Von Würmer, Viren, Schluckauf und Husten

00:00:00:

00:00:09: Hallo, liebe Hörerinnen und Hörer.

00:00:10: Willkommen zu einer neuen Folge von Passport, dem Podcast von Heises Security.

00:00:15: Ich bin Christopher Kunz von Heises Security.

00:00:18: Und mein Name ist Sylvester Trimmel vom Computer-Magazin CT.

00:00:22: Heute machen wir wieder eine News-Folge.

00:00:25: Ich habe zwei kleine Orga-Sachen.

00:00:27: Das eine ist, ihr hört es vielleicht, Christopher ist kränkelt und seine Stimme ist ein bisschen belegt, um so ... Schöner ist es, dass er sich trotzdem hier in dem Podcast aufgerafft hat.

00:00:38: Und das andere ist, ich habe Probleme mit dem Setup.

00:00:42: Wir haben jetzt mehrfach Knacken festgestellt.

00:00:45: Wir können es aber die Ursache nicht identifizieren.

00:00:48: Das heißt, falls es auch während der Aufnahme dazu kommt, bitte ich das zu entschuldigen.

00:00:53: Wir haben hier irgendwie das Setup umgebaut und jetzt finden wir leider auf die Stelle nicht das Problem.

00:00:58: Was machen wir noch gleich beruflich?

00:01:00: Nichts mit Technik zum Glück, ne?

00:01:02: Nee, nichts mit Technik.

00:01:04: Da haben wir auch eine schlechte Einschuldigung zu.

00:01:08: Was wir diesmal nicht haben, ist Feedback.

00:01:10: Das liegt aber möglicherweise auch daran, dass wir ein bisschen hinterher sind mit der Leserpostbeantwortung.

00:01:15: Der Ordner ist recht gut gefüllt.

00:01:17: Ich bitte um Entschuldigen.

00:01:19: Wir holen das nach.

00:01:21: Jede mal klickt eine Antwort, aber die letzten Wochen waren ein bisschen voll und jetzt hat sich da was angesammelt.

00:01:26: Vielleicht gibt es das nächste Mal wieder mehr Feedback.

00:01:32: Damit sind wir in einem Rekord.

00:01:35: Es ist eine Minute aufgetan, habe Zeit vergangen etwa und wir fangen mit dem ersten Thema an und da kommen wir, ich glaube, das dritte Mal in Folge fast, ich weiß nicht ob das in der Langfolge auch drin hatten, zu einem Ausfall bei einem großen Cloud.

00:01:54: loadbalancing cdn anbieter und natürlich geht es um cloud flair und da wird das ja schon ein paar mal auch diskutiert haben.

00:02:00: wir halten diesen bereich durchaus für ein security thema.

00:02:04: es ist oder meinetwegen kann man auch sagen safety je nachdem wie man möchte.

00:02:08: cloud flair hatte am achtzehnten elften einen überraschend langen ausfall der um ungefähr zwölf und zwanzig unserer ortszeit losging.

00:02:18: und wie das bei cloud flair so ist man merkte das Sehr schnell sehr deutlich und zwar in dem diese Cloudflare typischen Fehler Seiten auftauchten normalerweise kenne ich die eher so das ganz rechts ein rotes Kästchen ist wo eigentlich die ausliefernde Webseite also diese sogenannte Origins halt.

00:02:38: Irgendwas hätte ausliefern sollen anders Cloudflare CDN und das schaltet dann einfach sein ganzen DDoS Bot Detection Magikram davor und liefert das dann an den Kleint aus.

00:02:47: aber in diesem Fall war das rote Feld in der Mitte im Cloudflare Netzwerk also diese Wolke.

00:02:52: da steht dann drunter auch ein Standort und alle möglichen Standorte weltweit waren betroffen.

00:02:56: die waren rot und die Inhalte kamen nicht zu den Nutzern also Webseiten kamen nicht zu den Nutzern aber zum Beispiel auch diese sogenannte Cloudflare Turnstile also dieses Capture das hier bisweilen ausfüllen müsst.

00:03:09: Wenn ihr auf einer Webseite wollt, müsst ihr ein Häkchen setzen und bestätigen, dass ihr ein Mensch seid und in Zweifelsfällen müsst ihr auch nochmal irgendwelche Autos oder Masten raussuchen oder irgendwelche Tiere von A nach B ziehen oder so.

00:03:22: Dieses Ding war auch betroffen.

00:03:23: Das erwähne ich separat, weil das zum Beispiel dazu geführt hat, dass man auf ChatGPT .com keine Anfragen mehr als nicht angemeldeter Nutzer machen konnte.

00:03:34: Das kann man normalerweise, die ich nutze, das auch ausschließlich, ich habe keinen GPD-Konto, um auf den älteren Modellen mal eben schnell mit einem relativ hohen oder niedrigen Limit, also keine zehn Anfragen oder so und so viel Tokens pro Tag, eine Antwort zu bekommen.

00:03:47: Und wenn ich mal eine kleine Sicherheitslücke oder irgendein Injection-Trick oder sowas ausprobieren möchte, dann nutze ich in der Regel das.

00:03:54: Und davor geschaltet ist dieses Cloudflare Turnstile und dann dieses JetGPT kann Cloudflare TwinStar nicht erreichen, tut mir leid, kein JetGPT für dich.

00:04:02: Wenn man angemeldet war, also eingelockt war, dann ging das.

00:04:06: Und Cloudflare macht ja auch so ein bisschen seine Geschäfte damit, dass sie nicht nur dieses klassische CDN, DDoS Protection haben, sondern ganz viel drum herum, dass sie sich ein ganzes Ökosystem von Tunnels bis hin zu diesen Plugins für alle möglichen Webseiten und Frameworks gemacht haben, dass die Leute anfangs kostenlos, dann später kostenpflichtig in das Cloudflare-Ökosystem und in die Cloudflare-Produktwelt hinein holt.

00:04:32: Und in diesem Fall waren alle die, die drin waren, drin und konnten nicht rausgucken und von draußen konnte man ganzes Weilchen nämlich fast drei Stunden nicht reingucken.

00:04:43: Vielleicht soll ich mir das mal kurz erklären, auch wenn es wahrscheinlich die meisten höher und höheren Wissen werden.

00:04:48: Cloudflare ist halt eigentlich ein Internetgigant, der aber im Unterschied zu irgendwie Google und Amazon und Microsoft nicht so sehr zutatgetritt, aber wie du sagst, der Betreibt im Unterhalt damit CDN des Globalverteiltes und Seriege genutzt wird.

00:05:03: Und das ist eben auch ein DDoS-Anbieter auf einem Niveau, wo es vielleicht noch ein oder zwei andere Global gibt.

00:05:11: Aber mehr oder größere Attacken abwehren als Cloudflare kann eigentlich kaum jemand, weswegen sie auch eine sehr großen Kundenbasis erfreuen.

00:05:20: Weswegen eben ein Haufen Webseiten, die man denn so nicht ansieht.

00:05:25: letztendlich hinter Cloudflare hängen, um halt vor solchen Didos-Angriffen geschützt zu sein.

00:05:31: Ja, also das, also kein ganz kleiner Laden, ich weiß gar nicht, ich glaube, zwanzig Prozent des Internet-Traffics kommen über, gehen irgendwann über Cloudflare und die sind auch, glaube ich, groß geworden damit, dass sie relativ umfangreiches Angebot kostenlos bereitstellen.

00:05:47: Ich habe eine ganze Zeit lang mal Webseiten über Cloudflare betrieben und das ist Unheimlich einfach.

00:05:53: auf der anderen Seite auch unheimlich einfach für die hunderten oder tausende Cyber kriminellen die ihre Kryptomixer DDoS Buddha Websites und was nicht noch alles über Cloudflare betreiben und dann bist du in diesem Ökosystem drin das ist.

00:06:06: und dann kommt natürlich allerlei Zusatzfeatures wie AI Crawler ausschließen die die kosten dann irgendwann Geld also.

00:06:14: Das ist das hat schon tatsächlich echt merkbare Auswirkungen, wenn bei Cloudflare was krumm ist und das hat auch Cloudflare sehr sehr schnell selber gemerkt.

00:06:23: Und was ich an dieser Geschichte spannend finde, ist, dass sie sehr offen darüber reden.

00:06:31: Die Geschichte ging relativ schnell.

00:06:33: dann, sowohl bei Cloudflare intern, nicht viral, aber sie wurde sehr hoch eskaliert, weil im internen Slack oder was das ist von denen.

00:06:40: Da fragte Matthew, sagt Matthew Prince, also der CEO von Cloudflare, der wird uns gleich noch an einer anderen Stelle kurz begegnen.

00:06:47: Der sagte dann sinngemäß, oh, ich habe das ab die Befürchtung, dass da ein Botnet gerade seine Muskeln spielen lässt.

00:06:53: Denn es war nicht nur ein großer Teil dieses Cloudflare-Netzwerks down, sondern es war auch zudem die Statusseite von Cloudflare Platt.

00:07:00: Also die Seite, die komplett außerhalb des Cloudflare-Netzes, nämlich bei, was hatte ich gesagt im Vorgespräch, ich glaube bei Cloudfront, Cloudfront ist mein ich Amazon.

00:07:11: Ich kann den ganzen Franz und Flair's nicht mehr so richtig auseinanderhalten.

00:07:15: Gehosted ist, die Seite war auch kaputt.

00:07:17: Das hat sich später dann als Annoillette die daraus gestellt.

00:07:19: Da haben wir auch noch keine root-cores analysis gesehen.

00:07:22: Also wer weiß, was da am Werk war.

00:07:23: Und dann war bestimmt DNS.

00:07:26: Also es gibt ja einen Pace von der Federmeldung in den Blockartikel von Cloudflare.

00:07:30: Und das sieht nicht nach der DNS-Problematik aus, aber eigentlich ist alles DNS.

00:07:34: Das ist ein Indiz, dafür das ist eine DNS-Problematik.

00:07:36: Genau, wenn es sich nicht mehr auszieht.

00:07:39: Wenn es nicht aussieht wie DNS, dann ist es DNSsec, aber es ist ja auch so eine Untermenge von DNS.

00:07:43: Also, uns ist wichtig an dieser Stelle Schauer zu betonen.

00:07:47: Ihr könnt eigentlich ins nächste Kapitel skipen.

00:07:49: Ach, wir haben ja keine Kapitelmarken, dass es hier kein DNS-Fehler war, sondern was anderes.

00:07:54: Und Cloudflare war es sehr wichtig zu betonen in ihrem Postmortem, dass es kein Cyberangriff war.

00:07:59: Also kein DDoS, keine Attacke.

00:08:00: Das hat sich nämlich als falsche Pferde herausgestellt, die durchaus folgenschwer war.

00:08:05: Sondern es war ein mehrstufiges, Technisches Problem auf mehreren Ebenen.

00:08:11: Ich habe in einigen Kommentaren gelesen, das war so ähnlich wie CrowdStrike, aber am Ende ist jeder Fehler hat irgendeine Ursache und das Ganze eskaliert dann mehr oder weniger stark.

00:08:21: Also da kann man alles auf so ein CrowdStrike ähnliches Phänomen zurückführen.

00:08:24: Ich finde das ein bisschen zu kurz gegriffen.

00:08:26: Hier ist Folgendes passiert.

00:08:28: Es gab im Rahmen eines geplanten Datenbankwartungen an deren an der Cloudflare.

00:08:36: Datenbank Cluster, die nutzen eine Datenbank namens Click House, die aber im Wesentlichen auch irgendwie SQL spricht, wenn ich das richtig gesehen habe, gab es eine Änderung im Berechtigungssystem.

00:08:46: Und dieser Datenbank Cluster macht eine zentrale Aufgabe bei Cloudflare, der speist die Konfigurationsdateien für deren BOT Management Filter.

00:08:55: Also für die Subsysteme, die teilweise mit Machine Learning, teilweise aber wahrscheinlich mit einfachem Pattern Matching daran arbeiten, BOTS.

00:09:03: aus den Webseiten der Kunden, Bernd zu halten oder zumindest einzuregeln.

00:09:08: Cloudflare hat auch ein sehr umfangreiches KI-Crawling-Feature, also ein Dämpfeature um KI-Crawling zu irgendwie einzuhägen, aber natürlich auch bösartige Bots oder legitime Crawler, die also so oft von den Webseiten fernzuhalten, dass sie nicht übermäßig viel Last verursachen und zum anderen eben die Inhalte dann nicht abschnorcheln.

00:09:29: Das Wort kommt uns auch gleich bestimmt noch mal unter.

00:09:33: Und diese Permission-Enderung hatte einen unangenehmen Nebeneffekt.

00:09:38: Die hatte nämlich den Nebeneffekt, dass Ergebnisse, die eigentlich nur einmal ausgegeben werden sollten, dann zweimal ausgegeben wurden.

00:09:45: Und diese Ergebnisse fütterten dann eine Konfigurationsdatei, das sogenannte Feature-File.

00:09:50: Das wurde dann, wenn statt einem immer zwei Ergebnisse kamen, doppelt so groß wie üblich.

00:09:56: Das wird alle fünf Minuten neu generiert und ausgerollt.

00:09:59: Also dauerte es nachdem diese Konfigurationsänderung... mit den Permissions.

00:10:05: In dem Cluster ankam, das dauerte es fünf Minuten, bis die ersten falschen Konfigurationsdateien im Netz ankamen und auf den entsprechenden Netzknoten im Cloudflare CDN, die pläut wurden.

00:10:19: Warum das Doppel so groß wurde, habe ich ehrlich gesagt nicht verstanden.

00:10:23: Mein Erkältungsgehörigen kam dann nicht mehr hinterher, weil ich glaube, es gab irgendwie so jetzt explizite Permissions zusätzlich zu irgendwelchen Impliziten, aber Sylvester hat es verstanden, glaube ich.

00:10:33: Naja, die haben, wenn ich es richtig verstanden habe, eigentlich eine relativ sinnvolle Änderung vornehmen wollen.

00:10:38: Die haben festgestellt, dass da Zugriff auf Datenbankzeilen besteht, der auch okay ist, der aber nicht explizit gewährt ist.

00:10:49: Und nachdem es grundsätzlich schlecht ist, wenn man solche Zugriffe hat, die nicht, oder solche Zugriffsmöglichkeiten hat, die nicht offensichtlich sind, haben sie da halt die Rechte so angepasst, dass diese de facto bestehende Zugriff zu einem explizit gelisteten Zugriff wird.

00:11:03: Und das hat eben dazu geführt, dass eine Tabelle, weil es wurde an anderer Stelle im System, implizit angenommen, dass eben dieser explizite Weg nicht zur Verfügung steht.

00:11:15: Und dadurch, dass der dann eingeräumt worden ist, ist es zu dieser Verdoppelung der Ergebnisse gekommen, weil die dann sozusagen über zwei, nämlich den alten indirekten und den neuen direkten Weg sichtbar waren.

00:11:25: Und das war sozusagen, wenn ich es richtig verstanden habe, der Effekt.

00:11:28: Und eigentlich ist es ja eine sinnvolle Idee, hinzugehen und zu sagen, na ja, wir wollen keine nicht offensichtlichen Zugriffsrecht hier haben.

00:11:37: Wir wollen das explizit machen.

00:11:39: Und sicherheitstechnisch geht da ja auch nichts schief, wenn die Sachen dann doppelt sind.

00:11:43: Also die Daten sind immer noch korrekt.

00:11:45: Sie ist nur jedes Datum halt mehrfach notiert.

00:11:47: Aber das Problem war ja dann, wie du gesagt hast, dass da wieder Teigröße anwächst.

00:11:51: Und das wiederum war ein Problem, auf das das, glaube ich, gleich zu sprechen kommst.

00:11:55: Genau, also die Dateien waren dann plötzlich doppelt so groß wie üblich und dann kam diese Bot Management Software und passte die Datei und um zu ironischerweise um zu vermeiden dass sie beim paar sind lang hin schlägt schlug sie lang hin.

00:12:13: denn was da passiert ist ist die haben limits in ihren für die maximalen größen der jeweiligen konfigurationes und eingabendaten.

00:12:21: weil sie das zeug glaube ich in rust gebaut haben ich weiß es gar nicht in welcher sprache das alles ist und.

00:12:27: weil sie den Speicher vorher allokieren und weil sie eben nicht unklare, große Speicherbereiche allokieren wollen, sondern sagen, wir haben jetzt hier keine Ahnung, sechzehn Gigabyte Speicher für diese Feature-Datei, die expandiert sich dann zu irgendeinem riesen associativen Array oder sowas.

00:12:41: und wenn die sechzehn Gigabyte aber voll sind, dann möchten wir nicht noch weiteren Speicher allokieren, möglicherweise, dass uns der Speicher vollläuft, sondern dann lehnen wir halt die ganze Datei ab.

00:12:52: Genau das ist passiert.

00:12:54: Die, diese Bot-Management-Software hat gesagt, ne, das ist mir zu groß und da habe ich jetzt keinen Bock mehr drauf.

00:13:02: Und dann machte es bumm.

00:13:06: So.

00:13:07: Das ist die nüchterne Situation, paraphrasiert aus dem langen Blog-Artikel von Cloudflare, den wir euch natürlich in den Shownotes verlinken.

00:13:18: Und wenn ihr die ganzen schmutzigen und blutigen technischen Details haben wollt, dann schaut euch den gerne an.

00:13:25: so viel sei schon mal sozusagen schmackhaft gemacht, da relativ offen und ohne das übliche, oh ja, wir erzählen erstmal vier Absätze lang, wie toll und sicher wir eigentlich alles machen, relativ direkt drinstehen.

00:13:37: Es ist natürlich immer noch technisches Kleinklein, wo man nicht durchbeißen muss, aber es ist ein wirklich erfrischend direkter Blog-Eintrag.

00:13:44: Ja, also man merkt eben auch, wenn solche Prost Mortems nicht von Anwälten geschrieben werden oder überarbeitet werden.

00:13:51: sondern da Leute dran schreiben, die wirklich daran interessiert sind, technisch besser zu werden, dass andere nicht in die gleiche Falle tappen, wobei bei der Größenordnung von Cloudflare vermutlich weltweit nicht mehr ganz viele Unternehmen in der Lage sind.

00:14:02: dieselbe Falle zu tappen.

00:14:03: Ich hatte Ackermai, die blockpost, den schreiben wir gleich mal mit.

00:14:07: Bei

00:14:09: Ackermai sitzen sie jetzt alle mit ihrem Notizbuch in der Hand und sagen sich, ja, okay, aber auch der Herr Kunz, der sich dann jetzt mal ein CDN zu Hause baut, der sagt sich, ah, will ich also einen weltweit verteilten Klickhausklasterbetreiber, dann muss ich aufpassen mit den Größenlimits und den Permissions.

00:14:22: Wie dem auch sei, eine Frage, die ich mir bange während des Ausfalls gestellt habe, während wir alle die Tasten gehauen und Meldung nach Meldung und Update nach Update geschrieben haben, weil das natürlich für uns ein unheimlich wichtiges Ereignis ist, so ein Ausfall, denn der sorgt dafür, dass sofort alle Leute nicht nur pingheise.de machen, um zu gucken, ob das Internet noch existiert, sondern auch natürlich bei uns nachgucken, ob wir schon was darüber wissen, ob es wirklich ein Ausfall ist.

00:14:48: Und woran es liegt und das haben wir ja gerade schon gehört ist selbst für cloudflare nicht ganz einfach festzustellen gewesen.

00:14:54: in der nach im nachhinein denkste immer ja klar das war zwei stunden da und hier sind die grafen dafür.

00:14:59: aber wenn du am anfang eines solchen themas bist und auch wir zum beispiel in der redaktion.

00:15:04: Merken irgendwas ist komisch.

00:15:05: Teams funktioniert nicht mehr richtig.

00:15:07: Ist es erst mal relativ schwierig festzustellen, ob es ein Ausfall ist oder nicht.

00:15:10: Und diese Schwierigkeit hatte Cloudflare auch und aber noch einige weitere, die dazu führten, dass es ein überraschend langer Ausfall war.

00:15:16: Und auch das ist eine Sache, die sie unheimlich transparent kommunizieren.

00:15:21: Das ist auf der zweiten Bildschirmseite des Blog-Pos, ist die Grafik, die zeigt, wie lange der Ausfall war und laut ihren eigenen Daten von etwa elf Uhr dreißig ihrer Zeit.

00:15:29: Das ist UTC bis kurz nach vierzehn Uhr dreißig.

00:15:32: also drei Stunden.

00:15:33: Und das ist für ein Netzwerk dieser Größenordnung durchaus schon eine Hausnummer.

00:15:37: Ich habe die SLA jetzt nicht geflöht, aber ich gehe davon aus, dass sie da auch Schadenersatzpflichtig ihren kommerziellen Kunden gegenüber werden.

00:15:42: Das heißt, sie werden dann auch möglicherweise was zurückzahlen müssen.

00:15:46: Außer sie haben irgendwie ein monatliches SLA, da ist, wenn du neun, neun, neun hast, dann sind das glaube ich wobei, das ist glaube ich auch nur ein dreißig Minuten oder so.

00:15:52: Naja, also ist auf jeden Fall eine unangenehme Situation gewesen.

00:15:56: und.

00:15:58: Klauffler hat auch sehr detailliert erklärt wie sie diese unangenehme situation wie die entstanden ist und warum das so lange gedauert hat.

00:16:05: und das finde ich durchaus ganz spannend denn da sieht man auch dass das jetzt ja nicht eine böse absicht ist dass das so lange dauern.

00:16:11: also erst mal war der erst das erste problem beim problem das erkennendes problem die.

00:16:17: dieses große netz das cloudflare betreibt das ja wirklich in allen sieben kontinenten werben sie haben sie notes das weltweit verteilt ist und da wo tausender und arbeit hausende maschinen irgendwelche dinge tun die dafür sorgen dass ich auf wwp punkt jetzt nicht heise punkt de aber wwp punkt luma info stieler punkt kommt surfen kann oder so die dieses netzwerk.

00:16:43: Agiert teilweise so dass man fast sagen könnte es ist nicht die technistisch und in diesem fall war es halt so dass dieser klickhaus cluster.

00:16:49: Nicht auf einen schlag die falschen permissions gekriegt sei es da einer auf den knopf gedrückt und dann dieses klassische.

00:16:56: An aus aus aus aus Phänomen gehabt oder sofort gemerkt hat scheiße jetzt habe ich miss gebaut sondern da hat jemand eine konfiguration zu ändern nach bestem wissen und gewissen eingespielt in einem großen globalen cluster und der ist da mit einer verzögerung von.

00:17:08: mehreren Minuten, wenn nicht sogar eine viertel Stunde oder zwanzig Minuten oder eine halbe Stunde, das steht nicht ganz genau in dem Blockartikel ausgespielt worden.

00:17:16: und während die ersten Cluster Notes schon die falschen, also doppelt zu großen Konfigurationsdateien ausgeliefert haben, hat ein Großteil der anderen Cluster Notes in diesem Datenbank-Cluster noch die richtigen Konfigurationsdateien ausgeliefert.

00:17:27: Und das führte dazu, dass Notes teilweise, also diese BOT Management Notes, teilweise die richtige Konfig gekriegt haben.

00:17:35: Und das funktionierte.

00:17:36: und dann teilweise eine falsche, dann sind sie auf die Nase gefallen.

00:17:38: Fünf Minuten später haben sie aber wieder eine richtige gekriegt und irgendwann ist das Ganze dann konvergiert und hat sich stabilisiert, aber dummerweise im Fail State.

00:17:48: Aber ich finde es halt auch sehr nachvollziehbar, dass Klaufe der erstmal dachte, sie haben es hier mit dem Angriff zu tun.

00:17:54: Wenn man halt sieht, die Systeme gehen irgendwie in die Knie, dann fangen sie sich aber wieder, kommen wieder hoch, dann gehen sie wieder in die Knie.

00:18:01: Da liegt es halt nahe.

00:18:02: Irgendjemand attackiert uns hier und unsere Gegenmaßnahmen kommen sozusagen nicht ganz damit zur Rande.

00:18:08: Es sieht ja nicht aus, wie hier ist eine falsche Konfig, die sich verbreitet und einfach eine nach dem anderen absäbelt, dadurch dass die auch wieder zurückkommen können, wenn sie zu viel der Weise fünf Minuten später von woanders diese Datei abbekommen, wo noch nicht das Datenbank-Update ausgespielt worden ist.

00:18:25: Sie hatten ganz konkret den Verdacht, dass sie angegriffen werden vom ISURO-Botnet und das ISURO-Botnet hat in den letzten Monaten die DOS-Angriffe einmal sieben Terabit pro Sekunde und einmal vierzehnt, also gegen Cloudflare und gegen Microsoft Azure, ich glaube, ein vierzehnt Terabit-Angriff gefahren.

00:18:43: Das ist also schon auch eine Hausnummer, wo selbst Matthew Prince ein bisschen nervös wird.

00:18:48: Und der erste Verdacht war eben genau das, weil dieses nicht deterministische Verhalten und auch das diese Das ist keine klare Zuortenbarkeit zu dieser Konfigurationsänderung dabei, weil das einfach keine... Das wirkte offenbar nicht wie eine Änderung, die operationelle Probleme nach sich ziehen würde, weil sonst hätten sie sehr nicht im Live-Betrieb gemacht.

00:19:06: Also... Gut, Status-Seite war auch da und das hat es auch nicht leichter gemacht.

00:19:11: Und dann kam aber zum Blöden auch noch schlechtes dazu, nämlich, dass, als sie dann wussten, was Phase ist, es keinen Weg gab.

00:19:21: per Brutforce oder manuell auf irgendeiner Art und Weise diese kaputten Konfigurations Dateien mit den, als heile bekannten Konfigurations Dateien, die eben nur halb so groß waren zu überschreiben.

00:19:32: Da gab es einfach keinen technischen, also das war wohl nicht vorgesehen, dass es da irgendeinen technischen Weg gibt, um zu sagen, oh das müssen wir jetzt hier schnell auf allen, ich weiß nicht wie viel, tausend Boardmanagement mit Notes weltweit hot fixen.

00:19:43: Und das ist ja auch einfach eine Menge.

00:19:45: Und das war dann das nächste Problem.

00:19:47: und dann... mussten sind die ganzen dinger wohl weltweit auch noch mal einmal ordentlich durchspülen.

00:19:52: in dem blockartikel ne auf hacker news hat jemand geschrieben.

00:19:57: Wir had to reboot processes on our proxy notes.

00:20:00: von diesen proxy notes haben sie einfach auch eine riesen menger und das geht nicht alles in derselben sekunde.

00:20:04: also das ist dann wirklich eine sache die extrem viel.

00:20:08: Volumen anänderungen bedingt und.

00:20:11: Dadurch, dass das so nicht der terministisch wirkte und dass es auch so hier ist kaputt, woanders funktioniert es.

00:20:18: Ach nee, jetzt doch kaputt hier, jetzt wieder heile und alles irgendwie so ganz flaky war.

00:20:22: Dachten natürlich viele, dass es kann eigentlich nur eins sein, neben einem DDoS, nämlich diese andere Buchstaben-Kombination mit D.

00:20:29: DNS.

00:20:30: Genau, DNS war's, aber da hab ich ja gerade schon gespoilert, nicht.

00:20:33: Aber diese Fehlerbilder, die ändern sich halt eben.

00:20:35: Wenn irgendwas im DNS kaputt ist, dadurch, dass das ja auch so ein weltweit verteiltes System ist, und hier reichisch, und hier gibt's Resolver, die länger cashen als die anderen, da fühlt sich das manchmal auch eben so an.

00:20:44: Das ist für die eine Hälfte der Welt kaputt ist, und für die andere ist es Heile, und dann macht's den Rechner aus und ist bei dir auch kaputt.

00:20:51: Ist

00:20:53: das ja eine gute grundsätzliche Regel, wenn was Komisches passiert, dann ist die Ursache DNS.

00:20:58: würde von dieser Regel jetzt auch nicht abweichen wollen.

00:21:01: Ich glaube, es handelt sich hier um die Ausnahme.

00:21:03: Es

00:21:03: handelt sich um eine unrühmliche seltene Ausnahme, aber natürlich gilt die Regel weiterhin.

00:21:11: Sie haben das Thema dann irgendwann beruben gekriegt.

00:21:14: Die lieben Cloudflares ist ja nun auch ein Stück weit ihr Job hat, aber wirklich eine ganze Weile gedauert und mittlerweile ist alles wieder normal und sie haben in dem langen Blogartikel natürlich auch nochmal eine Ja, so das was wir jetzt tun werden, follow up steps und dann steht da steht so das übliche.

00:21:31: Das hat, da muss ich sagen, das hat CrowdStrike auch geschrieben.

00:21:34: Hardening Ingestion of Configuration Files stand bei CrowdStrike glaube ich auch drin.

00:21:39: Enabling more global kill switches for Features.

00:21:42: Da haben die dann irgendwie Dogfooding reingeschrieben oder so.

00:21:45: Also das waren so Sachen, das ist halt dann doch so ein bisschen generisch, aber am Ende läuft es oft genau das hinaus.

00:21:53: was ja auch wahr ist.

00:21:54: Du musst dann gucken, dass du diese Probleme behebst, indem du zusätzliche Notfallmaßnahmen einführst, wo einfach technische Möglichkeiten sind und dass die Ursachen, also fehlerhafte Konfigurationsdateien, degeneriert werden und aber auch das fehlerbehaftete Einlesen möglichst alles behebst.

00:22:15: Und das ist jetzt auch schon ein ganz guter Punkt, denn da haben wir im Vorgespräch echt ein bisschen drüber gestritten.

00:22:21: Was ist denn jetzt eigentlich der Route-Course?

00:22:23: Also was ist der eine Grund, warum das jetzt so spektakulär kaputt gegangen ist bei Cloudflare?

00:22:30: Also, was würdest du sagen?

00:22:31: Was ist der Route-Course für dich?

00:22:34: Ich würde sagen, wieso der Route-Course.

00:22:37: Wir haben uns da so ein bisschen drübergekabbelt, also in Diskussionen von einem Artikel, der jetzt mit Cloudflare speziell gar nichts zu tun hat.

00:22:45: Aber eine Route-Course-Analyse heißt für mich, im Prinzip das, was Cloudflare ist dann auch gemacht hat, dass man sozusagen den Gründen hinterher recherchiert und dann guckt, was war denn der Grund für diesen Grund?

00:22:56: Also diese kausalen Ketten, die ja meistens da vorhanden sind, weil nicht einfach an der Einstellung was umgefallen ist, die nachverfolgt sozusagen bis zu ihrem Anfang.

00:23:07: Das heißt aber nicht, dass es am Ende dann die eine Ursache geben muss.

00:23:10: Also ein Vorfall kann man in den Halben durchaus mehrere Route Courses haben.

00:23:14: Sieht man zum Beispiel auch, wenn das CA Browser Forum Incidents analysiert, dann machen die auch eine Route-Course-Analysis, aber Listen da geben da Tabellen von Route-Courses an.

00:23:24: Da können doch auch mehrere zusammenkommen, aber Wichtig ist halt sozusagen, dass man nicht an der Oberbleche bleibt und sagt nicht einfach so, ja, irgendwie die Datei ist zu groß geworden, das war die Ursache, nee, sondern die Datei ist aus einem Grund zu groß geworden, weil der Datenbankplaster da mehr ausgespielt hat und der hat aus einem Grund mehr ausgespielt, dass man diese Ketten sozusagen rückverfolgt.

00:23:43: Also kein Route-Cross.

00:23:45: Naja, mehr als ein Routekurs würde ich sagen.

00:23:50: Aber es ist eben zum Beispiel wichtig, dass sie sich überlegen, na gut, wir müssen irgendwie in Zukunft nicht nur verhindern, dass irgendwie das System Tiltzeit kliniert, heizugroh ist, sondern wir sollten uns auch überlegen, wie können wir denn verhindern, dass, also wie können wir so eine, so einen Permission Update in der Datenbank irgendwie sinnvoll testen, damit uns sowas nicht passiert?

00:24:11: Ich nehme an, dass es sehr schwierig ist, weil wenn man eben In der Problematik von Cloudflash, dass man sagt, wir müssen die alle fünf Minuten ausspielen, weil es geht hier um irgendwie Bot-Netzabwehrmaßnahmen, die reagieren schnell, wir müssen eben so schnell gegen reagieren.

00:24:24: Wir können nicht sagen, ja, das testen wir heute mal für zwei Tage und gucken, also in einem Teilbereich.

00:24:27: Das muss sozusagen konstant live gehen.

00:24:31: Und wir können auch kein Testnetz in der Größe von unserem realen Netz aufziehen, weil unser realen Netz halt so gigantisch ist.

00:24:37: Aber ich würde hoffen, dass sie sozusagen überlegen, wie können wir sozusagen in Zukunft so eine Änderung, auch wenn wir sie vielleicht direkt einfach live ausspielen müssen, eine Möglichkeit haben, die schnell wieder rauszudrehen, falls sie sich als Fehler erweist.

00:24:52: Ja, also da fällt mir bei einem Netzwerk in der Größe von Cloudflare auch nicht so viel ein.

00:24:58: Ich meine, es gab mal eine Simpsons Folge, da wurde gesagt, dass Springfield so eine nukleare Opferzone ist.

00:25:04: Da justieren alle Staaten, also... Russland tut die USA erst mal ihre Atomraketen, damit die Ziele genau die anderen echt Ziele treffen.

00:25:13: Vielleicht ist das dann der einzige die einzige Möglichkeit, dass das Cloudflash sagt, okay, wir nehmen jetzt irgendein Land und spielen das da zuerst aus.

00:25:22: Aber wenn sie dann das Land nehmen, wo sie am wenigsten Eyeballs haben, also am wenigsten Leute auf ihre auf die Webseiten, die hinter Cloudflash gehen, dann wäre es nicht repräsentativ.

00:25:30: Und wenn sie sowas nehmen wie die USA, dann ist es ja gleich bedeutend mit einem weltweiten Ausfall.

00:25:34: Also es ist echt so ein bisschen.

00:25:39: Ich glaube auch nicht, dass das Netzwerk von Cloudflare überhaupt so strukturiert ist, dass es sinnvoll machbar ist, zu sagen, ich mach das erst mal in dem Land oder so, das wahnsinnig viele von deren Services leben, ja, davon, dass die automatisch failovern und sobald irgendwo irgendein Rechenzentrum ein bisschen unter Last gerät, dann geht's halt auf das nächste Rechenzentrum in dem anderen Land über oder so.

00:25:56: Also, das ist deren Kernbusiness, dass dieses Routing unglaublich dynamisch funktioniert.

00:26:01: Also, das Routing... Ich habe letztens den alten

00:26:02: Tag von denen gelesen, die haben nicht mal mehr an ihren... an ihren Server IP-Adressen.

00:26:09: Also die Server global verteilt, teilen sich IP-Adressen.

00:26:14: Da kannst du zehn Server in zehn Rechenzentren haben, die sind total derselben IP-Adresse erreichbar, weil sie schwarz magisches Wudu mit ihrem Internet in Routing machen.

00:26:22: Das ist total faszinierend.

00:26:23: Sie erklären das auch hier im Blog.

00:26:25: Aber wenn du halt ein so strukturiertes Netzwerk hast, das davon lebt, dass es unglaublich dynamisch reagiert, sehe ich nicht so richtig, wie du dann einen Teil raus separieren kannst, indem du dann Sachen testest.

00:26:37: Also zwei Punkte.

00:26:38: Der erste ist ein Lamer-Dead-Joke.

00:26:41: Meine ganzen Folgen zu Hause haben auch alle die gleiche IP-Adresse, hundertzwanzig, neun, neun, eins.

00:26:46: Der zweite...

00:26:47: Öffentliche rotbare IP-Adressen.

00:26:49: Dass wir hier... Also ich glaube schon, dass es Sachen gibt, die sie landenspezifisch ausrollen können, denn hier geht es nicht um Routing in dem Fall.

00:26:57: Also in diesem konkreten Ausfall geht es nicht um Routing, sondern um wesentlich... andere Features, von denen ich sehr sicher bin, dass sie die länderweit ausrollen können, weil sie landespezifische und regionespezifische Regeln beinhalten werden.

00:27:11: Also diese ganzen Bot-Management-Geschichten sind garantiert regional angepasst und ich kann mir schon vorstellen, dass sie sagen können, okay, also dieses Konfliktfall, das spielen wir nur in Deutschland aus, auch um, weiß ich nicht, regulatorische Themen zu bearbeiten oder sowas.

00:27:24: Und hier geht es, glaube ich, nicht so um das Routing darunter, aber ich glaube, dass es da Mechanismen gibt, aber... Am ende hilft das ja auch nicht weiter, wenn du, du kannst ja mal nicht hingehen und sagen, als ob man wird die Niederlande und wenn die Konfigurationsänderung kaputt ist, dann hat halt in den Niederlanden keiner mehr Cloudflare für eine halbe Stunde.

00:27:43: Das ist ja auch nicht das Wertversprechen von Cloudflare an seinen niederländischen Nutzer.

00:27:47: Insofern ist es auch egal.

00:27:53: zwei Sachen.

00:27:54: Das eine ist die Regeln als solche.

00:27:56: ja sicher, aber es ging ja sozusagen primär nicht um die Regeln, sondern es ging um diesen global replizierten Datenbankcluster.

00:28:03: Und da kannst du halt jetzt sagen, naja, und dann nehmen wir irgendwie einen kleinen Instanz, die für die Diederlande, die ist dann nicht global repliziert, aber dann, also wenn du es da testest, dann weißt du halt immer noch nicht, ob diese Änderung auch auf dem global replizierten Cluster dann so gut funktioniert, weil du hast es ja gerade nur auf so einem lokalen kleinen Ding getestet.

00:28:20: Das andere ist scheinbar, Happen sie ja auch, also wollte ich nur noch erwähnen, das steht in ihrem Blogpost drin und ich hab's jetzt auch nur im Kopf, aber sie hatten ja scheinbar so ein Verdacht, weil diese Änderung scheinbar zufälligerweise zuerst irgendwie in dem Londoner Rechenzentrum aufgeschlagen ist.

00:28:36: Und dann haben sie in ihren ersten Reaktionen, wo sie noch dachten, sie sind im Angriff eben auch feststellen können, oh, das geht irgendwie von hier aus, weil da die in ersten Not abgeschmiert sind und dann haben sie scheinbar auch in London Services abgeklemmt, also für Nutzer der englischen... das englischen Angebot sozusagen von Cloudflare Services abgeklemmt, weil sie dachten, das ist irgendwie ein Exos des Angriffs.

00:28:58: Das war halt alles eine falsche Fährte und sie haben sich bei den Nutzern auch entschuldigt, dass sie dazu sich dann noch Services abgeschaltet haben, die im Prinzip sogar funktioniert hätten, weil sie halt dachten, sie sehen hier einen Angriff und der nimmt irgendwie seinen Ursprung in der Region London.

00:29:12: Das bringt mich zu einem Punkt, den ich unbedingt noch ansprechen wollte, bevor wir in die Lobhude-Line übergehen, denn die müssen wir gleich tatsächlich mal loswerden.

00:29:22: das Verhalten in so einer Krise.

00:29:24: Das ist ein schönes Kabinettstück, dass wir hier mehr oder weniger live beobachten konnten und wo wir auch zumindest, wir waren selber nicht betroffen, Heise nutzt keine Dienste von Cloudflare, wir haben eigenen Lotbänzer.

00:29:36: Wir konnten also berichten und konnten gleichzeitig schauen, was passiert, aber viele Kunden, die betroffen waren, hatten das Problem, dass ihre Webseiten dauernd waren und dass sie das nicht gewohnt sind, denn Cloudflare, auch das kann man, glaube ich, ganz kann man schon konstatieren, ist jetzt einer von den Diensten, die eher sehr stabil laufen und wo du nicht regelmäßig das Gefühl hast, dass da schon mal wieder irgendwas kaputt ist.

00:29:56: Also es ist nicht so wie die Deutschen waren.

00:30:01: Du sitzt dann da, deine Webseite ist platt, ich komme ja ursprünglich aus diesem Hosting-Business und wir haben dieses Thema öfter mal gehabt.

00:30:07: Und das ist dann, dass wir dann plötzlich im Büro saßen und die Verbindung nach Frankfurt war weg ins Rechenzentrum.

00:30:12: VPN war da und die Leitungen überhin andern.

00:30:14: Und dann dachten wir uns, ist das unser Internetanbieter?

00:30:17: Ist das ganze Internet kaputt?

00:30:19: ist unser Rechenzentrum platt?

00:30:20: ist das nur ein Schluck auf?

00:30:21: was ist denn jetzt hier los?

00:30:22: und bist du dann zu dem Punkt kommst du sagst das ist eine Störung vergeht ja erst mal so eine gewisse Zeit.

00:30:26: du kriegst dann die Bestätigung von deinen Dienstleister.

00:30:28: Da ist was nicht in Ordnung.

00:30:29: in diesem Fall hat cloud flair dann ja nach der Zeit reagiert.

00:30:32: ich habe die timeline hier sogar offen.

00:30:35: sie haben.

00:30:38: Und haben sie denn geschrieben dass es das ist kaputt ist.

00:30:41: also elf uhr acht und zwanzig ging es los.

00:30:43: das kaputt gehen aber.

00:30:45: Das steht nicht, wenn sie das erste mal im Block geschrieben haben, dass was kaputt war, schade.

00:30:50: Aber da vergeht eine gewisse Zeit und dann stehst du als Nutzer, als Kunde, als Webseitenbetreiber ja vor der Entscheidung, bleibt das jetzt lange kaputt, muss sich eigene Gegenmaßnahmen ergreifen, oder wird sich das innerhalb der nächsten Minuten selber heilen.

00:31:05: Und das ist, wenn du mitten drin bist, eine unmögliche Entscheidung, weil du die Informationen nicht hast, um diese Entscheidung zu treffen.

00:31:10: Am Ende musst du würfeln.

00:31:11: Du musst... entweder für oder gegen cloudflare.

00:31:14: wetten und einige haben eben genau das getan haben gegen cloudflare gewettet haben dann hektisch ihre origin notes also ihre ihre server ihre web server oder was auch immer application server hinter cloudflare hervor geholt um wenigstens wieder erreichbar zu sein und wir haben im vorgespräch ein bisschen gerätselt wie dieses diese dieses verhalten heißt.

00:31:37: also wenn du hinterher weist ich hätte es anders machen müssen dann heißt das rückschauffehler.

00:31:43: aber wie heißt diese unmöglichkeit der entscheidung in so einer krise wenn du mittendrin bist?

00:31:48: wenn ihr das wisst liebe höherein und höherein schreibt uns bitte unbedingt sofort an passwort-podcast.de denn da kommen wir gerade nicht drauf.

00:31:56: wahrscheinlich habe ich zwanzig minuten nach ende der folge zufällig gegoogelt oder irgendwie sowas.

00:32:01: aber jetzt gerade wissen wir es nicht und das ist ein Aus meiner Sicht sehr sehr schwer entscheidbares Problem.

00:32:07: und ich habe dann gesehen wie Leute auf Hacker News und auf Reddit Tipps getauscht haben, wie man mit der dann so gerade eben noch funktionierenden Cloudflare API seine Content Notes, seine Origin Notes hinter Cloudflare hervorzieht und dann auch die DNS-Zonen alles automatisiert umbiegt und dann erstmal wieder online ist.

00:32:23: Die Schwierigkeit ist, dass man sich natürlich dann exponiert, also... mögliche echte angreifer kennen dann deiner ip adressen und wenn du halt pech hast und gerade mitten in irgendeine bot attacke läuft weil irgendwie da wieder sein wieder sein lm trainieren will dann.

00:32:38: Bist halt trotzdem wieder da nur dass du dann den nachtrag hast du musst diese kompletten changes wieder zurückrollen wenn cloudfave wieder funktioniert und du bist gar nicht sicher ob du nicht vielleicht auch einfach nur fünf minuten.

00:32:48: Down Time über Brückterst statt drei Stunden.

00:32:51: Also das ist eine ziemlich unangenehme Situation, wenn man da drin ist, wenn man von so einem Ausfall bedroht ist.

00:32:56: Und ich habe das mal mit einem einwöchigen Ausfall gehabt und da, das war nicht so spaßig, weil da am Anfang auch nichts zu sehen war, ob das jetzt fünf Minuten oder zehn Minuten noch dauert oder eine Stunde.

00:33:07: und das war dann hinterher eine Woche und da hätte uns das sehr geholfen.

00:33:11: In meiner damaligen Firma hätten wir nach zehn Minuten gewusst, dass wir eine Woche dauern, aber dann hätten wir uns wechselt erscheinbar.

00:33:18: Also das wollte ich noch mal erzählen, also das ist auch bei der Azure Autisch und bei der AWS Autischen Thema, dass dann Leute anfangen nervös zu werden.

00:33:25: und die Frage dann ab welchem Zeitpunkt muss ich denn wirklich selber gegen Maßnahmen ergreifen.

00:33:31: Und das ist, glaube ich, was man sich gut auch in seinen Notfallhandbuch schreiben kann, wenn man... Unternehmen ist, dass von seiner online Präsenz so abhängig ist, dass man ansonsten keinen Umsatz mehr macht.

00:33:40: Also das war nicht eine ganz spannende Seitenbeobachtung, wie erfinderisch die Leute dann auch wurden und dann welche Hotfixes miteinander geteilt haben.

00:33:49: Und der nächste Punkt und auch der letzte Punkt dazu ist, dass Cloudflare hier aus meiner Sicht in jeder Hinsicht vorbildlich agiert und kommuniziert hat.

00:34:01: Also insbesondere kommuniziert hat, das ist für mich Ein Musterbeispiel an Transparenz, von dem sich die Microsofts dieser Welt, aber auch Amazon, die schon selber häufig recht transparent sind, eine echte Scheibe abschneiden können, denn das wurde auf allen Ebenen transparent gespielt.

00:34:18: Und ich weiß gar nicht, ob das im Vorgespräch war oder im Rahmen der aktuellen Berichterstattung.

00:34:23: Da sagte Silvester, schau mal, hier ist noch ein Link auf HackerNews.

00:34:28: Da hat auch einer von Cloudflare direkt kommentiert, der behauptet, er wird bei Cloudflare arbeiten.

00:34:32: Willst du auflösen, wer da kommentiert hat oder soll ich das machen?

00:34:35: Ja, der hat East Dakota kommentiert, nur dass ich nicht wusste, wer den East Dakota ist.

00:34:42: Das ist der White Combinator oder Hacker News-Username von Matthew Prince, also dem CEO von Cloudflare.

00:34:48: Wenn CEOs in Social Media Dinge kommentieren, dann kann das so oder so ausgehen, würde ich sagen.

00:34:54: Im Podcast hatten wir schon einen CEO eines Tech-Unternehmens, nämlich den Andi Yen von Proton, der sich aus meiner Sicht jetzt auf Reddit nicht unbedingt mit Ruhm bekleckert hat, aber das, was der Matthew Prince gemacht hat, also entweder der hat einfach ein unheimlich gutes PR und Kommunikationstraining gekriegt, wahrscheinlich, oder.

00:35:10: aber der ist halt wirklich so, der hat dann auch noch mal länglich geschrieben.

00:35:14: sehr authentisch, wie die Situation war, wen ja alles angerufen hat, wie die so ihren War Room gebaut haben und wie auch die Genese von diesem Blog Artikel war und dass er eben nicht eine Woche lang von Anwälten zerpflückt wurde, sondern dass da jemand aus dem Technik Team drauf geguckt hat, dass sie die PR-Beauftragte von Cloudflare haben draufgucken lassen, wie heißt sie noch?

00:35:35: Stephanie oder so, ich hab's schon wieder vergessen, Michelle heißt sie.

00:35:38: Ich glaube, von der habe ich auch schon mal eine Pressemitteilung gekriegt und dass das Ding dann rausgegangen ist.

00:35:42: Also es gibt sozusagen sogar zum Postmortem, Blockeintracht, noch ein Postmortem auf Hacker News.

00:35:47: Finde ich wirklich gut.

00:35:49: Und ich finde auch gut, dass er sich explizit auf die Frage geäußert hat, warum hat das so lange gedauert?

00:35:54: Und diese Sachen, dass sie eben keine Mechanismen hatten, um diese Konfigurationsdateien von Hand wieder in die Notes reinzufüttern, die kommt von Hacker News.

00:36:01: Vielleicht steht es auch im Blogartikel, aber ich habe sie zuerst auf Hacker News gelesen.

00:36:04: Und gleichzeitig dazu gab es so regelmäßig, wie sie geben konnte.

00:36:08: unter den Bedingungen Status Updates auf der Cloudflare Status Seite, die, wenn sie denn funktioniert, auch außerhalb des Cloudflare Netz ist.

00:36:15: Das ist auch ein wichtiger Punkt.

00:36:16: Das machen immer noch Unternehmen falsch, dass sie sich eine Status Seite bauen und dann sagen, ja, komm, die packen wir hiermit auf den Webserver, wo auch unsere normale Webseite draufläuft.

00:36:23: Das packen wir alles hinter Cloudflare und dann hast du am Ende halt auch nichts gewonnen.

00:36:27: Status Seite gehört außerhalb deines Netzwerks und irgendwo hin, wo du relativ sicher sein kannst, dass die nicht von irgendeinem Ripple Effekt oder von irgendeinem anderen Nebeneffekt erwischt wird.

00:36:36: Ich

00:36:37: hab persönlich mal echte Bauchschmerzen mit Cloudflare aus geopolitischer Sicht, aber eben auch kritisiere ich stark, dass es ein absoluter Safehaven für ganz viele Cyberkribinelle ist, die dann mit so einem kostenlosen Cloudflare-Paketen-Kryptomixer betreiben oder irgendwelche Stressor-Websites.

00:36:53: Also, ich finde nicht, dass Cloudflare das Thema im Griff hat.

00:36:57: Ich habe das Gefühl, sie müssten mehr New York-Customer machen oder zumindest irgendeine Möglichkeit finden, um... Das zu erschweren oder weiter zu erschweren erschwert ist es bestimmt schon.

00:37:07: Aber ich würde mir wünschen dass alle großen unternehmen somit ausfällen umgehen wie klar es ihr gemacht

00:37:11: hat.

00:37:13: Ja also da gibt es eigentlich nur nur ein bei der bei der kommunikation nur nur einen verbesserungsfähigen punkte auch hacken us dann länglich diskutiert worden ist und es zeigt auch so ein bisschen dass es eigentlich nicht gute perre ist wenn du so reagierst.

00:37:27: Er hat dann nämlich auch erwähnt, wie sie sich in ihren War Room, wo sie versucht haben diesen Incident auseinanderzunehmen und dieses Statement zu verfassen, dann irgendwann Burritos haben liefern lassen, als Abendessen oder so.

00:37:39: Und er hat aber nicht aufgeklärt.

00:37:42: womit diese Burritos belegt werden.

00:37:44: Und ein ganzer Hacker-News-Thread etabliert sich nur, was die mangelhafte Transparenz soll, wenn sie hier nicht mal wissen, was auf den Burritos drauf war.

00:37:52: Und das ist natürlich alles ironisch gemeint, aber da sieht man halt sehr schön, wenn man so offen ist, dann ist es nicht nur schön, dass man offen ist, sondern man lenkt damit auch die Diskussion ja sehr im eigenen Sinne.

00:38:03: Und plötzlich ist die Hälfte des Threads ein ironisches Geplänkel über Burritos und nicht irgendeine kritische Fragen einklaut.

00:38:11: Also das ist ja jetzt auch irgendwie Fake News, ne?

00:38:13: Die haben nicht Burritos geordert, sondern sie haben Sushi geordert.

00:38:17: Aber weil Matthew Prince allergisch auf Meeresfrüchte ist, konnte er keinen Sushi bestellen und musste einen Burrito.

00:38:24: Einen Burrito, oh, Entschuldigung.

00:38:25: Also der lässt

00:38:26: sich... Entschuldige

00:38:27: mich für diese brutale Falschbildung.

00:38:30: Na, also wir wollen ja jetzt schon auch mal hier präzise sein in der Kommunikation.

00:38:33: Aber wir wissen trotzdem nicht, was so diesem einen Burrito drauf war, oder ist das mittlerweile gelegt?

00:38:40: Ich glaube nicht, ich bin nicht sicher, ich finde Hecker News unübersichtlich.

00:38:47: Aber vielleicht jetzt auch eher zweitrangig.

00:38:49: Ich glaube, das Rabbit Bowl wollen wir hier im Podcast auch noch springen, weil wenn wir jetzt hier auch noch Kochrezepte austauschen, dann zerfasert das ein bisschen.

00:38:56: Also, Musterbeispiel, wie geht man mit einem Ausfall um?

00:39:01: Wir hoffen, dass jetzt alle mal einmal durch sind.

00:39:03: Ich glaube, wir haben sie fast alle.

00:39:05: Google Cloud Platform könnte nochmal einmal platt gehen.

00:39:07: Aber ansonsten haben wir sie jetzt alle einmal durch.

00:39:09: Ich habe dann auch so ein Meme gebastelt mit diesem Sensenmann, der von Tür zu Tür geht.

00:39:13: Und habe das noch ein bisschen gestreut, weil mich das doch sehr redet, dass im Wochentakt irgendwie die CDNs umfallen.

00:39:19: Okay, jetzt macht eine Stimme kurz Pause.

00:39:22: Jetzt darf der Silvester mal ran, weil ich klär das auch schon im Hals.

00:39:25: Endlich christopher darf mir irgendwie husten wo muss lutschen.

00:39:28: Wir kommen zu.

00:39:28: was anderem?

00:39:29: habt ihr sicher mit?

00:39:29: oder ich weiß nicht ob ihr es mit bekommen habt aber es gab sozusagen.

00:39:34: Einen Vorfall der WhatsApp involviert hat und zwar konnten österreichische Forscher.

00:39:39: WhatsApp nutzer konnten scraping das heißt die haben Telefonnummern generiert.

00:39:46: und dann also ich fange andersrum an wenn man WhatsApp nutzt und viele andere Messenger die auf Telefonnummer basieren.

00:39:53: dann will man ja irgendwie wissen, welche der Kontakte, die man in seinem Adressbuch hat, sind denn eigentlich über diesen Messenger erreichbar.

00:39:59: und das funktioniert technisch.

00:40:01: Im Prinzip immer auf die gleiche Weise, nämlich, dass diese Telefonnummern aus dem eigenen Adressbuch an den Anbieter übermittelt werden müssen und der kann das dann abgleichen.

00:40:09: Da kann man sehr viel Tricks machen, um das irgendwie Datenschutzkonnen, Formen oder schonend auszugestalten, aber irgendwie gibt es halt die Möglichkeit sozusagen für Nummern, die man kennt, rauszufinden, ob sie bei diesem Service sind.

00:40:22: Und im Prinzip haben genau das diese Forscher gemacht.

00:40:26: Nur kannten sie halt alle Nummern.

00:40:28: Das war so ein bisschen der Trick daran.

00:40:30: Wenn man jetzt einfach alle Telefonnummern im Sinne von ich reihe einfach ziffern aneinander, außer wenn würde, dann wäre das viel zu viel, um das irgendwie durchzutesten.

00:40:39: Aber sie haben da sehr geschickt mit verschiedenen, also indem sie halt die nationalen Konventionen wie Nummern aufgebaut sind und welche von diesen Optionen, also von diesen Aufbaum Mechanismen belegt sind und welche nicht belegt sind und so.

00:40:52: Einfach ein Set von ich glaube, dreiundsechzig Milliarden Telefonum oder so generieren können.

00:40:58: Nagel mich auf die Zahl nicht fest, ich habe sie nicht im genauen Kopf.

00:41:01: Und dann halt einfach jede einzelne diese Nummer gegen den WhatsApp-Server geworfen und halt gefragt, ah, ist die denn bei WhatsApp?

00:41:08: Und dann ist es andere, dass man ja bei WhatsApp wie auch bei vielen anderen Services einstellen kann, dass manche Informationen aus dem Profil, wie der Name des Profilbild, öffentlich sind.

00:41:19: Und wenn man das einstellt, dann kriegt man die eben auch zurückliefert, wenn man nur die Nummer kennt.

00:41:25: Das war ein österreichischer Forscher und sie haben in Österreich eine Besonderheit.

00:41:28: Telefonnummern in Österreich folgen offenbar keiner Born.

00:41:33: Es gibt keinen Längen-Limit und es gibt nicht so diese Mobilfunk-Vorwahlen wie bei uns.

00:41:38: Deswegen haben sie abstruse Mengen an möglichen Telefonnummern allein in Österreich gehabt.

00:41:45: Es gibt da so ein Diagramm in diesem Paper.

00:41:46: Ich muss mal gucken, ob ich das gleich paar Leute noch finde.

00:41:48: Das war absurd.

00:41:50: Ja, also mich hat es auch überrascht, warum die Menge für Österreich so hoch ist.

00:41:54: Ich dachte erst, es ist irgendwie ein Fehler oder so.

00:41:56: Aber der Witz ist eben, sie haben einfach die globale Menge relativ im Vergleich zu dem, was man annehmen würde, wenn man einfach nur Ziffern aneinander klein halten können.

00:42:06: Dadurch war es in der Tat scraper und sie haben halt im Prinzip einfach alle Accounts, die über WhatsApp existieren, angefragt und ihr brauchst finden können, existiert zu dieser Nummer ein Account und wenn ja, hat er ein öffentliche... Profilbilder, dann öffentliche Profilnachricht und so.

00:42:22: Und haben da halt erstaunlich es drin gefunden.

00:42:26: Ich habe die Tabelle gefunden.

00:42:27: Wer hätte es gedacht, sie ist im Paper.

00:42:30: In Österreich gibt es fünfhundert, eins, eins, eins Milliarden mögliche Mobilfunkrufnummern.

00:42:37: Zum Vergleich dazu in Deutschland sind es gerade mal eins, drei, drei Milliarden mögliche Kombinationen.

00:42:44: Und der zweitplatzierte ist Indonesien mit achtundachtzig, acht, acht Milliarden.

00:42:50: möglichen Telefonnummern.

00:42:53: Insgesamt sechshundert, sechsundvierzig Milliarden Kandidaten hätte es gegeben, genau.

00:42:58: Aber also per Kapital ist da Österreich schon ganz weit vorne dabei, weil Indonesien hat auch ein bisschen mehr Einwohner als Österreich.

00:43:06: gering für Geek.

00:43:08: Naja, und das stellt sich halt raus, dass sehr viele Leute sehr unvorsichtigerweise diverse Dinge in ihren öffentlichen Profilen notieren, die da vielleicht nicht notiert sein sollten, nicht nur unter Datenschutzgesichtspunkten, sondern vielleicht auch, weil sie sich in dem Land befinden.

00:43:23: wo die Nutzung von WhatsApp als solche verboten ist oder wo einfach gewisse Lebensstile verboten sind und die dann halt aus dem Profilbild zum Beispiel vorgehen.

00:43:33: Christopher meldet sich schon wieder.

00:43:34: Ich weiß nicht, ob ich die Meldung hier fertiglesen kann oder nicht.

00:43:36: Ja, ich hab nur gesagt, das Beispiel auf dem Bildschirm, denn einer hatte in seinem Status stehen, hey there, I'm using cocaine.

00:43:44: Ja, genau.

00:43:46: Und es gibt halt sozusagen zwei Gesichtspunkte darauf.

00:43:48: Das eine ist ... Es ist natürlich nicht schlau, solche Dinge in die öffentlichen Profilinformation zu schreiben und fatalerweise schreiben offensichtlich sehr viele Nutzer, die da rein und das sollten sie einfach lassen.

00:44:02: Das ist auch eine der Tipps, die dieses Paper gibt.

00:44:07: Also stellt einfach diese Zugriffseinstellungen eures Profils in WhatsApp um, sodass es halt nicht öffentlich abfragbar ist.

00:44:18: Security technischer Sicht ist eigentlich nur überraschend, also nicht, dass die halt diese Daten abfragen können, wenn sie den Nummer erkennen, sondern dass die einfach für jede existierende Nummer diese Daten abfragen können, ohne dass an irgendeinem Punkt die WhatsApp-Server sagen, Moment mal, ihr versucht hier sozusagen gerade unseren gesamten Account-Bestand systematisch durchzuprobieren, das unterbinden wir jetzt.

00:44:43: Das geschah nicht, und zwar nicht, weil die Forscher sozusagen da sehr gewieft irgendwelche Schutzmaßnahmen unterlaufen haben, sondern die haben insgesamt nur fünf WhatsApp-Accounts benutzt, um diese Anfragen zu stellen.

00:44:58: Und sie haben all diese Anfragen von einer derselben universitären IP-Adresse ausgestellt, wo eben auch sichergestellt war, dass die einen vernünftigen Appuse-Kontakt hat und so das irgendwie.

00:45:07: Meter, schrecklich, WhatsApp auch nachfragen könnte, was da los ist, wenn sie wollten oder so.

00:45:12: und nicht nur kam keine Nachfrage, sondern es kam auch einfach keine Grenze.

00:45:16: Sie haben teilweise, ich glaube, mit sieben tausend Anfragen pro Sekunde gegen diesen Server geschmissen und der hat die einfach beantwortet.

00:45:24: Sie haben dann auch Profilbilder runtergeladen, zumindest in Amerika, das haben sie mit, ich glaube, Tausend parallelen Downloads gemacht und auch da war der Server happy.

00:45:33: Sie haben testweise.

00:45:34: sind sie mal auf Zehntausend parallelen Downloads hochgegangen?

00:45:37: fand der server auch noch okay?

00:45:39: also es wirkt so als hätte habe ich mich da einfach keinerlei maßnahmen eingezogen um so eine massenhaftes abfragen zu verhindern.

00:45:47: und

00:45:48: Während sie mal kunde bei cloud flair gewesen dann hätten sie da die tollen bot management filter gehabt.

00:45:53: Ja, aber der punkt ist ja man braucht ja nicht mal nen bot management filtern.

00:45:56: also das eine ist die forscher waren ja eh so freundlich sozusagen das alles über die selbe IP-Adresse zu machen, das heißt, es wäre trivial darauf anzuschlagen.

00:46:06: Das andere ist, man braucht ja selber einen WhatsApp-Account, um sozusagen diesen Server zu kontaktieren.

00:46:12: Und Sie haben halt diese fünf Accounts hergenommen.

00:46:15: Und was ich jetzt angenommen hätte, was sehr leicht zu implementieren ist, dass einfach WhatsApp, wenn ein Account anfängt, massenhafte Anfragen zu stellen, dass man den blockiert.

00:46:27: oder zumindest temporär irgendwie einfriert, was es sehr viel aufwendiger machen würde, so einen kompletten Set zu erstellen, was es auch einfach teurer machen würde, weil man sich dann halt diversen neuen Account besorgen muss.

00:46:40: Das heißt, man braucht eine neue Nummer dazu und Pippa Poll, je nach Land, also in Österreich zuerst ist das gar nicht so easy, die ganze Zeit eine frische Telefonnummer anzukommen.

00:46:49: Also es ist faszinierend und überraschend, dass wirklich aber nichts davon irgendwie in place war.

00:46:56: Ob das jetzt sozusagen ein Datenleck war, in dem Sinne kann man sich darüber streiten, weil, wie gesagt, die Informationen, die da abgeflossen sind, sind Informationen, die explizit öffentlich waren, auch wenn viele Nutzer das wohl nicht gut auf dem Schirm hatten, dass sie das mal auf privat umstellen sollten, wenn sie da solche Dinge reinschreiben.

00:47:15: Es gibt interessanter und finde ich sehr lobenswerter Weise von Threemar, also einem direkten Konkurrenten, eine sehr ausgewogene Einordnung dazu.

00:47:25: die halt sozusagen drei, drei kidrische Punkte rausgreifen.

00:47:29: Wie vor dazukommen, einen Punkt, den ich noch erwähnen will.

00:47:31: Also Meta sagt, sie haben auch vorher schon irgendwie sehr vortrittlicher Anti Scraping-Maßnahmen gehabt.

00:47:39: Es ist nur aus meiner Sicht völlig unklar, was die gewesen sein sollten, weil, wie gesagt, das war jetzt nicht irgendwie aufwendig versteckt, was die Vorstellung gemacht haben.

00:47:47: Und sie sagen halt auch jetzt, sozusagen vielen Dank für dieses Paper und sie haben diese Maßnahmen irgendwie verbessert.

00:47:54: Ich denke der Bot Manager war einfach im Urlaub, während die dieses Scraping durchgeführt haben.

00:47:58: Also der guckt halt auf jeden Request und der hatte halt Urlaub und der muss auch mal Urlaub machen.

00:48:04: Das kann natürlich sein.

00:48:06: Also keine Ahnung.

00:48:07: Ich kann mir vorstellen, dass WhatsApp da keine allzu niedrigen Limits einziehen will, weil es gibt ja auch WhatsApp Business und da gibt es sicher irgendwie Business Kunden, die dann halt ganze Firmenadresbücher dagegen diesen Server schmeißen und so.

00:48:19: Aber halt alles nicht in den Dimensionen, wie die vorstellt ist.

00:48:23: gemacht haben.

00:48:24: Ich sehe keinen Grund, warum man da nicht irgendwie das hätte unterbinden können.

00:48:30: Ich glaube ja, dass der Hauptnutzungsgrund für dieses API ist, wenn du einen neuen Kontakt hinzufügst, dass du sehen kannst, dass der auch, oder die auch auf WhatsApp ist und die Person ist, die du glaubst, kontaktieren zu wollen.

00:48:42: Und wenn du deinen Adressbuch freigibst für WhatsApp, wenn du dir das erste Mal WhatsApp installierst, dann wird er ja wahrscheinlich genau dieses API nutzen.

00:48:50: Aber Auch da hätte ich ja, also selbst wenn du dann Limit machst von, weiß ich nicht, fünfhundert Abfragen am Tag.

00:48:59: Also kann sein, dass es sehr hoch frequentierte Koks-Taxis gibt, die häufiger als fünfhundert neue Kontakte am Tag haben.

00:49:07: Aber ich glaube nicht, dass das für Normalnutzer in irgendeiner Weise ein Limit wäre, dass ich jeweils dran rasseln würde.

00:49:13: Insofern war das doch vielleicht... erheblich zu hochgesetzt.

00:49:17: und auch im Business Kontext habe ich, ich habe da nämlich parallel gerade drüber nachgedacht, was die möglichen Use Cases sind und was auch mögliche Limits sein können.

00:49:25: Kann ich mir das schwerlich vorstellen, dass du so viele neue Kontakte außerhalb von so Import-Export-Situationen von so einer ganzen Kontaktliste hast und da könnte man ja wirklich dann auch über irgendwelche Ausnahmeregelung gehen.

00:49:37: Aber Facebook hat seinen Fehler ja dann auch mit etwas Nachhilfe eingesehen und jetzt strengere Limits auf dieses API gesetzt.

00:49:45: Ja, also wollen wir mal hoffen, dass es auch de facto der Fall ist, weil das sollte man vielleicht auch noch erwähnen.

00:49:51: Das war zwar jetzt bei Leibe das umfänglichste Scraping, aber es ist nicht das erste Scraping, das bei WhatsApp aufgetreten ist.

00:49:58: Da gab es schon früher Forschungsergebnisse dazu, die eben gesagt haben so, wir können hier überraschend ungebremst Anfragen gegen WhatsApp-Server stellen, sollte man das nicht irgendwie eindämmen.

00:50:10: Jetzt gab's halt mal jemanden, der gesagt hat, das machen wir einfach mal mit jeder Nummer und stellt sich raus.

00:50:15: Ja, das kannst du auch einfach machen.

00:50:16: Die WhatsApp Server tolerieren das.

00:50:18: Ich glaub, das waren sogar dieselben Forscher.

00:50:20: Also, die haben das letztes Jahr ja auch schon mal sowas, oder vorletztes Jahr auch schon mal sowas gemacht, oder vor ein paar Jahren.

00:50:25: Die hatten also schon ein älteres Paper draußen.

00:50:31: Ja.

00:50:32: Also es gab, wie gesagt, mehrere Paper.

00:50:34: Ich weiß nicht, ob alle Paper von der gleichen Forschungsgruppe sind, aber es ist ja letztendlich unerheblich der Punkt, dass Facebook hätte dieses Problem.

00:50:40: Also hätten sie eh auf dem Schreiben haben müssen, weil sie betreiben einen öffentlichen Dienst im Internet.

00:50:44: Sie sollten wissen, dass es das Risiko besteht, dass der geschrieben wird.

00:50:48: Sie hätten es aber auch insbesondere auf dem Schreiben haben müssen, weil es da schon öffentliche Paper dazu gab.

00:50:52: Und sie sagen halt jetzt, sie haben es behoben.

00:50:55: Ich glaube, dass, wenn das nächste Paper rauskommt, dass man das nochmal probiert hat und es funktioniert nicht mehr.

00:51:03: Nun ja, Threema erwähnt in ihrer Einordnung, die wir auch nicht schon mal zu tun, drei Punkte.

00:51:08: Und ich finde, die kann man doch auch so übernehmen.

00:51:10: Das eine ist, wenn man das halt macht, dann kann man da sehr schöne Statistiken über die Nutzung von WhatsApp drüber generieren, die vielleicht WhatsApp gar nicht so toll findet, dass man die kennt oder das halt jetzt alle die kennen.

00:51:25: Das ist sicher richtig, das ist aber kein Datenschutzvorfall für die Nutzer von WhatsApp.

00:51:30: Dann sieht man halt, wie viele Accounts es in den verschiedenen Ländern gibt und so.

00:51:33: Und man Christoph war hier aufgeschrieben, dass WhatsApp, ah, sie sind offenbar extrem viel verbreiteter als hier.

00:51:38: Das ist richtig, das hätte ich auch so sagen können, ich glaube ohne Paper.

00:51:45: Und was man halt auch sieht sind so interessante Sachen, die sozusagen auch durchaus bevorstellungswürdig sind, aber jetzt kein Problem für die Mehrheit der WhatsApp-Nutzer ist, dass es fünf WhatsApp-Nutzer in Nordkorea zu geben scheint, was auch immer jetzt dann genau hinter dieser Nummer steht, es ist vermutlich nicht fünf normale nordkoreanische Bürger.

00:52:08: Das andere ist natürlich... überdenkt euren privatsphäre Einstellungen und wenn ihr schon dabei seid, macht das nicht nur bei whatsapp, weil es da jetzt passiert ist, sondern bei allen möglichen anderen diensten auch.

00:52:18: Also es geht ja explizit nicht darum, dass irgendwas abfragbar war, was irgendwie auf privat gestellt war, sondern dass einfach Informationen abgefragt wurden, die auf öffentlich gestellt waren.

00:52:27: Und man kann halt mit sowas auch viel schmarrn machen.

00:52:29: Also die Nutzer haben dann für Nordamerika auch Profibilder tatsächlich runtergeladen.

00:52:35: Haben die dann auch mal gegen die Gesichtserkennungsdaten geschmissen.

00:52:39: Gesichtserkennungssystem, in dem Sinne, dass man guckt, ist da ein Gesicht drauf und dann festgestellt, ja, da sind sehr viele Gesichter in diesen Profilbildern.

00:52:47: Das heißt, man hätte das dann natürlich auch gegen Gesichtserkennungsdatenbanken wie PIM-Eis oder so schmeißen können und dann hätte man gewusst, die Person hat diese WhatsApp-Nummer und so.

00:52:56: Also, da kann man schon viel Schabernack mit treiben und auch da ist sozusagen die Logik oder der der Schluss, den man daraus ziehen sollte, stellt solche Informationen auf privat.

00:53:08: Das dritte ist natürlich, dass es Staaten gibt, wo man sich halt sehr ein Bedrängnis bringen kann, schon über die Tatsache, dass man bei WhatsApp ist.

00:53:22: könnte man halt sagen, starten, können das irgendwie scraping, um rauszufinden, welche Nummer, also ob sozusagen sich in allen WhatsApp-Accounts auch irgendwie Nummern aus ihrem Land befinden, aber erstens können sie diese Anfrage ja auch einfach selber stellen für einzelne Nummern, die sie interessieren, das ist ja dann kein Scrapings, sondern einfach das System Works ist designend, ne?

00:53:42: Und zweitens werden diese Konten-E per SMS bestätigt und die SMS, also die Telefonie-Provider, werden sich dann auf die Kontrolle des jeweiligen Staates befinden, also... Wenn in irgendeinem Staat Leute WhatsApp nutzen, obwohl das nicht erlaubt ist, dann liegt es nicht daran, dass der Staat das technisch nicht unterbinden kann oder rausfinden kann, wie er hier eigentlich WhatsApp nutzt, sondern dass sie es halt zumindest einigermaßen zu teurerieren scheinen.

00:54:10: Wie man nutzt es, aus meiner Sicht sozusagen, also aus ihrer Perspektive heraus natürlich völlig logisch, um den zentralen Punkt aufzumachen, Und deswegen ist es schlecht, dass ein Service überhaupt über die Telefonnummer funktioniert, weil das ist halt so ein Merkmal, das kann man dann irgendwie abfragen.

00:54:28: Man kann das auch, also massenhaft scrapen, aber selbst wenn man das massenhaft scrapen unterbinden würde, kann man immer noch, wenn man ein Geheimdienst ist und es interessiert eine spazifische Person halt einfach die Telefonnummer dieser Person.

00:54:41: gegen diesen Service halten und sagen, hey, ist der denn bei dir?

00:54:44: Und dann weiß ich, ob die Person da ein Account hat.

00:54:46: Und wenn das solche verboten ist, dann habe ich schon eine Handhabe gegen die Person.

00:54:51: Das ist richtig.

00:54:53: Christopher hat ja auch reingeschrieben.

00:54:55: Und deswegen ist Telefonnummer als User-Name, Konto-Identify eine Scheiß-Idee.

00:55:01: Ich hab ich

00:55:02: bin... Hast du da, ja genau, hast du da reingeschrieben?

00:55:04: Ich bin da, ich gehe da nicht so ganz mit.

00:55:06: Also sagst du, mittlerweile gibt es ja auch andere Ansätze.

00:55:09: Was sind denn andere Ansätze?

00:55:10: Erzähl mal.

00:55:11: Die ID

00:55:12: vom Threema zum Beispiel, wo wir gerade schon bei denen sind.

00:55:15: Genau,

00:55:16: also Threema identifiziert ihre Accounts primär über eine zufällige vergebene ID.

00:55:23: Und weil die eben zufällig vergeben ist, kann ich die halt auch nicht irgendwie durchprobieren.

00:55:25: Und ich hab die auch nicht irgendwie in einem Telefonbuch, wo ich sie dann irgendwie ausprobieren kann.

00:55:30: Es gibt ja auch andere Services, die halt Benutzernamen einsetzen und so.

00:55:34: Telegram Signal.

00:55:36: Ja, bei beiden muss ich eine Telefonnummer angeben.

00:55:39: Bei Threema ist es ja optional, die Telefonnummer anzugeben.

00:55:42: Die Frage ist jetzt, warum kann ich überhaupt meine Telefonnummer bei Threema angeben?

00:55:46: Und das ist der Knackpunkt, weil ich halt sonst niemanden finde.

00:55:50: Also es ist schön, dass der Christopher einen Threema-Account hat mit irgendeine zufälligen ID.

00:55:55: Ich habe von dem Christopher aber halt nur eine Telefonnummer und entweder Schaltet er bei viel mehr frei, dass er auch darüber gefunden werden kann, er kann seine Telefonnummer bei viel mehr hinterlegen, damit ich genau das machen kann, gucken kann, so, hey, kann ich Christopher einig auf sieben mal kontaktieren.

00:56:10: Oder er macht es nicht und dann weiß ich es halt nicht, dass er in dem Account hat.

00:56:14: Und er muss wir das irgendwie anders kommunizieren.

00:56:16: Und Signal und auch andere Messenger haben das ganz bewusst gemacht, dass sie gesagt haben, wir gehen hier über die Telefonnummer, weil die Telefonnummer ist ein sozialer Graph, den die Leute schon.

00:56:26: haben.

00:56:27: Dann müssen wir uns nicht irgendwie damit rumschlagen, dass die irgendwie über andere, potenziell sehr unsichere Wege einander mitteilen, welche ID sie eigentlich hier haben und so und sich der Service nicht gescheit verbreitet und deswegen eben auch viel schlimmere Alternativen wie SMS oder so nicht gescheit ablösen kann, weil halt niemanden kontaktieren kann.

00:56:45: Es ist auch so, die Zahl ist schon deutlich älter, aber also das ist ein paar Jahre her, dass ich das mal rückgefragt habe, aber da waren glaube ich siebzig Prozent der Threemannutzer oder so, also auch da.

00:56:54: alle Angaben ohne Gewehr, weil ich die gerade aus dem Gedechnis zitier, aber eine relevante Mehrheit hatten die Telefonnummer halt hinterlegt, weil das den Service so viel praktikabler macht.

00:57:05: Deswegen,

00:57:08: ja, ich hab aber auch nicht nur war eine Scheißidee, sondern da ist die Abwägung, Usability versus Privacy in die falsche Richtung ausgeschlagen.

00:57:18: Genau das hast du eigentlich gerade mit so und so vielen Worten gesagt.

00:57:23: Das ist natürlich für die Adoption und deswegen hat es ja WhatsApp auch angefangen und alle anderen haben es nachgemacht.

00:57:28: Das war ja so ein bisschen auch die Genese des Ganzen.

00:57:31: und um SMS aus dem Markt zu drängen, auch das wollte ja WhatsApp von Anfang an erreichen.

00:57:38: Es ist vielleicht nötig gewesen, aber gerade bei Diensten wie Signal oder zum Beispiel auch Telegram sehe ich, dass die Telefonnummer zumindest in den oder wo ich jetzt mal Signal nutze oder wo ich Telegram nutze, das ist aber zugegeben überhaupt nicht repräsentativ.

00:57:53: doch arg auf dem Rückzug ist.

00:57:55: Gleichzeitig kriege ich immer noch alle paar Wochen eine Nachricht, dass irgendeine Person aus meinem Adressbuch jetzt ein Telegram-Frontor hat, von der ich seit zehn Jahren nix gehört habe.

00:58:03: Neulich war das ein ehemaliger Kommilitone von mir und ich dachte so, oh, der lebt noch, na gut.

00:58:09: Aber das war ja eine bewusste Abwägung, um in den Markt zu kommen und um es den Nutzern leicht zu machen.

00:58:17: Und ich glaube, dass das aus Privacy-Gesichtspunkten dadurch, dass du ja deine diesen diesen diesen Nachrichten Kanal an den Resten einer digitalen Identität koppelst oder an der Telefonnummer koppelst immer noch immer gefährlich ist.

00:58:35: also ich will jetzt nicht sagen doch ich habe ja geschrieben es war eine scheiß Idee aber es ist auch so wie ein Sonat rückschauffehler.

00:58:45: also ich glaube Sie werden nicht so weit gekommen wenn sie es nicht so gemacht hätten.

00:58:50: aber jetzt ist auch der Zeitpunkt wo alle messenger dienste auf die Idee kommen sollten die Telefonnummern abzukoppeln, weil ich glaube, es ist auch eine Marktdurchdringung erreicht.

00:59:00: Und dass ich Signal habe, teile ich meinen Kommunikationspartnern, würde ich sagen, typischerweise anders mit, weil man das immer noch fragen muss.

00:59:10: Hast du auch Signal?

00:59:11: Eine WhatsApp wird als bekannt vorausgesetzt.

00:59:13: Wir haben in Deutschland eine rechnerische Abdeckung von über neunzig Prozent, aber natürlich wegen mehrerer Telefonnummern oder mehrerer Immobiltelefone pro Person.

00:59:23: sind es keine echten hundert prozent.

00:59:24: aber bei signal und freemanns muss man immer noch nachfragen und dann kann man auch gleich den benutzernamen nennen.

00:59:29: dann kann man auch gleich sagen ich bin hier der und der aber.

00:59:33: Naja halt nicht wenn die leute ihre telefonnummer auf die ma hochladen.

00:59:36: also das ist ja der witz dahinter da kannst du einfach sehen ach guck an kann ich über die ma erreichen.

00:59:44: Ja ich

00:59:44: muss halt

00:59:44: selber

00:59:46: minimal

00:59:47: genau.

00:59:47: ja ja also ich.

00:59:49: Ich sehe das Risiko oder das Privacy-Problem durchaus auch.

00:59:56: Ich würde nicht unterschreiben, dass die Abwägung schief gegangen ist, weil ich glaube, wenn man das anders abgewägt hätte, dann stünde man halt vielleicht jetzt da, wo eben Threema steht und nichts gegen Threema, aber ihre Marktdurchdringung gerade global ist halt vergessenzwert.

01:00:10: Das liegt aber glaube ich nicht an genau dieser Entscheidung, sondern das liegt an einer anderen Entscheidung, die nur Threema getroffen hat und kein anderer Messenger, nämlich von Anfang an kostenpflichtig zu sein.

01:00:20: Das ist ein anderer eher klar.

01:00:21: Also es ist ein zweiter Aspekt.

01:00:23: Also ich glaube

01:00:24: aber

01:00:24: WhatsApp kostete auch mal zwischendurch Geld.

01:00:26: Das war auch irgendwie nicht immer kostenlos.

01:00:28: Ich glaube das kostete mal so eine einmalige Gebühr oder so.

01:00:31: Ja weiß ich.

01:00:32: Na ja.

01:00:33: Bin auch nicht bei WhatsApp.

01:00:35: Also ich habe den Threema-Account, aber ich habe meine Telefonung nicht damit assoziiert.

01:00:39: Deswegen findet ihr die alle nicht.

01:00:40: Ich

01:00:43: stehe doch

01:00:43: auf meiner Webseite, wenn ich das interessiert.

01:00:47: Und wo die Webseite ist, erfahrt ihr über Threema.

01:00:50: Ja genau, so machen wir das.

01:00:52: So, kommen wir zu einer Can of Worms, oder?

01:00:56: Etwas völlig, kommen wir zu etwas völlig anderem.

01:00:59: Ich versuche meine Stimme jetzt mal wieder ein bisschen länger einzusetzen, aber es reibt so ein bisschen.

01:01:05: Ich hoffe, wir kommen durch.

01:01:08: Wir haben eine Fortsetzung.

01:01:12: Es gab ja auch einen zweiten Teil von Dune im Kino in den letzten Jahren.

01:01:16: Ich habe den ersten gar nicht gesehen, aber den zweiten Teil habe ich mir angeguckt.

01:01:19: Wie bei june dem film mit dem großen sandvorm gibt es auch von dem computer sandvorm nämlich schaihulut den wir im september hier mal auch im podcast hatten und in freier wildbahn.

01:01:29: Eine fortsetzung die sich in dieser woche ereignet hat.

01:01:32: also wir nehmen das hier am achtundzwanzigsten november auf.

01:01:35: Und das war in den vergangenen tagen ein.

01:01:39: Interessantes thema weil dieser worum diese zweite iteration natürlich wieder.

01:01:44: Sehr sehr schnell sehr viele Pakete infiziert hat dann die Suche nach dem Patient null wieder los ging und am Ende dann das Eindämmungsmaßnahmen gab aber natürlich auch von den Unternehmen die das beim letzten mal auch schon gemacht haben sehr schnell sehr tiefe technische Analysen vorgelegen haben und.

01:02:02: Nach wie vor ist unbekannt, wer die leute hinter diesem wormen sind und das ist auch unbekannt, ob es dieselben sind die im september schon mal aktiv waren und vielleicht auch zuständig sind für diese ganzen anderen supply chain, wenn man die so rum geistern also vielleicht sogar auch für glas war.

01:02:14: man weiß es nicht.

01:02:15: aber zu glas von erzählen wir ja gleich noch ein bisschen was.

01:02:20: Dieser scheihulut zwei der wird so genannt, weil er in seinem.

01:02:26: Quellcode und später bei der exfiltration.

01:02:30: den string schai holut mit einem eins mit einer eins statt dem i von schai verwendet.

01:02:37: das so heißt er eigentlich schaar eins holut.

01:02:40: Mal gucken ob die diversionsnummern jetzt irgendwie exponentiell erhöhen oder ob wir ewig lange warten müssen bis über schaar fünfhundert zwölf holut sind keine ahnung.

01:02:48: Ich weiß halt

01:02:49: auch nicht.

01:02:49: das würde mich interessieren ob das sozusagen schaar eins in Bezug auf die.

01:02:56: Heschfunktionen ist oder ob das einfach Leadspeak sein soll.

01:02:59: Also es ist ja üblich sozusagen, das i durch eine eins zu ersetzen und dann wäre das ja jetzt sozusagen ein Nerdwurm und wir werden es nie herausfinden.

01:03:06: Also wer den Wurm geschrieben hat, muss auf jeden Fall ein Leut gewesen sein.

01:03:10: Das haben wir ja schon in der Folge, wo wir die erste Ausgabe besprochen haben festgelegt, denn sonst hätte er ja nicht Scheiho Dut genannt.

01:03:17: Also, das ist ja jetzt kein Name, den du irgendwie aus dem Wörterbuch füllst und sagst so, mein nächster Wurm, der heißt nicht Morris, der heißt Schei-Hulut.

01:03:25: Ist es ein Fantasy-Nerd oder ist es ein Science-Fiction-Nerd oder ist es ein Kryptografien-Nerd?

01:03:29: Das ist sozusagen die offene Frage.

01:03:31: Was sagt Frank Herberts Erbengemeinschaft dazu, ist, dass die Nutzung des Wortes lizenziert.

01:03:38: Hat der Lizenzgebühren abgedrückt, wird es eine Verfilmung geben.

01:03:40: Es sind Fragen über Fragen.

01:03:42: Wir versuchen jetzt mal ein paar eher technische zu beantworten, bevor das hier komplett zerfasert.

01:03:48: Die haben ein paar Sachen anders gemacht in der zweiten Interaktion und da sieht man ein kleines bisschen aus meiner Sicht, wie sie bestimmte Güterabwägungen anders vorgenommen haben.

01:03:58: Also die zentrale Funktion ist nach wie vor ein NPM-Paket wird runtergeladen, ausgeführt, macht Mist und greift Zugangsdaten ab, die es nutzt, um auf GitHub oder bei NPM selber zu gucken und weitere Pakete, nämlich die dasjenigen, der angegriffen wurde, der die verwaltet.

01:04:15: zu verwurmen.

01:04:16: und dann geht das ganze von vorne los und es werden immer weiter zugangsdaten abgegriffen und irgendwohin exfiltriert.

01:04:21: also wird das vordergründige ziel scheinen zugriffstokens zu sein.

01:04:27: Jetzt war das bei scheihulut eins so dass die exfiltration über so eine öffentliche webbrugplattform lief und dass die dann irgendwann an das account limit gerasselt sind.

01:04:35: ich glaube die haben einfach nur so und so viele limits webbrug aufrufe also.

01:04:40: Zugriffe in dem kostenlosen Account gehabt und dann wird das irgendwann platt.

01:04:44: Das macht Shaihulu II jetzt anders und exfiltriert direkt auf GitHub.

01:04:48: Das funktioniert so, dass die sich einfach GitHub Credentials von dem angegriffenen Nutzer krallen und dann Repository aufmachen und dann einfach JSON Dateien mit den Credentials reinpacken.

01:04:59: Die sind dann öffentlich die Repositories, aber... Sie sind halt auf GitHub und sind nicht so leicht durch irgendwie so einen zentralen Punkt entfernen, sondern da muss schon GitHub aktiv werden.

01:05:11: Und das ist diese Abwägung, von der ich gerade gesprochen habe.

01:05:13: Ich glaube, dass das eine gute Abwägung ist zwischen nur wir, die Wurmautoren, kriegen diese Credentials zu sehen, wenn sie exfiltriert werden.

01:05:21: Und wir haben mehr Resilienz in unserem Exfiltrationsmechanismus und in unserem Propagationsmechanismus und da haben sie sie offensichtlich dafür entschieden mehr Resilienz zu haben, GitHub hat dann auch irgendwann Gegenmaßnahmen ergriffen, aber da waren zwischenzeitlich, konntest du zugucken, wie Repository angelegt wurde und... da diese fünf oder sechs JSON Dateien hochgeladen wurden und in dem Peak den ich beobachtet habe, waren das glaube ich sieben, zwanzig tausend oder achtundzwanzig tausend Repositories.

01:05:55: Was nicht bedeutet, dass achtundzwanzig tausend Personen, Computer konnten oder so angegriffen wurden, denn da hat auch gerne mal eine Person fünfzig, sechzig Repos angelegt.

01:06:04: Ich weiß nicht nach welchem Mechanismus die neues Repo anlegen, das habe ich mir in Detail so nicht angeguckt, aber es war auf jeden Fall eine ganze Menge.

01:06:10: Und dann wurden es über die nächsten Tage immer weniger, weil GitHub die Dinger gelöscht hat, ist also auch gar nicht genau zu sagen, Wie viele Credentials zum Beispiel abgegriffen wurden.

01:06:18: insgesamt, weil so wie hinten welche runtergefallen sind und gelöscht wurden.

01:06:22: Repositories sind vorne wieder teilweise im Sekundentakt, teilweise mehrere pro Sekunde, später dann natürlich erheblich langsamer neue Repositories dazugekommen.

01:06:30: Und die hatten alle die gleiche Beschreibung, da stand nämlich immer drin, Schar I, Hulut, The Second Coming.

01:06:37: The Second Coming ist die englische Übersetzung von die zweite Wiederkunft, also aus dem neuen Testament.

01:06:45: Irgendwie was, also schon, jetzt wird's auch sogar schon noch ein bisschen biblisch.

01:06:51: Insgesamt konnte der Wurm dann durch GitHub eingedämmt werden und ich hab vorgestern, also am Mittwoch nochmal geschaut und da waren das irgendwie noch zweihundertsechzig Repositories, wo solche Zugangsdaten drin waren, ein paar Scherzrepositories und eines gab es, das wurde uns im heise Forum zugespielt, mit einem Komet von Linus Thorvalds und dann hieß es, oh, auch Linus Thorvalds betroffen.

01:07:13: Tatsächlich ist es aber, das habe ich dann nachgelesen, gar nicht so schwierig, Commits von Linus Torwald zu faken, indem du einfach einen Commit machst mit der Outdoor-Info, linus.edlinux.org oder linuxfoundation.org oder sowas.

01:07:26: Dann wird das auf GitHub automatisch mit Linus Torwald's Account verknüpft, aber nur in dem Repository bei Linus Torwald selber.

01:07:35: in seiner Git-Commit-Historie sieht man es natürlich nicht, weil es kein echter Commit von ihm ist.

01:07:39: Das war noch so ein bisschen ein bisschen putzig, ob das jetzt in Ablenkungs mit Manöver von den Autoren war oder ob das einfach irgendein Chatskicks war, ist unklar, aber waren putziges kleines Detail.

01:07:49: Dann gab es noch so ein bisschen crossover in das Maven-Ökosystem.

01:07:53: Da würde ich jetzt gar nicht mehr weiter drauf eingehen, weil ich auch das Ökosystem nicht kenne.

01:07:56: Aber das war wohl so ein bisschen semi versehentlich, weil einer der größeren betroffenen Unternehmen, nämlich Post Talk, auch eine Bildpipeline auf Maven hatte.

01:08:08: und da sind dann wo irgendwelche infizierten Pakete, die eigentlich NBM-Pakete sind, mit rein gelaufen.

01:08:13: und diese Firma PostHoc, die haben ja, oh, hilft mir mal, das ist so ein API-Plattform, die die haben, so Developer Tools, die haben wir auch eine relativ ausführliche Analyse veröffentlicht, wie die Angreifer bei ihnen überhaupt dazu gekommen sind, das Paket zu infizieren, denn Die waren einer der Patienten oder der frühesten Patienten, wenn man das so nennen will.

01:08:42: und da haben die Angreifer am achtzehnten November einen Pull Request aufgemacht, der ziemlich sneaky so ein Workflow für Code Änderungen, also irgendwie Maintainer hinzufügen und sowas verändert hat und dann Zugriffstoken in diesem Workflow Zugriffstokens dann abgegriffen und an einen, wer ahnt es fast, an einen Web-Programm exfiltriert hat.

01:09:03: Und dieser Blockartikel von Postdoc ist da so ein kleines bisschen schwammig, wie der durchgekommen ist, aber offensichtlich ist dieser Pull Request abgenickt und gemirkt worden.

01:09:12: Und dann hatten die Urheber von Shah-I-Fool-Loot Schreibzugriff auf die Repositories und auf die Workflows von Postdoc und konnten sich von da aus weiter verbreiten, weil die Postdoc-NPM-Pakete wohl recht weitläufig genutzt werden.

01:09:27: Die haben da auch noch einen ganz guten tipp.

01:09:29: den fand ich eigentlich ganz ganz interessant weil es das in vielen ökosystemen gibt die vielleicht von solchen firmen betroffen sind wenn du.

01:09:36: Einfach sagst ich möchte nicht akkete sofort daten in eine neue version rauskommt.

01:09:40: das kannst du bei npm also jahren oder pnpm mit einer direktive namens minimum release age machen dieses minimum release age auf zum beispiel drei tage oder eine woche oder so stellst dann.

01:09:54: Fliegt dieser Wurm über dich hinweg, weil du die Updates nicht bekommst.

01:09:56: Das Problem, eines der Probleme bei diesem NPM-Ökosystem ist ja, dass dann alles irgendwie auch noch sich noch automatisch auf die nächste Version updated.

01:10:03: Da ist dann Wurmcode drin und dann wirst du durch dieses Update zu einem Weiterträger dieses Wurms und merkst das gar nicht, weil du gar nicht aktiv was gemacht hast, sondern das durch deine Build Pipelines oder deinen Note Server oder wie auch immer dein Docker Container hat das mit abgedatet, durchläuft.

01:10:18: Also das finde ich ein ganz witzigen, weil relativ einfach ein Tipp und...

01:10:24: Bedingt natürlich, dass man ein bisschen mehr selber darauf achtet, ob nicht irgendwo ein sehr dringendes Security Update umliegt, das dann vielleicht nicht sieben Tage warten sollte oder so.

01:10:35: Ja.

01:10:36: Chen Micro hat auch eine sehr ausgiebige Analyse veröffentlicht, um sich auch da auch nochmal Funktionsgenau in die Technik reingeguckt.

01:10:44: Und das hat auch schon dort geschrieben, dass es wirklich als Wurm schon ziemlich gut, das lädt einen Toolkit namens Bann herunter.

01:10:52: Bann kannte ich vorher auch nicht, weil ich nicht so viel mit JavaScript zu tun hatte.

01:10:56: Bann is a fast JavaScript all in one Toolkit.

01:10:59: Das kann alles.

01:11:00: Großartige Beschreibung auf der Webseite.

01:11:02: Das ist so ein Command-Line Node.js Library-Ding mit Paketmanager.

01:11:08: Also kann irgendwie auch alles was NPM kann.

01:11:11: Also so das Tool, was ich als angreifer mir runterladen oder auf dass ich mich verlassen würde wenn ich so richtig schön living off the land machen will.

01:11:21: So ein tool was ihr auf dem zielrechner schon drauf ist wo ich allen möglichen scheiß mit machen kann also wirklich allen möglichen scheiß.

01:11:27: die haben so eine syntags.

01:11:28: da machst du so eine band instanz auf und dann hast du band punkt dollar.

01:11:33: Sudo, IP-Tables, minus T-Filter, minus F-Docker-User.

01:11:36: Flasch mal gerade irgendwie die IP-Tables.

01:11:40: Ich hoffe, das funktioniert alles nicht.

01:11:42: Also es funktioniert halt, wenn

01:11:44: du Passwordless-Usudo hast.

01:11:46: Genau, genau.

01:11:47: Also es ist nicht so, dass Bander irgendwie die Brechtigung geht oder so, sondern...

01:11:51: Nee, aber ich find dieser Sündtag so schlimm, dass die diese Misch von Javascript und dann machst du so einen... Also ein Backtick, alleine schon Backticks.

01:12:00: Ich bin PRP vorgeschädigt.

01:12:01: Backticks, wenn du die in einem Skript gesehen hast, das war dann schon immer so ein Zeichen, oh Gott, einfach zumachen und nie wieder auf.

01:12:07: Aber das sind ja meine alten Kriegstraumata, die müssen hier ja nichts zur Sache tun.

01:12:13: Die Hauptfunktion war Credential DeepStyle von ABS Credential, Google Cloud Platform, Azure, NPM und GitHub Tokens.

01:12:19: Und diese Classic Tokens, die jetzt zum neunten Dezember abgeschafft werden, genau wegen der ersten Stahlhulutattacke.

01:12:24: Dafür gibt es dann eigene Module.

01:12:26: Und dann haben sie sich auch noch mal sehr detailliert, diese Exfiltration angeguckt, dass einfach ein Github-Repo angelegt wird mit den Credentials, die man ja vorher sich eingesammelt hat.

01:12:38: Und da wird dann öffentliches Repository gemacht.

01:12:41: Da kann doch jeder reingucken.

01:12:42: Und am Ende muss der Angreifer nur der erste sein, der die Credentials benutzt, nämlich um sie zu rotieren und die neuen Credentials, die erkennt, dann irgendwo hinwegzuspeichern.

01:12:51: Was auch interessant ist, Bis dieser Todmann Schalter den Schei-Hulu-Zwei hat, der guckt nämlich, ob er Github erreichen kann, also ob er die Github API ansprechen kann und ob er die NPM API ansprechen kann, um sich weiter zu propagieren.

01:13:05: und wenn beides aus irgendwelchen Gründen viel schlägt, dann spawnt der eine Shell und löscht das Home Verzeichnis.

01:13:10: Oder alles was er da drin beschreiben kann und zwar sowohl unter Windows als auch mit cmd.exe als auch mit nabash unter linux und macOS.

01:13:19: Dann macht er einfach alles platt was er kriegen kann.

01:13:21: also dieser Wurm hat auch noch so eine so eine rache Funktion wenn er irgendwie Contained ist dass das er dann einfach.

01:13:27: Aus Trotz noch mal irgendwo Datenlöschen mit dem PUS aus aufstampft und sagt so jetzt aber extra sehr spannend.

01:13:35: Und als Fazit nach wie vor weiß keiner wer dahinter steckt und was.

01:13:39: der übergeordnete Zweck ist.

01:13:40: Also ja, da werden Credentials geklaut, aber die sind ja dann, die werden ja nachdem das bekannt geworden ist, alle oder fast alle rotiert.

01:13:48: Also was genau wollten die mit diesem Schallholo-Zweiwurm bezwecken?

01:13:53: Also war das dann auch wieder so ein Ding, wo sie gehofft haben, dass sie irgendwelche Crypto-Wallets finden oder da habe ich noch nicht so viel Informationen darüber gefunden.

01:14:02: Ja, also es spielt ein bisschen rein mit diesem, was du gerade gesagt hast, aus Trotz löschen.

01:14:07: Also Nutzerdatenlöschen haben jetzt nicht funktioniert, wo ich mich auch gefragt habe, na warum das denn?

01:14:13: Also das lenkt ja nur sehr deutlich die Aufmerksamkeit darauf, dass man sich hier gerade was eingefangen hat.

01:14:19: Eine Malware, die unter dem Radar bleiben will, die würde ja einfach, wenn sie nicht weiterkommt, stillschweigend den Dienst einstellen, damit sie möglichst nicht auffällt.

01:14:29: Also kann ich mir auch nicht so richtigen Reimdorf machen.

01:14:32: Ich wollte noch drauf raus, das hast du ja schon gesagt, dass ich meine von dem Nerd geschrieben, also nicht nur von dem Nerd geschrieben, weil halt irgendwie Fantasy und irgendwie auch sonst, sondern schon auch wirklich sehr umfassend und fortschrittlich entwickelt.

01:14:45: Also es geht darum, dass das Ding mit unterschiedlichen Betriebssystemen zu ran gekommen, auf denen es so landen könnte, mit unterschieden, also sehr flexibel darin ist, wo genau jetzt eigentlich Bannen sich auf diesem System schon befinden kann und wenn es sich nicht befindet, dann installiert es.

01:14:59: Und wenn es das nicht installieren kann, dann kann es eine eingebaute Bandroutine verwenden.

01:15:05: Und was es z.B.

01:15:07: auch gemacht hat, ist, wenn es sich dann über, wenn es weitere Github-Repositories infizieren will, auf die der aktuelle Nutzer eben zugefahren hat, da ist da gerade Zugriffstaten abgeschnochelt hat.

01:15:20: Dann sortiert es die erst mal nach Zahl der Downloads, um die mit der größten Verbreitung zuerst zu infizieren, um den Impact zu maximieren.

01:15:30: Es hat auch so einen zweistufigen Schritt gehabt.

01:15:35: Es konnte nicht nur die Swickets von GitHub und AWS suchen und exfiltrieren.

01:15:42: Sondern es konnte auch, wenn es da Zugänge zu den Secrets Managers, so wie der AWS Secrets Manager oder Azure Key Vault oder so, also zu Diensten gefunden hat, in denen den wiederum dann Zugriffstaten drin stehen, hat es Zugriff auf diese Dienste genommen, hat es also auch für mindestens drei verschiedene Dienste, sozusagen kann es mit umgehen und trägt dann da auch noch die Zugangstaten raus.

01:16:01: Es ist wirklich ein durchnachter System.

01:16:06: dass dann aber andererseits irgendwie, wenn's grad nicht weiterkommt, mit der ganz großen Kurle den, also auch nicht irgendwie, es geht ja hier nicht um Spuren beseitigen oder so, sondern halt einfach irgendwie Stumpfschaden anrichtet, was natürlich sehr auffällig ist, das ist irgendwie komisch, ne?

01:16:21: Ja, ich finde da vieles komisch.

01:16:24: Ich weiß auch nicht, also Jürgen hat mich das gefragt, warum ist dieses NPM so unheimlich anfällig dafür?

01:16:33: Oder ist das auch einfach jetzt wieder nur so ein... So eine Welle und als nächstes kommt.

01:16:39: Was kommt als nächstes dran?

01:16:41: Als nächstes kommt OpenVSX.

01:16:42: Da reden wir jetzt über den hervorragenden.

01:16:44: Oh, die OpenVSX gibt es auch.

01:16:46: Aber das kam ja als letztes dran.

01:16:48: Das war ja, Glasform war ja vorher.

01:16:50: Ach so, ja, das ist gut, das stimmt.

01:16:52: Aber als

01:16:53: nächstes

01:16:53: kommt uns ein Podcast.

01:16:55: Zu der aktuellen Schei-Hulut Epidemie hat sich NPM auch noch nicht geäußert.

01:16:59: Also das NPMJS ist sehr leer.

01:17:03: Und das GitHub-Blog auf das... die Blockeintracht bei npmjs.com verweist, ist auch relativ leer.

01:17:11: Also da gibt es noch nix seit September, wo sie angekündigt haben, dass sie diese Classic Tokens jetzt endlich rausschmassen werden.

01:17:17: Nun gut.

01:17:20: Aber wir haben ja jetzt noch hier Wormiges oder vielleicht nicht Wormiges, denn darum soll es jetzt weitergehen.

01:17:27: Genau.

01:17:28: Also ich glaube auch, dass vielleicht ein ganz guter Übergang... NPM ist halt die Größe, solche Library, aber ich glaube, die Probleme mit diesem Ökosystem sind nicht NPM-spezifisch.

01:17:38: Zu viele Leute haben sich angewöhnt, nicht ordentlich zu gucken, was sie an Dependencies installieren.

01:17:44: Da ist vielleicht NPM sozusagen auch mit schlechtem Beispiel vorangegangen und hat das etabliert.

01:17:49: Aber es betrifft eben auch andere Registries, zum Beispiel das Event OpenVSX.

01:17:53: Wir hatten das ja schon vor zwei oder drei Podcast-Folgen schon drin, nämlich GlassWarm.

01:17:59: Wir erinnern uns, das war dieser Wurm, der eben in OpenGSX ist so eine Registry für Code Editor Plugins.

01:18:09: Und der hat sich da eben drin verlustiert und wenn er dann halt auf einem Rechner von einem Entwickler war, der selber solche Editor Plugins entwickelt hat, dann hat er sich eben darüber auch weiterverbreiten können.

01:18:24: Und Glassworm war eben deswegen interessant, weil er diese Unicode-Variantenselektoren benutzt hat, also lange Zeichenketten zusammengebordert, also Zeichen, die Editoren einfach nicht darstellen und darin den Großteil seiner Schadroutinen versteckt hat.

01:18:40: Wie gesagt hört es nach in der alten Folge, wenn es sich interessiert.

01:18:42: Da gibt es ein kleines Nachschwild dazu, auf das ich relativ kurz eingehen will und dann auf eine interessante, so akademische Debatte.

01:18:51: Das Erste ist, dass OpenVSX vor einer Weile diese, also die Sache für Ausgestanden erklärt hat.

01:18:55: Die haben gesagt, consider this incident fully contained and closed.

01:18:59: There is no indication of ongoing compromise.

01:19:02: Und die Sicherheitsfirma Koi, die im Ursprünglich Glassworm entdeckt hat, hat dem widersprochen und dann Anfang November schon wieder, ist auch schon wieder relativ abgehangen in die Geschichte, nachgelegt und sagt, nein, nein, wir sehen weiter Infektionen mit Glassworm.

01:19:17: Das haben sie dann auch Glassworm II genannt.

01:19:20: Und auch dieser Trick mit der Blockchain, über den ja seine Command & Control Struktur abgewickelt hat, also ist wieder im Einsatz und so.

01:19:29: Und sie haben halt noch eine Reihe von weiteren infizierten GitHub Repositories von solchen Plugins entdeckt.

01:19:38: Erlich gesagt verstehe ich das weniger und weniger.

01:19:41: Sie sagen nämlich, dass der Wurm seine, also jetzt nicht mehr diese Variantenselektoren hin nimmt, sondern Private Use Area Zeichen.

01:19:47: Also es gibt im Unicode Standard ja auch so eine Sektion für Zeichen, wo einfach die Schriftart definieren kann, was sie da halt drin haben will, beziehungsweise ein Liebiger Anwender halt davon.

01:19:59: Aber die werden üblicherweise dargestellt.

01:20:01: Also wenn ich da Private Use Area Zeichen habe und meine Schrift hat nicht weiß, also dazu kein Zeichen hat, dann wird halt irgendwie so ein Frage Zeichen oder so was angezeigt.

01:20:09: Ich habe das auch nicht reproduzieren können.

01:20:13: Ich habe sowohl in GitHub und so, also in anderen Editorien geguckt und jedes Mal wenn ich da irgendwie Private Use Area Zeichen notiere, die die Schrift Art kein Zeichen hat, dann wird halt so ein Fehlzeichen angezeigt.

01:20:24: Und ich fand es auch ein bisschen komisch, dass das Koi in ihrer Beschreibung so tun, als sei es derselbe Trick, wie die Variantenselektoren, weil es ist de facto einfach ein anderer Trick.

01:20:35: Ich habe versucht, dem irgendwie nachzugehen, habe Kontakt mit Koi aufgenommen und die waren zwar sehr freundlich, aber haben die große Mehrheit meiner Fragen auch nicht beantwortet und haben mir das endlich ein Screenshot geschickt von der Github.

01:20:50: Von dem GitHub Client, in dem man das eben angeblich nicht sieht, auch das habe ich einfach nicht reproduzieren können, auch mit dem Client.

01:20:56: Sie haben ja leider das Sample, mit dem sie das gemacht haben, also die eigentliche Datei nicht geschickt und so.

01:21:00: Und na ja, allgemein war die Komplikation mit dem eher mühsam.

01:21:03: Also die haben auch über ihre Webseite keine Kontaktmöglichkeit oder so.

01:21:07: Sondern nur ein Terminformular, wenn ich ihr Produkt kaufen will, aber ich will ihr Produkt nicht kaufen.

01:21:10: Ich wollte eigentlich nur wissen, warum sie eigentlich sagen, dass sozusagen diese Privateuse-Erzeichen der gleichen Tricks dann wieder funktioniert.

01:21:17: Na ja, man muss Koi so gut erhalten, das war mehr als ich von der Eclipse Foundation bekommen habe, die habe ich nämlich auch gefragt, wie sie das eigentlich sehen, sie haben diesen Inzident für geschlossen erklärt, Koi sagt, nee, das läuft noch, da habe ich einfach gar nichts von gehört.

01:21:29: Na ja, nachdem es auch keine so großen Auswirkungen hatte, habe ich dann auf sich Pirunen lassen, ich bringe dieses Thema hier hauptsächlich aus dem anderen Punkt auf, den ich nämlich so informatik oder theoretisch informatikmäßig interessant fand, oder?

01:21:41: Nicht theoretisch.

01:21:42: Ist nicht theoretisch informatik, aber akademische Informatik, sagen wir es so.

01:21:45: Und zwar hat sich OpenVSX auch darin gestört, dass Koi-Glass-Worm eben einen Wurm nennt.

01:21:51: Sie sagen, we want to clarify, this was not a self-replicating worm in the traditional sense.

01:21:57: Und ich dachte mir, das ist doch mal eine schöne Gelegenheit, das in den Podcast zu heben.

01:22:02: Was ist denn eigentlich ein Wurm?

01:22:05: Der Christopher meldet sich.

01:22:14: Das war nicht Pfeiffer, wie hieß denn der Lehrer noch bei der Feuerzahn?

01:22:18: Weiß

01:22:18: ich gerade auch nicht, wie der Lehrer hieß.

01:22:23: Diesen Spruch hat Christopher hier auch sozusagen mir vorher schon mal an den Kopf geworfen und das ist natürlich eine sehr fundierte Analyse.

01:22:30: Ich habe aber tatsächlich noch eine etwas höhere Autorität, das Christopher gefunden, für die Frage ist eigentlich ein Wurm, nämlich Fred Cohen.

01:22:38: Fred Cohen ist berühmt, weil er den ersten Computer Virus G schrieben und dann auch in eine Paper B schrieben hat.

01:22:45: Er hat übrigens nicht den Namen Computer Virus erfunden sozusagen.

01:22:49: Das war nämlich sein Advisor zu diesem Zeitpunkt.

01:22:52: Und zwar Len Edelman.

01:22:55: Edelman kennt ihr vielleicht nicht, aber das ist das A von RSA.

01:22:58: Also bei Leib nicht irgendjemand.

01:23:00: Und die haben im Wesentlichen sozusagen versucht Viren von Würmern abzutrennen und halt im Zuge deswegen auch die Würmer so ein bisschen definiert.

01:23:08: Und zwar sagen sie nämlich, Viren sind auf ein Host Programm oder ein Host Detail.

01:23:14: angewiesen und es ist eben kein Virus, wenn es einfach nur ein Programm ist, das selber sich durch das Netzwerk weiter verbreitet.

01:23:24: Ohne dafür ein anderes Programm oder eine Datei infizieren zu müssen, denn wenn es etwas anders infiziert, dann ist es ein Virus und wenn es es nicht tun und sich selber durchs Netzwerk verbreiten kann, dann ist es ein Wurm.

01:23:38: Jetzt ist die Frage, was ist das Glasform?

01:23:40: Der läuft auf so einem Rechner, der sammelt der Credentials ein, dann benutzt er die aber im Gegensatz zu Schei-Holuten nicht, um direkt Zugriff auf so ein Repository zu nehmen und sich da reinzuladen, sondern er schickt diese Credentials nach Hause.

01:23:53: Und zu Hause läuft dann, also sozusagen im Backend von Glasform, läuft dann den Mechanismus an, der Zugriff auf diese Repositories nimmt mit den Credentials, die gerade geworden sind und da wieder Glasform platziert.

01:24:05: Wenn man jetzt Keul glaubt, dann geschieht diese Re-Infektion vollautomatisch.

01:24:11: Das ist also nicht so, dass da halt irgendwie der Melvair Auto sitzt und es irgendwie von Hand macht, dann wäre es definitiv kein Wurm, dann würde der halt einfach sein Melvair da von Hand verbreiten.

01:24:19: Wenn man sagt, okay, das geschieht automatisch, dann ist halt die Frage, ist es jetzt ein Wurm?

01:24:24: Meine Antwort darauf wäre nie, weil das eben kein autonomes Programm ist, das sich selber repliziert.

01:24:32: Das ist dafür auf dieses Backend angewiesen.

01:24:36: Aber ich fand es eine ganz lustige Frage oder einen ganz lustigen Anlass mal über diese grundsätzliche Unterscheidung zwischen Viren und Würmern zu reden.

01:24:43: Und ich weiß nicht, vielleicht sieht Christopher das ja auch anders.

01:24:45: Man könnte ja durchaus sagen, nee, das Beckind ist sozusagen einfach Teil dieses Wurms.

01:24:50: Und das das Gesamtkonstrukt ist halt irgendwie autonom replizierend.

01:24:53: Wer wäre ich denn, Fred Kohn und dir zu widersprechen?

01:24:57: Ich weiß nicht, ich glaube, das ist kein Wurm.

01:25:04: Also nicht in diesem traditionellen Sinn und vor allem nicht, wenn wir diesen direkten Vergleich schon ziehen,

01:25:10: zu

01:25:10: Schei-Holot eins oder zwei, die haben nämlich diese Wurmfunktionen sowohl mit einem Command und Control, also über GitHub Actions als aber auch über so selbst gehostete GitHub Runner und dieses Pakete modifizieren, also wirklich eigene Propagationsroutinen, aber die sind natürlich trotzdem... auf das internet angewiesen weil sie sich darüber replizieren.

01:25:36: aber das ist ja das ist ja nicht die die frage so sondern ob sie quasi überall von einem backend dazu angewiesen werden.

01:25:43: das ist im grunde eigentlich eher ein botnet oder.

01:25:49: Ein autonomes botnet meinst du vielleicht so?

01:25:51: naja

01:25:51: dieser glas war also du hast ein kontroler war.

01:25:54: da holst du dir deine deine.

01:25:58: Wie dein hustes geht gleich weiter

01:25:59: da holst du dir deine deine kommandos ab und infizierst neue neue drohnen mit deinem.

01:26:05: Gedöns, also was auch nicht.

01:26:06: Also ich würde es jetzt auch nicht als klassischen Wurm bezeichnen.

01:26:09: Ja, wenn dich interessant zu sagen, das ist eigentlich ein Wort nicht, schreibt uns doch, wenn ihr dazu Meinungen habt, was ist ein Wurm?

01:26:15: und ist Glaswurm?

01:26:15: ein Wurm an password-podcast.heise.de.

01:26:20: Und ich würde jetzt, um Christopher ein bisschen zu schonen noch zum nächsten Thema kommen, das auch einfach ich erzähle und er versucht zu schweigen und seine Stimmbänder irgendwie zu beruhigen.

01:26:31: Aber es ist...

01:26:32: Die Bräunchen sind das Problem gerade.

01:26:35: Okay, seine Bonnchen.

01:26:37: Dann bin ich dafür, dass du aufhörst, unsere Updates über deine Bonnchen zu liefern, damit die zur Ruhe kommen können.

01:26:43: Und ich erzähle euch derweil was anderes Interessantes, nämlich Cash Smuggling, was wir, glaube ich, auch noch nicht im Podcast hatten.

01:26:49: Und da gab es Anfang Oktober einen ganz interessanten Angriff.

01:26:54: Über den hat die Sicherheitsfirma XPEL berichtet.

01:26:57: Und Cash Smuggling passt insofern ganz gut zu Glass-Home als... Es ist gleiche Problemlös, dass diese Variantenselektoren lösen, nämlich wie bekommt man die eigentliche, relativ große Payload auf den Rechner des Opfers, ohne dass das auffällt.

01:27:12: Und Glassworm hat eben diese, diese langen Zeichenketten genutzt, die halt die Editor nicht darstellen.

01:27:18: Cache es mal, wie gesagt, wir machen das anders.

01:27:21: Und zwar in diesem Fall, den X-Wähler beschreibt, geht zum Click Fix.

01:27:25: Das habt ihr wahrscheinlich auch schon mal gesehen als irgendwie Problem.

01:27:28: Das sind dann so Fishingseiten, die sagen so, oh, sie müssen jetzt hier irgendwie Windows R drücken und dann folgen den Befehl hier irgendwie, kopieren und pasten.

01:27:35: Und dann ist irgendwie dieses Problem, das wir gerade hier in den Anzeigen beruben.

01:27:39: Deswegen heißt es Click Fix.

01:27:40: Und nach dem Motto, du musst nur einmal schnell klicken und dann ist das Problem gefixt.

01:27:45: Und diese Click-Fix-Attacke, die xwell da beobachtet hat, die hat halt versucht ein kleines PowerShell-Skript auszuführen.

01:27:49: Das muss eben klein sein, damit man das auch in dieses Command-Running-Feld da einpasten kann.

01:27:55: Und dann hat es auch das Problem, naja gut, aber dieses kleine Skript ist halt zu wenig, um die eigentliche Mailware zu transportieren.

01:28:03: Wo bekommt es die eigentlich, also das muss es die eigentliche Mailware nachladen, aber wie macht es das?

01:28:08: Und dann ist das einfach sozusagen versucht, das aus dem Internet zu ziehen.

01:28:13: Und dann läuft es halt Gefahr erkannt zu werden, weil da plötzlich ein PowerShell-Prozess startet, irgendwie eine Netzwerksverbindung aufbaut und das beobachtet man vielleicht.

01:28:20: oder man beobachtet allgemein vielleicht die Netzwerksverbindungen, die da drüber gehen und so.

01:28:24: Und deswegen hat diese Klick-Fix-Attacke das Geschick der gelöst und zwar haben die vorher, also wenn man die Webseite geöffnet hat, ein Jahr was gibt auf dieser Webseite, den Browser angewiesen, ein Bild in den Cash zu laden.

01:28:35: Dafür gibt es Jahreskriptfunktionen, damit man dann halt, wenn man das Bild anzeigen will, das sozusagen sofort aufploppt und nicht erst noch geladen werden muss.

01:28:43: Nur, dass dieses Bild halt kein Bild war, sondern einfach die eigentliche Mehrheit gezippt.

01:28:49: Aber die Seite hat da den Content-Immage JPEG dran geschrieben.

01:28:54: Das ist kein JPEG.

01:28:55: Und wenn der Browser versuchen würde, das anzuzeigen, würde er da auch einfach nur so kaputtes Bild-Symbol anzeigen.

01:29:01: Aber um diese Caching-Routine vom Browser anzusprechen, reicht es.

01:29:05: Der glaubt einfach mal, dass das schon ein JPEG ist.

01:29:07: Und zieht sich halt diesen Benia Blob runter und legt ihn irgendwo hin.

01:29:12: Und zwar legt er den eben in seine Browsercache.

01:29:14: Der Browsercache liegt irgendwo auf der Platte des Nutzers.

01:29:17: Und genau darauf hat dann dieses PowerShell Script Zugriff genommen.

01:29:21: Hat einfach den Cashordner des Browsers umgegraben, ob es dann in seine Payload findet und die dann eben extrahiert.

01:29:29: Berichtet für Expel hat es Markus Hutchins, auch bekannt als Melvetech.

01:29:34: Ich dachte, wir hätten den schon im Podcast gehabt, habe aber auf die Schnelle keine Folge dazu gefunden.

01:29:40: Melvetech ist jedenfalls... berühmt dafür, dass er bei der WannaCry ransomware diesen Kill Switch gefunden hat, mit der dieser Ausbruch sozusagen vorzeitig gestoppt worden ist, weil er eigentlich nur testen wollte, was das eigentlich tut und dabei festgestellt hat, oh, es deaktiviert die Mail-Ware, wenn man diese Domain registriert.

01:30:00: Ich könnte mir vorstellen, dass wir in der Vorüber-Viren über ihn gesprochen haben.

01:30:04: oder irgendwas mit Domain Registrierung, weil ich glaube, das war ja eine Domain, die ja registrieren musste, die ausgelossen war oder so.

01:30:09: Aber

01:30:09: ich habe es auf die Schnellen nicht gefunden.

01:30:12: Egal jedenfalls ist Markus Hatschins nicht irgendjemanden.

01:30:15: Jetzt arbeitete der Unternehmer bei X-Pel und hat diesen Click-Wix-Angriff da analysiert und fand den einerseits ganz nett und andererseits hatte er sich halt nachdem er ja auch früher mal durchaus als Hacker unterwegs war, oder weiß nicht, ob man Cracker sagen kann, aber als Hacker, der vielleicht irgendwie nicht ganz weißen Hut aufhat.

01:30:33: Sie gedacht, das kann man doch verbessern.

01:30:36: Und zwar stören ihn sozusagen so künstlerisch zwei Aspekte an diesem Angriff.

01:30:40: Das eine ist, dass da ein binäre Block als Bild ausgeliefert wird, der halt kein Bild ist.

01:30:47: Und das kann auffallen.

01:30:48: Also wenn es beispielsweise an irgendeine Mittel wäre, das Ding vorbei geht und diese Mittel, wer sieht, oder steht JPEG dran.

01:30:53: Aber das ist kein JPEG-Header, der jetzt hier übertragen wird.

01:30:56: Dann kann die zum Beispiel sagen, hier stimmt was nicht.

01:30:58: Und das andere ist natürlich, wenn man einfach dieses Bild versucht anzuzeigen.

01:31:02: dann funktioniert es halt nicht, weil es halt kein Bild ist.

01:31:04: Und es ist relativ offensichtlich, dass zumindest irgendwas kaputtgegangen ist.

01:31:09: Und seine Reaktion, ja, weil könnte man die Daten nicht einfach in echten Bildern unterbringen, damit eben genau das nicht passiert, damit irgendwie in irgendein Mittelwehr sagt, na ja, gut, hier soll gerade ein Bild übertragen werden, hier wird ein Bild übertragen, der wunderbar, und wenn man es versucht, das anzuzeigen, dann sieht man es auch.

01:31:21: Und seine erste Association, die ich auch sehr nachvollziehbar finde, war Steganografie.

01:31:26: Das ist eine Technik, weiß nicht, ob wir die schon im Podcast hatten, aber da geht es darum, dass man zum Beispiel in einem Bild, aber man kann da... verschiedene Medienformate für nutzen, kleine Unterschiede einfügt.

01:31:36: Also zum Beispiel in den niederwertigsten Bits von solchen Farbwerten, die verändert.

01:31:43: Und das ist für die optische Wahrnehmung von Bildern relativ egal, ob das Blau ist ein ganz klein bisschen heller oder dunkler ist oder so.

01:31:50: Aber deswegen kann man eben sozusagen diese niederwertigsten Bits second fremden und kann da dann Dinge einkodieren.

01:31:57: von so Daten übertragen, ohne dass es auffällig ist, dass hier Daten übertragen werden.

01:32:01: Die sind also nicht verschlüsselt, sondern nur verschleiert, in dem Sinne, dass man sie nicht sieht.

01:32:06: Das Problem dabei ist, wenn man sowas macht, dann braucht man jetzt zum Beispiel, wenn man das in Bildern macht, einen Decoder für das Bildformat.

01:32:12: Und also auch simplere Bildformate, aber vor allem JPEG, sind relativ komplex.

01:32:18: Und den kriegt man halt auch nicht in dieses kurze, schlipsliche, dass man ein paar Clicks fix ausliefern kann.

01:32:23: Also das ist irgendwie keine sinnvolle Option.

01:32:26: Seine zweite Idee war dann, was ist denn mit den Metadaten, also gerade so ein JPEG, das kann Metadaten enthalten und das funktioniert halt ausgezeichnet.

01:32:34: In solche Exif-Metadaten, die können bis zu vierundsechzig Kilobyte groß werden.

01:32:39: Ein einzelnes Exif-Feld kann all diesen Platz selber nutzen, also es hat nicht irgendwie ein kleineres Limit pro Feld oder so.

01:32:46: Und man kann in so einen, es gibt verschiedene Typen von Exif-Feldern, aber es gibt eben auch welche für Textinhalte und die meisten Textparser.

01:32:53: hören, wie das so üblich ist, auf, wenn sie das erste Nullbald pasen, weil das ja sehr üblich ist, sozusagen, eine Textlänge oder ein, ja, dadurch zu markieren, dass nach dem letzten Zeichen ein Nullbald folgt und dann weiß der Pase, ach, der Text ist zu Ende.

01:33:07: Aber Exefelder haben eine explizite Länge, ganz allgemein jedes Exefeld, egal welchen Typ es hat.

01:33:13: Das heißt, man kann da ein riesiges Exefeld spezifizieren, das praktisch sixty Kilobytes groß ist.

01:33:20: Dann schreibt man da eine kleine String rein, er nimmt das Beispiel, das ist definitiv North Malware oder so.

01:33:25: Terminiert es mit einem Nullbyte.

01:33:27: Und dann hat man knappe, vierundsechzig Kilobytes Platz, um beliebigen Kot unterzubringen.

01:33:32: Und wenn man dieses Bild betrachtet, dann wird das ganz normal angezeigt, weil es ja eh ein Bild ist, die Malware steckt ja in den Metadaten.

01:33:38: Und wenn man die Metadaten betrachtet, dann werden die meisten Exif-Pase einfach nach diesem Nullbyte aufhören zu pasen.

01:33:45: Und halt nur diesen ersten String, den kann man ja völlig harmlos gestalten, anzeigen.

01:33:51: Und selber braucht man als Malware, die über sozusagen als Initialeskriptchen, was versucht, diesen Payload zu entpacken.

01:33:59: Braucht man eben auch kein Pause für die Bilddateien oder für Excel oder so, sondern man kann einfach in diesen sixty Kilobytes Code, die man da hat, eine Anfangssequenz definieren und eine Endsequenz und dann geht man da einfach Beid für Beid über die Datei.

01:34:11: Und sobald man die Anfangssequenz findet, fängt man an, das Folgende rauszuschreiben, bis man die Endsequenz findet.

01:34:17: Und dann hat man sehr geschickt.

01:34:44: Ja,

01:34:44: für uns, aber nicht für dich, genau.

01:34:48: Die müssen jetzt irgendwie doch Mittag und Freitag durch, weil man kann das halt nicht nur mit der Browser machen, also diese Click-Fix-Attaxe hat sie natürlich gegen Browser gerichtet, aber es funktioniert natürlich mit anderen Software auch, die von irgendwoher Bilder gegennimmt.

01:35:01: Und er hat es, also Merlweiterk hat es zum Beispiel mit Microsoft Outlook ausprobiert.

01:35:05: Und wenn man dem eine Bild, eine Mail schickt mit einer Bild in Anhang, dann sind da zwei Sachen interessant.

01:35:11: Das eine ist, oder nicht nur, dass das funktioniert.

01:35:18: Sondern also weil Outlook dieses Bild halt cash und so und dann kann man mit einem Blick fix die Leute oder vielleicht auch mit dem eigentlichen Mail in Halte die Leute dazu bringen und ein kleines Skript auszuführen was dieses Ding dann aus dem Cash holt und im Impact und halt die Melwe ausführt.

01:35:31: Sondern sogar wenn man die Image also die Bildvorschau deaktiviert.

01:35:39: Und also Outlook lädt diese Bilder in den Cash.

01:35:46: Auch wenn man die Vorschau deaktiviert und es bereinigt nicht das Exif.

01:35:50: Das heißt, man konnte eben dieses Exif-Muggling mit einem Outlook machen, ohne dass der Nutzer diese Mail überhaupt geöffnet hat.

01:35:58: Also allein die Tatsache, dass die halt zugestellt worden ist, hat Outlook dazu veranlasst, dieses Bild erst mal in den Cash zu laden.

01:36:04: Und wenn man dann den Nutzer halt irgendwie dazu bringt, irgendwas auszuführen, also schon klar, das ist kein vollständiger Angriff oder so.

01:36:11: Ich habe hier nur noch irgendwie wütende Emojis notiert.

01:36:13: Na ja, wie kann man denn das System programmieren, dass wenn man explizit die Vorschau ausschaltet, dann trotzdem erstmal die Daten zieht und sie irgendwo hinlegt.

01:36:25: Vor allem Cabania, das Ganze auch umgekehrt aufziehen.

01:36:28: Man macht eine E-Mail-Fishing-Kampagne mit einem Fishing-Link drin und in der E-Mail ist nicht nur der Link, sondern auch die Payload, die wird dann schon runtergeladen.

01:36:37: Dann weiß ich ja, dass sie schon auf dem Rechner ist und dann klickt... der Nutzer auf den Fishing Linken kriegt, ihr Outlook ist gerade kaputt gegangen, bitte hier klick fix ausführen.

01:36:45: Und dann kann man die auf die im Outlook-Cash liegende Payload zugreifen und braucht nicht noch auf der Webseite zusätzlich noch einer.

01:36:56: Ja, runterzuladen.

01:36:59: Ich glaube damit, also A, haben wir euch diese lustige Geschichte erzählt.

01:37:03: Ich glaube wir hatten dieses Cashmarking noch nicht im Podcast.

01:37:07: Das ist ja eine interessante Technik.

01:37:10: B, haben wir jetzt auch unser wöchentliches Microsoft-Bashing noch irgendwie untergekriegt.

01:37:15: Und C, sollten jetzt glaube ich zum Ende kommen, bevor Christopher's Stimme ganz aufgibt.

01:37:20: Wir müssen noch ein PKI-Thema finden.

01:37:23: Das machen wir nächste Woche irgendwie, hoffentlich, weiß ich nicht.

01:37:25: Vielleicht

01:37:25: gibt es bis dahin Antwort auf Ben Wilson's Fragen zur Fina, also zu dieser slovakischen, kroatischen,

01:37:33: umfänglich und geheilsvollen.

01:37:39: Es gab heute einen Kommentar in dem Ticket.

01:37:41: Und das war eine Antwort, aber nicht auf die Fragen, die Ben Wesen gestellt hat.

01:37:44: Mal sehen, was dazu kommt.

01:37:45: Ich wollte, ihr wollt ihn schon fragen, aber ich hab ihn jetzt nicht gezuckt.

01:37:48: So, also aus brontialen Gründen würde ich sagen, und wir sind auch eigentlich ganz gut in der Zeit, wir kommen mal für heute zum Ende, schickt uns gerne euer Feedback an password-podcastatheise.de.

01:38:02: Wir hoffen, dass die nächsten Wochen nicht ganz so trubelig sind wie die vergangenen und dass wir ein bisschen schneller antworten können.

01:38:08: Bis zum nächsten Mal und denkt dran.

01:38:10: Dieser Podcast ist das einzige Passwort, das ihr teilen solltet.

01:38:13: Tschau tschau.

01:38:14: Tschüss.