News zu Oracle-Exploit, Post-Quanten-Krypto und Chatkontrolle

00:00:00: Passwort,

00:00:03: der Heise Security Podcast.

00:00:09: Hallo, liebe Hörerinnen und Hörer.

00:00:10: Willkommen zu einer neuen Folge von Passwort, dem Podcast von Heise Security.

00:00:15: Ich bin Silvester Tremmel vom Computermagazin CT.

00:00:18: Und mein Name ist Christopher Kunz von Heise Security.

00:00:22: Heute machen wir nach der extra langen xxl folge mit freck frecks skyper mal wieder eine folge zu zweit und wir haben ein paar news zusammengetragen und aktuelle themen über die wir mit euch sprechen wollen.

00:00:37: und weil ich heute einen harten anschlag habe wie man so schön sagt im business deutsch versuchen wir auch tatsächlich mal unter zwei stunden zu bleiben.

00:00:45: wir hoffen dass es klappt.

00:00:47: Wir legen dann gleich los, und zwar mit ein bisschen Feedback und Updates.

00:00:53: Da ist einiges gekommen zu den vergangenen Folgen.

00:00:57: Und ich fange mal an mit Carsten.

00:01:00: Ihr erinnert euch vielleicht dunkel an die Frackfolge, da in diesen Datensätzen eine Date, also die der Angreifer auf seinem Rechner hatte, auch eine Datenbank, wo auch noch MD-IV Passport-Hashes, wahrscheinlich Passport-Hashes drin waren.

00:01:15: Und da habe ich mich so ein bisschen beömmelt, weil MD-IV ja nun wirklich alles andere als der State of the Art ist.

00:01:22: Und Carsten schreibt dazu, dass es immer noch in Infrastruktur, durchaus auch kritischer Infrastruktur, mit Sachen, wenn die aus dem Gleis laufen, buchstäblich, wo viel schief gehen kann, nämlich bei der Deutschen Bahn ein System aufgesetzt wird, das auf MD-IV setzt und das ein System ersetzt, das ISDN benutzt.

00:01:43: müssen wir jetzt den schon erklären.

00:01:45: Ich denke, die Hälfte der Hörerschaft kennt das schon nicht mehr.

00:01:47: Integrated Services Digital Network.

00:01:49: Das war das digitale Telefonnetz, bevor wir alle angefangen haben, wieder alles mit über IP zu machen.

00:01:58: Da hat er so B-Kanal und D-Kanal war eigentlich technisch ganz witzig, weil ich war sehr froh, als wir zu Hause ISDN hatten.

00:02:04: Aber da gibt es nicht mehr so viel Hardware.

00:02:06: für AVM, war früher ein großer Hersteller von ISDN-Karten, dann gab es noch die Teeles aus Berlin, die hat auch ISDN-Karten für den PC hergestellt.

00:02:14: Die Zeiten sind lange vorbei und ich... Skippe mal so ein ganz kleines bisschen den Bahnsackkast, wo es da stehen so Sachen in dem Feedback wie selbst für Bahnverhältnisse ist das nagelneu.

00:02:28: Na ja, jetzt möchte man auf jeden Fall was sehr frisches Zukunftssicheres einführen mit Verschlüsselung und Hashing und so.

00:02:33: Und das war sicherlich auch absolut State of the Art, als der Zudassungsprozess und der Produktzyklus vor ein paar Jahrzehnten bei der Bahn begonnen hat für dieses Produkt.

00:02:44: Oh, jetzt ist es doch schon wieder sackkastisch.

00:02:47: Und zum Glück, da begrüßt uns unser Hörer, sind Relais-Stellwerke und mechanische Stellwerke, wo noch jemand losrennt und die Weiche mit so einem großen Schalter umlegen muss, von Problemen mit ISDN und der ROT-III-Kompatibler und auf ROT-III- agierenden Niveau, agierenden Verschlüsselung nicht betroffen.

00:03:10: Und diese Stellwerke sind wohl tatsächlich bei der Deutschen Bahn immer noch die... zahlenmäßig größte Anzahl, also mechanische und mit Relais betriebene Stellwerk.

00:03:20: Lass ich jetzt mal so stehen.

00:03:23: Stehen lassen wir auch in der Regel so Züge bei der Deutschen Bahn.

00:03:27: Ich war letzte Woche auf der IZA und ich habe es geschafft auf zwei längeren Fahrten gleich wieder zwei Fahrgastrechteanträge zu sammeln unter anderem, weil der Zug einfach in Hannover nicht losgefahren ist.

00:03:37: Er hatte plötzlich Probleme mit irgendeinem technischen System.

00:03:42: Wahrscheinlich hat

00:03:43: er nicht genügend

00:03:44: Ramm für MD-Fünf gehabt oder so.

00:03:47: Genau.

00:03:47: Ich erinnere mich auch daran, dass wir mal irgendwann eine Meldung hatten.

00:03:50: Es ist noch nicht so lange her.

00:03:51: Es war in diesem Jahrzehnt, dass die Deutsche Bahn jetzt anfängt, die Disketten abzukündigen, mit denen Reservierung in vielen Zügen wohl noch übertragen wurden per Turmschuh-Netzwerk.

00:04:01: Da kam jemand mit einer Disketter und hat die Reservierung eingespielt im ICE.

00:04:06: Na ja gut, ist es ja sicher auch nicht leicht irgendwie so... riesige Aufträge für riesige Maschinen, die dann idealerweise Jahrzehnte lang fahren sollen, schnell auf Kette zu kriegen.

00:04:19: Aber ja, also wir haben irgendwie ein bisschen zu flapsig drüber geredet, dass hoffentlich nirgendwo mehr MDV irgendwie verbaut sein sollte und es haut.

00:04:27: also.

00:04:28: ehrlicherweise muss ich zugegeben, das überrascht mich jetzt nicht, dass natürlich jemand, der bei der Bahn arbeitet, ankommt und sagt ja, äh, hier bei uns, ne.

00:04:37: Aber es gibt sicher auch noch andere Firmen.

00:04:40: wo man es vielleicht nicht so merkt oder wo vielleicht nicht so gerne gestochert wird, aber auch irgendwelche MDV vergleichbaren Dinge schlummern.

00:04:50: Man findet es dann halt raus, wenn irgendetwas deswegen schief geht.

00:04:55: Ich wollte noch, gar nicht so richtig Leserfeedback, also mehrere Leser und Leserinnen wollten so ein bisschen wissen, warum sammle ich eigentlich diese Links?

00:05:03: Ich habe doch um Links gebeten oder um Beispiele von E-Mails, die aussehen wie Fishing-Mails, aber... Also, echte Mails sind und nur von Firmen stammen, die irgendwie den Schuss nicht gehört haben, was leider so ziemlich auf viele Firmen zuzutreffen scheint.

00:05:21: Und dann war die Frage, ob ich das publiziere oder so.

00:05:23: Also, ja, nicht so richtig.

00:05:25: Es gibt am achtzehnten November hier im Heiseverlachsgebäude einen Themenabend zur IT-Sicherheit.

00:05:32: Das ist auch offen für alle, da kann man vorbeikommen.

00:05:35: und da werden Christoph und ich unter anderem so kurze Vorträge halten und ich möchte eben über Fishing Links und dergleichen sprechen und wie man sie halt von gutartigen Links unterscheidet, was halt leider gar nicht so einfach ist, weil die gutartigen Links oft genauso schlimm aussehen wie die Bösartigen.

00:05:55: Das ist alles nicht so richtig für das Podcastpublikum hier, weil sich dieser Themenabend an eher IT-unerfahrene Leute richtet und deswegen sehr auf einsteigende Vero unterwegs sein wird.

00:06:11: Aber dafür sammel ich das und dafür werde ich das eventuell dann auch verwenden.

00:06:15: Ich muss mal schauen, was und wie viel und so.

00:06:17: Und vielleicht kennt ihr jemanden im Raum Hannover oder so, der nicht so IT bewandert ist oder nicht so IT-Affin ist.

00:06:25: Und dann könnt ihr das ja gerne weiter empfehlen.

00:06:27: Ich glaube, es ist Uhr jetzt los.

00:06:29: Es wird aber sicher auch noch irgendwo online dann angekündigt und so.

00:06:33: Aber dafür sammel ich diese Mails und ich freue mich weiter über Beispiele von Fishing Mails und von Mails, die aussehen, dass sie Fishing Mails sind.

00:06:42: Da hab ich ja gerade in unserem Signal Chat auch noch ein Beispiel gepostet.

00:06:47: Da stimmt, ja, ja.

00:06:48: Es gab scheinbar einen Sicherheitsvorfall bei Heisee, von dem nur Christoph erfahren hat, aber er muss jetzt ganz dringend auf den Link klicken.

00:06:54: Ja, ja, und der Hostname kommt mir auch sehr bekannt vor und die Mailheader, die sagen, das ist ein Fishing Exercise, kommen mir auch sehr bekannt vor.

00:07:06: Das war mal wieder etwas aus der Feder von Hornet Security.

00:07:10: Ich habe nur den Screen-Shot gesehen, zu meiner Verteidigung.

00:07:13: Ich habe noch einen Nachklapp zu dem Thema Sales Loft und Sales Force Breach.

00:07:18: Das ist auch bei uns in den Meldungen gelandet.

00:07:22: Denn dieser großer Angriff gegen diese Sales Loft Kunden, über den dann auch Sales Force Daten, ich komme hier in den Stottern abgezogen wurden, Dahinter steckte, scattered lapsos hunters also s l s h ich nenne jetzt einfach schlisch oder so.

00:07:42: Und die heißen auch bei vielen, weil die vermutlich sehr, sehr jung sind und wenn man sich ihren Chatter in ihrem Telegram-Kanal so anguckt, dann wage ich das auch zu unterschreiben.

00:07:51: Die nennt man auch die Abteens, finde ich einen ganz putzigen Spitznamen.

00:07:54: Die stecken dahinter und die haben angekündigt auf ihrer neuen Leakside.

00:07:58: Sie wollen neunhundert und dreißig Millionen Datensätze auch von Salesforce liegen, die sie eben zusammengesammelt haben, angeblich bei über siebenhundert Cells Loft Kunden, indem sie deren Salesforce Tennis.

00:08:10: Wahrscheinlich read only gebreached haben also einfach alle daten abgezogen haben irgendwelche offenen leeds und kontakte und sowas hatten wir in der folge einundvierzig.

00:08:19: A etwas länger besprochen.

00:08:21: also wenn ihr euch das noch mal anhören wollt was da phase war dann hört ihr gerne rein.

00:08:28: Diese daten sollten geliegt werden am freitag.

00:08:33: den zehnten oktober um dreinzwanzig und fünfzig und fünfzig Sekunden und das erpressungsopfer war in diesem fall gar nicht mehr primär die die jeweiligen Kunden auch die haben sie natürlich mit diesem liegt erpresst sondern sie wollten Geld von salesforce haben gesagt salesforce macht das richtige und bezahlt uns dann gibt es keinen lieg.

00:08:53: und das hat salesforce nicht gemacht und das auch öffentlich kund getan dass sie sich darauf nicht einlassen werden.

00:08:58: und diese frist hat dann.

00:09:00: es haben die abteens dann gerissen.

00:09:03: Da kamen dann um den Drinzehnzehntion neunfünfzig, neunfünfzig erstmal gar nix und das war der Freitag beziehungsweise dann schon Samstag unserer europäischen Ortszeit.

00:09:13: Ich habe dann am Samstag mal so ein bisschen auf die Liegszeit gespengst und da waren dann sechs verschiedene Kunden von Salesforce gelegt unter anderem Quantas, diese australische R-Line.

00:09:26: Und in dem Datensatz kam dann Kurze Zeit später raus waren jetzt auch Daten von Troy Hunt.

00:09:32: Der eine oder andere von euch kennt den Namen wahrscheinlich, das ist der Betreiber von Heavy Been Pwned, der ist also auch mal wieder in seinen eigenen oder in Daten-Sätzen aufgetaucht mit seinen Flugdaten, weil er ja Australier ist und wahrscheinlich das öfteren bei Quantas geflogen ist.

00:09:48: Das waren nur sechs Unternehmen und im Telegram Chat hieß es dann ja, wir dürfen nicht mehr liegen, weil unsere Superiors, wer auch immer die Superiors von so einer Truppe sind, die eigentlich sicher als anarchisches Kollektiv so ein bisschen geriert.

00:10:00: Die haben uns verboten mehr zu liegen, es geht jetzt nicht.

00:10:02: und die Download links für diese Leaks, die auf irgendeinem File Sharing Dienst waren.

00:10:07: Ich habe vergessen, ich glaube Limeshare heißt der war natürlich auch Ratsfaz offline.

00:10:11: Die Leaksite war überlastet.

00:10:14: Und dann haben sie das in einem anderen Forum noch teilweise hochgeladen, wo man dann Geld dafür bezahlen musste.

00:10:19: Es war also alles eher schwierig.

00:10:23: Schien mir ein bisschen wie ein... So ein feigen Blatt, dass sie irgendwas liegen, damit sie nicht komplett mit runtergelassenen Hosen dastehen.

00:10:31: Aber sie haben dann auch sehr defensiv agiert, als sie gefragt wurden, wann kommt denn mehr.

00:10:35: Und dann hieß es, ja, wir können das jetzt nicht, es geht nicht.

00:10:38: Und war alles so ein bisschen ein bisschen undurchsichtig.

00:10:41: Ich würde fast annehmen, die haben ein bisschen kalte Füße gekriegt.

00:10:46: Ich weiß nicht, warum.

00:10:47: weil die Daten, ich kann mir nicht vorstellen, dass sie die Daten nicht hatten, aber ich habe so ein bisschen das Gefühl, sie haben entweder kalte Füße gekriegt oder sie haben den logistischen Aufwand eines solchen Megaleaks einfach unterschätzt.

00:10:57: Dass man da auch nennenswert Infrastruktur, wenn man hunderte von Gigabyte Daten an zehn oder hunderttausende interessierte Kriminelle und Ermittler auf aller Welt liegt, bereitstellen muss, das ist vielleicht bei SLSH noch nicht so durchgedrungen.

00:11:13: Für Erpressungsopfer von solchen Liegerpressungen, also nicht mit Verschlüsselung, sondern einfach nur Exfiltration und dann Erpressung durch Liegen der Daten, zeigt das aber auch ein Stück weit.

00:11:25: Man kann sich nicht darauf verlassen, dass, wenn man zahlt, nicht trotzdem geliegt wird, zum anderen aber auch, man kann sich auch nicht darauf verlassen, dass wenn man nicht zahlt, dass dann ein Lieg stattfindet.

00:11:34: Das heißt, eigentlich gibt es Zahlen aus Risikomanagement Perspektive keinen greifbaren Vorteil.

00:11:41: Und wie Salesforce da jetzt gepokert hat, war vermutlich gar nicht mal so eine schlechte Idee.

00:11:46: Das ist einfach gesagt, wir lassen uns darauf nicht ein.

00:11:48: Es gab dann noch längliche Statements von SLSH, dass irgendwie jetzt alle Staaten der Welt gesehen hätten, was passiert, wenn man sich mit ihnen anlegt und so.

00:11:54: Also viele Lippenbekenntnisse, aber das Talk the Talk und Walk the Walk haben die nur zur Hälfte durch exerziert.

00:12:03: Genau, das ist eine entwickelnde Geschichte, kann sein, dass da jetzt bis zum... Am zwanzigsten, an dem wir diese Folge veröffentlichen werden, noch ein bisschen was passiert.

00:12:13: Wir nehmen am Dienstag den vierzehnten Oktober auf.

00:12:16: Aber das ist so der Stand von heute und im Telegramm-Channel ist auch nichts Neues seitdem passiert.

00:12:24: Die Unterhaltung, die gucke ich mir an, damit ihr das nicht machen müsst, sagen wir es mal so.

00:12:28: Genau, das zu dem Nachklappe.

00:12:29: Und jetzt sind

00:12:30: wir mit... Vielen Dank für diesen Service, ne?

00:12:33: Ja,

00:12:34: bis zum nächsten.

00:12:35: Wollte ganz kurz die Abteens noch erklären für Leute, die das sozusagen, also wenn man es nicht geschrieben sieht, das fällt auch nicht so einfach zu schnallen.

00:12:43: Also es gibt ja diese APT-Bezeichnungen für solche fortschrittlichen Cybercrime oder Cracking-Gruppen, das steht für Advanced Persistent Threat.

00:12:56: Und war früher mal sehr damit assoziiert, dass es da um Nation-State Actors geht, also Geheimdienste von irgendwelchen Staaten.

00:13:05: mit entsprechenden Ressourcen und so.

00:13:07: Und das weicht halt so ein bisschen auf.

00:13:09: und unter anderem eben in Anbetracht dieser SLSH Leute, die wohl mehrheitlich sehr jung ist, wie Christopher gesagt hat, sprechen halt manche Leute von Advanced Persistent Teenagers für Abt oder halt Abt-Teams.

00:13:27: Also, ist einerseits ein lustiger Witz, aber ist andererseits halt auch so ein Zeichen dafür, diese Abt-Bezeichnung nicht mehr nur irgendwie auf die Heckergruppen von irgendwelchen Geheimdiensten zutrifft.

00:13:39: Die machen sich übrigens diese Attribution und diese Benahmung auch sehr zu eigen.

00:13:43: Also im Telegram-Kanal heißt an einen Nutzer, UNC-dreinohin-vier-vier.

00:13:46: Das ist die Kennung von, ich glaube, von Google-Mendian für Scattered Spider.

00:13:51: Und ein anderer nennt sich dann UNC... Ach, wo haben wir denn denn auch irgendein UNC irgendwas?

00:13:59: Und das tragen sie schon auch so ein bisschen vor sich her wie so eine Art... Gütcher Siege.

00:14:05: Ja, und wie immer, wenn eine Metrik irgendwie zum Ziel ihrer selbst wird, wird sie schlecht.

00:14:10: Aber gut, das ist ein anderes Thema.

00:14:12: Wir kommen zu was, was so irgendwie so halb feedback ist und halber, ich weiß nicht, also wir wurden halt gebeten, das mal wieder in ein Podcast zu heben.

00:14:22: Und ich kann den Wunsch nachvollziehen und komme ihm auch nach, obwohl es mir echt zum Halse raushängt, nicht nur mir, aber es ist halt wieder Thema und es wird wieder Thema werden, nämlich Die leidige Chatkontrolle.

00:14:35: Haben wir ja schon mal länger drüber geredet.

00:14:40: Die war ja jetzt wieder in den Nachrichten.

00:14:41: Wir haben es aus meiner Sicht zumindest aus zwei Gründen vermieden hier im Podcast.

00:14:46: Dann kann Christopher gerne etwas zu sagen, was aus seiner Sicht die Gründe waren.

00:14:49: Aber das eine ist halt, es ist ein sehr politisches Thema und ich habe jetzt eigentlich keine Lust, dass hier ein Politikpodcast raus wird.

00:14:56: Und das andere ist, dass es ein Thema ist, was sich halt sehr schnell weiterentwickelt.

00:15:01: Wir nehmen meistens mit so einem... paar Tagen, manchmal sogar mehr als eine Woche voraus auf.

00:15:06: Und es kann halt sein, dass morgen dann irgendein relevanter Politiker in irgendeinem relevanten Land was sagt.

00:15:11: Und dann steht sich die Lage wieder ganz anders da.

00:15:15: In der Diskussion der letzten Wochen um die deutsche Position der Checkkontrolle war ja auch genau das der Fall.

00:15:21: Das hat sich ja wirklich mehr oder weniger stündlich innerhalb eines halben Tags geändert.

00:15:25: Von einem Achtuier Deutschland wehrt sich nicht zu einem, oh ja, jetzt sind wir wieder... fürs erste Safe, also es hat sich unheimlich schnell entwickelt und stand buchstäblich auf Messers Schneider.

00:15:37: Genau.

00:15:38: Aber jetzt ist gerade Pause.

00:15:40: Wir kommen gleich dazu, warum.

00:15:41: Insofern ist es eine gute Gelegenheit, das Thema noch mal anzuschneiden.

00:15:44: Wir machen es jetzt nur klein, wenn ihr mehr dazu wissen wollt.

00:15:49: Wir haben Folge sechzehn dazu aufgenommen und an der Debatte hat sich also nicht nur technisch hat sich an der Debatte nichts geändert, sondern soweit ich es sehe auch politisch nix.

00:16:01: Also es wird Mehr oder weniger immer wieder Versuch mit den gleichen Argumenten und mit den gleichen Gegenargumenten.

00:16:08: Worum geht's?

00:16:09: Chat-Kontrolle ist so ein Kampfbegriff.

00:16:12: Politisch wird manchmal auch von kleinen Zeitscanning geredet.

00:16:15: Also es geht letztendlich darum, dass Nachrichten, Chat-Nachrichten, Social Media Posts, was auch immer geprüft werden sollen, auf CSAM, also... Landläufe, Kinderpondographie, auch wenn das ein problematischer Begriff ist.

00:16:33: Und viel von der Kritik entzündet sich daran, dass diese Prüfung eben auch stattfinden soll in Ende zu Ende verstüsselten Systemen.

00:16:41: CSAM steht für Child Sexual Abuse Material.

00:16:45: Genau.

00:16:48: Der EU-Parlament hat sich da schon vor längerer Zeit eine Meinung dazu gebildet und halt Nein gesagt, mehr oder weniger.

00:16:54: Ich fasse das jetzt mal ganz, vielleicht unzulässig knapp zusammen.

00:16:58: Und der Rat der EU findet keine Meinung.

00:17:06: Die verschiedenen Ratspräsidentschaften heben dieses Thema immer wieder aufs Tableau und kommen dann aber nicht wirklich weiter damit, weil es halt Länder gibt, die dafür sind, Länder gibt, die dagegen sind.

00:17:18: Und ein paar so Wackelkandidaten, aber letztendlich sind die Blöcke stabil genug, dass es da halt nicht vorwärts und nicht rückwärts geht.

00:17:25: Die vorherige Ratspräsidentschaft hat vorgeschlagen, die Chat-Kontrolle freiwillig zu machen und Ende zu Ende verschlüsselte Kommunikation auszunehmen.

00:17:33: Daraus ist nichts geworden.

00:17:34: Jetzt ist der Innermarkt dran mit der Ratspräsidentschaft, hat diese Abschwächung wieder rückgängig gemacht und hat mehr oder weniger den ursprünglichen Vorschlag nochmal zur Abstimmung vorlegen wollen.

00:17:46: denen drängt ein bisschen die Zeit, denn es gibt auf EU-Ebene eine E-Privacy-Richtlinie und die verbietet eigentlich das Scannen von Nachrichten.

00:17:58: Und dazu wiederum gibt es eine Ausnahmeregelung, die das Scannen erlaubt.

00:18:03: Also die verpflichtet nicht dazu, aber sie erlaubt es.

00:18:06: Und das hat also deswegen Scannen, zum Beispiel große soziale Netzwerke, teilweise auch auf CSAM-Material in eben nicht Ende zu Ende verschlüsselten Sachen.

00:18:16: und melden das, und die dürfen das eben auf Grundlage dieser Ausnahmeregelung.

00:18:20: Und diese Ausnahmeregelung läuft im April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April.

00:18:43: Ich klare mal jetzt mal viel von der politischen Debatte aus, wenn ich das interessiert, kann ich euch zum Beispiel netzpolitik.org ans Herz legen, die haben da sehr ausfällig drüber berichtet.

00:18:53: Nur ganz knapp, weil das halt schon irgendwie, also ich finde man kann es halt auch nicht völlig ignorieren.

00:19:01: Es sah jetzt eine weite so aus, als würde... Deutschland umkippen, dann gab es hier auch eine große Debatte und Kampagne dazu.

00:19:07: Letztendlich hat die deutsche Politik sich dann doch wieder so positioniert, dass sie sagten, nein, nein, also so können wir dem nicht zustimmen.

00:19:15: Die Abstimmung wäre dann gescheitert und nun hat Dänemark die Abstimmung verschoben.

00:19:21: Dass es auch nicht zum ersten Mal das vorkommt, dass irgendwie absehbar ist, das geht nicht so aus wie gewünscht.

00:19:28: Wertet man das nicht als Nein oder Ablehnung, sondern verschiebte Debatte und das wirkt halt schon sehr schäbig, muss ich sagen.

00:19:35: Apropos schäbig, das ist ja auch von Netzpolitik, aber ich fand es schon interessant, die Kommission ist eigentlich verpflichtet, so einen Bericht über die freiwillige Chatkontrolle vorzulegen, der eben auch sehr hilfreich wäre, um einzuschätzen, ob das verhältnismäßig und wirksam ist in seinen Ausprägungen.

00:19:57: Die Frist dazu war angeblich am vierten September.

00:19:59: Diesen Bericht haben sie noch nicht vorgelegt.

00:20:01: Der steht noch aus.

00:20:03: Aber trotzdem wollten sie halt vorher schon mal die Abstimmung haben.

00:20:06: Also das ist alles zum Machenschaften, wo ich sage, vollkommen egal wie man dazu inhaltlich steht.

00:20:11: So sollte das eigentlich nicht laufen.

00:20:14: Wie man inhaltlich dazu steht, eigentlich sagen alle nein.

00:20:18: Also in Haufen zivilgesellschaftliche Einrichtungen der CCC und so weiter, Pipapo sagen, das ist, funktioniert nicht.

00:20:26: Und oder ist unverhältnismäßig.

00:20:28: Wir

00:20:29: übrigens auch, also aus technischer Sicht.

00:20:31: Wir sagen das

00:20:32: auch, da kommen wir gleich dazu, warum das nicht funktioniert.

00:20:35: Aber es geht ja darum, was irgendwie zwei Leute in den Podcast behaupten oder auch was aufheise online steht, ist den meisten Politikern egal.

00:20:43: Aber spätestens wenn die Wirtschaftsverbände auch sagen, das ist ein Schmahnlastes.

00:20:47: Wenn Experten, Juristen, Juristen Das Rat des DEU sagen, wenn ihr das so macht, ist es vermutlich nicht rechtskonform.

00:20:56: Kinderschutzverbände sagen, das funktioniert nicht und ist unverhältnismäßig.

00:21:00: Trotzdem wird es immer und immer wieder aufs Tableau gehoben.

00:21:07: Sucht euch andere Quellen, die irgendwie versuchen zu eruieren, welche Motivlagen dahinter stecken.

00:21:13: Wir reden hier über das Technische.

00:21:15: Das Technische betrifft insbesondere halt die Ende zu Ende verschlüsselnden Messenger, die eben sehr deutlich gesagt haben, sie werden sowas nicht tun, sie werden dann nicht mitgehen, Signal hat gesagt, dann würden sie halt die EU verlassen, wenn es nicht anders geht, was insofern ironisch ist, weil die EU-Politiker ja selber ganz gerne mit Signal chatten, wie wir wissen.

00:21:34: Aber weil das eben jetzt nur verschoben ist, würde es vermutlich uns in Belde wieder beschäftigen.

00:21:40: und die aktuelle deutsche Ablehnung war auch so formuliert, dass es eine anlasslose Chat-Kontrolle mit Deutschland nicht zu machen sei, was halt jetzt sozusagen die Implikation aufruft.

00:21:53: Naja, aber eine anlassbezogene Chat-Kontrolle könnte man schon machen und das ist natürlich Mumpets und zwar aus folgenden technischen Gründen.

00:22:03: Das eine ist diese Systeme.

00:22:07: Selbst wenn die sehr gute Erkennungsraten haben, haben natürlich Fehlerraten und wenn man System auch mit einer geringen Fehlerrate auf hunderte Millionen Bürger ausrollt, dann würde es massiv Fallzahlen, also Fehlerfallzahlen produzieren, insbesondere eben auch false positives.

00:22:24: Also... Erkennungen, dass angeblich irgendwo CESA-Material unterwegs sei.

00:22:28: Und es war in Wirklichkeit entweder gar nichts, je nach Systemen kommen wir gleich dazu.

00:22:33: Oder es war jemand, der irgendwie ein Foto von seinem Kind an den Arzt geschickt hat, damit der Arzt das beurteilen kann oder wie auch immer.

00:22:38: Und es hat für die Betroffenen auch das ist schon in der Vergangenheit immer wieder vorgekommen.

00:22:43: Unglaublich weitreichende Folgen, wenn so ein Verdacht aufkommt und dann die Ermittlungsbehörden loslaufen.

00:22:49: Um die schieren Zahlen sich mal zu verdeutlichen, wir haben ja fünfhundert Millionen Bürger in der EU und wenn jetzt jeder nur am Tag zehn Nachrichten über einen Messenger abschickt, sind wir bei fünf Milliarden Nachrichten.

00:23:02: und selbst wenn du also wenn du ein Promil vieler Rat hättest, was zugeben sehr hoch wäre, dann wären es immer noch fünf Millionen Nachrichten am Tag, die irrtümlich als CSAM erkannt werden.

00:23:15: und das in eine Rate zu bringen, wo du nicht auch das die das Strafverfolgungssystem überlastet, das muss ja auch alles irgendwie auswerten und muss ja dann auch in Ermittlungen und gegebenenfalls Strafverfahren würden, das wird schon sehr, sehr schwierig.

00:23:29: Ja, plus wir reden hier über die Fehlerrate, das heißt es sind dann als Strafverfahren gegen unstellige Leute.

00:23:35: Der zweite große Punkt ist es irgendwie, also es gibt eine Reihe von Ideen, wie man sowas technisch realisieren könnte.

00:23:44: Das eine ist, man schmeißt da KI drauf, die halt irgendwie solches Material erkennen soll.

00:23:50: Und das hat Apple ja zum Beispiel auch schon probiert und ist dann davon abgerückt, weil sie gesagt haben, wir kriegen es einfach nicht zuverlässig funktionierend hin.

00:24:00: Das eine ist, dass diese KI's inakzeptable Fehlerraten haben in den beide Richtungen und die können auch, das ist schon demonstriert worden, auch bösartig manipuliert werden.

00:24:08: Also man kann Bilder bauen, die für einen menschlichen Betrachter völlig harmlos aussehen.

00:24:14: die aber ein auf CSAM trainiertes KI-System anschlagen lassen.

00:24:19: Und das wirkt natürlich ein enormes Missbrauchspotenzial.

00:24:22: Dann kann man Leuten diese Sachen schicken, die sehen vollkommen harmlos aus, werden vielleicht sogar weitergegeben und überall gehen die Alarmglocken an, weil diese Systeme anschlagen.

00:24:32: Es gibt eine alzentive technische Idee, es gibt so was nennt sich perceptive Hashes, das sind sozusagen Haschfunktionen für meistens Bilder und die sollen das abgebildete haschen und relativ tolerant sein gegenüber kleinen, irrelevanten Veränderungen am Bild, also Zuschnitten, Neukodierungen oder sonst was.

00:24:55: Die sollen idealerweise, wenn das Bild das gleiche zeigt, auch in den gleichen oder zumindest der ähnlichen Hasche ergeben.

00:25:02: Der erste Punkt ist, dass die notwendige Weise nur bekanntes Material erkennen können, weil man braucht irgendwo so eine große Datenbank mit diesen Hashes von bekannten CESAM Material.

00:25:11: Da kommen dann die Kinderschutzorganisationen und sagen, und deswegen bringt das so nix, weil das kann sozusagen nur schon stattgefundenen Missbrauch irgendwie in seiner Weiterverbreitung unterbinden, was natürlich schön ist, aber was überhaupt nicht hilft gegen das Problem, dass ein neuer Missbrauch stattfindet.

00:25:30: Und das andere ist, diese perspektiven Hashness können umgangen werden, je nach System, und sie erlauben oft auch aus den Hashness Bildmaterial zu rekonstruieren und das ist natürlich eine ganz heiße Sache insbesondere wenn es um eben CSAM geht weil ja schon der Besitzer von verboten ist.

00:25:50: und das letzte was man will mit so einem System ist dass es diese CSAM weiter verbreitet weil man aus dem Hashes irgendwie kleine Bildchen rekonstruieren kann.

00:26:01: also das ist alles nicht so zu Ende gedacht und die simpleste Methode werden natürlich kriptografische Hashes die also die da die eine Bild-Datei einfach erkennen können und dann kann man halt auch da eine Riesen-Datenbank pflegen.

00:26:14: Die haben zumindest den Vorteil, dass sich aus diesen Hashes nichts rekonstruieren kann.

00:26:19: Sie haben den Nachteil, dass sie halt nur die Datei genau so erkennen und sobald ich das JPEG nochmal neu speicher oder das PNG als JPEG speicher oder wie auch immer, also kleine, nicht wahrnehmbare Änderungen an diesem Bild, auch nur unabsichtlich vorgenommen werden, kommt ein völlig anderer Hasch raus.

00:26:38: Und, und jetzt kommen wir so ein bisschen, warum das alles so, also zu einem weiteren Punkt, warum das so kritisch ist, einem kriptografischen Hash sieht man überhaupt nicht an, was akkuliert.

00:26:49: Das heißt, wenn man so ein System mal etabliert hat, dann könnte man dann natürlich die Hashes von beliebigen anderen Dingen reintun, die man nicht will, dass die Leute teilen.

00:26:59: Und es gäbe keine Möglichkeit irgendwie dem System ordentlich auf die Finger zu gucken, wonach es hier eigentlich gerade prüft oder nicht.

00:27:06: weil man dem Herrscher es nicht ansieht und man schafft da halt ein Überwachungssystem, das sich oder man würde da ein Überwachungssystem schaffen, das sich sehr leicht zerkentfremden lässt und man muss ja auch dann denken, selbst wenn man die aktuellen Generationen von Politikern vertraut, was ist denn nach der nächsten oder übernächsten Wahl oder halt in zehn Jahren, wenn dieses System dann immer noch da ist und immer noch genauso leicht zerkentfremdet werden kann.

00:27:36: Und das dritte Problem an der ganzen Sache ist, also jetzt haben wir so ein bisschen wie das Erkennung, wie die Erkennung von dem Material geredet, jetzt geht es um die Ende-zu-Ende-Verstüßlung.

00:27:44: Man kann die halt nur brechen oder nicht, also so ein Messenger wie Signal, der muss entweder die Schnittstelle haben, wo Behörden Material ausleiten und abgleichen können oder wo es von mir auch auf dem Gerät abgeglichen wird und dann nur im Fall von einem Treffer ausgeleitet wird.

00:28:00: oder hat diese Schnittstelle halt nicht.

00:28:01: Wenn er die Schnittstelle hat, dann kann die irgendwie eingesetzt werden und man hat da keine ordentliche Kontrolle drüber.

00:28:07: Und nur, dass er sie nicht hat, ist ein zuverlässiger Schutz.

00:28:10: Deswegen ist auch das Geräte von, naja, brauchen das irgendwie Anlassbezogen schmarrn, weil man kann diese Lücke oder diese Hintertür ja nicht Anlassbezogen einbauen.

00:28:20: Die muss dann überall im Messenger von jeder einzelnen Person drin sein und da kann man sie halt Anlassbezogen nutzen als Start.

00:28:29: Welchen Anlass man dann da hernimmt, ist halt Sache des Staates und nicht mehr Sache der Bürger und die die Lücke ist einfach vorhanden, wenn sie einmal eingebaut worden ist.

00:28:41: Insofern alles reichlich deprimierend, aber nachdem jetzt gerade die Pause ansteht und vermutlich im Dezember der Endemag wieder damit ankommen wird und vermutlich die Debatte wieder losgehen wird und es dann eventuell heißen wird, so ja, ja, wir machen das jetzt aber nur Anlass bezogen.

00:28:57: Ihr wisst, das ist alles Käse.

00:28:59: Ach so, einen Punkt habe ich mir noch aufgeschrieben zu diesen ganzen technischen Problemen, die ja immer und immer wieder auch vorgebracht werden, warum das System so einfach nicht realisierbar ist und keine gute Idees und unverhältnismäßig und seinen Zeck nicht erfüllen wird, ist die Antwort der Politik halt immer nix.

00:29:18: Also absolutes Schweigen.

00:29:20: Ich habe noch kein einziges, auch nur Harnbüchenes Argument gehört.

00:29:24: Die gehen einfach blind davon aus, dass es schon irgendwie machbar ist.

00:29:31: Na ja, wir haben noch mal drüber geredet.

00:29:33: Wir halten es im Hinterkopf, beteiligt euch irgendwie an Gegenprotesten oder so, falls es wieder auf uns zukommt.

00:29:41: Und hoffen wir mal, dass dieser Kälch an uns vorüber geht.

00:29:45: Immer und immer wieder.

00:29:46: Weil scheinbar lassen sie nicht locker.

00:29:48: Im letzten Jahr auf dem A.C.C.

00:29:50: III war Meredith Whitaker von Signal ja auf der Bühne und hat sehr deutlich gesagt, wir gehen aus jedem Land raus, dass so etwas einführt oder aus jeder... jeder Region.

00:29:59: Das hat sie noch mal mehrfach Corampobico reiteriert.

00:30:03: Und ich nehme ihr das auch ab, dass sie da versuchen werden, nicht zu verhandeln, sondern dass sie dann sagen, dann ist Signal halt weg, dann wird es aber sehr dünne werden mit vernünftigen Messengers, was Signal auf anderer Ebene, auf technischer Ebene im Moment an ihren cryptografischen Protokollen macht.

00:30:21: Das erzählen wir euch gleich noch.

00:30:24: zu einem meiner Lieblingsunternehmen, dass ich aus Security Sicht schon eine Weile beobachte und auch aus konzernpolitischer Sicht sehr liebe.

00:30:35: Und ihr ahnt vielleicht schon fast wer es ist.

00:30:38: Ich habe nämlich auch hier schon ein paar mal drüber geredet.

00:30:40: es ist.

00:30:44: Das ist eine lange Hitlist bei mir.

00:30:47: Nein, es ist es ist tatsächlich Oracle.

00:30:49: Und Oracle hat sich mal wieder ja weiß ich nicht ob sich Oracle das Gleis ist.

00:30:54: Es gab einen Bug in einem.

00:30:56: Ein Produkt von Oracle.

00:30:58: Oracles, Produkte, die nicht MySQL und Java heißen, muss ich gestehen, durchblicke ich nur sehr, sehr marginal.

00:31:06: Das ist für mich ein bisschen ein Buch mit sieben Siegeln, wie SAP zum Beispiel.

00:31:10: Und wenn man dann die Advisories durchliest und eine Meldung dazu schreiben muss, muss man immer sehr vorsichtig darum manövrieren, ob man jetzt gerade einen.

00:31:18: Produkt, eine Komponente in einem Produkt oder das Plug-in für eine Komponente, das möglicherweise nicht per default enabled ist in einer Produktkomponente beschreibt oder darüber redet, weil das alles ein sehr verfachendes Ökosystem ist.

00:31:32: Ich weiß gar nicht, ob es sich als Ökosystem bezeichnen kann, dafür müsste es ja gesund sein oder funktionieren, halbwegs funktionieren.

00:31:40: In dieser Oracle e-Business Suite, die kürze ich jetzt als EBS ab, gab es einen ziemlich fiesen Sicherheits bug.

00:31:49: genau genommen waren es mehrere und das bekam einige oracle kunden leider auf die denkbar unangenehmste art mit auf die man so einen security vorfall mitbekommen kann oder einen bug mitbekommen kann nämlich nicht durch ein advisory von oracle sondern durch ein advisory der freundlichen ransomware gruppe klopp die sagte nämlich wir haben daten von euch exfiltriert aus euren aus eurem server park und Ich bin gar nicht mehr sicher, ich habe das, Herr Sarscheib, jetzt gerade nicht auf dem Bildschirm, ob da auch drin stand, dass sie das aus ihren Oracle-Systemen exfiltriert haben, aber es hieß jetzt, zahlt mal bitte ein bisschen Lösegeld.

00:32:25: Wir sind die Rensenberg-Gruppe Klopp.

00:32:26: Wenn ihr uns nicht kennt, dann googelt uns das, glaube ich, die erste Zeile.

00:32:28: Fand ich auch ein bisschen drollig.

00:32:31: Oracle hat sich das natürlich dann schleunig angeguckt.

00:32:34: Und einen Tag später, am dritten Oktober, da hatten wir ja hier alles frei, weil Oracle wurde gearbeitet.

00:32:39: hat der CISO persönlich.

00:32:41: Das merken wir zum Beispiel für Gleichwinds, um die Diskussion des Verhaltens von Oracle geht.

00:32:44: Der CISO von Oracle hat geblockt.

00:32:48: Ich lese es mal auf Englisch vor.

00:32:50: Potential use of previously identified vulnerabilities.

00:32:54: Previously identified.

00:32:55: That are addressed in the July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, July, Diese Critical Patch Updates, CPU, sind die regelmäßigen monatlichen Patch Updates von Oracle, soweit so unspannend.

00:33:12: Das ließ sich in diesem Blog Artikel sehr klar wie ein Hinweis an die Kunden, wenn ihr hier geohnt wurde, dann habt ihr nicht gepatched.

00:33:20: Also selbst schuld, update nicht eingespielt, wir haben es bereitgestellt, was sollen wir da machen, sind wir als Oracle fein raus.

00:33:30: Das steht auch immer noch an einer Stelle in dem Blockartikel, nämlich im Url.

00:33:34: Der lautet nämlich Apply July twenty twenty five CPU, weil das die ursprüngliche Headline dieses recht kurzen Artikels war.

00:33:42: Und einen Tag später, am vierten Oktober, hatte sich die Situation etwas verändert, und zwar unter den Augen der Weltöffentlichkeit oder der Security-Weltöffentlichkeit, denn... Dann hatte sich noch ein anderer Akteur, über den wir gerade auch schon kurz geredet haben, in den Falle eingeschaltet, nämlich die sehr ubiquitären und in letzter Zeit recht lauten, scattered Lepsus-Hunters.

00:33:59: Die haben nämlich in ihrem Telegram-Kanal großes Rambazamba gemacht gegen Klopp, weil Klopp ihn den Zero-Day geklaut hatte.

00:34:07: Sie hatten den wohl auch, Klammer auf, vermutlich gekauft, Klammer zu, also nicht selber gefunden.

00:34:12: Ich kann mir nicht vorstellen, dass es eine Parallelentwicklung gab, sondern der wird auf dem Schwarzmarkt irgendwo gekauft worden sein.

00:34:18: Und Klopp hatte den aus ihrer Sicht verbrannt.

00:34:20: Und die waren halt sauer, außerdem hatten sie eine viel bessere Version und bla bla bla so allerlei hin und her so ein bisschen.

00:34:28: Ja das das das Gegenteil von eine kreie hat der anderen kein auger aus.

00:34:32: das war ja so buchstäblich falsch denn Die scattered lapsus hunters hunters sind einfach hingegangen und gesagt so wenn der exploit schon verbrannt ist weil da schon jemand eine Kampagne mitgemacht hat und war weil oracle ebescheid weiß Dann verbrennen wir ihn jetzt komplett und hat ihn einfach als zip-datei in ihrem telegram kanal hochgeladen wo ihn alle welt eingesammelt hat.

00:34:51: Jeder CTI Professional, jede Ermittlungsbehörde der Welt, dieser Kanal hat zur Stunde, ich guck mal gerade nach.

00:34:58: Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Um... Wir hatten den auch und wir haben den längeren und edge patch.

00:35:22: jetzt könnt ihr den nicht mehr benutzen keine ahnung.

00:35:24: also es gab dann auch diverse Albe eine kommentare.

00:35:28: also es war alles ein bisschen kindisch und unter den zehntausendern die den dann gesehen haben auf Telegram fallert auch offensichtlich jemand bei oracle der gesagt hatte guckt bei ihr dieses python script xp.py da sind ja alle interessante sachen drin und diese urls und das sieht alles irgendwie aus als würde da jemand den ebs einbrechen.

00:35:46: und dann haben sie also eine Formulierung gewählt, um etwas zu paraphrasieren, dass sie diesen Exploit auf Telegram gefunden haben.

00:35:55: Also das Original, so wie ich es schreiben würde, hieß Oracle hat auf Telegram einen Exploit gefunden, den Oracle noch nicht kannte.

00:36:03: Und in Oracle-Sprech hieß das dann in einem Update des Blogartikels, Additional Potential Exploitation that were discovered during our investigation.

00:36:15: Also sie haben Telegram aufgemacht, das war die Investigation, also

00:36:19: Also sie sagen ja nicht mal, dass sie das entdeckt haben, sondern doch noch während sie am investigieren waren, wurde möglicherweise völlig unabhängig davon eine Potential Exportation entdeckt von.

00:36:35: Also.

00:36:36: Zehntausend Leuten und vielleicht auch von Oracle, man weiß es nicht.

00:36:41: Sie hätten ja auch einfach investieren können auf den System, auf den sie waren.

00:36:44: Also sie mussten ja diesen Club Explore schon.

00:36:47: Zumindest mal die die Innenseite davon gesehen haben.

00:36:49: Nicht die tatsächlichen Skripte, denn die landen gar nicht auf dem auf dem angegriffenen Server, aber zumindest was für Requester irgendwie abgeschickt worden.

00:36:58: Und gut, also sie haben dann also auch, sie waren dann auch auf dem gleichen Stand wie alle anderen Abonnenten des Telegram-Kanals und dann wollten sie ihre Kunden natürlich vorbildlich auch auf den aktuellen Stand her Dinge bringen, haben also ihren Blogartikel, wo es vorher noch hieß, ja, wenn ihr nicht patcht seid ihr selber schuld.

00:37:17: verändert, um eben genau das reinzuschreiben.

00:37:19: Achtung, wir haben da was gefunden.

00:37:21: und Hupsi, das ist ein neuer Exploit und wir haben da auch mal schnell ein Patch fertig gemacht.

00:37:26: Der kam tatsächlich relativ schnell, zumindest so wie ich das gesehen habe.

00:37:29: Der war so innerhalb von zwei Tagen da.

00:37:31: Das kann man Ihnen schon so gut erhalten.

00:37:34: Auf der anderen Seite geschah diese Modifikation, dieses Blogartikel ist komplett intransparent.

00:37:39: Also nicht nur, dass das geändert wurde, ohne den alten überholten Text.

00:37:43: durchzustreichen und zu sagen Achtung, neue Erkenntnisse.

00:37:45: Sie haben Update runtergeschrieben, haben aber den alten Text komplett gelöscht, haben also den Stand der Dinger, den möglicherweise seit Ministratoren ins Wochenende mitgenommen haben, einfach entfernt.

00:37:53: und du bist Motors morgens aufgewacht und hast was vollkommen anderen Informationsstand gesehen.

00:37:58: und alle Welt, die das erste Posting nicht gesehen hat, dachte.

00:38:02: Das sei nie anders gewesen und dann stehst du als Administrator ja möglicherweise auch im Feuer, weil du sagst, ja Moment, ich hatte doch die Juli Patches eingespielt, wieso bin ich mir jetzt eigentlich trotzdem gehauen.

00:38:11: Also fand ich sehr, sehr unschön, ist aber auch nichts erstes mal, sag ich auch gleich noch ein bisschen mehr dazu, weil das müssen wir einfach auch mal thematisieren.

00:38:21: In der Webhack Machine gibt es übrigens auch nicht den Blockartikel.

00:38:24: Zum Glück gibt es unter anderem Screenshots by the Hacker News, auch Tenable hat in einem Blogartikel diese Modifikationshistorie und das Ändern des Narratives recht transparent dokumentiert.

00:38:35: Das ist aber nicht Tenable's Job und das ist auch nicht der Job von Watchtower, die gleich wie üblich ins Spiel kommen, diese Dokumentation an Oracle statt durchzuführen, sondern das ist Oracle's Job.

00:38:45: Und da funktioniert einfach, die nehmen ihren Job nicht wahr.

00:38:52: wie der mit den Kranplätzen müsste verdichtigt sein, der sagt immer, die kommen ihre Aufgaben nicht nach.

00:38:57: Dann kam nämlich aufs Tappé Watchtower.

00:39:01: und wenn bei Watchtower ein neuer Artikel dropt, dann lasse ich, ich weiß nicht, wer noch in der Heise Security Redaktion oder in der Security Welt lasse ich alles stehen und kuck mir den an, weil das ist immer für ein paar Lacher gut und hat gleichzeitig eine sehr erfrischend hohe technische Tiefe und ist in aller Regel dead on Akkurat.

00:39:18: Also dass die jetzt irgendwo hundert Prozent daneben liegen, habe ich noch nicht erlebt.

00:39:21: Sie haben beim letzten Mal, als wir Sie erwähnt haben, wussten Sie, glaube ich, den letzten Schritt einer Explodkette nicht.

00:39:26: Den haben Sie nicht rausfinden können, aber hier haben Sie die Explodkette von vorne bis hinten durchgekaut und die hat es in sich.

00:39:33: Und

00:39:33: und vermiemt.

00:39:34: Das Schöne an der Watchtower-Tippen ist es.

00:39:37: Genau.

00:39:38: In dieser Watchtower-Tippe finde ich es aber relativ im Arm, aber er fängt mit einem Meme an.

00:39:43: Und zwar dieser, ich weiß gar nicht was von das in der Sendung, das ist so ein Typ an den Zaun vom Weißen Haus.

00:39:49: Mit nem Mikrofon in der Hand rüttelt und so.

00:39:51: Wie schreit ich will hier rein, lasst mich rein, lasst mich raus.

00:39:53: Keine Ahnung.

00:39:54: Ich kenne das nicht.

00:39:55: Auch dieser rire Typ, der sonst vor so ner Tafel mit allerlei Fotos und so steht.

00:39:59: Also ein bekanntes älteres Bienen.

00:40:02: Die Formalien mal zuerst.

00:40:03: Das handelt sich um CVE-E-Zwanzig, Zwanzig, Zwanzig, Sechs, Eins, Acht, Acht, Zwo.

00:40:08: Nicht verwechseln mit der Sechs, Eins, Acht, Acht, Vier.

00:40:11: Das zufällig gleich neben den namigen Unternehmens Oracle aber einer anderen Komponente und auch nur mit einem sieben Komma.

00:40:18: Fira score der sechs eins acht acht zwei über den wir jetzt reden.

00:40:21: der hat neun Komma acht von zehn Punkten und die null Komma zwei.

00:40:25: zur perfekten zehn büsst er nur ein weil sich das scope nicht ändert also weil nicht in einen neuen Nutzer Kontext übergegangen wird.

00:40:35: ansonsten kann der alles der kann.

00:40:37: Remote Code Execution ohne Identifizierung über das Internet und damit sind die neun Komma Punkte gesetzt.

00:40:43: Befindet sich, man jetzt kommt meinen Komponentengehakel in der Komponente BI Publisher Integration des Produkts Concurrent Processing von eBusiness Suite.

00:40:55: Ich hoffe, ich habe das richtig gesagt.

00:40:57: Wenn nicht, ist es mir jetzt auch nicht so wichtig.

00:41:01: Ihr habt, ihr könnt bei Watchtower nochmal nachlesen, an welcher genauen Code Zeile sich die ganzen Wachs jeweils verstecken, wenn ihr es ganz präzise haben wollt.

00:41:10: Betroffen sind Version zwölf, zwei, drei bis zwölf, zwei, vierzehn, also auch ne... vergleichsweise breite range.

00:41:16: ich kenne die releasezyklen von von oracle ebs nicht so genau aber es ist nicht nur eine version betroffen sondern schon mehrere und nirgendwo in dem sehr dünnen voll automatisierten oracle advisory das es dazu gibt oder in dem watchtower block habe ich eine erwähnung gefunden dass man irgendwelche speziellen konfigurationseinstellungen aktivieren muss oder dass das eine komponente ist die pet default nicht aktiviert das oder sowas.

00:41:38: also das scheint so ein default settings zu sein.

00:41:44: Tatsächlich handelt es sich nicht um eine Sicherheitslücke, sondern es ist eine ganze Kette von mehreren Sicherheitslücken, hat aber nur einen CVE bekommen.

00:41:54: Da reiht sich Oracle ja auch ein bisschen in Microsoft mit ihrem SharePoint-Debakel ein, die dann ja auch mehrere Sicherheitslücken plötzlich in einem CVE zusammengefasst haben.

00:42:02: Sylvester, ich erinnere mich an einen Rant von dir in einer der vergangenen Folgen zu einem solchen Thema.

00:42:07: Und ich glaube, es gab auch einen Rant im Heft, oder?

00:42:10: gab es einen rennt neben heft?

00:42:12: gab es eine eine vollkommen nüchternen news bricht der stadt dann dazu die auch relativ knapp war.

00:42:17: der rennt war hier aber mal also magisch.

00:42:20: oft finde ich hatte noch mehr schmarrn mit cvs getrieben als einfach nur zu viele in eine zu stopfen.

00:42:25: aber aber auch das ist natürlich der sinn von cvs ist halt das an jeder einzelne lücke eine solche nummer hängt und dann kann man sagen der patch hilft hier gegen und der patch lift dagegen und.

00:42:38: Wenn man dann halt hingeht und sagt so ja, viele cvs klingt aber schlechter als wenig cvs machen wir nur eine dann kann man sie es halt auch irgendwie sparen.

00:42:46: Also

00:42:47: was soll das denn jetzt heißen?

00:42:49: irgendwie fixt diese cvi?

00:42:51: welches der zahlrechten probleme wird davon gefixt?

00:42:53: weil so eine exploit chain die hörte auf zu funktionieren nur eine davon also ein glied der kette behebt.

00:42:59: Das heißt aber nicht dass ich happy bin wenn der rest noch weiter schlummern den produkt.

00:43:04: Also ein cv bezeichnet eine.

00:43:07: Sicherheitslücke oder einen Sicherheitsdefekt, der möglicherweise ausnutzbar ist, aber nicht den Exploit.

00:43:15: Das könnte vielleicht Greg Crore Hartmann vom Linux-Körner-Projekt den Herrschaften bei Aurelka noch mal in einem bezahlten Seminar beibringen, denn der Linux-Körner macht das ganz vorbildlich.

00:43:25: Da ist alles, was irgendwie ein Sicherheitsdefekt sein könnte.

00:43:28: Ein CVE.

00:43:29: Und deswegen haben wir ja auch so viele CVEs in der Datenbank in den letzten Jahren.

00:43:33: Ja, also alles, was irgendwie, wenn wir hatten letztens über die Fallsystemgeschichte, das hängt ihnen auch immer noch nach, dass sie dann, also der Linux-Fernel jetzt nicht so super konsistent sind, wann eigentlich ein Problem in dem Datei-System eine CVE kriegt und wann nicht und so.

00:43:48: Also ich würde jetzt den Linux-Fernel da vielleicht auch nicht jetzt ein Musterbeispiel hinstellen.

00:43:52: Ich bin gar nicht sicher, ob es einen Musterbeispiel gibt.

00:43:55: Und wenn du gerade gesagt hast, Du hast das nüchtern in einem nüchtern bericht verpackt dann heißt das du hast es nüchtern geschrieben aber es ist mit alkohol beim lesen doch besser zu ertragen.

00:44:05: dieser ganze cv e fach auf das ist

00:44:08: korrekt

00:44:09: so.

00:44:10: Kommt kommen zurück zu unserem cv e. dieser eine cv e mit den mehreren sicherheitslücken die ich gleich einmal kurz erzählen möchte der war zu dem zeitpunkt als er aufgetaucht ist ein echter zero day.

00:44:23: und zu dem zeitpunkt als die shattered scattered spider hunter lapses abteens ihre hände drauf gekriegt haben war das auch noch ein echter zero day.

00:44:33: möglicherweise da habe ich die timeline jetzt aber nicht genau auf der reihe war es auch noch zu dem zeitpunkt als er geliebt wurde noch so.

00:44:40: gerade eben ein zero day würde ich aber eher nicht vermuten.

00:44:42: da war das dann ein an one day und an ende der war aber der wurde als zero day ausgenutzt war eine zero day lücke.

00:44:48: und wer was anderes behauptet das schreibt auch watchtower sehr genau das haben wir von anfang an aber auch gesagt der muss sich da noch mal eines besseren belehren lassen denn ein zero day ist eine Sicherheits, einen Exploit für eine Sicherheitslücke, die zu dem Zeitpunkt vom Hersteller noch nicht gefixt war oder möglicherweise sogar noch gar nicht bekannt.

00:45:05: Und um noch mal drauf zu hauen, wer was anderes behauptet, war unter anderem Oracle, die sich ja erst mal hingestellt haben und gesagt haben, da hat halt irgendjemand die Textes vom Julien nicht eingespielt.

00:45:16: Und ich glaube nicht, dass sie das sozusagen wieder besseres Wissen gesagt haben, aber sie haben es halt offensichtlich gesagt, ohne es richtig zu wissen.

00:45:24: Und das ist halt hart.

00:45:26: Ja, also natürlich um jetzt mal ganz untypisch für mich ein bisschen den Advocatus Diaboli zu machen, bewegt sich auch Oracle in einem Spannungsfeld, wo unheimlich schnell sich jetzt die Sachlage ändert und sie wollten wahrscheinlich mit irgendwas rausgehen, weil jetzt noch ein paar Stunden zu warten und untätig zu scheinen ist natürlich auch kein gutes Bild,

00:45:44: aber

00:45:45: dieses Spannungsfeld, das muss jedes Unternehmen für sich selber bearbeiten und ich glaube es wird keiner dafür aufgehängt wenn er sagt oh hier haben wir falsch gelegen wir haben das jetzt transparent geändert.

00:45:57: aber was eben ganz besonders unpraktisch ist einfach auch für die tatsächliche mitigation ist wenn man stillschweigend sachen unter den teppich kehrt und einen neuen sachstand der einmal auf telegram angetragen wurde an als ja wussten wir die ganze zeit schon verkauft und dann auch alle kopien der dieser alten versionen tilt.

00:46:18: das ist einfach keine informationspolitik so geht das nicht.

00:46:20: Ich find's aber sehr lustig, dass du, äh, also, du kannst den Advokatus Diaboli, bedeutet nicht, dass, notwendig, dass man sich auf die Seite von Oracle schlägt, auch wenn du das hier gerade so eingeleitet hast, ne?

00:46:34: Äh,

00:46:35: ich kann zwar nachvollziehen, dass man sich zum Teufelsadvokaten macht, wenn man für Oracle argumentiert, ähm, aber man kann, ähm, also ich weiß jetzt eher, dass, egal, ich fand's einfach nur lustig, dass du sagst, du machst dich zum Teufelsadvokaten und jetzt rede ich mal hier pro Oracle.

00:46:51: Da kommt zusammen, was zusammen gehört.

00:46:53: Aber sind die nicht, egal, das führt hier zu nichts.

00:46:56: So, jetzt gucken wir uns das Ganze mal auf der technischen Seite ein bisschen an.

00:47:02: Denn das ist eine Exploit-Kette, die ich auch ganz interessant fand, um sie sich mal technisch ein bisschen genauer anzuschauen.

00:47:07: Also wenn ihrs Code-Zeilen genauer sehen wollt, also auch mit den tatsächlichen... Valen abilities wo ihr dann anhand der code block auch ein kleines bisschen für euch selber raten könnt wo ist jetzt hier der eintrittspunkt?

00:47:16: wo werden jetzt hier daten nicht ausreichend validiert und an subsystem weitergegeben?

00:47:20: dann könnt ihr das im watchtower block den wir die üblich eben in den show notes verlinkt haben rekapitulieren.

00:47:26: wundert euch nicht denn auch die kollegen von watchtower sind nicht frei von viel.

00:47:30: sie haben nämlich Die url verhunzt und weil die url in dem oracle advisory so schön kurz ist mit apply july cpu haben die jetzt einfach den titel des blockarticles gleich zweimal in die url gepackt ist also kein typo.

00:47:41: ihr könnt da drauf klicken und dann kommt der blockartikel.

00:47:46: Jetzt gucken wir uns mal den diesen exploit kette an und wir beginnen damit dass wir vor einem web server steht mehr oder weniger also dieses oracle ebs ist am ende.

00:47:59: von außen sieht es aus wie ein web server.

00:48:02: Und jetzt beginnt die die exploit kette mit einer server site request forgery also dass man den den angreifen den server zwingen kann mit einem kleinen trick beliebiger http requests zu schicken und zwar auch von außen ohne anmeldung.

00:48:21: das wäre jetzt eigentlich schon der erste cfe.

00:48:23: diese ssrf und das ist in der logik von configurator slash ui surflet und Da kann ich die gerade schon gesagt ohne ohne anmeldung ran kann dann also dafür sorgen, dass dieser web server irgendwelche htp requests verschickt.

00:48:39: Das ist jetzt so ohne weiteres noch kein exploit, den ich für code execution nutzen kann, sondern ich kann den einfach nur dazu bringen irgendwelche htp requests rauszuschicken, ohne dass da jetzt erstmal was passiert.

00:48:51: Das kommt im zweiten Schritt.

00:48:54: Man kann nämlich in.

00:48:55: diesen angreifbaren Code oder in dieses angreifbare Eingrabefeld, wo dieser Prost-Request aus, oder dieser HTTP-Request ausgelöst wird, jetzt habe ich es gespoilert, kann man auch Newlines initiieren.

00:49:08: Und diese Newlines, die sind in HTTP-Request dafür notwendig, um den Request, also sagen wir mal, Gap slash irgendwas, von den Headern abzutrennen, die nämlich darunter stehen, immer schön ein Header pro Zeile.

00:49:23: Und so kann Ich verkürze das ein kleines bisschen, man diesen Web-Server von Oracle eBusiness Suite dazu zwingen, nicht nur die normalen Get-Request, um irgendeinen URL zu holen, abzusetzen, sondern auch Post-Request, also quasi um Formulare auszufüllen mit irgendwelchem Payload drin, also einem Post-Body.

00:49:46: Zusätzlich brauchen wir hier noch ein weiteres, das ist eigentlich der zweite CVE, das dritte Problem oder das dritte Teilproblem ist nicht so richtig ein CVE, sondern ist, dass HDTP Equipment Live da angeschaltet ist.

00:49:57: Das brauchen wir dann, um diesen Verbindungskontext mehrfach nutzen zu können, um also von Get auf Post umzuschalten.

00:50:02: Denn das Ziel ist im Grunde, um hier schon mal so einen kleinen Ausblick zu geben, warum wir ja nicht mit diesem Get und Post hier rumbühnen, dass wir in einem Postrequest ein Datenfeld mit Schadcode.

00:50:16: verpacken, dass irgendwie an den webserver schleusen oder an irgendein subsystem des webservers und dass der das dann ausführt.

00:50:22: das ist unser ziel für diese remote code execution und da müssen wir jetzt hin.

00:50:25: wir sind also dabei den webserver zu zwingen beliebige post requests irgendwo hinzuschicken und das ist ja jetzt immer noch nicht so richtig geil.

00:50:33: die kannst du jetzt nutzen um dem webserver an einem denial of service zu beteiligen oder spam zu verschicken oder sowas so formular spam.

00:50:41: aber das ist immer noch nicht richtig cool.

00:50:42: was wir ja wollen ist dieses diesen E-Business-Suite-Server selber übernehmen.

00:50:48: Da hilft es uns aber nicht, wenn wir den dazu zwingen irgendwelche ausgehenden Request ins Internet zu schicken oder auf irgendein anderen Webserver.

00:50:54: Außer, wir finden eine weitere Komponente von dem EBS, die auch ein Webserver ist.

00:50:59: Also entweder wir lassen ihn diese Post-Request an sich selber verschicken.

00:51:03: Das bringt aber nicht viel, weil wir an der Authentifizierung nicht vorbeikommen.

00:51:07: Oder wir finden eine weitere Komponente, die möglicherweise weitere Sicherheitslücken hat, wo wir reinkommen.

00:51:13: Und diese Komponente gibt es tatsächlich bei eBusiness Suite.

00:51:16: Die heucht, die nennt das Application Core in dem Watchtower Block, die heucht auf Port seven two zero eins TCP auf dem Server, auf dem wir uns hier gerade befinden.

00:51:29: Also dem eBusiness Server ist also vielleicht ein internen Web Server noch oder irgendein Applikations Server, der halt auf einem lokalen Port heucht und auch wirklich nur auf einem lokalen Port.

00:51:38: Das bedeutet, der heucht nicht ins Internet, auf diesem Pseudointerface.null.null.null.null oder doppel.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.null.

00:52:03: Der Angreifer kennt diese IP-Adressen nicht.

00:52:13: Der kann also nicht sagen, mach mir jetzt mal ein Post-Request an die hundred seventy-sechzehn, eins, zwei, weil die nicht statisch ist.

00:52:20: Die ist auch nicht ermittelbar, um die ermitteln zu können, müsste man ja schon irgendeine Code-Execution haben, um DNS-Lookups machen zu können oder ein Portscan oder so.

00:52:28: Haben wir aber nicht.

00:52:30: Jetzt hat Oracle uns... Holger hat ja im Grunde das gleiche Problem im E-Business in der E-Business Suite.

00:52:36: Die wissen nämlich auch nicht, auf welcher IP-Adresse diese Applikations-Server heucht.

00:52:39: Also machen sie irgendwie so, das wird wohl irgendwie, weiß ich nicht, ob das ein Automatismus ist, wie das gebaut wird.

00:52:44: In der ITC Hosts, also in der manuell setzbaren Hosts-Datei, wo fixe Zuordnungen von IP-Adressen zur Hostname stehen, steht dann drin App, also wie die Applikation, ne, apps.example.com.

00:52:58: ist bitte ein Allias für genau diese IP-Adresse, die wir suchen.

00:53:02: Das heißt, ich weiß jetzt zwar die IP-Adresse immer noch nicht, brauche ich aber auch nicht, ich nehme einfach einen Hostname, das ist sowieso schöner, kann ich HTTPS ONE zu sprechen, alles prima und kann also ein Post-Request durch diesen verwundbaren EBS-Server an den Server-Kern von EBS oder diesen Applikations-Server auf POS seven two zero eins schicken lassen und bin schon mal einen schritt weiter.

00:53:26: jetzt kommt also bei diesem server kern ich nenne immer einfach weiter so der ein post request an.

00:53:32: aber da zum glück ist nicht einfach nur ja du bist jetzt sowieso im internen netzwerk du darfst jetzt ohne auto identifizierung weiter angesagt sondern natürlich macht oracle da voll zero trust.

00:53:45: das heißt du musst auch hier eine autentifizierung irgendwie.

00:53:50: Vorweisen oder umgehen können und zwar für viele der url fahre vor allem für die auch an den wir hinterher dran wollen weil wir nämlich schon wissen dass da ein verwundbares java server drauf ist.

00:54:01: Die sind geschützt aber offenbar durch so ein filter logik die mit manchen sachen nicht ganz so gut klar kommt wie mit anderen unter anderem mit diesen dieser verräterischen zeichnen.

00:54:11: kommunikation punkt punkt schrägstrich also pass traversal.

00:54:15: da sind wir jetzt beim eigentlich vierten problem also die an dieser authentifizierung dieses dieses application servers vorbeizukommen.

00:54:28: Und diese path traversal, baue ich mir dann zusammen indem ich einfach eine url nehme wo ich hin will und das ist in diesem fall oa unterstrich html slash iishostedsurvey.jsp.

00:54:41: das ist unser ziel wo wir hin wollen.

00:54:43: und dann packe ich da einfach dazwischen, dazwischen das, dazwischen den Pfad der, also den Dateinamen und den, den Slash davor, ein Slash Help, Slash Backslash Punkt, Backslash Punkt und dann bin ich durch diese path traversal Lücke raus, weil die URL wird risolft zu demselben.

00:55:03: Ich muss jetzt hier leider, es tut mir leid, ich habe hier parallel in den Notizen gearbeitet und dadurch jetzt Christopher hier aus dem Konzept geworfen, also Slash Punkt Punkt, die Backslashes sind von mir, da wird unser Markdown-Editor hier nicht rumspinnt.

00:55:14: Aber Eifernball liest Christopher in dem Code und nicht in dem gerenderten Markdown.

00:55:18: Deswegen habe ich ihn jetzt hier dazu verleitet, was falsch ist vorzulesen.

00:55:21: Das tut mir sehr leid.

00:55:22: Also es geht einfach nur.

00:55:25: Genau, schön.

00:55:27: Also ich lese direkt in der Matrix, weil ich das in meinem Markdown-Editor durch die farbliche Markierung besser zu lesen finde.

00:55:34: Also die Backstages denken uns weg, ist auf Wumpe, Path to Versus funktioniert immer auf die gleiche Art.

00:55:39: Die URL wird gesolft zu, wir lassen das Slash Help einfach weg und gehen dann direkt auf diesen Pfad.

00:55:45: Und die Filterlogik sieht aber diese vollständige URL und kommt mit diesem Punkt.Slash nicht klar.

00:55:51: und dann... Kommt es, wie es kommen muss, wir kommen also ohne Authentifizierung an diese Datei.

00:55:56: IEShostedSurvey.jsp.

00:55:58: Das ist, diese Part traversal ist das nächste Problem.

00:56:02: Also, dass der URL Filter nicht vernünftig funktioniert.

00:56:06: Jetzt sind wir also in einer Datei, JSP, Java Surveillance Pages.

00:56:12: auf einem Web-Server, auf dem wir schon eigentlich gar nicht hätten kommen sollen, weil der nur auf einem lokalen Netzwerk-Interface auf dem EBS horcht.

00:56:21: Und jetzt müssen wir aber noch irgendwie Code ausführen.

00:56:23: Also das soll es schon sein, weil sonst ist die Export-Stand keine Export-Stand.

00:56:26: Das sind zwar alles so irgendwie, weiß ich nicht, fünfer bis siebener CVSS-Exports, die wir jetzt hier gerade verbrannt haben, aber das ist noch nicht so das Wahre.

00:56:34: Und die kommt jetzt diese Lücke.

00:56:36: und die Lücke gemahnt an eine der vergangenen Folgen, und zwar an Folge einundvierzig, da haben wir über das Thema XSLT gesprochen.

00:56:42: Aber in einem anderen Kontext, da ging es um XSLT im Browser, dass Google, also das Chrome-Team, wenn ich mich richtig erinnere, so ein bisschen als latente Sicherheitsprobleme wahrnimmt und die Diskussion anstarten wollte, ob man das vielleicht mal ausbauen könnte.

00:56:56: XSLT, also XSL Style Sheet Transformations gibt oder XML Style Sheet Transformations.

00:57:04: So ist es glaube ich richtig.

00:57:06: Gibt es aber auch auf dem Server und auch da gibt es immer mal wieder Security Probleme, weil am Ende eine Prozessierung von nicht vertrauenswürdigen XSL Templates Code Execution ist.

00:57:20: Da kannst du Code drin einbauen und der Witter evaluiert.

00:57:25: Das ist auch genau das, was jetzt hier unser Ziel ist.

00:57:28: Dann hinter dieser Java Server-Page steckt ein... Programm also irgendwas mit irgendwelchen surveys.

00:57:34: da steht auch lustigerweise einmal auch relke statt oracle das eine xsl-datei aus.

00:57:42: Einer vom angreifer kontrollierbaren url herunterlädt und die prozessiert und dann damit sind wir am ziel.

00:57:51: und diese verwund diese diese vom angreifer kontrollierte url sieht auf den ersten die gar nicht aus wie eine vom angreifer kontrollierte url weil.

00:57:59: Der einzige Teil der der Angreifer kontrolliert ist der Hostname.

00:58:02: Den holt sich nämlich dieses jsp aus dem host header des http requests und das ist das was wir dann als angreifer manipulieren können.

00:58:12: der rest wird hinzugefügt also eine http vorne und irgendein Dateiname hinten der irgendwie hart kodiert ist.

00:58:19: Aber alles in allem können wir jetzt eine exploit kette zusammensetzen die also von vorne bis hinten so funktioniert.

00:58:24: wir machen.

00:58:26: Wir gehen an die erste verwundbare URL mit einem Post-Request dran und nutzen aus, dass Keep Alive an ist.

00:58:36: Die Kollegen von Watchtower haben auch quasi so ein Copy-Pasteable-Request damit drin.

00:58:44: Hostname ist in dem Fall notactuallywatchtower.com, stop e-mailing us about IOCs.

00:58:48: Das bin ich auch ein bisschen drollig.

00:58:52: Und in diesem Post ist ein XML Code Snippet drin und eben HTTP-Header für diesen vom Angreifer kontrollierten Webserver, denn den brauchen wir.

00:59:10: Da kommt dieser Request nach dem XSL-Style-Scheeter.

00:59:14: Der Angreifer noch irgendwo sich auf einer Vm oder was weiß ich, wo hinter irgendeinem Cloudflare-Tunnel einen Web-Server anstarten, der dann dieses XSL ausliefert.

00:59:24: Und das kommt dann im übernächsten Schritt.

00:59:27: Also wir konstruieren diesen Request mit dem gefälschten Host-Header und der geht dann im Grunde an, dass an unser Ziel auf dieser lokalen IP-Adress-Apps.exampl.com.

00:59:39: Ich will immer sieben, zwanzig, null, fünfzehn sagen, weil die Älteren erinnern sich vielleicht, das ist der Standardport von Half-Life-Servern.

00:59:46: Ich habe sehr lange Game Server Hosting gemacht.

00:59:49: Dieses verwundbare JSP schickt dann an diesen gefälschten Host-Header eine Anfrage nach der Datei XIIShostedSurvey.xsl und der vom Angreifer kontrollierte Web-Server, den man sich mal eben schnell in den Peisen baut oder mit NetCut oder was auch immer, schickt dann einen XSLT zurück mit... Einer Basequad, wir sind sechzig quadierten reverse shell in xsl variablen also in so so xsl doppelpunkt variable text und das wird dann.

01:00:20: Transformiert und damit ausgeführt und da ist dann als letzte zeile ein e-Wall drin.

01:00:25: und das e-Wall also evaluate für dann den Schadcode aus für eine reverse shell oder m minus f und so weiter.

01:00:32: und letzter Schritt ist dann das der ibs gepaunt ist.

01:00:35: das ist also die exploit kette.

01:00:37: die mindestens fünf CVS kriegen sollte, aber hier nur einen gekriegt hat.

01:00:42: Das wäre dann aber eine schöne Möglichkeit für Oracle zu sagen, ja Moment mal, das ist ja hochkomplex, also ist das ja gar keine neun, acht, weil Attack-Complexity ist ja high.

01:00:52: Nun ja, wie high ist die Attack-Complexity, wenn ich buchstäblich nur einen Exploit auf Telegram herunterladen und ausführen muss und dann bin ich drin.

01:00:59: Das erste Zusammenbasteln ist zwar komplex, alles andere geht dann aber für jeden Der die Möglichkeit hat ein Web Server irgendwo zu starten und ein paar Alpen Skript auszuführen ist also auch wenig komplex.

01:01:11: Also durchgehächelt.

01:01:13: Ja technisch durchgehächelt technisch ja auch interessant.

01:01:17: Und zwar also eigentlich jeder einzelne von diesen Schritten ist technisch interessant.

01:01:20: Du hast gesagt, also sollte mindestens sozusagen pro Schritt eine CVE dran.

01:01:25: Es ist eine Frechheit sozusagen, so zu tun, es hätte man hier eine Lücke in seinem Produkt gehabt oder so.

01:01:30: Also die haben sich da ja durchgegraben von einem Loch ins nächste.

01:01:36: Und ja, also wir müssen glaube ich will noch mal irgendwie über CVE und CVSS und so reden und so, weil so funktioniert es einfach nicht.

01:01:44: Also was soll das denn?

01:01:48: Ich würde ja dann auch davon ausgehen, also... Wenn man eben da drauf guckt und sieht ach na und hier da versagt irgendwie die die die die Authentifizierung am Passchecking und hier lädt er einfach irgendein XSLT und macht halt was da drin steht und hier stellt er einfach Web-Anfragen und so.

01:02:07: Also wenn das so aussieht in dem System, dann kann man da wahrscheinlich auch noch viel viel mehr Lücken finden.

01:02:15: die dann wahrscheinlich auch keine CVEs kriegen, weil ja irgendwie nur voll der Export Chance eine CVE bei Oracle kriegen oder so, aber also das ist ja grauenvoll.

01:02:25: Ja, also es ist schon eine Spielwiese, deswegen sage ich auch die Acht Acht Vier hinten ist nochmal ein weiterer, nur sieben Komma Vier exploit, aber oder sieben Komma Vierer Lücke, aber das kann man möglicherweise auch wieder verketten mit irgendeiner unsicheren Komponent und ist dann auch wieder bei seiner Remote Code Execution mit unautorisiert.

01:02:44: ohne Identifizierung und übers Internet.

01:02:47: Natürlich sind solche komplexen Systeme, komplexe Systeme, die stören reichlich Legacy mit sich rum.

01:02:53: Und das hat sicherlich auch alles irgendwie mal einen Grund gehabt, warum die das so gebaut haben.

01:02:57: Aber ja, da kann ich meine Statements zum Microsoft recyceln.

01:03:02: Es handelt sich hier um einen der größten Softwarekonzerne der Welt.

01:03:06: Und dieser eine Größe und auch nicht einen der günstigsten Softwarekonzerne der Welt, das ist jetzt auch nicht so, dass das irgendwie so neun Euro, neunzig Ausverkaufsprodukte sind, die Oracle verkauft, sondern die sind ja quasi der Enterprise Software Hersteller und alles ist irgendwie Enterprise Grade.

01:03:20: und dann muss man sich auch Enterprise Grade daran messen lassen, was man da so bastelt.

01:03:27: Ja, und der Zusammenbau zu einer Kette ist technisch beeindruckend und interessant oder so, aber die einzelnen Sachen sind jetzt nicht, also server-side-request-forgery ist eigentlich, also es ist eine relativ simple Sache, dass es halt nicht vorkommen können sollte.

01:03:43: Allein die Tatsache, dass ich da in den Server hingehen kann und der stellt dann eine HTTP-Anfrage an, ein beliebiges Ziel von mir.

01:03:51: Ah, das ist, also dann sollte man sich schämen, wenn man es drin hat.

01:03:55: Und egal, ob man Oracle heißt oder nicht.

01:03:59: Solche New Line Injections.

01:04:00: Das ist ja auch das älteste Problem überhaupt.

01:04:03: Das sind alles die Sachen, wenn er so Jede einzelne davon ist irgendwie so ein bisschen unangenehm, so was zu haben und das dann einräumen zu müssen, aber dass es davon fünf gibt, die man aneinander hängen kann.

01:04:16: Und dann man nicht mal sagt, so ui, da haben wir wirklich tief in die Toilette gegriffen und betrifft auch noch irgendwie verschiedene Komponenten und das Produkt und so weiter, wo alles sehr unangenehm, sondern, ja gut, da hatten wir jetzt eine CVE, das ist, finde ich, einfach unehrlich.

01:04:33: west tief blicken.

01:04:34: ich wollte einen kleinen punkt machen.

01:04:36: also ich weiß ich hab dazu eine tier.

01:04:37: ich find es total interessant und kurios dass sie da mit dieser example.com in den hosts agieren.

01:04:49: Exempel.com ist ja eigentlich definiert als für doku also für dokumentation.

01:04:55: Also ich hätte es angenommen dass wenn sie die schon da sozusagen eine lokal aufgelöste url reinschreiben das dann da halt sowas steht wie apps.

01:05:03: Punkt oracle.mai oder keine Ahnung.

01:05:05: was also irgendein so ein kram wo wieder sagt hey.

01:05:08: Habt ihr euch hoffentlich vorher irgendwie das reserviert und so?

01:05:11: aber das da dotexample.com genutzt wird.

01:05:14: also halte ich a für falsch wobei ich jetzt stand da die studieren müsste ob man das darf oder nicht.

01:05:21: Und für mich riecht es also danach so naja aber wir wollen in der doku.

01:05:25: Oder wir haben in der Doku example.com geschrieben, weil dafür ist example.com da und da geben die Leute das aber über genau so ein, man können die nicht zumuten, dass sie da irgendwie ihre, ihre lokalen Maschinennamen oder sowas einsetzen.

01:05:36: Also müssen wir jetzt auch example.com lokal irgendwie auflösen.

01:05:40: Oder hast du eine Idee, wieso diese TLD, ne?

01:05:46: Eine.

01:05:48: Ich will mal noch mal ganz kurz ein bisschen was zu diesem ganzen Verhalten rund um diese Lücke sagen.

01:05:53: Oracle hat sich da, was hast du gerade im vorherigen Item gesagt, cheb ich Verhalten?

01:05:57: Ich finde das, das kann auch kein Versehen sein.

01:06:00: Wenn da jemand erstmal seine eigenen Kunden Gas leitet und sagt hier, wenn ihr jetzt geohnt werdet von Klopp, dann seid ihr sicher selber schuld, weil ihr unsere Updates nicht eingespült habt.

01:06:09: Das geht schon mal erstmal gar nicht.

01:06:10: Enterprise Kunden wohlgemerkt.

01:06:12: Das ist jetzt hier nicht.

01:06:14: Herr Kunst, der auf seinem Gaming PC mal das letzte Windows Update nicht eingespielt hat, sondern das sind Enterprise Kunden, wo man sich auch an etwas anderen Umgang möglicherweise wünscht, wenn man schon hunderttausend oder Millionen im Jahr einschmeißt.

01:06:26: Und dann ändern die Klammheimlich noch das komplette Narrativ.

01:06:29: Also einfach ohne auch irgendeine Spur davon hinzuhinterlassen.

01:06:33: Und ich muss wieder anfangen, irgendwelche Screenshots aus der Wayback-Maschine rauszuklauben.

01:06:37: Findet die dann nicht mal und habe dann zum Glück irgendwo noch auf Hacker News welche gefunden.

01:06:42: Das geht gar nicht.

01:06:44: Also alleine schon seine Dokumentationen nicht.

01:06:51: dem der wegmaschinen zugänglich zu machen und dafür zu sorgen dass der url gepurscht wird das ist schon mal die erste schofeligkeit wo ich ein bisschen blutdruck kriege und dann das so zu ändern dass es überhaupt keine transparenz gibt.

01:07:03: das geht nicht.

01:07:04: sowas ist absolut das absoluter miss und es auch.

01:07:08: nicht nur unfreundlich den Leuten, die informiert werden möchten, so wie unsere Hörer und Leser oder uns selber, sondern den eigenen Kunden und deren Administratoren gegenüber, weil die montags morgens aufwachen und einen vollkommen anderen Informationsstand vorfinden, als der, mit dem sie am Freitag relativ beruhigt ins Wochenende gegangen sind.

01:07:24: Und wenn man dann nicht rund um die Uhr irgendwelche Telegram-Channels von irgendwelchen britischen oder amerikanischen Kreckergruppen monitort, dann merkt man halt erst drei Tage später, dass es dann zero bzw.

01:07:35: in dem Moment one-end-day explode gab, der gepatched gehörte.

01:07:38: Also, das kannst du machen.

01:07:41: Nee, kannst du eigentlich nirgendwo machen.

01:07:43: Nie.

01:07:43: Ich wollte schon anheben zu sagen, das kannst du machen, wenn du das alles Auto patchst, aber selbst dann geht das nicht und das hat ja sogar Microsoft nicht erkannt.

01:07:51: Und dann hast du so ein Blockartikel, es gibt ein Blockartikel und es gibt ein Security Advisory.

01:07:56: Den Blockartikel, den haben wir jetzt hinter uns, dann gibt es noch ein Security Advisory von Oracle mit so ein bisschen vollautomatischen Informationen, hauptsächlich irgendwelchen Disclaimern und warum wir CVE und CVSS so vergeben, wie wir das tun, so alle möglichen, ja so Procedural Dokumentation.

01:08:12: Und dann haben sie da IOCs drin.

01:08:13: Und diese IOCs, da könnte ich auch schon gleich wieder, da muss ich, da möchte ich draufhauen.

01:08:18: Das ist eine Frechheit für ein Unternehmen von der Größenordnung, solche, sowas als Indicators of Compromise zu verkaufen.

01:08:25: Das sind zwei IP-Adressen, eine VM aus Norwegen und eine VM aus Panama.

01:08:30: Die wohl von Angreifern genutzt wurden.

01:08:32: und dann stehen da die da drei Dateinamen drin, nämlich der einer ZIP.

01:08:35: Dateinamen ist Oracle, EBS, Endday, Exploit, POG, Shattered, Lapsus, Retard, Klop-Hunters, Punkt ZIP.

01:08:42: und dann folgerichtig noch der zweite, das ist ein eigener IOC.

01:08:46: dann, der, die eben die five, oder schaar eins Prüf Summe von der Datei EXP.Py und der Datei Server.Py, was so ein Bearbones Web Server in Python ist, der nur dieses Exploit.

01:08:59: XSL ausgibt.

01:09:00: Diese beiden Dateien und die ZIP-Datei landen aber nie auf einem exploiteten EBS.

01:09:06: Wie sollen die denn als Indicator of Compromise genutzt werden, wenn die da nie landen?

01:09:10: Was da landet, sind HTTP-Requests.

01:09:12: Die kann ich als Indicator of Compromise nehmen.

01:09:14: Und wenn ich sehe, da ist im Log der entsprechende Log-Eintracht gelandet für so einen komischen HTTP-Request auf diesen Proz.

01:09:24: habe ich dann möglicherweise ein Problem.

01:09:25: und wenn jemand diese IES-hostedsurvey.jsp abruft, dann habe ich möglicherweise ein Problem.

01:09:30: Aber ist es sicherlich kein IOC, einfach den Hashtys exploits zu veröffentlichen und zu sagen, guckt mal hier, wenn ihr den findet, habt ihr ein Problem.

01:09:37: Den finden die nie, die Leute, die angegriffen wurden.

01:09:40: Kann ich überhaupt nicht nachvollziehen.

01:09:42: Also ich bin ziemlich sicher, dass da einfach jemand gesagt hat, komm, das Ding haben wir, das schreiben wir jetzt mit rein und fertig.

01:09:47: Und wir überlasten es mal den echten professionellen Security Forschern, also Leuten wie Tenable, Leuten wie den Watchtower Labs, da für Klarheit zu sorgen und unsere eigenen Kunden mit Indikatoren zu versorgen, ob sie möglicherweise erfolgreich angegriffen wurden.

01:10:04: habe ich null Verständnis für.

01:10:06: Das ist nicht nur unprofessionell, das ist eine Beleidigung von Leuten, die irgendwas mit Security zu tun haben.

01:10:12: So, das dazu.

01:10:15: Geht es dir jetzt besser?

01:10:17: Nein, weil Oracle wird es ja beim nächsten Mal nicht besser machen.

01:10:20: Ich bin auf der ITZ ein paar Mal gefragt worden, ob das nicht frustrierend ist, immer gegen sowas anzurennen.

01:10:24: Natürlich ist das ein bisschen frustrierend, deswegen ist das Venting schon manchmal hilfreich, aber keine Ahnung, wir können jetzt schon wieder ein Slot in einem Monat reservieren, da werden beim Podcast wieder über sowas reden.

01:10:33: Das ist einfach so.

01:10:36: nur noch als kleiner nachklappt.

01:10:38: nicht nur bei watchtower und co kann sich die Betroffenen Kunden ihre Infos zusammensuchen.

01:10:42: die Caesar hat auch relativ.

01:10:44: Zügig trotz shut down die Lücke in die known exploited vulnerabilities Datenbank aufgenommen da auch das Häkchen gesetzt für wird in ransomware Kampagnen ausgenutzt.

01:10:54: also wer das jetzt noch nicht gepatched hat der sollte schleunig zu sehen dass er rettet was zu retten ist und gegebenenfalls.

01:11:01: Wenn er noch nicht das Gefühl hat, geohnt worden zu sein, trotzdem mal sehr genau hinschauen, weil ich mir vorstellen könnte, dass da schon jemand drauf war, denn das ist so leicht skrippbar und so leicht vollautomatisierbar, dass man da also vollautomatisierte Angriffskampagnen unheimlich schnell mit realisieren kann.

01:11:20: Ja.

01:11:23: Okay.

01:11:24: Wir kommen zu was sehr viel erfreulicherem als Oracle und als Das war Halten von Oracle, und zwar zu dem Messenger Signal und einem neuen Protokoll, das er vorgestellt hat.

01:11:38: Das nennt sich SPQR für Senatus Populusket, nee.

01:11:43: Kommen wir gleich dazu, wofür es steht.

01:11:45: Ein kleiner Refresher, oder worum geht's überhaupt?

01:11:49: Signal baut, quanten, komputerresistente Verschlüsselung allmählich in sein System ein.

01:11:55: Wir hatten ja in Folge thirty-two dazu.

01:11:58: eine eigene Podcastfolge, wo auch Sabrina und Wilhelm hier zu Gast waren und erklärt haben, was der Stand bei Quantencomputern ist und welche Gefahren sie darstellen und bei der Gefahrenabwehr.

01:12:12: Kleiner Refresher Quantencomputer bedrohen im wesentlichen asymmetrischen Verschlüsselungsverfahren.

01:12:17: Symmetisch Verfahren kam man schützen, indem man die Schlüssel verdoppelt und gut ist.

01:12:23: die etablierten asymmetrischen Verfahren, die sind sehr viel anfälliger, da braucht es neue Verfahren, da gibt es auch schon neue Verfahren.

01:12:30: Und was es noch nicht gibt, ist Quantencomputer, die in dieser Liga spielen, also die de facto wirklich so was wie RSA oder elliptische Kurven, Krypografie brechen können.

01:12:43: Man weiß halt auch nicht sicher, wann und ob es die geben wird, das ist alles ein sich entwickelndes Forschungsfeld.

01:12:52: Trotzdem hat man, macht man sich jetzt schon Sorgen, weil es diese Idee von Harvest Know Decrypt-Later-Angriffen gibt.

01:12:59: Also man könnte aktuell Dinge, die interessant sind oder die vermutlich interessant sind, das Verschlüssel des Schiffraht aufzeichnen und dann in der Zukunft, wenn und falls man eine Quantencomputer hat, die Verschlüsselung brechen und halt die Inhalte lesen.

01:13:17: Und abhängig von den Inhalten ist das völlig wurscht, weil die dann veraltet sind oder halt immer noch ein ziemlich großes Problem.

01:13:23: Das BSI rät dazu, dass man bis zu zwanzig dreißig auf Quantensicherverschluss noch umgestellt haben sollte.

01:13:31: Für Zitat hoch sind sie die Anwendungen.

01:13:35: Und ich glaube, da kann man das Signal doch aus darunter subsumieren.

01:13:39: Natürlich wird auch viel einfach banales drüber gechattet, aber es gibt dem auch sehr hoch.

01:13:44: sehr schützenswerte Chats auf Signen.

01:13:48: Fehlgeleiteterweise gibt es sogar diverse Regierungen, die über Signen sich austauschen und ihre Kriegs- oder Angriffspläne spielen.

01:13:58: Nicht nur ihre Kriegspläne, sondern auch automatisch löschen auf ihrem Messenger wie gewisse EU.

01:14:04: Was ist denn der Kommissionspräsidentin?

01:14:06: Ich vergesse es immer.

01:14:07: Die Wertefrau von der Leyen, Borene Albrecht.

01:14:11: Das ist wichtig, aber die hat eh ein Problem, wenn sie endlich die Chat-Kontrolle ausrollen und das Signal hier rausgeht, dann weiß ich nicht, da muss sie wahrscheinlich mit WhatsApp chatten oder so.

01:14:21: Also, Quantencomputer sind ein Problem für asymmetische Verschlüsselung.

01:14:25: Jetzt kommen wir zu Signal und ich meine, was das hier gesagt wird, ich rede jetzt über Signal, weil die haben ein neues Protokoll veröffentlicht, aber die meisten Ende-zu-Ende-Verschlüssel in den Messenger machen im Prinzip was Ähnliches.

01:14:39: Die eigentliche Verschlüsselung ist symmetrisch.

01:14:41: Ich glaube, wir nutzen AES.

01:14:43: Das ist, wie gesagt, relativ unproblematisch.

01:14:45: Das Problem ist die Aushandlung der Schlüssel dafür und die Authentication.

01:14:51: Allgemein, es ist ja faszinierend überhaupt, dass man, oder andersherum, ich möchte Christopher eine verschlüsselte Nachricht zukommen lassen mit einer symmetrischen Verschlüsselung.

01:15:01: Das bedeutet, Wir müssen irgendwie den gleichen Schlüssel haben, dann kann ich damit verschlüsseln, er kann damit entschlüsseln.

01:15:09: Und daraus erwächst dann das Problem, naja, wie lasse ich in diesen Schlüssel zukommen?

01:15:13: Wenn ich ihm den einfach gebe, dann kann ein Anreifer den unterwegs mitlesen.

01:15:18: Und auch sämtliche Nachrichten, die ich damit verschlüsseln und mitlesen.

01:15:24: Und wenn ich einen WK habe, ihm diesen Schlüssel zukommen zu lassen, ohne dass irgendein Angreifer das mitschneiden kann, dann habe ich ja mein Problem schon gelöst, dann brauche ich ja keine summierte Verschlüsselung mehr, ich habe ja schon eine Kommunikationskanal, der irgendwie auch immer jetzt geartet ist, der geschützt halt mit Christopher kommunizieren kann.

01:15:45: Das heißt, es ist so ein bisschen in den Eiproblemen.

01:15:47: Und faszinierenderweise gibt es dafür Lösungen, unter anderem eben den Diffy-Helmen-G-Exchange, also es ist ein Protokoll, mit dem kann ich, also ich und Christopher können sozusagen dieses Protokoll gemeinsam ausführen und am Ende haben wir beide einen gemeinsamen geheimen Schlüssel, den wir hernehmen können für Symmetische Verschlüsselung und ein Angreifer, der alles beobachtet hat, was wir so über die Leitung geschickt haben, kennt dieses Geheimnis nicht.

01:16:15: Wenn euch das interessiert, Wikipedia-Artikel oder so dazu ist, ich finde es immer wieder faszinierend, sich das zu vergegenwärtigen, dass es überhaupt geht.

01:16:25: Ein Verfahren, das Signal eingeführt hat, was auch ziemlich cool ist, nennt sich X-III-DH, also Triple-Diffy-Helmen.

01:16:33: Und zwar hat er, also aus verschiedenen Gründen, aber der Grundsätzliche Diffie-Helmen-Algorithmus hat das Problem, dass beide Partner sozusagen gemeinsam das machen müssen.

01:16:43: Und in einem Messenger ist es ja in der Regel so, naja, ich will jetzt gerade Christopher zum ersten Mal was schreiben oder so, Christopher weiß davon nichts, Christopher ist vielleicht auch gerade gar nicht online mit seinem Messenger.

01:16:53: Das heißt, so ein System braucht eine Möglichkeit, das irgendwie Asynchron durchzuführen und dieser Triple Diffie-Helmen-Exchange von Signal, der leistet eben genau das.

01:17:03: Sowohl Christopher kann mich kontaktieren zu einem Zeitpunkt, wo ich nicht online bin und umgekehrt.

01:17:08: Und das war der erste Durchbruch, den den Signal so gebracht hat.

01:17:14: Dieses Verfahren haben sie schon zwanzig drei und zwanzig umgestellt auf PQXDH.

01:17:20: Also Post-Quantum X-Diffy-Helmen.

01:17:23: Ich glaube, X steht einfach nur für mehr als einer oder so.

01:17:26: Ich weiß nicht.

01:17:27: Also ursprünglich stand es ja für drei, X drei, ich weiß es nicht.

01:17:29: Egal.

01:17:30: Der Punkt ist, Sie haben dieses Initiale Schlüsselaushandeln auf den Postquanten sicheres Verfahren umgestellt, wobei das nur für das Schlüsselmaterial gilt.

01:17:41: Also diese Initiale Schlüsselaustausch, der dient auch dazu, diese Signaturen zu definieren, die wir dann auch später nebeneinander halten können mit diesen QR-Codes und so.

01:17:53: Und dann kann ich sicher gehen, ach guck an, das ist tatsächlich Christopher.

01:17:57: mit dem ich hier chatte und nicht irgendwie jemand, der sich hier die Leitung geklinkt hat.

01:18:02: Das ist nach wie vor nicht Post-Quantansicher, also da hat Signal noch was zu tun.

01:18:07: Aber den initialen Schlüssel austausch und wir einigen uns auf einen Schlüssel und niemand, der einfach nur die Leitung beobachtet, kann diesen Schlüssel kennen, dass das Quantansicher.

01:18:16: Christopher hat hier gerade in die Show Notes reingeschrieben, dass X steht für Extended, also ist der Post-Quantum Extended Defi-Helmen Key Exchange.

01:18:24: doch das alles alt wie gesagt von zwanzigzehn zwanzig der punkt ist signal macht er sehr viel mehr.

01:18:29: wenn man das nur so machen würde dann wäre man im prinzip bei so einem system wie wie pgp also flüssel die e-mails oder so.

01:18:34: na wir handeln so ein schlüssel aus auf eine art und weise das niemand den kennen kann außer uns beiden.

01:18:39: und dann nehmen wir den halt hier für immer und Das ist im Prinzip okay und fällt halt in sich zusammen, so wie man davon ausgeht, dass man früher oder später ein Sicherheitsproblem haben könnte und dieser Schlüssel kompromittiert wird.

01:18:56: Weil dann, angenommen, wir handeln diesen Schlüssel einmal aus.

01:19:00: Da benutzen wir den für die nächsten zehn Jahre.

01:19:03: Irgendein Angreifer schneidet alles, was hier austauschen, an verschlüsselten Nachrichten mit.

01:19:08: Und in zehn Jahren kompromittiert er dann meinen Gerät, kommt dann diesen ausgehandelten geheimen Schlüssel ran und kann nicht nur ab dann mitlesen, sondern er kann auch alles, was er in den letzten zehn Jahren aufgezeichnet hat, mit diesem Schlüssel entschlüsseln.

01:19:23: Und das ist also sozusagen eine Kompromittierung, egal wie weit in der Zukunft.

01:19:27: Und man kann ja auch sagen, naja, die Frage ist nicht, ob, sondern wann man kompromittiert wird, führt halt zum Zutalschaden.

01:19:34: Und um diesen Totalschaden zu vermeiden, macht Signal sehr viel mehr.

01:19:38: Sie haben dieses Double-Ratchet-Protokoll auch etabliert.

01:19:41: Also zwei Ratschen, so wie man das kennt, von so einer Knarre, die sich nur in eine Richtung bewegen lässt.

01:19:50: Das sind Komponenten in diesen Protokoll, die sozusagen in der laufenden Kommunikation neue Schlüssel aushandeln.

01:19:56: Es gibt symmetrische Ratsche, die einfach mit jeder Nachricht, die ich sende, einen neuen Schlüssel generiert.

01:20:03: Der Trick ist, diese Radsche lässt sich sozusagen nur in eine Richtung bewegen.

01:20:08: Also aus dem Schlüsselmaterial, das ich aktuell habe, kann ich den nächsten Schlüssel generieren.

01:20:13: Ich kann aber aus diesem Schlüssel nicht auf seinen Vorgänger schließen.

01:20:16: Das heißt, wenn mein Gerät kompromittiert wird, dann kann der Angreifer den aktuellen Schlüssel sehen, um eine Nachricht, die ich gestern geschickt habe.

01:20:26: verschlüsselt aufgesätet habt, zu entschlüsseln, müsste aber den Schlüssel kennen, den ich gestern hatte.

01:20:31: Der findet sich nicht mehr auf einem Gerät und aus dem aktuellen Schlüssel kann er auch nicht auf diesen früheren Schlüssel rückschließen, weil sich diese Ratsche eben nicht zurückdrehen lässt.

01:20:39: Das heißt, ich habe schon mal diesen Totalschaden verhindert, weil ab der Kompromittierung sozusagen nur noch in der Zukunft mitgelesen werden kann, aber bereits vergangenes aufgezeichnete Nachrichten können nicht entschlüsselt werden mit den Informationen, die sich auf dem Gerät finden.

01:20:56: Dazu hat signal noch eine asymmetrische Ratsche, deswegen im Double Ratchet, wo es zwei solche Ratschen gibt.

01:21:03: Die macht einmal das gleiche, also diese erste Eigenschaft, die ich gerade genannt habe, die nennt sich Forward Secrecy.

01:21:09: Und die asymmetrische Ratsche liefert das auch, liefert aber vor allem noch das zweite, nämlich Post Compromise Security.

01:21:16: klackt sozusagen jedes mal eine Nocke weiter, wenn die Kommunikationsrichtung wechselt.

01:21:22: Also wenn ich schreibe irgendwie Christopher drei Nachrichten, dann antwortet er einmal, dann noch diese asymetische Ratsche, eine Knack.

01:21:30: Die heißt so, weil da eine Interaktion nötig ist, also weil die auf asymetische Kryptografie basiert und dann eine Interaktion zwischen unseren Geräten nötig ist, deswegen rutscht die weiter, wenn sozusagen die Kommunikationsrichtung sich umkehrt.

01:21:43: Und der Witz ist, da wird der Schlüssel zwischen meinem Gerät und Christophes Gerät neu ausgehandelt.

01:21:47: Warum ist das wichtig?

01:21:50: Die Idee ist folgende.

01:21:51: Ein Angreifer kompromittiert mein Gerät und zwar jetzt nicht.

01:21:54: Also wenn der das kompromittiert im Sinne von, er hat jetzt einfach ein Kilo drauf und er kann einfach zugucken, was ich dann treibe oder er kann einfach live Zugriff auf Signal, dann habe ich verloren.

01:22:04: Dann kann er halt einfach ab diesem Zeitpunkt zugucken, was ich da habe.

01:22:08: Er kann auch alles auslesen, was ich noch nicht gelöscht habe an Nachrichten und er kann einfach in Zukunft mitlesen.

01:22:14: Aber es gibt eine Reihe von anderen Szenarien, prominent zum Beispiel, dem fällt ein Backup in die Hände.

01:22:20: Dann ist er nicht live auf meinem Gerät, er hat das aktuelle Schlüsselmaterial, er kann damit keine alten Nachrichten entschlüsseln, haben wir gerade erklärt.

01:22:28: Er könnte aber ab jetzt mitlesen, weil er ja jeden Schritt, den die Ratsche in die richtige Richtung macht, auch selber gehen kann und in Zukunft immer mitlesen kann.

01:22:37: Und diese asimetische Ratsche, die in der Interaktion zwischen meinem Gerät und Christopher's Gerät neue Schlüssel aushandelt, die sorgt dafür, dass so ein passiver Angreifer, der einfach nur das Schlüsselmaterial abgegriffen hat, aber jetzt nicht mehr auf meinem Gerät sitzen und eingreifen kann, fliegt wieder aus der Leitung.

01:22:52: Weil wenn sich unsere Kommunikationsrichtung umdreht, dann macht die Ratsche einen Knack und dann kann er nur noch die eine, also nur noch meine Nachrichten oder nur noch Christopher's Nachrichten mitlesen.

01:23:00: Und wenn sich die Kommunikationsrichtung nochmal wechselt, dann macht der Ratsche den zweiten Knack und in beide Richtungen sind völlig neue Schlüssel ausgehandelt worden.

01:23:07: die der Angreifer auch nicht aus seinem bestehenden Schlüsselmaterial sich selber rekonstruieren kann und damit ist er wieder aus der Leitung draußen.

01:23:16: Das ist das Double-Ratchet-Protokoll.

01:23:18: Das ist alles total cool und deswegen hat er sich wahnsinnig verbreitet.

01:23:22: Viele Messenger übernehmen das jetzt.

01:23:24: Und es ist halt alles nicht quantum computer safe, weil diese asymmetrische Kryptografie nicht darauf aufbaut, also nicht auf Verfahren aufbaut, die.

01:23:41: Und was Signal jetzt vorgestellt hat, ist eben SPQR.

01:23:44: Das ist eine neue Ratsche, die basiert auf ML Chem.

01:23:48: Das ist ein Key Encapsulation Mechanism, also ein Verfahren, um so einen Schlüssel auszutauschen zwischen zwei Partnern.

01:23:56: Der dann sich früher keiber.

01:23:59: aber der ist mittlerweile vom NIST standardisiert worden und das NIST hat scheinbar von diesen Nerdnamen nicht viel gehalten und hat diesen Verfahren alle neuen Namen verpasst und jetzt heißt das eben MLcam.

01:24:10: Der wird es als dritte Ratsche genutzt, also Signal hat jetzt offiziell nicht mehr ein Double Ratchet Verfahren, sondern ein Triple Ratchet Verfahren und der wird deswegen als dritte Ratsche eingeführt und ersetzt nicht irgendwie die bestehende asymmetrische Ratsche oder so.

01:24:23: aus einer Reihe von Gründen.

01:24:25: Der erste ist... Die Schlüssel von solchen Post-Quanten-Verfahren, haben wir auch du begredet, als Sabrina und Wilhelm hier waren, sind ziemlich groß, viel größer als die Schlüssel von so klassischen Verfahren.

01:24:37: Und im Speziale, es gibt für Anwendungen, wo es irgendwie egal ist, wenn ich eh Gigabyte große Dateien verschickt oder so, dann ist das relativ egal, ob ich da noch irgendwie etwas größeren Schlüsseln mit schicken muss oder so.

01:24:48: Aber wenn ich eben ein Messenger bin, der oft einfach nur Textnachrichten, die ein paar Beit groß sind, austauscht, dann ist es ein Problem, wenn ich da ein Kilo Beit Schlüsselmaterial mit schicken muss.

01:24:58: Und um dieses Problem irgendwie zu umschiffen, hat Signal beschlossen, na gut, wir verteilen diese neuen SPQR, von SPQR generierten Schlüssel auf mehrere Nachrichten, sodass sozusagen jede Nachricht nur ein Schlüsselteilchen mit schicken muss.

01:25:15: Das ist schön.

01:25:16: Ich komme gleich dazu wie genau.

01:25:18: Das hat aber halt den Nachteil, dass diese Ratschen nicht mit jeder Kommunikationswechsel einen Schritt machen kann, weil der Schlüssel eben verteilt wird auf mehrere Nachrichten.

01:25:27: Deswegen bietet die asymmetrische Ratsche immer noch einen Nutzen, den SPQR so halt nicht bietet.

01:25:35: Das andere Punkt ist, wenn ich das so mache, dann habe ich halt Grund, also nehmen wir mal an, ich sage, na gut, ich teile so ein Schlüssel auf zehn Nachrichten auf.

01:25:45: Und ich mache das ganz naiv, ich teile den Schlüssel einfach durch zehn und schicke halt das erste Zehntel mit der ersten Nachricht, der zweite Zehntel mit der zweiten Nachricht und so.

01:25:52: Da könnte ein Angreifer sagen, naja gut, ich blockiere einfach jede zehnte Nachricht.

01:25:56: Jedes Mal, wenn ich das zehnte Zehntel schicken will, geht die Nachricht nicht durch.

01:26:02: Neun vor zehn Nachrichten gehen aber durch, mir fällt das als Nutzer vielleicht nicht richtig auf, na, das Signal ist gerade irgendwie unzuverlässig oder mein Netz ist auch irgendwie schlecht oder so, naja, whatever, schicke ich die Nachricht halt nochmal.

01:26:12: Und ich habe sozusagen eine weitgehende, funktionierende Kommunikation, in der der Angreifer aber zuverlässig verhindern kann, dass ich so einen neuen SPQR-Schlüssel ausgehandelt bekommen will, weil jedes Mal, wenn ich Christopher den Zehntel schicken will, die Nachricht geht halt nicht durch.

01:26:25: Die blockiert er einfach.

01:26:27: Um das zu vermeiden, nutzt Signal Erager Codes, wo ich jetzt nicht näher darauf eingehe, aber halt auch wieder ein sehr interessantes, nicht von Signal Erfundenesverfahren oder so, aber halt von Signal nicht hier dann eingespannt ist.

01:26:39: Damit kann man... den Schlüssel auf mehrere Teile aufteilen, so dass Christopher den kompletten Schlüssel hat, wenn er zum Beispiel zehn Teile bekommt.

01:26:51: Und es ist egal, welche zehn.

01:26:53: Also da kann ein Angreifer genau das nicht machen, dass er sozusagen immer wieder das zehnte Zehntel einfach blockiert, sondern es geht nur darum, jede Nachricht trägt ein neues Fragment dieses Schlüssel, die werden kompliziert konstruiert und sobald Christopher zehn Fragmente hat, kann er den Schlüssel konstruieren.

01:27:07: Das heißt ein Angreifer, der verhindern will, dass Christopher an den Schlüssel kommt.

01:27:13: Der kann halt neun Nachrichten noch passieren lassen und dann muss er aber einfach jede Nachricht unterbinden.

01:27:20: Dann kommt Christopher nicht an den neuen Schlüssel, dann findet aber auch keine Kommunikation mehr statt.

01:27:23: Und außerdem ist es sehr auffällig das mit dem Service, was nicht stimmt.

01:27:26: Also es ist eine sehr geschickte Idee, das so zu machen.

01:27:29: Das Signal geht dann noch deutlich weiter, weil es auch, und das kennt ihr wahrscheinlich auch aus Chat, Chats von euch.

01:27:40: Häufig so ist, dass ein Partner sehr viel mehr chatted als ein anderer.

01:27:45: Der andere sagt irgendwie auf jede hunderte Nachrichten.

01:27:47: Okay, mach mal.

01:27:48: Und der eine erzählt älteren Geschichten in Zicknachrichten.

01:27:52: Und in so einer Situation ist das Problem, wenn ich irgendwie zehn Nachrichten schicken muss, damit Christopher einen neuen Schlüssel hat und dann muss er zehn Nachrichten schicken, damit ich einen neuen Schlüssel für ihn habe und so.

01:28:04: Dann schicke ich da hunderte tausende Nachrichten, bis endlich mal ne zehnte Nachricht von Christopher zurückkommt und ein neuer Schlüssel etabliert werden kann.

01:28:12: Das heißt, es wäre eigentlich schön für mich, ich schicke wahnsinnig viele Nachrichten darüber, wenn ich ne neue Schlüssel für Christopher etablieren könnte, aber dazu muss er halt zehn Nachrichten zurückschicken und der tattet fast nie.

01:28:23: Oder er antwortet fast nie.

01:28:25: Was übrigens nicht im realen Christopher entspricht, der antwortet normalerweise sehr zackig.

01:28:29: in der Tat nicht.

01:28:31: Na ja, aber ihr kennt wahrscheinlich diese Art von Chat.

01:28:35: Und was Signal da macht, ist was, was sich, also schon auch sehr, ich sehe es nicht kritisch, aber ich sehe da ein hohes Risiko.

01:28:42: Sie sagen, okay, wir modifizieren diesen MLcam Algorithmus.

01:28:47: Und der ist ja standardisiert für gut befunden von vielen Leuten geprüft worden und so.

01:28:53: Also es ist schon eine sehr riskante und weitreichende Entscheidung zu sagen.

01:28:58: Wir fassen den an.

01:29:00: Und Sie machen das, um eben genau dieses Problem zu lösen.

01:29:03: Sie können den modifizieren.

01:29:04: Das Resultat nennen Sie dann Emil Cambrade, also für Zopf.

01:29:10: Und das hat den Effekt, dass ich nur eine Nachricht von Christopher bekommen muss und schon anfangen kann, einen neuen Schlüssel zu konstruieren.

01:29:18: Also letztendlich muss Christopher immer noch irgendwie sein Schlüsselmaterial auf zehn Nachrichten verteilt schicken.

01:29:23: Aber ich muss nicht alle zehn Nachrichten abwarten, bis ich anfangen kann, selber schon wieder einen neuen Schlüssel zu konstruieren.

01:29:29: und mit meiner Nachricht.

01:29:32: Sie haben da sehr umfangreiche Simulationen gemacht, sozusagen mit verschiedenen Chatverhalten und verschiedenen Aufteilungen und sind jetzt im Schluss gekommen, dass das die beste Lösung ist und haben dafür eben MLcam modifiziert.

01:29:47: Das ist sozusagen der eine Punkt, mit dem sie sich rumschlagen müssen, dass diese Schlüssel so groß sind, dass sie irgendwie für so ein Chatsystem ein Problem darstellen.

01:29:55: Der andere Punkt, warum sie eine dritte Ratsche einführen und nicht einfach die asymmetrische Ratsche ersetzen ist, ist, dass das Postquantenzeug halt relativ neu ist.

01:30:04: Also manche Vorfahren sind, ehrlich gesagt, Jahrzehnte alt, aber waren halt lange so in der Nische und der Versenkung, weil man hatte ja sehr etablierte asymmetrische Kryptoverfahren und hat sich diese komischen Alternativen nicht genau angeguckt.

01:30:19: Manche sind halt jetzt aus der Versenkung geholt worden, manche sind auch... Jetzt, also in letzter Zeit sozusagen, in Angesichts der drohenden Quantencomputer neu erforscht oder neu entdeckt worden, erfunden worden.

01:30:33: Das ist jetzt auch alles wieder Jahre, teilweise Jahrzehnte her, aber das ist halt nicht ansatzweise die Erfahrung aus Schatz, den man eigentlich haben möchte oder nicht gewöhnt ist von asymmetrischen Verfahren, von asymmetrischen Verfahren, klassischen asymmetrischen Verfahren, dass man sagt, naja gut, wir sehen uns sehr, sehr sicher, da steckt schon kein Problem irgendwie drin.

01:30:51: Und deswegen wird es eben als dritte Radsche genutzt.

01:30:56: Man nennt so ein Verfahren dann meistens Hybrid, weil es eine klassische Asymetiverschlüsselung mit einer quantensicheren asymetischen Verschlüsselung kombiniert, sodass halt beide gebrochen werden müssen, um die Nachrichten mitlesen zu können.

01:31:12: Über die Hybrid-Verschlüsselung wollte ich gleich noch ein bisschen reden, weil das ein ganz allgemeiner Punkt ist.

01:31:19: Man muss halt schon sagen, also SPQR, Und das Triple-Ratchet als Gesamtkonstrukt und MLKM-Braid und so, alles davon ist ziemlich komplex.

01:31:30: Und man handelt sich dadurch aus dem Risiko ein, wenn man so wahnsinnig komplexe Systeme schafft, wenn du irgendwo ein kleiner Fehler stecken musst, fällt eventuell die Verschlussung des Signal auf die Nase und signal versucht es auf zwei Arten zu kompensieren.

01:31:46: Das eine ist mit Pure-Review, also die haben ihr Triple-Ratchet und auch ein anderen Aspekt.

01:31:51: in Paper dokumentiert und auf einschlägigen Kriptokonferenzen halt vorgestellt und hoffen halt sozusagen, dass da entsprechend die Community drauf guckt und sozusagen systematische Fehler in diesem Algorithmus findet und Signale kommunizieren kann.

01:32:07: Und das andere ist man muss natürlich vermeiden, dass man in der Implementierung irgendwelche Schwächen hat, die sich vielleicht in theoretischem Konstrukt gar nicht finden.

01:32:14: Und das macht Signale mit formaler Verifikation.

01:32:18: Und da muss ich, also das ist echt nice.

01:32:20: Formale Verifikation ist schön und die Art und Weise wie man sowas machen sollte.

01:32:25: Und der erste Teil davon ist sozusagen auch ganz klassisch was signaler getrieben hat.

01:32:29: Sie haben ihre Protokoll-Ideen in Po-Verief modelliert.

01:32:32: Das ist so ein System was sich dafür eignet, insbesondere State Machines und andere Sachen zu modellieren und dann mit dem Computer automatisiert Beweise drüber führen zu können und halt sagen zu können folgende Eigenschaft wird nie verletzt oder folgende Eigenschaft tritt nie ein und so.

01:32:46: Unter anderem eben Ich soll irgendwas kurz machen.

01:32:50: Ich komme schon aber nicht zum Punkt.

01:32:54: Also, Sie haben das in Proverief modelliert und dann haben Sie anhand dieser Proverief-Modelle, von denen Sie halt beweisen konnten, dass Sie tun, was Sie tollen, Rust-Code geschrieben.

01:33:02: So macht man häufig formale Verifikationen und deswegen geht auch so ein bisschen damit die Idee einher.

01:33:07: Na ja, dann ist das aber so statisch.

01:33:09: Ich kann dieses Protokoll ja dann nicht mehr, also diesen Code dann nicht mehr richtig anfassen, weil dann bewege ich mich ja von meinem Modell weg und nur in diesem Modell... habe ich bewiesen, dass das Ding tut, was es soll.

01:33:21: Deswegen, was Signal jetzt darüber hinausgeht, noch macht, ist diesen Rust-Code, an dem Sie hier auch von zu arbeiten, der wird hier geupdatet, übersetzt Sie mit einem Tool, das sich hexnet nach fstar.

01:33:31: fstar ist eine Programmiersprache, die sich für automatische Beweise gut eignet.

01:33:37: Und mittels fstar können Sie dann laufbeweisen, dass der Code immer noch alle Vorbedingungen, Nachbedingungen und so weiter einhält und insbesondere, dass der Rust-Code auch keine Panic produziert.

01:33:46: was ganz schön ist, weil sie ihren Rascot pfeffern mit Assertions, wenn die irgendwie verletzt werden, dann macht der Panic.

01:33:52: Dann wird dieses Zeug automatisch übersetzt nach F-Star und F-Star wird dann bewiesen, dass dieser Code keine Panic produzieren kann, Ergo, all diese Assertions müssen halten.

01:34:02: Das ist wirklich eine feine Sache und sie machen das Ganze in der CI Pipeline.

01:34:06: Das heißt, jedes Update, das sie irgendwie einspielen, wird automatisch nach F-Star transferiert, zu bewiesen, dass das alles noch hält.

01:34:12: oder das Ding fällt halt auf die Nase, sagt Moment, du hast hier eine Code-Änderung, die eine frohe Nachbedingung verletzt und dir irgendeine Assertions nicht mehr wahr sein lässt.

01:34:20: Das ist halt schön.

01:34:21: So soll das meiner Meinung nach laufen.

01:34:25: Diesen Blockpost von Signet zu lesen, da wird dich ein Fest irgendwie, wenn man sich gedacht hat, jawoll, genau so rollt man ein neues, fortschrittliches und durchaus nicht unkomplexes Protokoll aus.

01:34:38: Ich würde euch den auch ans Herz legen, den mal durchzulesen, da steht noch sehr viel mehr drin, auch wie genau sie es ausrollen wollen, so dass halt irgendwie, man muss ja da sozusagen ein Upgraden machen und man muss irgendwie für eine Zeit das unterstützen, dass halt alte Kleins mit neuen Kleins reden, so da lauen auch lauter Fallstrecke und signale scheint diese Fallstrecke alle gesehen und bedacht zu haben und es ist wirklich ein Fest.

01:35:01: Und ich wollte das deswegen, vielleicht habe ich es jetzt hier zu lange ausgebreitet, aber es war wirklich mal eine schöne Nachricht aus der IT-Security, wo man sagt, ja gut, hier macht ihr immer das genauso wie es sein sollte.

01:35:12: Und das wollte ich euch nicht vorenthalten.

01:35:14: Ich weiß nicht.

01:35:15: Christopher, wie siehst du das denn?

01:35:16: Hast du da überhaupt irgendwelche Bürgungspunkte mit?

01:35:19: Ja, ich benutze das Signal.

01:35:20: Ansonsten habe ich andachtsvoll gelauscht, dass jemand seine kryptografischen Protokolle oder überhaupt irgendwie hingeht und das dann formal verifiziert.

01:35:31: Der nächste Schritt wäre jetzt vielleicht sogar die Protokolldefidition nochmal in pro-verif Format zu veröffentlichen damit man selber da rein hacken kann.

01:35:41: aber das ist schon die hohe schule der.

01:35:44: Ja der Transparenz und das System dann in die Cipelines einzuhängen und dafür zu sorgen dass in dem moment in dem irgendjemander scheiße baut in dem roten.

01:35:52: Auch alle möglichen Assertions rasseln das verhindert ja auch dass da irgendwelche Regierungs Backdoors eingebaut werden oder irgendwie solche geschichten zumindest nach meinem verständnis.

01:36:05: So jetzt.

01:36:07: haben wir aber noch nicht zu Ende gekrübt.

01:36:12: tot, denn du kryptost gleich weiter.

01:36:16: Würde ich jetzt machen, ne?

01:36:17: Wir müssen mal schauen, wahrscheinlich machen wir es dann einfach, schieben wir ein Thema in die nächste Folge, damit wir euch nicht wieder mit so einer ellenlangen Episode beheldigen.

01:36:26: Aber ich wollte einen Punkt, der hier gerade schon anklang, nochmal separator herausgreifen, weil der ganz allgemein relevant ist, nämlich diese hybride Verschlüsselung.

01:36:37: die die Signal da macht und die sie ja machen, weil sie den PQC-Kram halt nicht das Vertrauen entgegenbringen, dass sie der klassischen asemitischen Verschlüsselung entgegenbringen.

01:36:47: Und es gibt verschiedene Gründe, warum man so ein hybrides Verfahren haben will.

01:36:53: Was ich auch gelesen habe, ist, naja, die haben eben oft so große Schlüssel, vielleicht bin ich in irgendeiner Situation, dass ich aus sozusagen irgendwelchen Randbedingungen, irgendwelchen Andungssystemen, die damit damit Klar, wir müssen nicht einfach offen Verfahren mit so großen Schlüsseln umstellen kann.

01:37:06: Also das ist halt einfach kein Drop-in-Replacement.

01:37:09: Dann könnte ich ja sozusagen dieses klassische Krypto-Verfahren beibehalten und sozusagen in diesem klassisch etablierten, verschlüsselten Kanal darin dann einen posquanten Kryptosystem aufziehen.

01:37:22: Das mag Situationen geben, wo das relevant ist aus meiner Sicht der sehr viel wichtigere.

01:37:28: Punkt, warum solche Hybridenverfahren wichtig sind, weil sie halt davor schützen, wenn man falsch liegt und das gewählte PQC Verfahren sich als unsicher erweist.

01:37:40: So sehen das auch, meine Wahrnehmung nach, die allermeisten Experten, also insbesondere das BSI zum Beispiel, ich zitiere hier mal aus der technischen Richtlinie, Um die langefristige Sicherheit eine Schlüsseinigung zu gewährleisten, empfiehlt diese technische Richtlinie daher den Einsatz eines fibriden Schlüsseinigungsverfahrens, bei dem ein Quantensicheres mit einem klassischen Verfahren kombiniert wird.

01:38:04: Eine naheliegende Hybridisierung ist dadurch gegeben, zwei Schlüssel-Einliegungen parallel durchzuführen und das im erzeugten Schlüsselmaterial einen kombinierten Schlüssel abzuleiten.

01:38:12: Das ist genau das, was Signal macht.

01:38:14: So haben die auch ihre SPQR mit der asymmetrischen Ratsche kombiniert.

01:38:17: Einfach jedes Mal, wenn die in der Nachricht schicken wollen, fragen sie die asymmetrische Ratsche, was sind der aktuelle Schlüssel?

01:38:22: Und sie fragen SPQR, was ist der aktuelle Schlüssel?

01:38:24: Kriegen da zwei, bauen die zusammen und nutzen das Gesamtkonstrukt als Schlüssel.

01:38:30: Und solange eines dieser beiden Ratschen nicht knackbar ist, ist halt auch das Gesamtkonstrukt ein Schlüssel, den man nicht kennt.

01:38:38: Und das symmetische Verfahren, das diesen Schlüssel dann hernimmt, ist E. Also ist ja etabliert und gilt als sicher.

01:38:46: Warum ist das überhaupt ein Thema?

01:38:48: Weil prominenterweise die NSA und der GCHQ das nicht so sehen.

01:38:54: Die sagen öffentlich, sie vertrauen diesen PQC Verfahren vollumfänglich.

01:39:01: Sie haben früher mal gesagt, sie sehen überhaupt keinen Grund, Fibride Verfahren auch nur sozusagen für gut zu befinden.

01:39:09: Sie sind ein bisschen davon abgerückt, sie sagen jetzt, naja, sie sehen keinen Grund dafür, die einzusetzen, aber sie werden sie nicht verhindern, so nach dem Motto.

01:39:17: Und das stimmt aus verschiedenen Kunden sehr skeptisch.

01:39:20: Es stimmt einmal sehr skeptisch, weil es halt die NSA ist.

01:39:24: Die ist jetzt nicht kein unbeschriebenes Blatt.

01:39:27: Die hat in der Vergangenheit durchaus schon immer wieder Dinge mit Kryptografie getrieben, wo man sagt, das war einfach nicht im Interesse aller, eventuell nicht mal im Interesse der USA.

01:39:42: Beispiele wären DES, dieser Verschlüsselungsalgorithmus, wo die NSA massiv darauf insistiert hat, dass die genutzte Schlüssellänge runtergeht, also, dass kürzere Schlüssel genutzt werden.

01:39:54: vermutlich eben, damit die in den Bereich sind, wo die NSA sie noch knacken kann.

01:39:58: Und wo sie auch damals öffentlich dieses Verfahren als sicher bewertet hat.

01:40:04: Vermutlich wissen das sie es halt knacken können und annehmen, dass niemand sonst es knacken kann.

01:40:09: Aber hm, ne?

01:40:11: Und ein anderer Punkt, der zum anderen Fall, der halt einem sofort einfällt, dieser Dual EC, DRBG, das war so ein Zufallengenerator, der von der NSA geback dort war, wo auch lange der Verdacht im Raum stand und die NSA das massiv bestritten hat.

01:40:26: Und letztendlich hat sich herausgestellt, doch, sie haben dieses Verfahren böswillig manipuliert.

01:40:33: Deswegen, wenn die NSA irgendwo sagt, nö, nö, wir stellen uns hier gegen die Mainstream-Meinung der Kryptologen, das passt schon so, wäre ich sehr vorsichtig.

01:40:46: Es stimmt auch, Also es ist eigentlich schon gar nicht mehr nachvollziehbar wegen so Sachen wie Sieke.

01:40:52: Also Sieke steht für Super Singular, Isogene, Diffy, Hellman, Key Exchange.

01:40:56: Das müsst ihr euch nicht merken, es geht einfach nur darum, dass es ein vorgeschlagenes Postkont, oder es war ein vorgeschlagenes Postkont im Verfahren, das sich auch in dem, da gab es ja von Denis, so ein Wettbewerb, wo solche Verfahren halt aussortiert wurden und verbessert wurden und so, da er richtig gut geschlagen hat.

01:41:12: Bis dann eben zwei Forscher, Voter Castrick und Domas Deckcrew.

01:41:17: Ich hoffe, ich habe die korrekte ausgesprochen.

01:41:20: Einen aufwendigen, also einen in der Erforschung aufwendigen Angriff entdeckt haben.

01:41:25: Deswegen hat man das dieses Verfahren lange für sicher gehalten, weil man da schon ordentlich hin, schonmals rein investieren musste.

01:41:31: Der ist aber komplett zerstört hat.

01:41:33: Ich zitiere mal Wilhelm, den ihr auch aus Podcast kennt, der hat damals drüber geschrieben.

01:41:38: Ganz ohne Quantencomputer lief deren Programm single threaded auf einem Laptop und knackt in zweiundsechzig Minuten die niedrigsten vom NIST verlangten Sicherheitslevel.

01:41:49: Auch höhere Level hielten Nichtstand, Siegp.

01:41:51: Fünf, Null, Drei, viel in gut zwei Stunden, Siegp.

01:41:54: Sechs, zehn, sechs, eins, Null in gut acht und Siegp.

01:41:58: Sieben, fünf, eins in rund zwanzig ein halb Stunden auf einem Laptop.

01:42:02: Also ein Verfahren, das nicht nur vor aktuellen Angriffen mit Großcomputern, Großrechnern schützen soll, sondern auch vor zukünftigen Quantencomputern, von denen man nicht genau weiß, wann es sie gibt und wie fest sie sein werden, wird halt von dem Laptop zerbröselt, weil jemand einen genialen Angriff aufgefunden hat.

01:42:24: Und das sind so diese Vorfälle, weswegen man eben skeptisch auf diese PQC-Verfahren blickt und sagt, wir haben damit nicht genug Erfahrung, kann sein, dass in fünf Jahren irgendjemand was Geniales entdeckt, was dieses oder jenes Verfahren zerlegt, kann schlimmstenfalls sein, dass irgendein Geheimdienst schon auf so eine Erkenntnis sitzt und nur darauf wartet, dass sich dieses Verfahren verbreitet.

01:42:45: Und wie man angesichts solcher Fälle weiter kommunizieren kann.

01:42:51: Es passt schon, ihr könnt nur, also alleine pqc Verfahren hernehmen, ist für mich einfach nicht nachvollziehbar, ist für mich kein, kein lugelschlüssiger Standpunkt.

01:43:02: Nach diesem Sieggevorfall hat die NSA ihre Formulierung ein bisschen aufgeweicht, also davor war es ja so.

01:43:06: von wegen, naja, wir sehen überhaupt keine Grund, irgendwas außer, so rein in pqc Verfahren zu akzeptieren.

01:43:12: Jetzt sagen sie, naja gut, wir sehen keinen Grund, die einzusetzen, aber Macht doch, wenn ihr meint.

01:43:17: Naja, sie sagen so ein bisschen, was ich ja von Anfang an gesprochen habe, es gibt so möglicherweise Surroundings, ihr könnt nicht auf so lange Schlüssel umsteigen und so, dann müsst ihr vielleicht irgendwie Hybrid oder so, aber an sich sagen sie nach wie vor, Hybrid ist schlecht, Hybrid ist doof, davon sollte man weg.

01:43:30: Oder das sollte man gar nicht erst ausrollen, man sollte lieber pure PQC ausrollen.

01:43:35: Und das ist schon wirklich komisch auch, weil das jetzt kein Outlier war, sie kennen.

01:43:39: Also deswegen gab sie dieses NIST-Verfahren.

01:43:42: Daniel G. Bernstein hat das mal aufgeschrieben.

01:43:45: Von den neunundsechzig Einreichungen, die sozusagen für Runde Eins dieses Nisthausfalle eingereicht wurden, sind achtundvierzig Prozent gebrochen worden.

01:43:56: Von den achtundvierzig Einreichungen, die die Runde Eins ungebrochen überstanden haben, sind danach immer noch ein Viertel gebrochen worden.

01:44:04: Und von den achtundzwanzig Einreichungen die die Runde zwei erreicht haben, sind sechsunddreißig Prozent gebrochen worden.

01:44:11: Also dieses Verfahren hat da genauso funktioniert wie es soll, das diente dazu, dass die Community Erfahrung mit diesen Verschlüsselungssystemen sammeln kann, sich daran versuchen kann und zu versuchen kann, die auseinander zu nehmen.

01:44:22: Und sie haben halt in hohen hohen Prozentzahlen die auseinander genommen, dass die verbleibenden durchgekommen sind.

01:44:29: ist natürlich ein gutes Zeichen, aber es zeigt halt auch, dass wäre eigentlich nicht überraschend, wenn doch noch jemand in irgendeinem von diesen verbleibenden Verfahren einen Fehler findet, so wie es ja zum Beispiel bei Siege auch passiert ist.

01:44:41: Siege war auch schon im Testeinsatz, also Google hat zum Beispiel eine Weile TLS Traffic damit abgesichert, in, weil auch Google das so sieht, einen hybriden Verfahren.

01:44:51: Die Tatsache, dass dieser Traffic ja damals halt diesem Testding geflossen ist, immer noch nicht... Entschlüsselbar ist, liegt daran, dass halt die klassischen Komponenten involviert waren und die halten nach allem, was man weiß.

01:45:04: Die Geheimdienste, sage ich jetzt mal, die Geheimdienste, also NSL und GCSQ, haben so ein paar Argumente, warum sie sagen, naja, Hybrideverfahren sind doof und man muss ehrlich sagen, viele davon sind einfach für mich nicht logisch nachvollziehbar.

01:45:17: Also die sagen da so Sachen wie so, naja, aber wenn wir jetzt auf ein Hybridesverfahren wechseln und dann kommt irgendwann der Zeitpunkt, Wo wir sozusagen sicher sind, diese verfahren ist safe, weil wir es jetzt seit ewigen Zeiten im Einsatz haben und niemals ein Lück gefunden.

01:45:32: Und es kommt der Zeitpunkt, wo es große Quantenkobüter gibt, die das klassische Verfahren einfach kaputten machen.

01:45:39: Dann haben wir ein hybrides Verfahren, wo die klassische Komponent einfach nichts mehr bringt.

01:45:44: Und dann müssen wir davon wegwechseln.

01:45:47: Und das ist ja wieder so ein Verfahrenswechsel und das ist doch voll der Aufwand.

01:45:52: Und man liest es und denkt sich so, hä?

01:45:54: Also A, wer weiß, ob je dieser Punkt kommt, dass dieses Verfahren sich als safe, safe, safe herausgestellt hat.

01:46:00: Das ist ja gerade das Problem.

01:46:02: Wer weiß, ob jeder Punkt kommt, dass es Quantencomputer einfach gibt, die diese klassischen Verfahren voll auseinandernehmen.

01:46:08: Und selbst wenn das irgendwann mal der Fall ist, dann ist dieses klassische Verfahren ja einfach nur nutzlos.

01:46:14: Wobei es immer noch, also es ist sehr unwahrscheinlich, dass sie jeder dann den Quantengebüter hat, der so einen Verfahren auseinander nimmt.

01:46:19: Also völlig nutzlos wird so mutig nicht sein.

01:46:20: Aber selbst wenn, es stört ja kaum.

01:46:23: Also es ist, viele von diesen Argumenten sind einfach wirklich Harnbüchen.

01:46:29: Ein Argument, das Sie haben, was ein bisschen aus meiner Sicht handfest ist und zumindest ein Eigengewicht tragen kann, ist, dass natürlich ein hybrides Verfahren komplexer ist als ein reines PQC Verfahren, weil ich ja zwei verschiedene Verfahren kombiniere und im Prinzip ist die Möglichkeit Fehler zu machen höher.

01:46:50: Das scheint halt ein kleiner Preis, wenn man schon sieht, wie brachial die neuen Verfahren teilweise auf die Nase gefallen sind.

01:46:57: Man kann da dagegen arbeiten, so wie Signal ja auch macht mit formaler Verifikation und sonst was und Peer Review, um hoffentlich sozusagen keine solchen Fehler zu haben.

01:47:07: Und es stimmt halt auch einfach nur in Isolation.

01:47:10: Also es stimmt nur, wenn man sagt, wir machen jetzt endlich das eine oder das andere.

01:47:15: Ich kenne kein System, wo das ernsthaft in der Wägung gezogen wird.

01:47:20: Die meisten überlegen, naja, wir... bieten hybrides Verfahren und wir sollen mir vielleicht auch ein reines pqc Verfahren bieten.

01:47:28: und ab dann ist es kein Komplexitätsgewinn mehr, weil wenn ich das hybride Verfahren eh mache und habe, dann handle ich mich nur noch mehr Komplexität, als wenn ich dann noch ein reines pqc Verfahren oben draufsetze.

01:47:42: Also auch dieses Argument scheint mir als Argument nicht schlecht, aber es ist einfach nicht ausreichend stichhaltig, um die Entscheidung sozusagen so zu beeinflussen.

01:47:53: Und dann, was man auch liest, in der aktuellen Debatte, könnte ich gleich noch was sagen, ist, naja, wir brauchen diese reine PCC-Verfahren für später, wenn wir uns irgendwie sicher sind, dass die PCC-Protokolle für später, wenn wir uns sicher sind, dass die PCC-Verfahren total toll halten, dann ist doch schön, wenn wir das Protokoll schon mal spezifiziert haben und so.

01:48:11: Und es sind so ungelegte Eier, also ich sehe nicht, warum man sozusagen jetzt schon unbedingt das Protokoll festzuren muss für ihn der Zukunft, wenn sich rausgestellt haben sollte, dass das gewünschte PQC-Verfahren sicher ist.

01:48:23: Wer weiß, ob sich nicht rausstellt, das war fundamental unsicher oder was halt sehr viel wahrscheinlicher ist, dass sich in der Zukunft rausstellt.

01:48:32: Ja, es geht aber noch besser, wir machen halt eine V-Zwei davon.

01:48:35: Und dann habe ich überhaupt nichts davon, dass ich die V-I irgendwie schon mal als reines PQC-Verfahren irgendwo standardisiert habe oder so.

01:48:40: Also, scheint alles ein bisschen komisch, aber es ist halt so, dass da massiv Druck aufgebaut wird, aktuell zum Beispiel in Bezug auf TLS, also die Sicherheit des Webs.

01:48:53: Da gibt es zwei Working Group drafts, der EETF dazu, mit genau dem Aspekt, der eine ist Hybrid, der andere ist nicht.

01:49:01: Der Energy J. Bernstein schießt da scharf dagegen, der sieht hier... Und ich kann das jetzt so nicht bewerten, aber dazu sollten vielleicht meine eigene Folge machen, dass die NSA gerade die IETF unterwandert und versucht diese Entscheidungsfindung pro reine PQC Verfahren zu beeinflussen.

01:49:21: Das wäre jetzt auch kein Verhalten, dass der NSA total neu wäre, dass die solche entscheidenden Behörden sozusagen so sehr beeinflusst, bis die im Sinne der NSA entscheiden.

01:49:31: sagt uns gerne mal, schreibt uns, gibt uns Feedback, wenn ihr wollt, dass wir uns das mal genauer anschauen.

01:49:35: Ich muss ehrlich sagen, ich bin in diesem IETF-Prozess nicht so tief drin, um jetzt auf die schnelle Beurteilung zu können, was ich von den Vorwürfen von DJB da erhalten soll.

01:49:43: Aber das ist halt ein aktuell ganz in verschiedenen Stellen geführter Kampf, ob man jetzt Hybride oder reine PQC Verfahren verwenden sollte.

01:49:51: und die einzigen Stimmen, die ich kenne, die für die reinen PQC Verfahren sind, sind Geheimdienste.

01:49:58: die mit schwachen Argumenten kommen und trotzdem nicht locker lassen und das ist schon irgendwie Fischi.

01:50:07: Ja, und wenn DJB etwas sagt, dann ist der ja auch nicht frei von Agenda.

01:50:11: Ich bin jetzt nicht ganz sicher ob du ihn eingeführt hast.

01:50:14: DJB ist denn Jay Bernstein, Mathematikprofessor, aber sehr ... ja, so ein Universal Informatik Genie, möchte ich fast sagen, hat ein Mail-Server geschrieben, der auch sehr gut und sehr schnell ist und macht aber auch sehr viel mit Kryptografie und hat aber auch sehr viel Meinung.

01:50:31: Und die ist in der Regel aber sehr gut begründet, wenn auch nicht immer so eine Mehrheitsmeinung, aber wenn ich jetzt abwägen müsste zwischen die NSA sagt irgendwas und die JB antwortet darauf, dann bin ich sehr sicher, wo in einhundert Prozent der Fälle ich erstmal blind ohne es zu lesen zustimmen würde, da bin ich doch ein bisschen voreingenommen.

01:50:53: Ja, also es ist genau wie du sagst, also es ist ein totales Copy Fail, aber Er hält mit seiner Meinung, die halt teilweise eine Meinung ist, oder Einschätzung, die nicht alle Kollegen teilen, nicht hinterm Berg, aber ich würde ihm sehr viel, also ich würde ihm nicht unterstellen, dass er sozusagen mit irgendwelchen unlauteren Motiven zu Wege geht.

01:51:19: und er mag eine Meinung haben, die vielleicht nicht überall geteilt wird, aber wird die Sicherheit der Verfahren im Blick haben.

01:51:28: und ein Geheimdienst, der muss mir erstmal belegen, dass er wirklich nur die Sicherheitsverfahren se blick hat und nicht irgendwie die eigenen Fähigkeiten Kommunikation zu überwachen oder so.

01:51:40: Das ist ein zusätzliches Beispiel, wie stark unter Beschuss immer wieder die Verschlüsselung von Daten, ob das in Messenger ist oder Data Address steht und Dass die NSA sich da so in diesem Standard-Irisierungsprozess einschaltet und mit Backdoor-Algorithmen um sich fürft und so was, das ist ja auch ein Wust.

01:52:07: In diesem Fall diese IETF-Geschichte hatten wir auch kurz im Vorgespräch angerissen.

01:52:11: Geht es auch ein bisschen darum, so Moderationsprozesse innerhalb dieser IETF zu untergraben oder so zu verändern, dass man Sachen dann einfach für... nicht zulässt nicht nicht ne out of scope meinung deklarieren kann sagen das ist jetzt hier nicht das thema bei sachen die vielleicht dann doch das thema sind.

01:52:30: was dann auch einfach die freiheit der standardisierung betrifft ist aber sicherlich ein thema für eine andere folge.

01:52:36: was auch ein thema für eine andere folge ist ist tatsächlich die web pki.

01:52:42: wir haben schon wieder kein pki thema was zumindest Ähm, hier in den Show-Nutz stehen, es gibt ja ein Entwurf für PQC TLS, das heißt, wir brauchen eine Post-Quanten-Web-PKI irgendwann.

01:52:53: Dann hab ich zumindest noch mal einmal PKI gesagt, wir versprechen aber euch beim nächsten Mal haben wir ein, gleich bis dahin sogar noch etwas weitererzählbares PKI-Thema für euch.

01:53:02: Das ist jetzt ganz, ganz knapp nicht in diese Folge geschafft hat.

01:53:05: Wir kratzen förmlich an der Überschrift, aber das ist auch ein Thema, was sich jetzt gerade noch weiterentwickelt.

01:53:11: Also das ist ein, ähm, ein CA-Fuck-Up, der noch nicht zu Ende ermittelt ist und wir sind zuversichtlich, dass beim nächsten Mal da sogar noch ein bisschen mehr saftige Infos für euch da sind.

01:53:26: So, damit kommen wir aber für heute zum Ende.

01:53:31: Klickt uns gerne euer Feedback an password-podcast.de Bis zum nächsten Mal und denkt daran,

01:53:40: dieser Podcast ist das einzige Passwort, das ihr teilen solltet.

01:53:44: Ciao, ciao.

01:53:44: Tschüss.