist irgendwie, also ob das besser ist, ich weiß es nicht.

00:55:05: Javascript hat zumindest den Vorteil, dass das sehr im Fokus der Browser Hersteller ist und diese Angesfläche, wo sie können Kapseln, Schützen isolieren.

00:55:17: Diese XSLT-Paser, der ist alt und bringt niemandem was und der ist vermutlich auch nicht ansatzweise so gut gekapselt.

00:55:24: Insofern wäre mein Bauchgefühl schon unterm Strich, ist es sicherer, sowas mit Javascript zu lösen und dann halt auch auf diesen Seiten Javascript erlauben zu müssen.

00:55:37: Empörungswelle ist so ein bisschen durchgerauscht.

00:55:40: Wir sind jetzt sozusagen, also wer weiß, was jetzt daraus wird.

00:55:43: Diese Issus sind einfach offen.

00:55:46: Die sind also auch nicht irgendwie, also diese, dieser Pull Request ist auch noch nicht übernommen worden, dass es jetzt nicht mehr in der Spektrin stündet oder so.

00:55:53: Das ist zu Recht kein schneller Prozess.

00:55:55: Es ist auch davon auszugehen, dass wenn Browser sowas ausbauen würden, würden sie das Prior Pö machen.

00:56:00: Erst mal irgendwie ein Schalter einbauen und den dann in ein Prozent, fünf Prozent aller Nutzer irgendwie.

00:56:06: default-off machen und schauen, ob irgendwie die bug-reports bei ihnen einprasseln, dass irgendwelche Seiten nicht mehr gehen.

00:56:13: Und es ist auch ein weiteres Issue erstellt worden, als Reaktion sozusagen darauf, dass Alternativen sammelt, vornehmlich die Überlegungen könnten Browser nicht irgendwie das Anders unterstützen und zwar insbesondere auch Neueres, also XSLT-III, XSLT-IV, irgendwie unterstützen, indem sie irgendeine Rust-Library hernehmen oder so.

00:56:36: Da gibt es eine Reihe von Vorschlägen, aus meiner Sicht kranktes Primer, daran, dass die Browserhersteller halt nicht so richtig wollen.

00:56:44: Die wollen das loswerden und sich nicht irgendwie eine andere Library einkaufen, von der sie auch nicht wissen, ob sie nicht in zwei Jahren wieder anmentent ist.

00:56:51: und dann haben sie doch wieder so was am Bein.

00:56:54: Von was, was aus meiner Sicht zumindest schon auch wirklich eine schöne Anwendung in seinen Nischen hat, aber im Web eine ziemliche Nischen, also kleinzeitig nicht.

00:57:05: Ich meine, wir werden das weiter im Blick haben.

00:57:09: Wir wollen euch irgendein davon erzählen.

00:57:11: Ich fand es interessant, vornehmlich aus dieser Perspektive, also mir war das einfach nicht klar, dass die Brause immer noch ein ExistlT-Engine mit sich rumtragen.

00:57:23: Und das ist natürlich, aus meiner Sicht natürlich, nicht eine nicht unerhebliche Angesfläche und ein Sicherheitsrisiko ist und irgendein so ein uraltes Ding drin zu haben.

00:57:33: Ich meine, da kommen wir wahrscheinlich gleich dazu zu alten Dingen, die irgendwo drinhängen, wo man sie gar nicht drinhängen haben will.

00:57:38: Aber ich finde das sehr nachvollziehbar, dass die Browser da laut darüber nachdenken, ob man das nicht ausbauen könnte.

00:57:44: Und das würde, glaube ich, allen Beteiligten gut tun, wenn man da einfach sachlich darüber argumentieren würde und nicht sofort schreien würde.

00:57:51: Ihr seid Google und ihr habt drei Billarden Dollar.

00:57:54: Warum unterstützt ihr nicht einfach alles, alles immer?

00:57:59: Weiß nicht, wie siehst du das?

00:58:01: Ja, also ich finde den Punkt, dass Google und andere große Konzerne ruhig ein bisschen mehr Geld auch in die eher nischigen Sachen stecken konnten, anstatt dann danach die Idee zu floaten, sie schreien nicht danach an, die Idee zu floaten, man könnte das ja auch dann mal gleich rausschmeißen.

00:58:23: Das kündigt ja ein bisschen so.

00:58:25: Weil von ein paar LibxML-Zweisicherheitslücken an, wo es auch diese Diskussionen gaben, als LibxML-Zweig gesagt hat vor ein paar Monaten.

00:58:34: Leute bei uns gibt's jetzt keine Triage mehr für Sicherheitslücken.

00:58:37: Wir machen alles sofort öffentlich, auch wenn es eine Sicherheitslücke ist, weil wir einfach die Zeit und die Ressourcen, ich habe diese ganzen Hacker One Reports durchzugucken.

00:58:44: Wir machen dann Backführe auf und dann kann man da reingucken und jemand kann sich Druck kümmern.

00:58:49: Sagt auch jemand im Gefolge dieser Diskussion, ja Moment, bei LibxSLT ist es noch schlimmer, da ist nur ein Maintainer oder irgendwas so was über.

00:58:57: Und das ist ja immer wieder eine auflammende Diskussion.

00:59:00: Machen die kommerziellen Unternehmen genug für die Open Source.

00:59:04: Projekte und das Open Source Ökosystem, bei dem sie sich ja in ihren kommerziellen Produkten ganz doll bedienen.

00:59:14: Man könnte das auch für eine Anwendung dieser, oder man könnte diese Diskussion auf diesen Fall anwenden.

00:59:21: Ich habe mit XSLTs zum Glück relativ wenig zu tun gehabt.

00:59:26: Ich weiß noch, dass das so, als das in den zwei Tausenden auch in der Web-Entwicklung ist, Szene und auch an Unis mal wieder aufkam.

00:59:35: ich habe dann immer so bisschen die Flucht ergriffen.

00:59:38: Mir reicht eigentlich ein es gml Dialekt also html hat mir eigentlich immer gereicht.

00:59:42: mehr wollte ich eigentlich gar nicht kennen.

00:59:43: ich musste so ein bisschen epp machen.

00:59:45: epp ist das xml.

00:59:47: Das domain registries mit mit den konsumenten also den den Leuten die domains registrieren sprechen.

00:59:56: Das hat auch nicht so viel Spaß gemacht und.

00:59:58: Insofern bin ich da vergleichsweise leidenschaftslos.

01:00:01: Aber natürlich ist das so ein bisschen wie, wenn du als Kassenpatient Probleme mit den Zähnen hast.

01:00:07: Das erodiert dann von hinten nach vorne.

01:00:09: Also irgendwann werden die alle Zähne gezogen, die matig waren, statt Zahnersatz dafür zu bezahlen.

01:00:16: Und dann hast du irgendwann auch die, wenn dann irgendwann Kernfeatures angefasst, weil wie man sagt, na ja, brauchen wir das eigentlich noch.

01:00:22: Und das ist ja eine sehr, ne eher eine abstrakte Angst, die... aus vielen dieser Diskussionsbeiträge rausspricht.

01:00:29: Es geht ja nicht vordergründig, ich glaube zumindest bei den meisten, um XSLT als solches, sondern um dieses, die Konzerne wollen wieder irgendwas aus unserem Web rausschneiden und das Webwett wieder ärmer.

01:00:39: Und ich kann die Angst total nachvollziehen.

01:00:42: Und da gibt es ja auch andere Beispiele, von denen mir jetzt gerade keins einfällt, wo man schon durchaus sagen könnte, Moment mal, warum haben wir das jetzt rausgeworfen?

01:00:49: Aber in diesem Fall, ja.

01:00:54: Ich würde auch mit so einem Schalter arbeiten, einfach mal so in ein bis fünf Prozent der Chrome installs und ob der US Congress das verwendet, um Gesetze von Format A und Format B zu überführen.

01:01:03: Man könnte jetzt unken, dass da wahrscheinlich eher der Congress abgeschafft wird, als dass XSLT aus dem Browser fliegt.

01:01:11: Aber das ist wirklich eine Anwendung, die kann man auch sicherlich anders bauen.

01:01:16: Ja, also man kann sie auch gerne mit XSLT bauen halt serverseitig.

01:01:20: Also das ist wirklich so ein Punkt, wo ich halt gar nicht sehe, warum das der Browser umbauen können muss.

01:01:28: Ich weiß, ich meine ich, ja, die Konzerne schneiden ganz gerne Dinge aus dem Web, die irgendwie schön gewesen wären, aber doch meistens nicht auf dieser technologischen Ebene, sondern mehr so.

01:01:41: Ui, war es nicht schön irgendwie, dass ich irgendwie einfach frei auf andere Sachen verlinken kann.

01:01:46: und jetzt geht alles doch irgendwelche komischen Linkverkürze zur Sicherheit und so.

01:01:51: und selbst wenn ich irgendwo eine Link in meinen Mailer poste, dann baut der Mailer den um und schiebt den erstmal durch einen, keine Ahnung, was Virus Detection sonst war.

01:01:59: Also auf dieser Ebene sehe ich das durchaus das Viel vom freien Web.

01:02:08: mehr und mehr abgeschraubt wird.

01:02:11: Nicht auf der Ebene, dass irgendwelche Technologien, also zumindest verliebt mir grad nix in die Richtung ein.

01:02:18: Ich hab eher das Gefühl, es tätete wird manchmal ganz gut alte Zöpfe irgendwie ein bisschen schneider abzuschneiden.

01:02:25: Und ob ich hier, also für mich klingt XSLT im Browser schon schwer nach, schneid das mal lieber ab.

01:02:34: Du hast genug damit zu tun deine ja es gibt Engine irgendwie sicher zu halten.

01:02:38: Das ist bei Leib nicht einfach.

01:02:43: Und in Browsern sind wir ja zumindest schon technologisch häufig in diesem Jahrtausend angekommen, als wir das die Folge über dieses UEFI Bootkit gemacht haben.

01:02:53: Da haben wir auch gesehen was für Legacy Kram in Biosen und UEfis vor allem, die ja auch sehr deutlich eine Technologie dieses Jahrtausends sind, also zumindest das UEFI.

01:03:01: Noch mitgeschleppt wird.

01:03:02: die haben ja noch support mit pcx bild Dateien die ich persönlich seit neunzehnt sechsten neunzig oder fünfhund neunzig nicht mehr angefasst habe.

01:03:11: Also da sind die Brawler zumindest schon mal so eine halbes Jahrzehnt weiter.

01:03:16: aber ich glaube verschlanken.

01:03:19: Ist gerade bei Werkzeugen mit einer so großen Angriffsfläche die auf so vielen verschiedenen auch.

01:03:26: mit Constraints behafteten Plattformen wie Mobilgeräten oder Embedded oder wo er immer laufen muss, schon eine gute Idee.

01:03:32: und ob ich da jetzt ein XSLT Prozessor in meinem Browser habe oder nicht, das mag möglicherweise wirklich ein geringeres Problem sein.

01:03:43: Wir bleiben bei Belötschen, der mit Javascript gemacht wird, obwohl er nicht mit Javascript gemacht werden müsste.

01:03:51: Das hast du gerade schön gesagt.

01:03:53: und wir kommen zu Node.js.

01:04:00: Also du meinst das gesamte Javascript-Universum?

01:04:03: Nein, ich bin gemein, ich finde die Sprache Javascript gar nicht so schlimm, ich kokite nur gerne damit.

01:04:09: Und es gibt natürlich gute Anwendungen von Javascript.

01:04:12: Einer meiner Informatik-Professoren war noch in den frühen zwei Tausendern absolute Überzeugung, dass Javascript ja Java sei, dass im Browser lief.

01:04:21: Dein Informatik-Professor.

01:04:23: Das ist das stimmt mich sehr besorgt.

01:04:28: Ich hoffe du hast von dem nicht viel gelernt.

01:04:31: Das war ein Semester.

01:04:33: Also

01:04:34: für alle sozusagen die vielleicht da nicht so drinstecken.

01:04:37: Das ist ein bekanntes Ding und also Javascript heißt Javascript, weil irgendwie die Sprogrammiersprache ja war sehr populär war und sie wollten diese Popularitäten mitnehmen.

01:04:47: Es hat mit Java nichts zu tun.

01:04:50: Und einem Informatik-Professor sollte das auch durchaus bekannt sein.

01:04:55: Das hieß auch mal zwischendurch J-Script, das war glaube ich die Variante von Microsoft.

01:04:59: Ja, es gibt diesen, ich weiß gar nicht, das ist irgendein Webcom, oder diesen sehr schönen Witz, wo irgendwie drin steht, sondern ja, sie haben das Javascript genannt, um die Popularität von Java abzugreifen und später wurde das ja standardisiert und heißt offiziell ECMAScript, um die Popularität von Hautkrankheiten abzugreifen.

01:05:17: Exzebeskript.

01:05:18: Gut, das leitet ab.

01:05:19: Wir wollen hier gar kein Javascript-Bashing machen.

01:05:21: Wir machen lieber Note-Bashing.

01:05:23: Note ist so eine Technologie, die mir tatsächlich verborgen geblieben ist.

01:05:26: Habe ich nie so viel mit zu tun gehabt.

01:05:28: Aber am Ende machst du damit Javascript-Sachen, die du typischerweise mit einer Skripsprache früher gemacht hättest wie Pearl?

01:05:34: Oder jetzt sage ich, was das in der Weste gleich zogen ist mit PHP?

01:05:39: Ich hab früher auch PHP gemacht.

01:05:40: Also ich kann das ab.

01:05:42: Ich hab ne guten Therapeuten.

01:05:44: Ich hab mein Trauma aufgearbeitet und so.

01:05:46: Das ist gut zu hören.

01:05:48: Ansonsten können wir jetzt gleich noch eine Werbung für IT.

01:05:50: Es gibt überhaupt nicht so Spezialtherapeuten für IT-Probleme, sodass die Traumata, die man sich durch Nutzung von PAP oder Perl Regular Expressions zuzieht, die sind ja auch eine Abteilung für sich, dass man das gemeinsam dann mit einem Fachkundigentherapeuten aufarbeitet.

01:06:08: In diesem Fall, um jetzt die Folge zurückzukommen, gab es in den letzten ... Monaten in den letzten Wochen gewaltige Angriffe auf NPM, den Notepackage-Manager, der nicht Notepackage-Manager genannt werden möchte, denn eigentlich heißt NPM nicht Notepackage-Manager, genauso wie PHP, auch irgendwie so ein regpositives Background-Mümis.

01:06:35: Und ich nenne den jetzt aber trotzdem so, der verklagt mich doch.

01:06:39: Das ist einer der zentralen Bausteine des Ökosystems kann man schon sagen, weil das sehr stark auf so Mikro Abhängigkeiten baut.

01:06:48: Also du baust die also mit vielen externen Bibliotheken, Packages oder Modulen, wie auch immer man sie nennen möchte.

01:06:56: Deine Sachen zusammen, sodass du das Rad nicht neu erfinden musst.

01:06:59: Das gibt es ja in Pearl auch.

01:07:01: C-Pan ist ja genau im Grunde sowas.

01:07:03: In PHP gibt es das mit Composer oder früher dem... Oh Gott, wie hieß denn das noch?

01:07:07: Peckel war auch so ein Paket.

01:07:11: Manager für PHP Bibliotheken, also in PHP geschriebenen Bibliotheken gab die auch als Extensions, aber macht's als auch nicht besser gemacht.

01:07:19: Und das ist ein Ding, dessen schiere Dimensionen mich bei der Recherche ein wenig überfordert haben.

01:07:25: Denn da reden wir von Paketen, die Millionen Mal pro Woche runtergeladen werden.

01:07:31: Und ich meine jetzt nicht anderthalb Millionen Mal oder eins Komma eins Millionen Mal, sondern.

01:07:34: dreihundertachzehn Millionen mal im Beispiel von dem Paket Chalk, also Kreide.

01:07:40: Dieses Paket Chalk hat eine Aufgabe, die ist vergleichsweise unwichtig, also sagen wir eher ästhetisch bedingt.

01:07:50: Das färbt Schrift im Terminalbund ein.

01:07:52: Wenn du also eine Notanwendung hast, die irgendwas ans Terminal ausgibt, dann macht Chalk das Bund.

01:07:57: Brot mit, wo du im Hintergrund oder Geld mit schwarzem Hintergrund, wie auch immer du das haben möchtest.

01:08:01: Das hat pro Woche dreihundertachzehn Millionen Daumen los.

01:08:04: Das heißt, es wird dreihundertachzehn Millionen mal in ein Notprojekt eingebunden, das gerade deployet wird.

01:08:11: Das ist schon eine Anzahl, da können, glaube ich, Abpaket-Downloads nicht so richtig mithalten.

01:08:17: Also, nee.

01:08:18: Aber ich muss natürlich schon sagen, also Schrift im Terminal Bund zu machen, weist einen halt als Hardcore-Hacker aus.

01:08:26: Das ist schon eine sehr zentrale Funktion.

01:08:30: Es gibt zwei zulässige Schriften in Terminals.

01:08:32: Drei.

01:08:33: Weiß auf Schwarz, Grün auf Schwarz, Bernstein auf Schwarz, wenn man sehr leidensfähig ist.

01:08:38: Das sind die drei zulässigen Farbkombinationen.

01:08:41: Dann ruft er mal an bei NPM.

01:08:43: Aber ich glaube, du hast nachher bei NPM angerufen.

01:08:45: Ich hab bei NPM angerufen per E-Mail, ja genau.

01:08:47: Ich hab übrigens vergangenes Wochenende in Hannover im Highscore, im Computerspielemuseum und da sind mir diese Farbkombinationen auch noch ein paar Mal auf einem C-Hundert, Achtundzwanzig und sowas untergekommen.

01:08:59: So geil ist dieses Bernstein auf Dauer für die Augen doch gar nicht.

01:09:01: Das habe ich sehr geschönt in der Erinnerung aus meiner Kindheit.

01:09:05: Wie dem auch sei, das ist ein Ökosystem, das ist groß und da passiert viel.

01:09:11: Und da hat es in den vergangenen Wochen mindestens drei groß angelegte Supply Chain Angriffe gegeben, die darauf aus waren, möglichst viele Bibliotheken zu trojanisieren.

01:09:22: Also mit Schadcode zu versehen, in einem Fall sogar mit einem Wurm.

01:09:26: Und das Perfite daran ist, das npm pakete, unheimlich oder das generell javascript projekte die mit dem note gebaut sind unheimlich viele abhängigkeiten haben also dependencies und mehrfach geschachtelte dependencies die automatisch beim deployment aufgelöst werden.

01:09:46: und du siehst also im grund gar nicht so richtig was du da in deinem kleinen hallo weltprojekt alles an abhängigkeiten dir mit reinziehst.

01:09:55: das bleibt für dich also.

01:09:56: vergleichsweise opark wenn du dich nicht explizit dafür interessierst und dann sicherheitstuhl drüber laufen lässt so dass du von solchen supply chain angriffen betroffen sein kannst ohne so richtig zu merken.

01:10:06: also nur deine die liste der inklud sozusagen in c sunter oder c. Diktion zu kontrollieren ob da was mit mal wer verseucht war reicht eben nach meinem verständnis nicht.

01:10:17: und das ist also das ist.

01:10:22: Mindboggling, die.

01:10:24: dieses Chalk zum Beispiel wird von hundertdreißig tausend weiteren Notepaketen und Projekten eingebunden, die also auf dieses Chalk dependenten.

01:10:33: Also immer, wenn eines dieser hundertdreißig tausend anderen Pakete installiert wird, wird Chalk mit nachgezogen.

01:10:39: Und ich habe einen Command Line Tool gefunden, das heißt, ich glaube, Good First Issue, da kannst du, das ist wie gesagt Command Line Tool.

01:10:48: Und dem gibst du eine URL zu einem Github-Repository mit und das pflügt dann dadurch die Issues und holt dir alle raus, die mit dem Tag Good First Issue versehen sind und packt dir dann die Issuennummern oder die URLs auf die Kommandozeile, damit du dir mal ein Issue rauspickst, um das zu erledigen, wenn du sozusagen Beginner Open Source Entwickler bist.

01:11:09: Möchtest du mal raten, wie viele Abhängigkeiten dieses ungefähr, ich glaube, drei Kilobyte Javascript umfassende Tool hat?

01:11:21: Eine Fantastiljarde.

01:11:22: Also das ist mal NPM.

01:11:24: Es ist immer das Gleiche.

01:11:26: Die haben für winzige Sachen werden extra paketiert und dann referenziert und so.

01:11:33: Also das, ich glaube, wir reden vermutlich dann gegen Ende nochmal drüber.

01:11:36: Ich habe da auch keine hohe Meinung von, aber dieses NPM-Ekosystem zeichnet sich wirklich durch ein... Wahnsinnig umfangreiches, dichtes Netz, kleinste Abhängigkeiten aus.

01:11:46: Also das ist kein Netz von Abhängigkeiten, das ist ein Voltknoll, mit dem die Katze gespielt hat irgendwie.

01:11:54: Sag dir mir, wie viele Fantastilladen sind.

01:11:57: Es sind thousand, dreihundert, dreißig.

01:12:00: Und das finde ich schon, das ist keine Fantastillade, aber es ist schon ne Katze mehr.

01:12:05: Das klingt nach nem netten Skript.

01:12:07: Da durchzuscrepen und diese Issus rauszusuchen.

01:12:12: Wenn du mir gesagt hast, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das

01:12:23: hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, das hat, Und dann macht der Rest-Request und das meiste, also da geht's mal los, das Octo-Kit, also das Rest-Toolkit bringt in der Größenordnung von fünfzig Abhängigkeiten mit.

01:12:43: Dann benutzt der Chalk, das hat irgendwie sieben Abhängigkeiten.

01:12:45: und dann das Schlimmste ist, was ist denn Jest, keine Ahnung, aber das sind einfach so Sachen, so diese Sachen wie URL-Bibliotheken haben halt hunderte Abhängigkeiten.

01:12:56: Ich

01:12:57: wollte nur kurz, weil du das gerade angesprochen hast.

01:12:59: Ich glaube, das ist ein ganz zentrales Problem, dass auch sehr viele NPM-Entwickler mit diesem Mindset rangehen, was ist ein Just, keine Ahnung, aber wir ziehen es mit, das Ding wird offensichtlich gebraucht.

01:13:10: Da kommt, glaube ich, sehr viel von diesem Problem hin, dass das in dieser Community das einfach sehr etabliert, dass sie sagen, ah, ich weiß nicht genau, was es ist, whatever, wir ziehen es halt mit.

01:13:20: Und das ist, das ist einfach keine... keine sinnvolle Art und Weise mit Abhängigkeiten umzugehen.

01:13:27: Aber ich würde vorstellen, ich halte das mal die Klappe und du erzählst erstmal, was passiert ist und dann reden wir darüber, wie dieses Ökosystem vielleicht verbessert werden könnte.

01:13:35: Jest ist ein Test-Framework.

01:13:37: Das kann man durchaus machen, aber es bringt halt einen ganzen Stapel Abhängigkeiten mit.

01:13:43: Anyway, es ging um die Angriffe.

01:13:45: Diese Angriffe kamen in drei recht klar gegeneinander abgegrenzten Wellen.

01:13:52: Die letzte davon ist ganz aktuell.

01:13:54: Die vorletzte war vor anderthalb Wochen und die erste Welle war, soweit ich mich erinnere, Ende August.

01:14:00: Und da ging es um einen Angriff auf die Softwarefirma NX.

01:14:05: Ich lasse jetzt im folgenden, einfach auch um den Podcast nicht so ein Peter Jackson Film zu machen, die Produkte und was die so alle machen, das lasse ich mal so ein bisschen aus.

01:14:16: Also es gibt hier die NX, die machen was mit Note und haben auch Pakete auf NPM veröffentlicht.

01:14:21: mit ungefähr insgesamt vielleicht dreißig Millionen downloads pro woche.

01:14:25: und die sind geohnt worden über ein exploit in einer unsicheren github action.

01:14:31: also da hatten die in der in so einer github action an irgendeiner stelle nutzer input der in der ich glaube im titel von issues von github issues eingegeben wurde.

01:14:43: Unescaped in shellkommando gepiped leicht vereinfacht.

01:14:46: ich glaube es war ein kleines bisschen komplexer.

01:14:49: Und dann konnte also die Angreifer das GitHub-Konto übernehmen, beziehungsweise dieses Publishing-Token, das glaube ich auch ein O-Rust-Token oder Bearer-Token, für die NPM Publishing-Plattform, wo die Pakete hochgeladen werden, Carpern.

01:15:05: Und dann haben vier Stunden lang da manipulierte Pakete von NX auf NPM rumgelegen, die einen Infostealer hatten.

01:15:14: und dieser Infostealer der hat der Text Dateien gesucht credentials und so die fahre von bestimmten Dateien und hat das auf GitHub in ein spezielles repository Committed das von den angreifern kontrolliert wurde beziehungsweise unter deren Kontrolle stand.

01:15:29: und da sind ungefähr zwanzig tausend Dateien eingeschlagen und es gab tausend siebenhundert verschiedene Opfer.

01:15:35: das sind in der zählung glaube ich GitHub Accounts.

01:15:39: also das war Nummer eins.

01:15:40: da haben wir also schon mal eine gewisse Grundlast und diese an dieser Angriff der wurde auch Singularity Attack nann, weil so das GitHub Repo hieß, in das dieser ganze Kram hochgeladen wurde.

01:15:59: Das war also Nummer eins Ende August und dann kommt Nummer zwei.

01:16:07: Da wurde es dann schon ein bisschen umfangreicher, also im ersten Fall waren wir bei irgendwie dreißig.

01:16:12: Ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr, ich weiß nicht mehr.

01:16:40: Das ist mir nicht so ganz klar, weil hier also ein Entwickler mit relativ weitreichenden Permissions in ganz vielen verschiedenen Paketen und der hat eine noch eigene Aussage, also wörtliches Zitat, schockierend authentische E-Mail bekommen, ermöge bitte seine zwei Faktor-O-Identifizierung für das NPM-Konto zurücksetzen.

01:16:59: Die kamen von supportatnpmjs.help.

01:17:02: Und wie wir wissen was von einer punkt helb tld kommt das können wir direkt wegschmeißen.

01:17:07: da ist noch nie irgendwas nützliches glaube ich.

01:17:09: rausgekommen war sicherlich also wacker war eine phishing mail denn die tatsächliche domain für npm ist npm.js.com.

01:17:19: Das hat er aber nicht mitgeschnitten.

01:17:21: da wieder bei dem thema sind.

01:17:22: also meine überraschung wenn.

01:17:25: Auch echte mails irgendwann von npm.js dort helb oder.

01:17:30: Dort,

01:17:30: was auch immer kommen, wäre halt genau null.

01:17:35: Das wäre die erste große Firma, die irgendwie sauber mit genau einer Domain und Top-Level-Domain handiert.

01:17:42: Notiz an die Hörer, wenn ihr mal viel Zeit und eine Flasche Schnaps in der Hinterhand habt, so zum Wochenende hin, dann nehmt euch mal in den Wikipedia-Artikel List of Top-Level-Domains vor und guckt euch mal an, was da alles drinsteht.

01:17:53: Das macht viel Spaß, allerdings sollte man schon Schnaps getrunken haben.

01:17:58: Entwickler Quicks heißt ja also QEX, der hat Zugriff auf Pakete in MPM mit über einer Milliarde wöchentlichen Downloads.

01:18:09: Schön groß geht raus an den Doppelgänger Podcast.

01:18:11: Hier meinen wir Milliarden, wenn wir Milliarden sagen.

01:18:14: Und eine Quelle hat sogar irgendwie zwei Komma sechs sieben Milliarden wöchentliche Downloads berechnet.

01:18:20: Ich glaube, die haben dann noch so diesen Longtail mitgerechnet, nicht nur die Top-Fürzig oder so.

01:18:24: Ich vergleiche das jetzt mal nicht mit einem Fußballfeld oder in der Badewanne, sondern mit einem Ton.

01:18:28: Das ist ein vier Kilo Herzton.

01:18:29: Also die Anzahl der Downloads pro Woche, die lässt sich runterbrechen auf die Downloads pro Sekunde und das sind ungefähr viertausend vierhundert Downloads pro Sekunde dieser Pakete, die dieser Mann verantwortet oder die auf die dieser Mann mit seinem kontroialisierten Kontroialisieren lassen.

01:18:44: Das Ding als Ton ungefähr wie mein Tinnitus.

01:18:46: Also so ein ziemlich fieser hoher Ton.

01:18:48: Dieser angriff wurde nur zufällig gefunden.

01:18:51: das gemahnt uns ein bisschen an welches große sicherheitsereignis der vergangenen jahre.

01:18:57: Ja genau was auch wieder so ganz ähnlich.

01:18:59: da hat einer ein bildfehler in einer sie ist die pipeline gefunden und gesagt das sieht irgendwie komisch aus aber es war noch glaube ich noch nicht mal so ein fatal er oder so.

01:19:06: dann nur so eine warnung oder sowas.

01:19:09: und da hat er gesagt das müssen wir mal ein bisschen genauer angucken hat dann ein paket gefunden.

01:19:12: das ist er war x also er war minus x und.

01:19:17: Die aktuelle Version dieses Pakets enthielt so ganz.

01:19:20: seltsames javascript.

01:19:21: und wer von euch schon mal javascript basierte mal wer gesehen hat oder auch javascript basierte hier so diese ganzen anzeigend checker und google analytics.

01:19:29: da werden immer ganz lustige sachen gemacht.

01:19:31: dann irgendwelche hex variablen und dann werden die immer mit plus konkatiniert damit bloß kein scanner oder etwas da sehen kann dass wir da gerade ins document object model reinschreiben und so war es da auch.

01:19:42: da hießen dann irgendwelche variablenzuweisung unterstrichen null x hundert zwölf f a acht und die wurden dann auf den wert.

01:19:49: unterstrich null x hundred achtzig f gesetzt und Kilowattweise ging das so weiter ist also eine typische Verschleierungstaktik für malware.

01:19:57: Einen Funktionsnamen der lässt sich die sich dann wohl nicht so einfach verschleiern oder sie haben es vergessen.

01:20:03: der war aber lesbar und der hieß check ethereum we.

01:20:07: Wie window sollte sich später rausstellen denn das ist eine Funktion.

01:20:12: die checkt, ob in der aktuellen Laufzeit Umgebung, in der sich dieses Javascript gerade befindet, während es ausgeführt wird, ein Fenster mit dem Titel, also mit dem Fensternamen Ethereum gibt.

01:20:23: Und das ist der Fall bei bestimmten Ethereum Wallets, die eben auch offensichtlich einen Javascript-Interpreter eingebaut haben.

01:20:29: Und diese MyWare, die in diesen ganzen Paketen drin war, also in den mit zwei Komma sechs oder drei Komma sechs, sieben Milliarden Downloads versehenen Paketen, die war ein Kryptostila.

01:20:42: Der hatte eine ganze Reihe hart codierte Wallet-Adressen für verschiedene Währungen, also Ethereum, Bitcoin Cash und noch irgendwas anderes.

01:20:52: Und da hat er sich immer, also wenn er irgendwo in diesen Repositories, die er angegriffen hat oder in den Wallets, in denen er sich eingeschleust hat, eine Wallet-Adresse gefunden hat, hat er versucht, die zu überschreiben und zwar mit einer optisch ähnlichen.

01:21:06: und Dafür gibt es eine Funktion, die habe ich das letzte, weil ich noch im Studium gehört, auch im Studium aller anderen Professor, aber das war die Levensteindistanz.

01:21:17: Es gibt, glaube ich, auch noch die Heming-Distanz, ich weiß nicht mehr genau, was der Unterschied ist, aber die Levensteindistanz ist im Grunde eine Möglichkeit, die Ähnlichkeit verschiedener Zeichenketten zu berechne.

01:21:28: Also wenn ich eine Wallet-Adresse habe, die beim groben Hinsehen so aussieht, wie die, die ich ersetzen möchte, die Levensteindistanz dieser beiden.

01:21:37: Wollet Adressen dieser beiden Zeichenketten relativ niedrig ist und da hat er sich immer dann die rausgesucht die am ähnlichem aussieht um jemanden der nur so ganz kursorisch und mit einem halben Auge auf diese Krypto Transaktion schaut, hinter das Licht führen zu können.

01:21:51: Und also das ist ja ganz allgemein sehr wertvoller Tipp, wenn ihr irgendwie Hashes vergleicht, also die Adressen sind ja auch Hashes.

01:22:02: Und davon aus oder beschirchten müsst sozusagen, dass da ein ein ein böswilliger Gegenspieler irgendwie Adressen bauen kann.

01:22:12: Dann ist es natürlich in der Regel so, dass der nicht sinnvoll diesen Hash vorhersagen kann und nur mit irrewitzigen Unpraktikaten im Aufwand einen Hash finden kann, der sozusagen fast ganz gleich ist.

01:22:28: Aber nen Hash oder ganz ganz gleich, das dann wäre die Hash funktionell kaputt.

01:22:33: Aber den Hasch, der irgendwie die ersten drei und die letzten drei Zeichen identisch hat und in der Mitte auch ein bisschen ähnlich aussieht, den findet man sehr viel schneller.

01:22:43: Also wenn es wichtig ist, dass ihr solche Hashes vergleicht, vergleicht wirklich den ganzen Hasch und nicht nur irgendwie vornes ABC, hinten ist einster drei und in der Mitte steht irgendwo FBI, passt schon.

01:22:53: Weil das ist was, was man relativ leicht finden kann, wenn man eben so, das ist ja überraschend geschickt, muss ich sagen.

01:23:01: So vorgeht, dass man nicht einfach irgendeine andere Adresse sich baut, sondern halt eine mit einer relativ geringen Lebenssteindistance.

01:23:07: Wir hatten sowas Ähnliches auch schon in einer Folge, wo es um die lustigen Capture Tricks im Darknet geht, dass du da gezwungen wirst, die komplette Tor.

01:23:17: Also Onion URL eines Darknet-Forums oder sonstigen Seite zu vergleichen und zu überprüfen.

01:23:23: Denn die sieht ja von außen auch aus wie ein Hash mit ein paar Zeichen am Anfang, die kontrolliert werden können, also die man berechnen kann.

01:23:30: Aber hintenraus sieht das ja auch alles wuselig aus und da gibt es eben riesige Fishing-Probleme.

01:23:35: Auch da empfiehlt sich also die URL immer genau zu vergleichen mit der, die man in den Buchmarks hat oder in irgendeinem Linkverzeichnis.

01:23:42: Dieser dieser Kryptostile hatte noch ein paar andere Ideen und zum Beispiel wenn er eben so eine Wallet findet anhand dieser.

01:23:49: Window finde Funktion dann versucht er einfach die Funktion für den Task Transfaktionsmanagement auf seiner eigenen umzubiegen und dann programmatisch die Wallet Adressen zu ersetzen.

01:24:03: Das war einfach darauf ausgerichtet schnell.

01:24:07: Geld zu verdienen und wir können uns ein bisschen glücklich schätzen, dass der oder die Leute, die diese Welle losgetreten haben, offensichtlich aufs schnelle Geld aus waren, denn das hat, ansonsten relativ wenig Schaden angerichtet, der Gewinn.

01:24:23: Da gibt es ganz viele schwankende Aussagen, erst waren die fast ein bisschen hämischen oder vielleicht auch erleichterten Titelzahlen, der hat gerade mal fünfzig Cent oder ein Dollar verdient.

01:24:34: Inzwischen ist das, was ich gefunden habe, dass wir so um die Tausend Dollar liegen, die also dieser Angriff den unbekannten Verursachern eingebracht hat.

01:24:45: Und das ist nach... Also selbst bei sehr vorsichtiger Schätzung erheblich unter deren eigenen Kosten.

01:24:51: Und dann das war trotzdem ein aufwendig geplanter und umgesetzter Angriff.

01:24:55: Und auch wenn man mit Arbeitszeit in irgendeinem Land mit sehr, sehr geringen Personalkosten rechnet oder man unterstellt, dass die vielleicht irgendwo in einem südostasiatischen Land im Regierungs soll stehen und sowieso bezahlt werden, dann ist das trotzdem immer noch kein kosteneffektiver Angriff gewesen.

01:25:13: Beim NPM Ökosystem haben wir aber eine Besonderheit und deswegen wissen wir auch heute am achtzehnten September noch nicht so ganz genau wie viel die Angreifer eingenommen haben, da wird eben auch relativ viel gecached und da werden möglicherweise auch noch trojanisierte Versionen der Pakete gecached, sodass der, dass die das Ende eines einer solchen Welle gar nicht so ganz.

01:25:36: Trennscharf abzugrenzen ist.

01:25:37: das kann er so schon noch dazu führen dass noch immer irgendjemand mit diesen dieser mal wäre in seinen Produkten rumläuft weil der eben am neunten september als dieser dieser angriff gerade lief die teuerisierten pakete einmal.

01:25:52: Runter geladen hat damit ein projekt gebaut hat das die pläuter.

01:25:55: das läuft jetzt.

01:25:56: da läuft jetzt irgendwo ein notes auf irgendeinem nasse oder irgendeinem server und hat eben immer noch diese diese.

01:26:05: Und so wie ich das verstanden habe, anders als bei der ersten Welle, gibt es jetzt hier also keine gute Möglichkeit, das zu deaktivieren.

01:26:17: Da wurde einfach das Github-Repo dicht gemacht, dieses Singularity-Repo, aber bei so vielen Krypto-Wallet-Adressen kannst du ja nicht sagen, die machen wir jetzt alle dicht dafür.

01:26:27: Das ist ja ein dezentrales System.

01:26:30: Aber ich muss schon sagen, also das ist... Erstaunlich wenig Geld.

01:26:38: Ich hab da auch mittlerweile ein paar andere Podcasts zugehört, die sie sozusagen auch mit diesem Phänomen beschäftigt haben und die auch drüber gerätselt haben.

01:26:47: Also, weil wenn du wenn du Zugriff hast auf die Credentials von dem Entwickler, der, wie du gesagt hast, ein, also NPM-Pakete mit eine Milliarde wöchentlichen Downloads verwaltet.

01:26:58: Da könntest du immens, immensen Schaden anrichten.

01:27:03: Du könntest das sicher auch verticken für weit mehr als irgendwie tausend Dollar.

01:27:08: Du könntest damit auch einfach Dinge machen die sehr viel mehr Geld einbringen.

01:27:12: Und das ist natürlich alles Spekulation.

01:27:15: aber ich glaube man kann sagen.

01:27:17: Das ist nicht so gelaufen wie die sich das gedacht hatten entweder.

01:27:22: Oder.

01:27:24: Die hatten da irgendeine Gluckstreffer also die die.

01:27:28: Wir haben irgendwie auf diese Fishing-Mail, ist der reingefallen, obwohl das gar nicht im Plan lag oder so.

01:27:33: und dann haben sie auf die Schnelle gesagt, was machen wir denn jetzt?

01:27:37: Wir haben wahrscheinlich nur ein paar Stunden bis der Merk, dass er gefischt worden ist, schnell irgendwas.

01:27:42: Wir haben hier gerade irgendwie so einen komischen Javascript-Cryptos, die da rum liegen, den stopfen wir da jetzt rein.

01:27:48: Ja, ich glaube nicht, dass das ein Zufallstreffer war, denn also das Fishing... meine mich zu erinnern, das müsste ich noch mal nachschlagen und nachliefern, dass die Mail auch bei anderen angekommen ist, die aber nicht darauf reagiert haben.

01:28:01: Das war schon irgendwie Spearfishing für NPM-Entwickler.

01:28:05: Und die müssen ja die komplette Infrastruktur, das ganze Skripting, das muss ja alles schon in der Hinterhand gewesen sein.

01:28:11: und diese paar Hundert Wallet-Adressen, die musste ja auch alle erstmal haben.

01:28:19: Meine Vermutung wäre, Es ist einfach doof gelaufen für sie aus irgendeinem Grund.

01:28:25: Also vielleicht haben sie die Schnittmenge zwischen Akteur im NPM-Ökosystem und hat auf dem System, auf dem Node läuft, auch ein Kryptowollet überschätzt.

01:28:42: Du musst ja entweder, wenn das jetzt sagen wir mal, es ist ein Webserver, der in Node.js geschrieben ist, den du da organisiert hast, dann musst du auf der auf der Box, auf der dieser Webserver ist, mussten noch ein Wallet liegen oder musst über diesen Webserver dann wiederum treuernisiertes Javascript ausliefern, das dann deine Besucher infiziert.

01:28:58: Vielleicht haben sie einfach überschätzt, wie viele Traktionen Ethereum oder diese von ihnen angegriffenen Wallet-Typen in der Entwicklergemeinde haben.

01:29:13: Ich glaube nicht, dass sie so mal eben schnell improvisiert haben.

01:29:15: Danach fühlte sich für mich nicht an.

01:29:17: könnte mir einfach vorstellen, dass sie mal ausprobieren, dass sie einfach gesagt haben, wir testen jetzt mal, ob das was bringt und das ist ein, ja, ein Testballon war und sie im Grunde vielleicht waren es in diesem Fall, dass das Licht ja dann immer nahe dazu vermuten hat, hat aber noch keiner öffentlich geäußert, zumindest keiner, von dem ich das gelesen hätte, dass jetzt das wieder eine neue Masche von Nordkorea ist, die eben mit diesen Kryptoliefstahl ja doch sehr perfektioniert haben.

01:29:44: Aber Also ich hätte schon gesagt, dass das von Langehand geplant war und vielleicht hängen die beiden Angriffe auch zusammen.

01:29:50: Vielleicht hängen sie auch mit dem dritten Angriff zusammen.

01:29:54: Und zudem kommen wir jetzt und wir nehmen am achtzehnten September auf.

01:29:58: Da ist der ganze Angriff noch nicht ausgestanden.

01:30:02: Es sind also noch immer oder es sind bis gestern noch Pakete gefunden worden, die treuenisiert waren.

01:30:08: Und es kann also sein, dass sich bis zur Ausstrahlung die Nachrichtenlage nochmal deutlich verändert insbesondere was die attribution angeht und auch was den.

01:30:17: Patienten null angeht also den den einfalls-vektor denn der ist zu dem zumindest in dem was ich gesehen habe noch nicht hundert prozent klar ob das ein social engineering angreif war oder so phishing oder ob es sowas war wie der.

01:30:32: erst also

01:30:33: jetzt jetzt jetzt spoilerst du ja gerade aber also.

01:30:36: Dass es überhaupt ein Patient null gibt, heißt das hier irgendeine Art von Infektionen, die sich ausbreiten kann, vorliegt.

01:30:44: Ja, wir kommen da gleich.

01:30:48: Also, man hat gespoilert.

01:30:52: Also, die dritte Welle hat am vierzehnten September begonnen und vermutlich war das erste Paket, Malware enthielt ein Paket namens RX NT Authentication.

01:31:05: ich habe überhaupt keine Ahnung was das macht und das ist auch ehrlich gesagt egal.

01:31:10: Die Angreifer die das diese dritte Welle losgetreten haben haben die vergangenen zwei Wellen offenbar genau beobachtet.

01:31:17: Das lässt sich ja auch nicht verhindern, wenn man irgendeinerweise was mit IT zu tun hat und irgendeine News-Seite liest.

01:31:23: Ich habe es tatsächlich nicht gefunden in den einschlägigen Darknet-Form.

01:31:28: Oder es war alles zu kurillisch.

01:31:29: Da habe ich auf jeden Fall keine großen Diskussion über diese NPM-Geschichten gefunden.

01:31:32: Das fand ich ganz interessant.

01:31:34: Aber im Clear Web war das ja der Talk of the Town.

01:31:38: Auch die ganzen Sicherheitsfirmen hatten sehr, sehr schnell zu den ersten beiden Wellen eine Meinung.

01:31:43: Und natürlich auch alle ein Gegenmittel.

01:31:45: Und bei der dritten Welle ist es so ähnlich.

01:31:47: Es kann aber auch sein, dass die Angreifer für alle drei Wellen verantwortlich sind oder dass alles eine Gruppe ist oder dass sie für eine der beiden mit verantwortlich waren.

01:31:56: Dieses Mal ist es aber kein Kryptostieler, also wir hatten jetzt einen Infostieler, wir hatten einen Kryptostieler, der nicht so richtig funktionierte und jetzt haben wir einen Wurm, der ganz gut funktioniert.

01:32:11: Und da sind wir dann eben auch bei den Infektionen, denn der ist als Wurm hat ja nur mal das Charakterist, ich komm das da selbst.

01:32:16: ... replizierend ist.

01:32:19: Das ist aber eigentlich ein Virus, ne?

01:32:21: Ah, ich muss es noch mal nachdenken, wenn du eine ganze Folge drüber machst,

01:32:24: oder?

01:32:24: Nee, ein Virus haben wir noch nie in Folge gemacht, ne?

01:32:26: Ein Virus braucht irgendein Trägermedium.

01:32:29: Ein Virus verbreitet sich weiter, indem man einen Wörterteil infiziert oder keine Ahnung was.

01:32:33: Ein Wurm ist ja was, was sich autonom weiterverbreiten kann.

01:32:36: Oh ja, dann ist es tatsächlich so.

01:32:37: So war

01:32:37: das zumindest damals in den neunzigernen, als ich mich damit beschäftigt habe.

01:32:41: Zusehntausendmal.

01:32:43: Vorm Kartoffelkrieg.

01:32:45: Der Wurm macht ein paar ganz clevere Sachen.

01:32:49: Der guckt sich also die Umgebung an, genau wie in der vorherigen und vorherigen Welle, in der er läuft und sammelt Credentials ein.

01:32:56: Und die sammelt er jetzt nicht ein, indem er, was er nicht grepft, macht und dann guckt, was aussieht wie ein Schaf, fünf oder zwölf Hash oder wie ein SSH Key, sondern, der installiert einfach ein Programm nach.

01:33:06: Und das Programm heißt Truffelhawk, also Trüffel Schwein.

01:33:09: Und das ist ein Secret Scanner, ein Open Source Secret Scanner.

01:33:11: Ganz legitimes Programm, was du eben auch nutzen kannst beim Blue Teaming, oder wenn du irgendwie ein Security Assessment machst, oder wenn du deine eigenen Entwicklungsumgebungen überprüfen möchtest, das kann die Credentials für über achthundertsiebzig verschiedene Dienste finden, also AWS Credentials, Google Cloud, alle möglichen APIs.

01:33:31: Ich spoiler wieder.

01:33:33: Also Salesforce API Credentials oder sowas.

01:33:36: Und dieses Trufflehoc wird dann einfach von dem, worum nachinstalliert.

01:33:42: Der guckt dann zum Beispiel auch, wenn er merkt, oder er versucht rauszufinden, ob er auf einer Vm in der Cloud läuft, zum Beispiel bei AWS oder Google oder Hetzner oder so.

01:33:51: Da gibt es nämlich eine spezielle IP-Adresse, hundertneunzechzig, zweieinfünfzig, hundertneunzechzig, zweieinfünfzig.

01:33:56: Wenn du die per HTTP aufrufst, dann antwortet so ein Metadatenserver.

01:34:01: Das ist glaube ich auch standardisiert.

01:34:02: CloudInit bringt diese ganze Tooling mit.

01:34:05: Und dieser Metadaten-Server, der liefert dir dann z.B.

01:34:07: welche IP-Adressen deine VM hat und welche ID die hat und den SSH-Pupkey oder solche Sachen, was der Provider halt so über dich weiß und deiner VM nützlich sein könnte, wenn du bei einem automatischen Prozess z.B.

01:34:19: die SSH-Key-Datei neu bauen musst.

01:34:22: Das guckt ja sich auch alles an und das exfiltriert er dann auf einen Webbook.

01:34:29: auf der domain webhook.seit.

01:34:31: und hier gab es den einen Fehler, wo sich die Autoren dieser Malwehrkampagne selber einen Bein gestellt haben, denn dieser.

01:34:42: Dieser Webhook ist die kostenlose Version des Produkts und dies rate limited bzw.

01:34:47: hat ein absolutes Limit von Request, die da eingehen dürfen.

01:34:50: Und wenn du halt so ein Ökosystem mit mehreren Milliarden Downloads in der Woche infizierst und du hast da ein Webhook, wo du Daten hin exfiltrierst, wo du aber nur zehntausend Request einkippen kannst, ist halt relativ schnell Schluss.

01:35:01: Deswegen laufen oder liefen da viele von diesen exfiltration Request ins Leere.

01:35:06: Also die hätte man jetzt doch noch in die Hand nehmen können bei so einer Angriffskampagne.

01:35:11: Das ist

01:35:11: wieder

01:35:11: so, wo man denkt, also Wahnsinn, was sie hingekriegt haben, Wahnsinn, wie groß der Potenzielle oder der Schaden ist.

01:35:21: Und dann, was ist das denn für ein komischer Fehler?

01:35:24: Also, wie du sagst, die paar Dollar, die hätte man ja nicht in die Hand nehmen können, die hätten ja auch vorher klar sein können, dass man die in die Hand nehmen muss.

01:35:35: möglicherweise hat webhook punkt zeit auch diesen speziellen webhook abgeschaltet, als sie gemerkt haben, dass der anderes treffi kreien kommt oder so, auf jeden fall ist es rate limited und er macht aber noch ein paar andere sachen.

01:35:46: also der legt so github workflows an und repositories unterhalb dem das github accounts des nutzers vorausgesetzt er hat vorher irgendwo die credentials die github credentials abgegriffen weil die irgendwo rum lagen und diese workflows und repositories hat gebt.

01:36:01: den gibt ja einen interessanten namen.

01:36:03: dieser namen ist ich bin schlecht in arabisch das heißt aber irgendwie sowas wie große gottgleiches wesen oder sowas in der art und ist aber nicht bekannt weil es eine bekannte arabische floskel ist sondern weil das die bezeichnung der oh wie heißen sie denn die ureinwohn die die einwohner vom wüstenplaneten dass die die fremen genau der fremen für die sandwürmer ist in dune also in diesen science fiction büchern von frank herbert die ja auch sehr erfolgreich verfümmt wurden erst wieder in den letzten jahren und es gab auch in den achtzigern eine verfümmung von jack will nöft glaube ich sogar

01:36:43: ja auch also wenn man sowas mag sehr empfehlenswert.

01:36:47: ich finde dies sehr ambisant.

01:36:48: jedes haben wir nicht sich ok die alte

01:36:51: stingen wenn ich mich richtig erinnere als böse nicht.

01:36:55: die sind also namensgebend, was natürlich schon auch so ein bisschen von einem gesunden Selbstbewusstsein zeugt.

01:37:00: Das ist also nicht irgendein kleiner Regenwurm, sondern das sind im Grunde die größten Firma, die die Popkultur kennt.

01:37:06: Und das ist auch ein relativ großer Wurm, denn die haben insgesamt fast zweihundert verschiedene Pakete mit insgesamt vierhundert sieben und siebzig.

01:37:16: Paket versionen infiziert.

01:37:18: also teilweise wurde von diesem wormen nicht nur eine versionen die latest oder so befallen sondern der hat dann eine neue paketiert und hochgeladen und aber auch neue versionen von alten.

01:37:30: Diese paketen hochgeladen sodass insgesamt also vierhundert sieben und sieben versionen betroffen sind.

01:37:34: warum ist das wichtig.

01:37:36: Das kann zum beispiel wichtig werden wenn du in deinem projekt.

01:37:40: auf eine ganz bestimmte Version von diesen Chalk-Konsolen-Schriftbund macht, Dinge zurückgreifst, dann kannst du die pinnen.

01:37:46: Dann kannst du sagen, ich will aber Chalk-Version, eins Punkt drei, Punkt vier und nicht die jeweils neueste.

01:37:51: Wenn da so jemand jetzt auch die zwei oder drei letzten Versionen eines Pakets mit Schadcode versehen kann, kann er damit dann die Verbreitung deutlich erhöhen, weil er eben nicht nur die, die auf Latest and Greatest setzen, sondern auch die, die auf die vorhergehende Version gesetzt haben, damit nachträglich noch insizieren kann, wenn die ein neues Deployer rausgeht.

01:38:12: Insgesamt waren es vierhundert siebenund siebzig.

01:38:15: Tendenziell aber welche mit eher weniger Downloads.

01:38:18: Also es waren jetzt nicht so diese Milliardenbrecher dabei, aber dafür eben sehr viel mehr als in der letzten Welle.

01:38:24: Und das tragen natürlich jetzt einige Outlets so ein bisschen vor sich her und auch so einige Kommentatoren auf Social Media.

01:38:31: Es sind auch zwanzig Pakete von CrowdStrike betroffen.

01:38:35: Ich habe eine Meldung dazu geschrieben.

01:38:37: am siebzehnten, ne am sechzehnten glaube ich und hatte das da auch reingeschrieben als als Nebensatz und dann kamen unauf gefordert eine Stellungnahme von cross-strike vielen dank dafür, die sehr hervorhob, dass das nicht den crowdstrike agent also den falken agent betrifft und dass auch keine kundensysteme infizieren sein, sondern dass es rein um irgendwelche entwicklungssysteme ginge und dass diese infektion natürlich contain sei und man würde mit.

01:39:03: GitHub und NPM und allen Beteiligten zusammenarbeiten, um das Thema zu beseitigen.

01:39:08: Der Falcon Agent ist uns allen noch in guter Erinnerung seit dem neunzehnten Juli letzten Jahres.

01:39:13: Deswegen ist CrowdStrike da vielleicht auch ein kleines bisschen dünnhäutig, wenn sie im Zusammenhang mit so IT-Großausfällen genannt werden.

01:39:20: Könnte mir vorstellen, dass das immer noch ein bisschen too soon ist für Sie.

01:39:24: Ja, aber... selber schuld mein mitleid hätte ich in grenzen vor allem bei sie also de facto halt auch pakete von ihnen infiziert worden sind.

01:39:32: also da sind sie sicher jetzt nicht irgendwie schlimmer als andere oder so.

01:39:35: aber ob man jetzt unbedingt irgendwie als security vendor ganz viel mit javascript und noten machen muss würde ich auch in zweifel ziehen.

01:39:47: ich warte noch darauf dass hier fortin jetzt sagt dass ihre security plans infiziert waren.

01:39:53: Aber bei, da wahrscheinlich die Applien selber, weil die lädt dynamisch irgendwie Blödsinn von NPM, JS und Ordner oder so.

01:39:59: Ja,

01:39:59: wobei, ich glaube, das ist alles noch kein Javascript, das ist alles noch xlcnt oder so, was da drauf läuft.

01:40:06: Die haben ein Riesenproblem mit Chrome, ne, die setzen garantiert auf Chrome von Jahrzehnten, deswegen passt das schon.

01:40:14: Ja, also das war jetzt... nicht speziell gegen diesen Wendor gerichtet, sondern gegen das Ökosystem.

01:40:21: Doch schon.

01:40:22: Also von mir aus wird es

01:40:23: schon... Ja, also ich glaube nicht, dass sie da... Also die haben da sicher Mitspieler, die ähnlich schlimm unterwegs sind.

01:40:29: Also ich meine in irgendeinem Weise, wo ich tatsächlich... Da bin ich aber nicht sicher, ob das Fortin etwa oder ein anderer Note auf Security Blinds ist gesehen zu haben.

01:40:37: Ja, das glaube ich gerne.

01:40:38: Also wie gesagt, ich glaube nur nicht, dass das irgendwie nur ein schlimmer Finger ist oder so.

01:40:43: Gut, diese Malware hat eben so eine Wurmfunktion und die kann, wenn sie die NPM Credentials von einem Entwickler kriegt, eben auch alle möglichen anderen Pakete dieses Entwicklers infizieren und neue Paketieren und neue NPM Pakete dann auf NPM hochladen und darauf hoffen, dass dann wiederum die runtergeladen werden, wenn irgendein anderes Projekt ausgerollt wird und dann auf irgendeiner Entwickler Workstation landen und dann klaut das Ding da die Credentials und so weiter und so fort.

01:41:10: Ich schätze mal die Software.

01:41:11: Truffle Hawk hat eine erhebliche Verbreitung hinzugewonnen in den letzten drei, vier Tagen.

01:41:16: Vielleicht so ein bisschen der stille Nutztießer von dieser ganzen Ballets.

01:41:20: Aber dieser Ausbruch war schon recht spannend anzuschauen.

01:41:26: Und ein weiterer Trick, den das dieser Wurm auch macht, also Schei Hulut, macht auch alle privaten Repositories auf GitHub der Opfer öffentlich, wenn es Secret Angels hat.

01:41:37: Das heißt, Du hast dann also nicht nur deine normalen öffentlichen Open Source oder was auch immer Projekte, die du als, ich nehme jetzt mal wieder die Namen, weil wir gerade schon hatten, als Beispiel als CrowdStrike auf Gita veröffentlicht hast, sondern auch all deine internen Repositories mit den möglicherweise darin enthaltenen Credentials für interne Infrastrukturen, für Softwareentwicklungsumgebungen, für Testumgebungen und sowas sind öffentlich gemacht worden und die hat der Wurm dann eben auch ja quasi gedoxed, wenn man das so nennen möchte.

01:42:05: So, das... zur Verbreitung und das zum aktuellen Stand der News.

01:42:13: Das ist so der Stand, auf dem wir gerade sind.

01:42:16: Ein paar Fragen sind immer noch offen und die nach meinem Kenntnisstand auch noch nicht hinreichend geklärt sind.

01:42:25: Vor allem die immer wieder schwierige Attributionen.

01:42:28: Wer war es und was führten diejenigen derjenigen oder diejenigen im Schilde?

01:42:34: Ich habe da noch keinen gelesen, der gesagt hat, das muss China gewesen sein, oder das war Nordkorea, oder der Iran, oder die PHP-Entwickler-Community, die was gegen Not hat.

01:42:46: Sondern das war, da ist also noch keine Attribution draußen.

01:42:51: Es könnte auch der Trämmel gewesen sein, der findet nur auch Durf.

01:42:55: Ja, aber dann hätte ich mich zu sehr damit beschäftigen müssen, um so einen Wurm zu schreiben.

01:43:03: Meine Hoffnung ist, dass zumindest beim zweiten Angriff die ganzen Blockchain-Analysefirmen ein paar Infos noch liefern können, denn die könnten sich die ganzen Wallet-Adressen angucken, also was wie Channelis ist.

01:43:15: und vielleicht Querverbindungen zu anderen Angriffen herstellen, um da darüber zu kommen.

01:43:21: Es gibt Vermutungen, dass der Urheber oder die Urheber des ersten und des dritten Angriffs zusammenhängen.

01:43:26: Ich habe aber auch gelesen, dass die Urheber des zweiten und dritten Angriffs zusammenhängen können.

01:43:30: Das ist alles noch relativ unklar und es gibt da zumindest nach meinem Kenntenstand heute keine gesicherten Informationen, sondern nur eine Menge Fragezeichen und es ist natürlich auch unklar.

01:43:43: was möglicherweise morgen oder nächste Woche kommt.

01:43:45: Also ihr Hörer, die ihr das jetzt hört, seid möglicherweise schon sehr viel schlauer als der Christopher und der Sylvester von Mitte September und wisst schon, was da noch alles gekommen ist in der Woche drauf.

01:43:56: Ich bin gespannt, ob jetzt nochmal in der nächsten Woche so ein Angriff kommt, ob diese Frequenz auch weiter hochgehalten wird und frage mich natürlich ein bisschen, was kann man denn jetzt dagegen tun?

01:44:07: Da gibt's ein paar einfache Antworten und paar nicht ganz so einfache würde ich sagen, die etwas einfacheren Antworten sind.

01:44:16: Wenn ihr Admin oder Entwickler seid, die viel mit Not arbeiten, dann guckt in eure Dependency Trees, also guckt euch eure Abhängigkeiten an, ob da die Liste, die Pakete drin waren, die aus der troyanisierten Liste sind.

01:44:29: Oder der Liste der troyanisierten Pakete.

01:44:31: Ich packe die.

01:44:32: Die vollständige Liste in die Shownauts das ist zumindest die vollständigste die ich gefunden habe und die könnt ihr mal durchgehen.

01:44:40: es gibt auch schon verschiedene Scanner die euch diese Arbeit ein bisschen abnehmen.

01:44:45: ich möchte dabei explizit keinen empfehlen weil ich die alle erstes nicht getestet habe und zweitens bei so Werkzeugen die sehr schnell nach so einem groß Ereignis auf den auf GitHub landen immer ein gesundes Misstrauen habe das die nicht möglicherweise selber noch ein bisschen.

01:44:59: Zusatzfunktionalität bringen die doch nicht ein bisschen abträglich sein könnte.

01:45:05: Du meinst der der Schai Hulut Scanner ist vielleicht nicht ein Scanner der Schai Hulut findet, sondern ein Scanner der Schai Hulut mitbringt.

01:45:12: Vom Schai Hulut Team für Schai Hulut Betroffene mit Schai Hulut Sander Funktionen, genau.

01:45:23: Eine Möglichkeit ist auch, dass ihr euch an bei euren Tools, also bei euren Paketen, die ihr verwendet, an eine Version pinned, die als nicht trojanisiert bekannt ist und das auch erstmal so last bis der Sturm so ein bisschen vorüber ist.

01:45:41: Eine Möglichkeit also auf NPM-Seite oder auf Seite des Ökosystems das ganze nachhaltig zu beseitigen.

01:45:50: dürfte schwierig werden.

01:45:52: Also das einzige ist, wir müssen alle Entwickler vergattern vernünftige Fishing resistente zwei Faktor Authentifizierung zu verwenden, für all ihre Konten, also das NPM und Github und welche sonst noch.

01:46:07: Ansonsten fällt mir da jetzt aber nicht so viel ein, was das Ökosystem tun kann.

01:46:13: Ja, ich... Ich weiß halt nicht, ob das irgendwie, also ja, natürlich wäre es schön, wenn die alle Zeit Faktoren Zertifizierung hernehmen, aber ich glaube, das ist nicht das Grundproblem.

01:46:24: Also du wirst nie an den Punkt kommen, dass nicht irgendwo ein Account hopsgenommen werden kann.

01:46:31: Ich glaube, das Grundproblem ist, dass ich da irgendwie, also das Pakete gibt, die... so wahnsinnig verbreitet sind, mit so einer wahnsinnigen Frequenz gedaundet werden und wo niemand scheinbar, also wo die große, niemand ist falsch, die kommen gleich dazu, aber wo die große Menge der Nutzer sozusagen überhaupt nicht guckt, was sie sich da eigentlich jedes mal mitziehen und das ermöglicht ja solche Angriffe und solche Verbreitungswellen.

01:47:05: und Ich sehe schon ein ganz zentrales Problem von NPM und auch anderen solchen Repositories, aber NPM ist halt das Größte und auch das von dieser Art von Attacke am Betroffensten, weil halt am Lohnenswert testen, dass sich niemand so richtig dafür zuständig fühlt, sozusagen dieses Repositories sauber zu halten.

01:47:33: Im Unterschied zu klassischen Software Repositories, wo es einen Package-Maintainer gibt, der ist ein Job, nichts anderes ist als dieses Paket zu verwalten und dafür einzustehen, dass es ordentlich baut.

01:47:45: und fünf, die funktioniert und nicht loyalisiert ist und die im Regelfall nicht der Entwickler ist.

01:47:53: Werden bei NPM ja die Pakete im Regelfall von Entwicklern reingestellt, die ein Interesse daran haben, dass möglichst viele Leute ihr Zeug hernehmen, das macht sich dann gut auf dem CV oder es ist einfach auch schön, also das kann ich auch nachvollziehen, es wäre ehrlich schön sozusagen ein Paket zu haben, wo irgendwie alle möglichen Leute weltweit das hernehmen.

01:48:11: Wo man aber kein großes Interesse daran hat, da jetzt irgendwie die Sicherheit ganz hoch zu halten.

01:48:17: Ich gucke deswegen auch... Ich habe hier intern mit Kollegen häufiger, ich konnte diverse Diskussionen über so, jetzt stehe ich gerade voll auf dem Schlauch, nicht Snaps, sondern wie heißt der Paketierungsmedia, Flatpak.

01:48:34: Über so Sachen wie Flatpak oder so, weil es mir da halt in eine ähnliche Richtung zu gehen scheint.

01:48:37: Yay, die Entwickler können direkt ihr Zeug hochladen und der kümmert sich darum, dass nicht irgendjemand irgendeinen Schmaden hoch lädt.

01:48:45: Ja, gucken wir mal.

01:48:48: Ich sehe da ein ganz grundsätzliches soziales Organisationsproblem.

01:48:52: Und irgendwie zu sagen, ihr müsst jetzt alle zwei Faktor-Autentifizierung machen, geht dieses Kernproblem nicht an.

01:49:00: Das ist jetzt auch nicht so.

01:49:01: Also die aktuelle Welle ist interessant, weil drei Angriffe in so kurzer Folge kommen.

01:49:07: Aber es ist halt echt nicht das erste Mal.

01:49:09: Also die Wikipedia hat eine Liste von Unterwanderten oder böswillig abgeschalteten oder sonst irgendwie kompromittierten Paketen auf NPM, die Also in all diesen Fällen, die die Wikipedia da, eben auch ist es dann immer ein Riesenratenschwanz an Schaden nach sich gezogen haben, eben weil dieses Ökosystem so eng verzahnt ist, weil es üblich ist, jeden Blödsinn einfach reinzuziehen bei jedem Bau neu und sie nicht irgendwie ordentlich drum zu kümmern.

01:49:34: Und ich sehe das sehr kritisch und ich sehe nicht so richtig, dass das Problem angegangen wird.

01:49:43: Also die Reaktion ist dann nur, ja... Wie du sagst, irgendwie auch in zwei Faktoren bei den Entwicklern oder so.

01:49:50: So kriegst es ja nicht dicht und das Problem ist ja nicht sozusagen, dass du das nicht ganz dicht hast.

01:49:57: Das Problem ist, dass sich sowas so lawinenmäßig ausbreitet in diesem System.

01:50:04: Ein schönes Beispiel für die... Mangelnde Gesundheit dieses ganzen Ökosystems ist einer der größeren Vorfälle der Wikipedia in der Listing ganz oben steht.

01:50:13: Ich erinnere mich da auch noch dunkel dran.

01:50:14: Diese Left Pad Geschichte.

01:50:16: Da hat einer ein Zehntseiler geschrieben, der macht, das ist eine Funktion, die einfach eine Zeichenkette oder ein Datei oder wo auch immer links Leerzeichen anfügt.

01:50:26: Das ist ein Zehntseiler.

01:50:28: Und das hat ja als NPM-Paket veröffentlicht.

01:50:30: und dann haben alle anderen gesagt, ja cool, da muss ich mir diese Zehntseilenarbeit ja nicht mehr machen.

01:50:35: zu meiner zeit jetzt bin ich auch mal auch mal ober erzählt vom kriegt.

01:50:38: da hat man.

01:50:39: Irgendwie so eine funktion zerteil gehabt oder hat sich das irgendwo in so eine methode reinkopiert copy paste von irgendeinem anderen.

01:50:44: Projekt dass man mal hatte und hatte das darin diese zehn zahlen machen den kohlen nicht fett.

01:50:48: stattdessen haben tausende projekte dieses paket referenziert weil sie dann neun zahlen eingespart haben, sondern und wobei neun sind gar nicht.

01:50:56: ich glaube du musst dann noch mindestens drei zahlen in deiner paket hier der paket jason haben was sie mit wie heißt.

01:51:03: Wandel Jason oder so, wo das Paket und die Version drin stehen.

01:51:06: und noch eine Lehrzeile hast also netto vielleicht sieben Zeilen gespart oder sowas.

01:51:11: und der hat dann gesagt so jetzt habe ich keinen Bock mehr.

01:51:14: Und hat das dann abgeschaltet oder der Endloschleife reingepaute oder sowas oder viel.

01:51:19: plötzlich ist halb Internet.

01:51:21: Auf die Nase das sind so Sachen das das ganz ganz schwierig und das ist unkontrolliert gewachsen und ich habe.

01:51:33: Anlässlich dieser heutigen Recherche oder in den letzten Tagen der Recherchen, auch für meine Meldung, ein bisschen versucht mal rauszufinden, wer ist denn jetzt hier eigentlich da, da federführend?

01:51:43: Wer beim NPM-Team macht denn jetzt hier die Triage und wer macht die Security Response und, ähm, schwierig?

01:51:51: Also NPM gehörte mal zu NPM Incorporated, NPM Incorporated wurde von GitHub gekauft, GitHub wurde gekauft von Microsoft.

01:52:00: Wir haben Microsoft erwähnt, wie versprochen geliefert.

01:52:04: Jetzt hatte ich das dann so weit aufgerollt, bin dann zu dem Pressesprecher von Microsoft Deutschland gegangen und gesagt, können Sie mir sagen, wer dieses NPM betreibt?

01:52:12: Dann sagt er, na ja, da müssen wir mal bei NPM oder bei GitHub fragen.

01:52:15: Also habe ich das wieder zurückgedreht, das Ganze hat bei GitHub gefragt und die sagten mir, Ja, we have teams dedicated to detecting, analysing and removing content and accounts that violate our policies.

01:52:27: Und was sie noch so alles machen, und we encourage community members und so weiter.

01:52:31: Aber sie schreiben nicht, we have dedicated teams, sondern sie haben Teams, die das machen, nicht aber Teams, die nur das machen.

01:52:37: So lese ich zumindest diese Mitteilung, die außerdem auch nicht eine meiner Fragen beantwortet hat, sondern einfach nur so ein boilerplate Statement ist.

01:52:44: So wie ich das verstehe, betreibt GitHub die NPM-Plattform.

01:52:48: Also Engineers bei GitHub und Security Leute bei GitHub, das Security-Team von GitHub ist mitverantwortlich für NPM und baut das so mit.

01:52:58: Ich habe von Leuten, die da so in dem Ökosystem und in der Community relativ aktiv sind und üblicherweise ganz okay informiert sind gehört, dass das mehr so ein Ding ist, wie die machen das halt Heile, was bei NPM kaputt geht, weil sie selber viel Node verwenden und auf NPM in ihrer täglichen Arbeit angewiesen sind.

01:53:17: Aber ob es jetzt wirklich, und wenn ja, wie viele Engineers gibt, die sich um das NPM-Ökosystem und den Betrieb des Ganzen und die Weiterentwicklung, die Sicherheit und um die Qualität des Ökosystems kümmern, das ist mir vollkommen transparent.

01:53:31: Aber dafür bin ich vielleicht auch zu wenig in diesem Arbeitskriptuniversum unterwegs.

01:53:37: Ich glaube, es gibt eben zwei Probleme.

01:53:39: Das eine ist so ein Repo, wo niemand explizit den Hut aufhat, um zu sagen, ich sorge dafür, dass diese Pakete hier sauber sind.

01:53:49: Das ist mein Job.

01:53:50: Mein Job ist nicht, diese Pakete zu entwickeln.

01:53:51: Mein Job ist, diese Software zu entwickeln.

01:53:53: Mein Job ist, diese Pakete irgendwie ordentlich sauber zu halten.

01:53:57: Der scheint mir zu fehlen.

01:54:00: Also, gar nicht, weil die Entwickler irgendwie dafür zu dumm sind oder so, deren Motivationslage ist einfach eine andere als die von den Package-Menten.

01:54:08: Und das andere ist, dass es speziell im Java-Skriptumfeld, aber wahrscheinlich auch in anderen eben, dass was du gerade erwähnt hast mit diesem Left Pad, so eine Tendenz gibt.

01:54:24: Also das scheint mir eine Überreakt, es gab früher mal so dieses, diese Maßgabe, Don't Read, also man soll das Rad nicht neu erfinden.

01:54:31: Viel zu viele Programmierer haben Eigen, also... Lösungen für Probleme geschaffen, die sie nicht hätten schaffen müssen, weil es gibt eine gute Library oder es gab sogar Lösungen in der Standard Library.

01:54:45: und das, was sie geschaffen haben, war dann irgendwie eine schlechtere Version von dem, was sie einfach hätten nehmen können.

01:54:50: und dass diese Maßgabe daraus erwachsen.

01:54:55: Man soll halt Sachen nicht neu erfinden, die es schon gibt.

01:55:01: mir scheint es da eine große überreaktion gegeben zu haben hin zu sowas also sogar irgendwie zehn dumme zeilen die halt irgendwie eine zeichenkette vervollständigen.

01:55:12: ne ne ne ne das kann ich auf keinen fall selber irgendwie in mein projekt reinschreiben.

01:55:15: das gibt es ja schon.

01:55:16: ich erferiziert es und sozusagen das pendels schwingt halt in die andere richtung.

01:55:20: und jetzt stehst du da also nicht nur bei dem ökosystem wo halt irgendwie meine man nach die verantwortlichkeiten nicht ideal geklärt sind sondern halt auch bei dem ökosystem wo es wie den trivialsten Kram eigene Pakete gibt, die, weil sie eben so trivial Sachen machen, an Tausend und drei Stellen eingebunden werden, wenn man das halt andauern braucht.

01:55:41: Und wenn sie unterwandert werden, sich wie ihre Verbreiten, also diese Unterwandung sich wie ihre verbreitet.

01:55:51: Man könnte da glaube ich schon darauf reagieren, man könnte z.B.

01:55:54: so was wie LeftPet oder so, wenn es nicht eh schon in der StandardLibrary ist, halt in die StandardLibrary tun und dann irgendwie dieses Paket rausschmeißen und sagen Leute, es ist in der StandardLibrary, nehmt das her.

01:56:04: Also viel von diesem Trivialkram halt irgendwie ordentlich in eine, in die StandardLibrary, dafür gibt es ja eine StandardLibrary, reintun, Fall erledigt und man dünnt diese, also man müsste glaube ich diese Abhängigkeitsbäume erheblich ausdünnen.

01:56:18: Und man müsste irgendwie angehen, dass die Leute sich mehr dafür verantwortlich fühlen, dass ihre Pakete nicht unterwandert werden oder jemand anders diese Verantwortung übernimmt.

01:56:29: Beides ist halt jetzt nichts irgendwie, was das Wachstum von Node befördert oder so.

01:56:34: Also zu sagen, wir haben die fetteste größte Packet Repository mit irrsinnig vielen Downloads.

01:56:41: Wir sind das Web-Ökosystem Tetei.

01:56:45: Das klingt natürlich cool.

01:56:47: und dass viele von diesen Paketen trivialer Schmahen sind, also die man loswerden sollte, ist ja da eher abträglich dieser PR-Erzählung.

01:56:56: Also ich sehe halt nicht so richtig, dass die verantwortlichen Interesse daran haben, das irgendwie ein bisschen einzutämmen und das möglicherweise entsteht diese Interesse, wenn es jetzt mehr von diesen Wellen gibt, von denen ich ehrlich gesagt überrascht bin, also wie gesagt, es gab schon immer wieder diese Vorfälle.

01:57:13: Wenn sich jetzt hier die Schlagzahl dauerhaft erhöhen würde, würde mich das auch nicht überraschen.

01:57:18: Ja, also ich habe gerade im Hintergrund auch noch mal nachgeschaut, wie ist denn mit der Reaktion seitens des NPM-Teams mutmaßig, nämlich mal an das Github-Supports auf diese zweite Welle ausgesehen hat, also von diesem Entwickler Quicks, weil der nämlich auf Github eine relativ detaillierte Timeline auch so ein bisschen um die Leute auf dem Laufenden zu veröffentlichen hat.

01:57:41: und Da hat es also mehr als zwei Stunden gedauert, oder ungefähr mehr als zwei Stunden gedauert zwischen siebzehn und fünfunddreißig.

01:57:53: Das ist seine erste Meldung.

01:57:54: Da wusste er schon, dass er geohnt wurde.

01:57:56: Da hat jemand per Blue Sky geschrieben.

01:57:59: Da hat er den Support angeschrieben, weil er ja auch aus seinem eigenen NPM Account ausgesperrt worden war.

01:58:06: Und neunzehn Uhr siebzehn hat sich NPM gemeldet, dass sie schon daran arbeiten, die Pakete zu, zu entfernen.

01:58:15: Und er hat auch parallel mit dem Domain Registrar von dieser NPM.js.help konferiert, um also diese Fishing-Seite auch aus dem, aus dem Netz zu kriegen.

01:58:24: Es fühlt sich aber an in seinem, seinen Schilderung, dass er mit der Reaktion seitens gibt, hab oder NPM nicht zufrieden war.

01:58:33: Natürlich war er unter einer extremen Stresssituation, aber es hieß dann auch so was wie, minimaler Kontakt und immer noch kein Update und so.

01:58:42: also erfüllte sich dann wie auf heißen Kohlen vom support von npm geht hab wohl schon ein bisschen im stich gelassen aber ist natürlich auch eine hochemotionale.

01:58:51: Situationen in der man dann möglicherweise auch nicht ganz fair mit solchen support leuten umgeht.

01:58:58: Um diesen Aspekt vielleicht hier habe ich vergessen um den mal ein bisschen loben zu erwähnen.

01:59:03: Ich bin schon beeindruckt davon, wie schnell diese Sachen jeweils gefunden wurden.

01:59:06: Also, dass wir hier von Stunden reden, wo Gegenreaktionen anlaufen, das ist schon ganz cool.

01:59:12: Aber es scheint mir halt eine Symptombekämpfung zu sein.

01:59:16: Das ist irgendwie so wie zu sagen, ich hab ja einen Antivirus, der irgendwie die Merve erkennt und drauf haut, deswegen muss ich meinen Betriebssystem gern nicht härten.

01:59:25: Und, nee, also idealerweise ist mein Betriebssystem so gehärtet, dass der Antivirus nicht viel zu tun hat.

01:59:33: Andersrum.

01:59:36: Naja, also das ist auf jeden Fall ein Blick in ein sehr geschäftiges Ökosystem, wo viel natürlich automatisch passiert und viele Dinge passieren, die mir ein bisschen unbegreiflich sind.

01:59:49: Sponentiere Mengen, aber auch von den Komplexitäten und Abhängigkeiten her.

01:59:53: Und ich schreibe meine Zehntseiler-Helferfunktion nach wie vor lieber selber.

01:59:59: Da bin ich ganz altmodisch, bin ich wahrscheinlich einfach so eine Art Programmier-Boomer.

02:00:04: So,

02:00:05: jetzt sind wir exakt in der

02:00:06: Sendung.

02:00:06: Ihr habt bis alle gehört, Christopher repliziert sinnlos Code.

02:00:10: Schande über ihn.

02:00:12: Genau, das tut mir leid.

02:00:15: Aber Entwicklung mache ich nächstes Jahr sowieso alles noch mit KI und die kann das bestimmt viel besser.

02:00:22: Wir sind damit erst mal am Ende in jeder Hinsicht.

02:00:29: Schickt uns gerne euer Feedback an Passwort-Podcast.de und nicht nur Boomer programmiert Bashing, bitte.

02:00:38: Wir möchten auch nicht die PHP Node.js-Kriege hier ausrufen.

02:00:43: Das ist alles nur als Witz gemeint, bitte geht nicht los und trojanisiert anderer Leute Pakete.

02:00:50: Bis zum nächsten Mal und denkt dran.

02:00:54: Dieser Podcast ist das einzige Passwort, das ihr teilen solltet.

02:00:57: Ciao, ciao.