Jubiläumsfolge mit extraviel Feedback, Cloudflare und Bluetooth-Lücke

00:00:00:

00:00:02: Passwort,

00:00:03: der Heises Security

00:00:04: Podcast.

00:00:09: Hallo liebe Hörerinnen und Hörer, willkommen zu einer neuen Folge von Passwort, dem Podcast von Heises Security.

00:00:17: Ich bin Christopher Kunz von Heises Security

00:00:19: und mein Name ist Lester Temmel vom Computer-Magazin CT.

00:00:24: Wir feiern heute einen kleinen, aber feinen und runden Geburtstag, nämlich das hier ist Folge fünfzig.

00:00:30: Und passenderweise haben wir in den letzten Tagen von euch wirklich ungewöhnlich viel Feedback bekommen.

00:00:35: Das freut uns sehr.

00:00:36: Vielen Dank.

00:00:38: Und deswegen machen wir, also nicht deswegen, aber wir machen jetzt so eine Jubiläumsfolge, die ist sozusagen teilweise eine normale Newsfolge.

00:00:44: Da sind nämlich auch diverse Dinge passiert.

00:00:47: Wir versuchen die einzelnen Items kurz zu halten, aber es sind viele, vielleicht teilen wir es irgendwie.

00:00:51: Berühmte

00:00:51: letzte Worte.

00:00:52: Genau.

00:00:54: Und wir fangen aber an mit extra viel Feedback, weil wenn ihr uns schon so viel schreibt, dann wollen wir dann natürlich auch drauf eingehen.

00:01:00: Dazu noch mal viele von euch haben uns ja per Mail kontaktiert.

00:01:05: Das ist ja auch der von uns bevorzugte Weg.

00:01:08: Und wir haben immer noch den Anspruch, dass jede Mail eine Antwort kriegt.

00:01:11: Es tut uns halt leid, manchmal dauert es ein paar Tage, gerade wenn irgendwie andere Arbeit anliegt und dann so ein Schwall von euch kommt.

00:01:18: Aber wenn ihr keine Mail von uns kriegt und dann könnt ihr gerne nach zwei Wochen oder so nochmal anglocken und sagen, hey, was los?

00:01:24: Vielleicht nicht, dass wir es übersehen haben.

00:01:28: Und jetzt kommt eine kleine semi jubiläums überraschung weil das auch viele andere podcast machen und wir machen das jetzt auch mal nur so ein bisschen.

00:01:39: wir zahlen jonglieren zu unserem podcast der nämlich tatsächlich gar nicht heute seine folge fünftig hat sondern in wirklichkeit ist das heute folge einund fünfzig.

00:01:48: wir hatten nämlich eine folge einund vierzig a. das war so eine bonus folge im letzten oktober weil Ich unbedingt Folge zweiundvierzig, also die Folge Nummer zweiundvierzig, mit Freck machen wollte aus numerologischen Gründen, wobei da würde ich jetzt

00:02:05: spitzfindig dagegen halten, dass das hier vielleicht nicht die fünftzigste Folge ist, aber es ist Folge fünfzig, weil so steht es im Titel.

00:02:12: Es ist die fünftzigste Aufnahme.

00:02:15: Denn Folge einundvierzig A haben wir gemeinsam mit Folge einundvierzig aufgenommen.

00:02:19: und

00:02:19: möglicherweise belüht euch auch, das entscheiden wir ganz spontan, also das in zwei Stunden Christopher, ich und das in zwei Stunden Silvester, ich entscheide, ob wir diese Folge auch splitten, je nachdem, wie schnell wir mit unseren Air Quotes kurzen News durchkommen und damit wir nicht gleich wieder eine halbe Stunde voller haben, bevor wir mit dem Feedback anfangen.

00:02:38: Übrigens, die hatten einen Rekord heute, den hast du gar nicht mitgekriegt, den Rekord.

00:02:42: Nee.

00:02:43: Wir hatten ja schon mal ein Rekord, wo du nach unter einer Minuten Folgenlänge den Finger oben hattest.

00:02:47: Diesmal hattest du bei minus einer Sekunde Folgenlänge den Finger oben, weil du nämlich gefragt hast, was ist denn das in den Notizenzahlen von CKU?

00:02:53: Das heißt, also das kannst du eigentlich jetzt nicht mehr toppen.

00:02:55: Du kannst natürlich anderthalb Stunden vor Aufnahme beginnen, jetzt den Finger oben haben, aber das lasse ich glaube ich nicht gelten.

00:03:00: Das ist also jetzt ein nicht mehr einzuholender Rekord.

00:03:02: in Folge Fünfzig und ich habe ein paar Zahlen gesammelt, weil es mich einfach interessiert hat, was wir so gemacht haben, also vor allem wie lange wir es gemacht haben.

00:03:12: Wir haben, schätze mal, wieviel Tage muss man investieren, wenn man alle Folgen von Anfang bis Ende hören will, am Stück.

00:03:23: Wieviel Tage muss man... Oder wieviel

00:03:26: Stunden, das ist vielleicht einfacher als Nährung.

00:03:28: ...fünfundsebzig

00:03:31: Stunden.

00:03:34: Das ist schon ziemlich gut, das sind nämlich neunundsebzig.

00:03:36: Und das macht ungefähr drei Tage reine Hörzeit.

00:03:40: Wir haben viertausend siebenhundertdreißig Ballparkminuten.

00:03:45: Mit haben wir einen aufgenommenen folgen.

00:03:48: ich weiß nicht genau was die anzeigt ob das die boto zeit ist inklusive der werbespots oder ohne.

00:03:53: ich glaube das ist inklusive.

00:03:55: Und man sieht dann auch so ein bisschen wie das eskaliert ist.

00:04:00: also wir haben angefangen.

00:04:01: die erste folge hat fünf und siebzig Minuten gehabt.

00:04:04: Und die zweite fünf und neunzig dann gab auch mal eine mit sieben fünfzig dazwischen.

00:04:09: was würdest du schätzen ist die kürzeste folge gewesen die wir überhaupt gemacht haben.

00:04:15: Ja, vielleicht diese Bonus-Folge, ein-vierzig A, nee, wahrscheinlich die kürzeste überhaupt.

00:04:20: Ich sag mal, forty-fünf Minuten.

00:04:22: Ja, knapp fünfzig Minuten sind es, das ist Folge sechzehn zur Chatkontrolle.

00:04:28: Aber wir haben anfang auch wöchentlich aufgenommen, da hatten wir nicht so viele Newsberge.

00:04:34: Genau, wir haben wöchentlich aufgenommen, aber da sah man auch schon, dass die News-Folgen, die waren tendenziell immer ein bisschen kürzer als die langen Folgen.

00:04:41: Da haben wir ja auch diese klare Aufteilung gehabt und die langen folgen waren dann streckenweise ein bisschen länger.

00:04:48: Ich habe auch eine längste folge.

00:04:51: Das hat mich ein bisschen überrascht, weil ich echt gedacht hätte, dass folge neunvierzig die längste ist.

00:04:55: Die ist aber ganz knapp geschlagen worden von folge zweiundvierzig, nämlich der freck folge mit skyper.

00:05:00: Ist ja klar, wir waren zu dritt, also brauchten wir auch mehr redezeit.

00:05:03: Die hat hundertvierundsechzig Minuten.

00:05:04: Ja, aber

00:05:05: das hat freck ja

00:05:06: auch verdient.

00:05:07: Ja und das ist ja, wir haben ja auch nur einen artikel.

00:05:10: besprochen.

00:05:10: in unseren shownoten standen glaube ich zwei oder drei eigentlich zu sprechen wollen.

00:05:14: dann wäre das dann wäre das so eine eintagesfolge gewesen.

00:05:16: aber wir hatten ja auch alle dann uns sinnvollerweise beschränkt und die abdown geschicht haben wir auch noch weiter erzählt.

00:05:23: ich habe jetzt keinen durchschnitt gebildet.

00:05:25: das müsste aber eigentlich relativ zügig gehen.

00:05:28: ich würde jetzt mal sagen der durchschnitt liegt aber schon eher bei zwei stunden.

00:05:33: wie geht denn durchschnitt in diesem summe?

00:05:39: Also man sieht aber über diese Eskalation, dass es also, sobald Folge siebenzwanzig, da springen wir von siebenachtzig auf hundert sechs Minuten und dann ist nochmal die Folge zweiunddreißig ein bisschen kürzer.

00:05:50: Folge achtunddreißig ist ein bisschen kürzer.

00:05:52: Ich glaube, eine von den beiden ist mit einem Gast.

00:05:55: Das waren die, ich glaube, die Smart Contracts Folge ist eine von den beiden.

00:05:59: Und ansonsten sind wir dann immer mit einer Eins vorne.

00:06:02: sehr deutlich und gut, wenn wir uns beschränken müssen, weil uns der Chaoscomputer Club.

00:06:08: weniger Zeit einräumt, also die vorletzte Folge, dann ist es auch mal wieder zweistellig.

00:06:12: Aber wir sind inzwischen sehr deutlich dreistellig.

00:06:15: und das, um das überzuleiten zu dem Feedback so langsam wird auch durchaus gotiert.

00:06:23: Wir haben auch dreistellig

00:06:24: Feedback zu einem Aspekt bekommen.

00:06:27: Genau, wir haben insgesamt über alle fünfzig Folgen dreistellig.

00:06:31: oder das meiste Feedback mit ist tatsächlich der Wunsch nach Kapitelmarken.

00:06:35: Das hören wir immer wieder, das sagen wir auch immer wieder, denn das möchte niemand mehr, glaube ich, als wir.

00:06:42: Aber auch hier nochmal, das ist aus technischen Gründen momentan nicht möglich.

00:06:45: Das liegt an der Art, wie die Werbespots in die Folge reingeschnitten werden offenbar und dann geht das irgendwie nicht.

00:06:51: Ich habe es nie so hundert Prozent verstanden, aber ich habe für mich abgespeichert.

00:06:55: Bis auf weiteres muss man sich leider dazu malen und das können wir leider als Service nicht bieten.

00:07:03: einfach leider keine Kontrolle drüber.

00:07:04: Meine Theorie ist ja, das liegt daran, dass das Computer so was wie eine Subtraktion noch nicht beherrschen und die müssten die wahrscheinlich durchführen, um irgendwie den Werbespotter auszurechnen.

00:07:15: Ja, also ein vorher aufgenommener Audiotrack, der an einen anderen vorher aufgenommenen Audiotrack drankopiert wird, das ist komplett nicht deterministisch.

00:07:25: und selbst wenn der nach einem Algorithmus dynamisch drankopiert wird, Dann ist es wird es ja noch nicht, das ist ja Chaos Theorie.

00:07:31: Das kann kein modernes Computerprogramm leisten.

00:07:34: Insofern müssen wir wohl ohne auskommen.

00:07:37: Ich habe auch noch mal ganz kurz in unsere Notizen geguckt.

00:07:39: übrigens, die für Folge zwei sind auch schon überraschend lang.

00:07:43: Die für Folge eins habe ich nicht mehr gefunden.

00:07:45: Das sind auch schon vierzehn Kilo bei Text.

00:07:47: Und wir sind jetzt für heute bei etwas über dreißig, glaube ich.

00:07:54: Wir machen das für die von euch, die das noch nicht gehört haben, das haben wir glaube ich schon mal irgendwo erzählt, in so eine semi-Stichwort-Verfahren.

00:08:02: Teilweise sind es mal ganze Sätze, teilweise sind es Stichworte, teilweise ist dann da auch Quellcode reinkopiert oder Kommentare, werdet ihr gleich ein paar von, wenn wir euch vorlesen.

00:08:10: Also es ist kein ausformuliertes Skript, das hört man glaube ich aber auch an der Art, wie wir sprechen und wie wir die Sachen dann einsprechen.

00:08:16: Wir formulieren uns keine Skripte aus und bis auf die Begrüßungs- und die... Abschiedsfloskeln ist auch nicht so dabei, was wir vorlesen.

00:08:24: Die lesen wir vor, damit wir sie immer gleich haben.

00:08:26: Und damit nicht gleich im ersten Satz, wir kommen zu Podcast, dem Passwort von Heise Security kommt.

00:08:31: Das haben wir nämlich auch schon gehabt.

00:08:33: Ja, ansonsten vielen Dank an alle Hörer, dass ihr uns so die Treue haltet.

00:08:40: Das freut mich sehr und ich glaube den Silvester auch.

00:08:44: Und dass ihr das aushaltet, wenn wir hier drei Stunden über Sachen reden.

00:08:48: Wir kommen auch.

00:08:50: keine Motivation uns kürzer zu fassen, glaube ich.

00:08:53: Ich

00:08:53: steh mich auf den Befehl.

00:08:55: Ja, ich kann das nachvollziehen.

00:08:58: Ich wünsche mir, du hast ja schon gesagt, niemand will sich mehr Kapitel parken als wir.

00:09:02: Ich verstehe, wenn Leute, also das in ihrem Botcatcher sehen, sie denken, ihr habt ja nicht alle Tassen im Schrank, wann soll ich das denn hören?

00:09:10: Andererseits muss ich schon sagen, das... Größere Teil des Feedbacks, die man auch vorbekommen ist, nicht macht.

00:09:16: Lord of the Rings Extended Edition sind langweilig, macht lieber Sexnider Extended Editions, die sind noch länger.

00:09:25: Und also dieses hier, um das klar zu sagen, ist auch wieder eine Folge, die in viele Themen zerfällt.

00:09:30: Das heißt, ihr könnt natürlich jederzeit einfach hier auf Pause drücken oder so und das dann drei Tage später weiterhören oder so.

00:09:36: Und je länger ich den Podcast mache, desto mehr andere Podcasts fange ich auch an zu hören.

00:09:41: und bisweilen rutscht auch unser eigener damit rein, weil ich den immer noch in meinem Podcatcher habe und ich erwische mich dann, wie ich mir selber Sachen erzähle, die ich vor einem Monat mal recherchiert habe.

00:09:51: Ich finde das in der Regel ganz spannend, weil ich die Hälfte gefühlt davon schon wieder vergessen habe und ich lerne immer wieder viel Neues.

00:09:57: Aber ich verstehe immer weniger dieses Problem mit langen Podcasts, denn ich höre ein paar Nicht von mir eingesprochene Podcast, die auch sehr lang sind, die teilweise in dreieinhalb Stunden pro Folge haben.

00:10:10: Und die höre ich dann einfach in Zähnen durchgängen.

00:10:14: Also das sind dann irgendwelche zehn Autofahrten oder im Sommer beim Rasenbähnen oder solche Geschichten.

00:10:19: Und ich finde, das lässt sich in der Regel super segmentieren, weil du brauchst ja nicht, wie bei einer Arbeitsaufgabe da eine halbe Stunde um wieder reinzukommen.

00:10:28: Zumindest ist das mein Eindruck.

00:10:30: Aber ich glaube, da ist auch jeder Konsument ein bisschen anders.

00:10:35: Gut, so das war jetzt.

00:10:36: das waren die paar zahlen.

00:10:37: mehr zahlen habe ich auch nicht.

00:10:39: Ich bin gespannt wie es bei folge hundert aussehen wird, ob wir dann eine zwei vorne stehen haben in der folgenlänge in minuten.

00:10:46: Hoffe

00:10:47: oder keine höhere mehr, weil wir es übertrieben haben, wir werden sehen.

00:10:51: Danach sieht es aber tatsächlich nicht aus.

00:10:52: Gut, wir haben einen starpe feedback gekriegt und ich kann euch an wenig Themen erinnern zu denen wir mehr Feedback gekriegt haben als zu den Software Signaturen, weil es da einen zentralen Fehler gab.

00:11:07: Ich bin im Nachhinein sehr froh, dass ich direkt im ersten Satz gesagt habe, ich befinde mich hier am äußersten Rand meines Know House über PKIs, als es um die Software Signaturen ging.

00:11:19: Und es gab da eine, ich habe da ein schönes Wort für Scrabble für euch rausgesucht, Software Signaturen, Gültigkeitsablaufdatumsverwirrung bei mir, die Insbesondere die darin bestand, dass nicht das Zertifikat eines Programms noch gültig sein muss, wenn ich es starte, sondern dass es zum Signaturzeitpunkt gültig sein muss.

00:11:43: Und dafür musst du aber noch was beachten.

00:11:46: Du musst nämlich einen Timestamp da einbauen.

00:11:48: Silvester hilft mir.

00:11:48: Ich bin schon wieder am äußersten Rand meines Know House.

00:11:52: Also genau genommen funktioniert es so, wie ich auch jetzt erst gelernt habe, nachdem wir eben vielfältig hingewiesen wurden, wie das läuft.

00:11:59: Wenn man tatsächlich die Software einfach nur signiert, dann ist es so wie von dir angenommen, wenn das Zertifikat ausläuft, dann ist es halt auch nicht mehr gültig.

00:12:08: Was man aber machen kann, ist zum Zeitpunkt der Signature eine Time Stamp Authority zu kontaktieren.

00:12:15: Das ist halt ein Dienst, im Regelfall ist es ein Dienst, den auch die CA anbietet.

00:12:21: Und die produziert dann einen Timestamp, der von dieser CA signiert ist und eben bestätigt, na zur Zeit.x, als du diese Software signiert hast, war das Zertifikat noch gültig.

00:12:34: Und dadurch, dass es eben von dieser Timestamp Authority kommt, kann man das halt auch nicht faken, indem man einfach bei seinen Rechner die Uhrzeit verstellt oder so.

00:12:41: Man muss also diese Authority glauben, dass deren Zeit, also deren Uhr eben korrekt geht.

00:12:48: Und dann hat man eben so eine Counter-Signatur, also dann hat man einmal seine Signatur auf dem Code drauf und eine Counter-Signatur, die den Signaturzeitpunkt bestätigt.

00:12:58: Und wenn das so ausgeschaltet ist, dann kann man diese Software eben auch nach Ablauf des Zertifikats noch ausführen, weil das Betriebssystem halt erkennen, ja, das ist jetzt nicht mehr gültig, aber das war gültiger als es signiert worden ist und verändert hat sich es ja auch nicht, weil sonst wäre das originale Zertifikat gar nicht mehr passend.

00:13:17: zur Software, ne?

00:13:20: Das ist im Prinzip halt letztlich ein schlaues System und dass man sich auf diese Time Step Authority verlassen muss, ist glaube ich sehr verschmerzbar.

00:13:27: Insbesondere wenn es halt ein Service von der CA ist, der CA muss man eh vertrauen.

00:13:33: Mach unser Lieblingsthema, der CA muss man eh vertrauen.

00:13:35: Trust me, Bro.

00:13:38: So, die Software Signaturen, Gültigkeitsablaufdatumsverwirrung wurde uns unter anderem von Tobias geschrieben.

00:13:46: Der Name wird später noch wichtig.

00:13:48: Denn der sagte, er sei selber Softwareentwickler oder schrieb und schrieb uns, er hatte das in der Vergangenheit auch schon mal vergessen und er ist damit auf die Schnauze gefallen, seine Worte nicht meine.

00:14:01: Und

00:14:01: es ist wohl auch, also wenn ich es richtig verstanden habe, so ein Standard-Tool von Microsoft, dass man halt hernehmen kann, um seinen Code zu signieren, dem kann man halt so ein Parameter mitgeben, dass es bitte da so einen Time Stamp sich von dem Server, den man nennt, besorgen soll.

00:14:16: Man kann es aber halt auch lassen und dann funktioniert es wohl auch, aber dann hat man halt eine Software, die aufhört, zu funktionieren, wenn das Zettifikat abgelaufen ist.

00:14:24: Also ich glaube, man kann in diese Falle relativ leicht tappen.

00:14:29: Und selbst wenn man ihn sich nicht hinein tappt, hatte er noch ein anderes Beispiel für uns, nämlich da ging es um Air-Gap-Systeme und dann auch noch WSI-IT-Grundschutz und dann auch noch Windows und dann auch noch signierte Software und dann auch noch Timestamps.

00:14:43: Und das scheint eine Kombination aus der Hölle zu sein, weil der IT-Grundschutz hat diese Regel süsst, eins, zwei, drei, a, sieben, Bewendung der Windows PowerShell und da steht drin, die Ausführung von PowerShell-Skripten sollte mit dem Befehl SetExecutionPolicy AllSigned eingeschränkt werden, um zu verhindern, dass unsignierte Skripte, klar mal auch versehentlich, klar mal zu, ausgeführt werden.

00:15:07: Da sieht man schön auch wieder den Unterschied zwischen IT-Grundschutz und zum Beispiel ISO-SiebensanzigtausendEins, also wie detailliert.

00:15:13: das BSI in den Grundschutzkatalogen, so wie ich gesagt, da sind ja wirklich Kommando-Zeilparameter genaue Anweisungen drin.

00:15:20: Das findest du allenfalls noch ein bisschen in der siebenzwanzigtausend zwei, so in den Vorschlägen, wie man die siebenzwanzigtausend eins umsetzt, aber das ist schon sehr viel spezifisch und deswegen auch so ein bisschen das Dabock, das Schwert, das über allen Kritisbetrieben so schwebt.

00:15:33: Und auch wohl diesem, wir wissen nicht, ob es ein Kritisbetrieb ist, aber das ist sowas, das will man ja eigentlich nicht freiwillig in der freien Wirtschaft umsetzen.

00:15:43: Tobias schrieb uns, das wäre ja alles kein Problem gewesen, aber die Umgebung war nun mal ergibt und dann gab es keine valide Uhrzeit.

00:15:50: Es gab keinen Time-Server.

00:15:51: und ja, dann stehste da mit deinem Talent und du hast da jetzt noch Tietzen reingeschrieben mit Vorschlägen.

00:15:56: Waren das seine oder deine Vorschläge?

00:15:58: Es

00:15:58: waren, also er hat dann sozusagen gesagt, naja, und dann steht man halt vor der Wahl.

00:16:02: Also weil die erste Reaktion von einem Kollegen waren, dann signieren wir das halt, aber nachdem sie keine Verbindung zu so einem Time-Server kriegen, geht das halt nicht.

00:16:12: Die Alternative ist halt zu sagen, wir machen das nicht und wir updaten halt wirklich dieses Kripte regelmäßig, sodass die sozusagen jedes Mal, bevor ihr Zertifikat ausläuft, es halt ein neues Kript mit einem neuen Zertifikat gibt.

00:16:24: Und dann ist halt die Frage, kriegt man das organisatorisch hin, dass man das wirklich macht immer mit jedem Skript und niemals eins vergisst.

00:16:32: Und da muss man sich schon ziemlich sicher sein.

00:16:36: Und das andere sagt Tobias, dass es Drittanbieter Skripte gibt, durchaus von Namen und Herstellern, also der nennt VMWare, die auch nicht signiert sind.

00:16:47: Und dann kannst du das halt eigentlich nicht hernehmen, beziehungsweise er vermutet, dass das der Grund ist, warum das BSI gesagt hat, die Anforderung ist Security hoch.

00:16:57: Aber es ist halt eine Solte-Anforderung, damit man halt sagen kann, hier geht es nicht.

00:17:02: oder aus folgenden Gründen mache ich es nicht und man ist immer noch grundschutzkonform.

00:17:10: Ich musste gerade wieder zucken, irgendwas einmal im Jahr regelmäßig aktualisieren und das signieren, das schreit ja irgendwie nach Automatisierung.

00:17:17: Aber immer wenn ich Automatisierung sage, dann stirbt irgendwo an einer deutschen Universität ein System-Administrator, glaube

00:17:25: ich.

00:17:25: Ich weiß gar nicht, ob das so, also ich glaube nicht, dass das auf die Universitäten beschränkt ist.

00:17:30: Nee, das weiß nur ein hypothetisches Beispiel.

00:17:33: Irgendwo in Deutschland stirbt ein Admin, oder?

00:17:39: Der Hügel, auf dem ich sterben werde, die Automatisierung, aber...

00:17:46: Wir kommen zu anderen Hügeln.

00:17:48: Oh

00:17:48: ja, jetzt kommt's ja besser, das Lieblingshügel.

00:17:51: Wobei ich diesmal also gar keine Kritik habe.

00:17:53: Wir haben letzte Folge ja über PGB geredet und was man halt übrigens von über Knuppe geht und was für Alternative man vielleicht... Du

00:18:00: hast geredet, ich habe hauptsächlich zugehört.

00:18:03: Du hast mir gelauscht, wennst du.

00:18:05: Ich hab, du hast viel geredet und kurz dachte ich, es sei wieder Zeit für die Blutdruck-Tabletten.

00:18:12: Laris hat uns jedenfalls geschrieben und auf einen, finde ich, sehr, sehr relevanten Punkt hingewiesen.

00:18:17: Er sagt, na ja, gut, ich empfehle da, dass man auf Tools wie z.B.

00:18:21: AG oder Mini sein ausweicht.

00:18:24: Und er sagt, die haben aber einen Quote und Quote Nachteil.

00:18:29: Und also die Anflugzeichen sind von ihm, ist auch bewusst, dass das kein technischer Nachteil ist.

00:18:34: Und zwar nutzen sie Chacha-Zwanzig bzw.

00:18:36: die CURV-ZoO-Von-Fünf-Einzen-Neun.

00:18:39: Und beide sind, soweit er das beurteilen kann, zwar sichere Algorithmen, aber keine, die sich in den BSI-Empfehlungen finden.

00:18:48: Und ich nehme an, er spielt damit auf BSI-Technische Richtlinie Null-Zwo-Einz-Null-Zwo an.

00:18:53: Das sind k optographische Verfahren, Empfehlungen und Schlüssellingen.

00:18:58: Und das ist in der Tat so, dass sie da nicht drinstehen.

00:19:04: Das BSI selber sagt halt, naja, das sind halt hier Empfehlungen in dieser technischen Richtlinie, die Tatsache, dass sie da nicht drinstehen, heißt ja nicht, dass sie schlecht sind.

00:19:14: Es gibt sogar eine explizite Anfrage über Frage in Staat, wo ihr mal gesagt habt, das ist mit Chacha-Zwanzig Poli-Dreizehn-Null-Fünf.

00:19:24: Wieso findet sie sich nicht in den Empfehlungen?

00:19:26: und dann sagt halt das BSI, Der empfehlende Charakter dieser Richtigen bedeutet insbesondere, dass nicht aufgeführte Varianten vom BSI nicht zwangsläufig als unsicher beurteilt werden.

00:19:37: Dem BSI sind keine krippografischen Schwächen der Stromschiffere Chacha-Zwanzig oder das authentisierenden Verstüßlungsverfahren Chacha-Zwanzig Poly-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.

00:19:57: Und das war auch Gegenstand eines anonymen Feedbacks, das wir bekommen haben, an unsere, also nicht an den, an unsere Passwort-Email-Adresse, sondern an unseren Redaktionsverteiler.

00:20:07: Das besagte im Wesentlichen, dass BSI hielte sich nicht an die eigenen Vorgaben.

00:20:11: Man würde ja in dieser TR die Empfehlung nicht empfehlen und Hersteller aus dem Gesundheitswesen, da kommt Sylvester gleich noch drauf, die würden dann ja auch Ärger dafür kriegen, aber die Homepage und das Melde-Portal, über das wir uns ja... in der letzten Folge auch schon verschiedentlich geäußert haben.

00:20:28: Da würde ja Chacha-Zwanzig-Boli-Dreizel-Null-Fünf angeboten bzw.

00:20:34: als Befreiheit kann ausgehandelt werden.

00:20:41: Ich sehe da keinen zweierlei Maß messen, weil das ja einfach verschiedene Anwendungsbereiche sind und das nur noch mal so als Antwort auf dieses Feedback-Volk, keine Mellerdossel dabeistand.

00:20:55: Genau, wir können sozusagen dazu kommen.

00:20:57: Also es spricht auch aus unserer Sicht nichts gegen Schad Schad-Zwanzig.

00:21:02: Deswegen habe ich ihm auch kein Problem AG oder Minisign zu empfehlen.

00:21:05: Das BSI hat scheinbar auch keine Probleme mit zumindest für seiner Webseite einzusetzen und sagen irgendwie im Exklusiv, naja, es sagen sie auch, wir empfehlen halt AIS, weil seit tausend Jahren abgehangen und geprüft und so.

00:21:18: Was es halt ein bisschen ick gemacht ist, dass ich mir natürlich einerseits durchaus vorstellen kann, dass man in der Situation ist, dass irgendwelche höheren Ränge sagen, ja, ja, wir machen nur bitte nur Sachen, die vom BSI auch ausdrücklich empfohlen werden.

00:21:30: Und dann hat man halt so ein bisschen ein Problem.

00:21:32: Und es kann eben auch sein.

00:21:33: Und da würde ich dann schon zumindest leise Kritik am BSI wieder üben.

00:21:38: dass das BSI das vorgibt.

00:21:40: Also es gibt wie von dir gerade angesprochen ja für einzelne Spaten durchaus weitergehende Spezifikationen, zum Beispiel fürs Gesundheitswesen, da gibt es die technische Richtlinie Nr.

00:21:49: drei, eins, sechs, eins Anforderungen an Anwendungen im Gesundheitswesen.

00:21:54: Und da steht dann plötzlich drin, die Anwendung muss auf bewährte Implementierung zur Unterstützung kriptografischer Primitiven und Protokolle zurückgreifen.

00:22:03: Vergleiche, technisch Richtlinie Nr.

00:22:05: zwei, eins, Nr.

00:22:06: zwei.

00:22:07: Und die wahlkriptografische Primitive muss passend zum Anwendungsfall sein und dem aktuellen Stand der Technik entsprechen, vergleiche technische Richtlinien nur zu eins, nur zu zwei.

00:22:16: Das heißt, dass diese Empfehlungen sozusagen die ja nicht ausschließen, dass man auch andere gute Sachen haben kann, werden da dann halt plötzlich abschließende Listen.

00:22:25: und wenn man was macht, was nicht innerhalb dieser Empfehlungen sich befindet, impliziert zumindest eine andere technische Richtlinie, dass man sich nicht auf dem Stand der Technik befindet.

00:22:37: Das ist halt, also schlecht, kann ich auch nur sagen, wenn man in der Situation ist, dann kann man vielleicht nicht aus, dann ist eventuell halt auch irgendeine pgp-Implementierung die beste Wahl, die man hat.

00:22:49: Je nachdem, vielleicht gibt es auch andere spezialisierte Tools, die dann doch irgendwie auch AES nutzen oder so.

00:22:55: Ändert nichts dran, dass ich sozusagen was in der technischen Sicht AG und Minisign empfehlen würde.

00:23:04: Vielleicht könnte sich das ein bisschen... Also ich weiß nicht, ob die Mühlen halt langsam malen und sie sich schneller bewegen könnten.

00:23:12: Oder ob die halt ganz bewusst sagen, nee, wir finden halt AES toll und Ares A und so, weil die sind schon viel, viel länger, viel, viel breiter im Einsatz.

00:23:25: Und wir warten hier ganz bewusst noch, ich weiß nicht, zehn Jahre oder wie lange auch immer, bis wir vielleicht auch so was sich Jaja dran sich empfehlen.

00:23:32: Könnte ich aus so einer sehr vorsichtigen herangehensweise schon nachvollziehen, aber es verhindert halt irgendwie, dass man vielleicht von Implementierungen nicht gut runterkommt, von dem man eigentlich runterkommen sollte.

00:23:45: Zum Thema Stand der Technik habe ich ungewöhnlich lange neulich einem Webinar von uns gelauscht, also nicht ungewöhnlich lange gelauscht, weil ich das moderiert habe und dann ist es mal hilfreich, wenn man auch ein bisschen zuhört.

00:23:56: Aber da gab es einen ungewöhnlich langen Abschnitte zu der Definition, was ist eigentlich Stand der Technik, wie definiert er sich und wie setzt sich das zusammen?

00:24:05: Das fand ich sehr spannend.

00:24:06: Es gibt dann ein langes Dokument von TeleTrust, das das definiert, das packe ich mal mit in die Show Notes.

00:24:14: Man sagt das immer so ein bisschen flappt oder ich habe das immer so ein bisschen flappt sich daher gesagt, aber das ist tatsächlich ein wohl definierter Begriff der Stand der Technik.

00:24:23: Das muss ja auch irgendwie belastbar sein, weil wenn du dafür auditiert wirst, dass du irgendwas nach dem Stand der Technik implementiert hast, dann muss es ja eine belastbare Definition dieses Begriffs geben.

00:24:31: Ich packe das mal für euch in die Show-Nauts.

00:24:32: Wenn ihr euch dafür tatsächlich interessiert oder euch interessieren müsst von Amts oder von Berufswegen, dann könnt ihr das bei TeleTrust nachlesen.

00:24:45: So, jetzt sind wir mit pgp schon durch.

00:24:50: Wir sind mit pgp schon durch.

00:24:51: Du darfst weitermachen mit Epic.

00:24:55: Es kommt das lustiges Akronym beraten heute.

00:24:57: Wir machen auch gleich einen kleinen Rückgriff auf eine vorherige Folge, die ich ehrlich gesagt aber nicht gefunden habe.

00:25:02: Ich weiß nicht mehr genau, wann wir darüber gesprochen haben.

00:25:04: Das konnte ich nicht finden.

00:25:05: Es geht um PKI.

00:25:06: Wir haben auch Feedback zum Thema PKI bekommen.

00:25:09: Und ich schiebe vorher einen ganz ganz kurzes News-Item dazu ein.

00:25:14: Das ist jetzt ungeplant, falls mir gerade nochmal vor die Füße gefallen ist, gedanklich, als du erzählt hast von... den Software Signaturen bzw.

00:25:22: als wir dabei darüber gesprochen haben, denn Apple hat einen Update rausgebracht für u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u u. Oder wurde auch noch halbwegs aktiv mit Sicherheitspatches versorgt.

00:25:47: Und das machen sie um, sonst wäre das hier nicht im WebPKI oder im PKI Abschnitt, um das Ablaufen eines Routzertifikats zu mitigieren, indem sie da ein neues Zertifikat einspielen.

00:25:57: Ansonsten würde nämlich spätestens im Februar, im Februar, für diese Geräte komplett das Licht ausgehen, weil sie nicht mehr mit den Update-Servern reden können, weil sie kein Einmessage mehr sprechen und weil sie sich auch schon gar nicht mehr aktivieren lassen würden.

00:26:08: Das heißt, dieses Update ist also notwendig, weil dann eine neue root cr eingespielt wird.

00:26:14: das war so ein news item.

00:26:17: was was wir neulich auch im ticker hatten gab ja auch updates für ios- sixen zwanzig und dann haben sie das quasi ganz weit mit nach unten runter gezogen und ios- zwölf ist schon wie gesagt wirklich ein altes ding.

00:26:32: das war aber nicht das thema.

00:26:33: das thema ist ein anderes nämlich m pic.

00:26:35: wir haben ein feedback bekommen von tobi.

00:26:38: nein das ist ein anderer tobi und der hat Ein paar Podcast-Folgen, ähm, ja, so Leck gehabt und hat sich ältere Folgen von uns angehört.

00:26:50: Weiß nicht, ob das so ein Dreitage-Binch-Lissen war, das müssten wir Ihnen noch mal fragen.

00:26:55: Du meinst, der hat eine ganze Folge am Stück gehört?

00:27:00: Auf jeden Fall.

00:27:01: Vielleicht sollten wir einfach mal irgendwann Folgen aufnehmen während des Rasen-Man's.

00:27:04: Das wäre ja irgendwie total gut für mich.

00:27:06: Dann könnte ich beim Rasen-Man-Folgen aufnehmen und da hätte ich's verhalten, na egal.

00:27:09: Und er hat aus eigener Also er hat ein paar Sachen selber recherchiert oder hat ein eigenes Wissen drüber unter anderem über dieses Thema der multi perspective issuance corroboration.

00:27:21: Das ist diese M-Pick.

00:27:23: Das ist kleiner Refresher, ein Mechanismus, der bestimmte Angriffe auf die Ausstellung von Zertifikaten, natürlich insbesondere von Acme-Zertifikaten mittels.

00:27:39: Ja, ich bin raus, ich weiß gar nicht, der Figur hat mich verwirrt.

00:27:43: Ich wollte nur sagen, ich habe es rausgesucht, wir hatten es in Folge neunundzwanzig.

00:27:47: Folge neunundzwanzig, das ist ein Jahr her.

00:27:49: Da geht es eben darum, dass eine CA aus verschiedenen Perspektiven prüfen muss, ob so eine Challenge wirklich vorliegt, damit man nicht irgendwie nah an der CA irgendwie die Leitung manipulieren kann oder so.

00:28:03: Genau, also die... Das CR Browser Forum schreibt das mittlerweile auch in den Baseline Requirements vor, dass eben nicht nur ein Server bei deinem Webserver oder DNS klopft und nach dem jeweiligen Token sich erkundigt, das für Acme verwendet wird, sondern dass das mehrere machen.

00:28:21: Ich glaube, Best of Three ist es jetzt oder Mehrheit von drei oder sogar fünf.

00:28:25: Ich weiß es nicht mehr genau ist, aber auch für dieses Thema nicht relevant.

00:28:28: Die sollen mindestens fünfhundert Kilometer voneinander entfernt sein, diese Maschinen.

00:28:33: Das war ein Punkt, über den ich mich gewundert hatte.

00:28:36: Und das verhindert Angriffe bei denen, wie heißen die, motivierte Angreifer?

00:28:42: Nee, hoch trainierte Angreifer.

00:28:45: Es gibt irgendwie diesen Skilled-Adversary oder Motivated-Adversary.

00:28:48: Also hoch motivierte Angreifer, die in der Lage sind, BGP-Routen zu verändern und auf ihre eigenen umzubiegen.

00:28:57: diese akmi pakete fälschen können indem sie vor einfach den die das die zieladresse für irgendein, die IP adresse für einen web server auf ihre eigenen.

00:29:07: Umgebogenen ruten umbieten und dann dir vorgaukeln, dass dieser server der gar nicht du ist in wirklich kathie heiße.de ist was?

00:29:13: und dann eben zertifikate.

00:29:16: Bekommen die sie eigentlich nicht bekommen sollten für domains deren kommunikation sie eigentlich nicht sehen sollten.

00:29:21: und das zum beispiel dann.

00:29:23: Da gab es, glaube ich, einen Fall tatsächlich im Iran als Man in the Middle nehmen, um zum Beispiel Gmail.com oder Googlemail.com zu impersonifizieren und dann Mails mitlesen zu können.

00:29:35: Weil sie können ja das TLS dann aufbrechen und können sich dann quasi als Proxy dazwischenschalten.

00:29:41: Und das soll verhindert werden, indem man nicht nur von einer Position prüft, also sagen wir mal, Heise.de steht in Frankfurt und dann prüfe ich nicht nur von einem anderen Rechenzentrum in Frankfurt, ob denn das Acme Token da liegt, sondern ich prüfe das auch noch von einem anderen Ort.

00:29:57: Und da wird es jetzt schon schwierig, denn die fünfhundert Kilometer kann ich von Frankfurt aus nicht erreichen an einem anderen Ort in Deutschland, soweit ich mich erinnere.

00:30:04: Das wird ein bisschen schwierig, dafür liegt Frankfurt zu zentral.

00:30:07: Dann musst du also schon ausweichen, irgendwohin, ich weiß gar nicht, ob Amsterdam reichen würde, denn die fünfhundert Kilometer sind Luftlinien.

00:30:14: Aber das ist ja sozusagen die Idee dahinter.

00:30:16: Das ist die Idee.

00:30:18: Genau.

00:30:19: Also die und da habe ich mich aber gewundert, warum ausgerechnet fünfhundert Kilometer?

00:30:24: und da haben wir dann so ein bisschen, ich glaube, wir haben so ein bisschen flapsig über so Blastradius von Atombomben philosophiert und dass es eben dann auch solche Betrachtungen gibt für Redundanz, Anforderungen von Rechenzentren und Basel II und solche Sachen und die fünfhundert Kilometer schienen wir aber irgendwie ein bisschen arbiträr.

00:30:43: Die zweite Frage, die wir hatten, war, warum passiert das denn jetzt erst?

00:30:46: Denn Let's Encrypt hatte zu dem Zeitpunkt, als wir drüber gesprochen haben, letztes Jahr, das schon seit mehreren Jahren in Betrieb.

00:30:52: und die haben schon seit mehreren Jahren von mindestens zwei Orten oder drei Orten überprüft, ob die Equitokens übereinstimmen oder ob möglicherweise irgendwo einen Angriff auf das Rooting-System erfolgreich war und dann als Folge-Angriff einer auf das Web oder das Web-PKI-System unternommen wurde.

00:31:09: Tobi verweist uns da im Grunde Auf der naheliegende Information denn wie war ja fast alles wie fast alles vom CA Browser Forum.

00:31:19: was nicht im persönlichen Gespräch auf dem Flur geschieht ist es ist das wohl protokolliert und zwar genau in diesem Ballot SC nul sieben und sechzig wo es um diese multi perspektive multi perspektive issuance correlation geht.

00:31:31: da waren.

00:31:33: Wissenschaftler zu Gast bei einem Face-to-Face-Meeting des CA Browserforums und haben einen Vortrag darüber gehalten.

00:31:39: Und das waren nicht irgendwelche Wissenschaftler, sondern das war der Erfinder von dieser Multi-Perspective-Israelens-Corroboration, Henry Birch Lee.

00:31:46: Der hat das schon auf allen möglichen Konferenzen, mehrfach auf der Usenix Security präsentiert, unter anderem mit dem putzigen Paper-Titel, beim Boosling Certificate Authorities with BGP.

00:31:58: Beim Boosling heißt so was wie Übertölpen.

00:32:01: Ich finde das aber lautmalerisch ein total schönes Wort.

00:32:03: Und Let's Encrypt hat das im Feld, wenn ich das jetzt nicht vollkommen falsch recherchiert habe, Ballpark seit Jahrzehnte.

00:32:10: Ich bin relativ sicher, dass ich weiß nicht, ob Ben Wilsen sich diesen Podcast übersetzt.

00:32:16: Ich denke, wir werden Feedback bekommen, wenn es im Jahr ist, falls ich falsch war.

00:32:22: Und Henry Bert Lee hat auch seine Erfahrung oder die Erfahrung von Let's Encrypt mit dieser Multi-Perspective Issues Corroboration, die hieß in dem Fall noch Multi-Vantage Point Domain Validation, auf der USNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-SNICS-EU-.

00:32:44: der anonymen erwähnung prinsten scientist oder irgendwie prinsten phd oder so die in diesem s tenor sieben sechzig bettel steht.

00:32:51: so anonym ist es auch nicht weil in den quellen da sind ja Fußnoten mit allen quellen.

00:32:55: das sind alles paper von ihm.

00:32:56: also das ist jetzt kein riesen geheimnis das steht einfach nicht nicht in dem.

00:33:02: es ist ja kein wortprotokoll so und er wird wahrscheinlich auf einladung von google da gewesen sein denn die haben dieses s tenor sieben sechzig eingebracht also als vorschlag eingebracht in die diskussion beim CA Browser Forum.

00:33:14: Und dieser Vortrag, ich habe mir das Paper wirklich nur einmal über den Daumen gezogen.

00:33:20: Das sind auch wieder vierzehn Seiten, die mir also die ganzen Paper, die scheinen unheimlich spannend zu sein.

00:33:25: Ich würde super gerne mal tatsächlich lesen und in der Tiefe ein bisschen mehr verstehen.

00:33:30: Aber die werden wohl erstmal auf meinem Pile of Shame landen.

00:33:33: Das ist nicht auf Steam, sondern irgendwie auf Psyhub oder so.

00:33:39: Auf jeden Fall scheint es dann... klar geworden zu sein, dass es sich hier nicht um ein Problem geht, das total abstrakt und theoretisch ist, sondern eines, das auch durch lokalisierte Angriffe, also welche, die sich jetzt nicht auf das ganze Internet beziehen, auf die gesamte Routing-Tabelle, sondern nur auf Nutzer in Mecklenburg-Vorpommern oder in einer bestimmten Provinz im Iran oder sowas, dass es da gute Möglichkeiten gibt, das zu beheben, indem man eben diese mehreren Perspektiven einführt und das die ein Problem beheben, dass sonst schwer in den Griff zu bekommen wäre.

00:34:13: Und das führte dann dazu, dass dieses SC-Zero-Siebendsechzig zu diesem Zeitpunkt dann offenbar genau richtig kam oder die richtige Lobby hatte mit dem Henry Birchley und dann einstimmig beschlossen wurde von den... Sind's jetzt drei oder vier Zertifikatskonsumenten?

00:34:32: Was war deine Meinung dazu?

00:34:33: Die war relativ portiert.

00:34:34: Die möchte ich öffentlich nicht so äh äh äh

00:34:37: äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh

00:34:50: äh äh äh äh äh äh äh äh äh äh äh äh äh äh äh

00:34:55: äh äh äh äh äh äh äh äh äh äh äh äh äh äh.

00:34:57: ä KI-Features in seine Browser reingeknotet, ohne dass es irgendjemand nachgefragt hätte.

00:35:05: Oh, I REST MY CASE.

00:35:06: So, und dann kommen die fünfhundert Kilometer noch.

00:35:10: Auch das geht auf den Henry Birch Lee zurück.

00:35:14: Ich gucke da vielleicht mit einer Notwend unnötig über komplexen Brille drauf und denke mir immer, oh, fünfhundert Kilometer ist gar nicht genug, denn dann ändern sich die... die Situation in so einem großen Netz wie dem zum Beispiel der Telekom gar nicht ausreichend, aber durch diese lokalisierten Angriffe, die sich wirklich nur auf einen kleinen Teilbereich, vielleicht auch nur einen Netz-Prefix beziehen sollen, können die fünfhundert Kilometer eine Menge ausmachen, denn dann sieht man in Frankfurt tatsächlich was anderes als in Amsterdam oder in Düsseldorf.

00:35:45: Übrigens, wer sich dafür interessiert, wie verschiedene Router das Netz sehen, dem sei nahegelegt, googelt mal so etwas wie Deutsche Telekom Looking Glass.

00:35:56: Weil Looking Glass ist eine Software, die als Webinterface existiert, wo du einen Fensterchen in die Lebenswelt von BGP-Routern kriegst und dann kannst du genau sehen, wie ein BGP-Router oft ist.

00:36:07: Da stehen dann alle Standorte der jeweiligen Carrier drin, die das Netz sieht und was er glaubt, über welchen Weg er zum Beispiel zu irgendeiner IP-Adresse oder irgendeinem Zielnetz kommt.

00:36:18: Das haben wir immer zum Netz Debugging verwendet.

00:36:20: Es gibt einige öffentliche Looking Glasses, also von den großen Carriern.

00:36:23: Ich glaube, Lumen hat einen, Thelia hat einen und die Telekom hat auch einen.

00:36:26: Und wenn man dann deutsche Telekom Looking Glass googelt, kommt man da eigentlich relativ schnell hin und kann sich das anschauen und kann dann auch so Netzprobleme, warum es plötzlich die Netflix langsam und baffert, versuchen ein bisschen zu debuggen.

00:36:39: So, das zur Multi-Perspektive Issions Corroboration.

00:36:42: Ich hoffe, ich habe nichts Wichtiges vergessen.

00:36:45: Also letztendlich ist die Antwort auf die Frage, warum fünfhundert Kilometer halt, naja, weil es ganz gut funktioniert, oder?

00:36:52: Oh, ich hab die Antwort vergessen.

00:36:53: Gut, was du sagst.

00:36:54: Nee, weiß ich nicht.

00:36:54: Ich

00:36:54: wollte das nur zusammen entfassen.

00:36:55: Also das ist jetzt nicht speziell, wenn dann die fünfhundert Kilometern, die sind halt irgendwie so eine gute Daumenregel, die einfach empirisch funktioniert.

00:37:03: Genau.

00:37:05: Dann kommen wir zum letzten Stück Feedback.

00:37:06: Ich werde das nicht glauben, das kommt von einem Tobi.

00:37:09: Also es ist wieder ein anderer Tobi.

00:37:12: Wir denken uns das nicht aus.

00:37:13: Ja, genau.

00:37:13: Und wir haben es jetzt auch nicht irgendwie absichtlich irgendwie gruppiert oder so, ne?

00:37:17: Also irgendwie uns hören sehr viele Tobi's.

00:37:19: Das freut uns natürlich auch.

00:37:23: Und zwar haben wir drüber geredet, eigene Mailsaverhosten zur eigenen oder digitalen Souveränität oder so.

00:37:30: Und er haben auch drüber geredet, dass es halt nicht ganz einfach ist.

00:37:35: Und er möchte dazu den tipp los werden stalwart.

00:37:40: Ich zitiere mal ich setze seit einigen jahren beruflich und privat auf eigene mace herbe und war bei einer ersten test installation von stalwart.

00:37:47: stalwart recht überrascht echt überrascht wie leicht das von der hand ging.

00:37:53: Das kann ich sozusagen.

00:37:55: ohne Gewehr unterschreiben.

00:37:56: Also mir ist Stallboard auch schon untergekommen.

00:37:59: Das scheint wirklich ein ziemlich gutes Projekt zu sein, dass sie auch verbreitet, einige Mail Services wollen, also auch größere Mail Services wollen sich hernehmen.

00:38:09: Insbesondere plant ja Thunderbird mit Thunderbird Pro auch ein Mail Provider zu werden.

00:38:17: Die setzen auch auf Stallboard.

00:38:19: Und Stallboard ist halt ganz schön, weil das eine Software ist, die in den Haufen Sachen einfach mitbringt.

00:38:24: Die kann Pop-Drei, die kann IMAP-Vier mit allen möglichen IMAP-Vier-Exensions, die man halt üblicherweise so haben will.

00:38:30: Das hat das einfach eingebaut.

00:38:31: Die kann auch JMAP, was ja so ein IMAP-Nachfolger ist, von dem es schön wäre, wenn er sich verbreiten würde.

00:38:38: Die ganze Heapscrafting, die kann automatisch sich per Acme halt TLS-Zertifikate besorgen und so.

00:38:42: Also die macht halt viel, dass es einfach funktioniert.

00:38:45: Man installiert sich das Ding und dann konfiguriert man es halt, wie man es haben will und muss nicht irgendwie tausend komische Sachen zusammenlöten.

00:38:51: Also ich und hört ja teilweise Schauergeschichten von anderen Mail-Servern, die dann halt irgendwie mit Plugins oder Plugins für die Plugins einfach nur auf den Stand der Technik gebracht werden.

00:39:02: Darf ich mal eine Horrorgeschichte jetzt spontan erzählen oder willst du erst mal das Feedback-Item zurück fertig machen?

00:39:08: Ich habe eine Horrorgeschichte.

00:39:10: Ich weiß es, ich kenne ja die Horrorgeschichte nicht.

00:39:11: Ich bin dafür, ich mach das mal kurz fertig und dann kannst du uns geruseln.

00:39:15: Also ich wollte nur sagen, das Projekt macht auch auf mich einen guten Eindruck.

00:39:19: Wir haben es selber noch nicht ausprobiert.

00:39:21: Tobi sagt, das ist eine feine Sache.

00:39:22: Wenn ihr in Versuchung seid oder einfach bedarf daran habt, euch ein Mail-Server zu inszenieren, schaut euch Stallwater an.

00:39:29: Das Hauptproblem beim Selbsthosten von E-Mails oder ein Hauptproblem ist ja, dass die oft nicht gescheit durch zugestellt werden und da man bei Google abgelehnt wird oder sonst irgendwelche Probleme hat oder auch einfach nur von Google Spam kriegt.

00:39:44: Und wenn man dann replying will, wird man geblockt und keine Ahnung was.

00:39:48: Christopher hat es die brennenden Reifen der Deliverability genannt.

00:39:52: Die kann natürlich Stallwort auch nicht lösen.

00:39:54: Also, es ist schön, einen coolen, modernen Mails haben, den man einfach installieren kann.

00:40:01: Das alleine wird das System E-Mail nicht plötzlich problemlos machen.

00:40:05: Trotzdem danke für den Tipp, Tobi.

00:40:07: Jetzt Guseln.

00:40:09: Also, das ist jetzt viel, if I remember correctly, aber ich habe ja in der letzten Folge auch schon gesagt, ich habe dieses E-Mail-Zeug schon mal eine Weile gemacht und Ich erinnere mich an die andere Software, die im Prinzip alles kann, was man können muss.

00:40:23: Die kommt von DJB und heißt Q-Mail.

00:40:27: Wir hatten Q-Mail und V-Prop-Mail im Einsatz in meiner alten Firma, auch relativ lange noch.

00:40:32: Dann sind wir auf Duffcourt und Postfix geschwenkt.

00:40:34: Und Q-Mail und V-Prop-Mail hatten diese komische Eigenart, dass Q-Mail... Wenn du da irgendwas neues für haben wolltest, ich glaube DJV hat irgendwann dann das Interesse ein bisschen dran verloren und dann musstest du den Source patchen, um da neue Features rein zu patchen, also TLS Unterstützung.

00:40:48: Die TLS geht gar nicht, da musstest du einen Rapper drumherum haben, das ist irgendwie so ein TLS Rapper.

00:40:52: Und irgendwann brauchten wir dann aus irgendeinem Grund Submission, also E-Mail, authentifiziert einkippen über Port five acht sieben.

00:41:00: Aber Q-Mail SNTPD konnte das nicht.

00:41:01: und dann bin ich, dann habe ich mir das binary kopiert und habe mit dem Hex-Editor irgendwo eine fünf zwanzig durch eine fünf acht sieben ausgetauscht, also in Hex.

00:41:08: Ich weiß gar nicht, wie das geht, weil die sind ja verschiedene Langefelder, aber irgendwie ging es, vielleicht war das, was ich nicht, mehr Bit in dem Hexfeld.

00:41:18: Und dann hatten wir Submission da reingepecht, weil der andere Weg, einen der offiziellen oder Community Patches zu nehmen, hätte bedeutet, dass wir quasi unsere ganze Patch-Historie hätten nachvollziehen müssen.

00:41:29: Das war sehr interessant.

00:41:33: Lustigerweise war Q-Mail auch, woran ich gedacht habe, als ich gesagt habe, irgendwie andere Software, wo man dann Stapel um Stapel Zeug drauf baut, um es überhaupt nicht auf den Stand der Technik zu bringen.

00:41:45: Das scheint ja sehr viele harte Fans zumindest mal gehabt zu haben, was einfach eine gute Software ist, aber sie ist halt nicht weiterentwickelt worden und irgendwann kommt halt der Punkt, wo das einfach nur noch schmerzhaft ist und dann ist es halt schön.

00:41:59: So eine Clean Slate, neue Implementierung zu haben, die heute sagen, das wird nicht alles aufgestapelt, wir implementieren das einfach von Grund auf gleich.

00:42:08: Also das hatte gar nichts mit Unix zu tun.

00:42:12: Es war ganz anders als alles andere.

00:42:14: Also so ein bisschen wie manche Sachen bei System, die heute sind, wie du Sachen in die Kuh geschmissen hast und überall waren irgendwelche seltsamen Verzeichen.

00:42:21: Es war total bezahlbar.

00:42:23: Das performte wie die Sau und das funktionierte einfach.

00:42:28: Und ist wahrscheinlich immer noch ein schönes Stück Software, aber vielleicht dann jetzt doch eher für eine Art Mailserver-Museum.

00:42:35: Ich glaube, es hat man auch große deutsche Freemail-Probeiter, lange Q-Mail oder angepasste Version von Q-Mail eingesetzt.

00:42:41: Wenn ihr selber noch Q-Mail einsetzt, dann schreibt mir mal, ich freue mich über einen Leidensaustausch.

00:42:48: Ich kann dir jemanden nennen.

00:42:50: Der Host der Überspace, die haben den Podcast und die... Milieieren gerade von Q-Mail runter und die sagen aber auch, sie sind Schambel die einzigen, die noch irgendwie das... in einem größeren viel am Laufen haben, weil die Leute bei ihnen jetzt aufschlagen irgendwie, wir haben dann dieses Gepätsch, wir haben die Ines Gepätsch, die sind da unfreiwillig zu so einer Art Instanz geworden.

00:43:08: Ja, weil es ist halt noch weiter.

00:43:09: Die

00:43:09: JB schickt die wahrscheinlich auch dahin, die Leute, die fragen erst ihn und dann sagt er da in Deutschland, da gibts doch so ein Hoster.

00:43:14: Die mache das noch.

00:43:16: Aber wie gesagt, also überspace migriert auch weg, an der Stelle eine schöne Grüße in deren Podcast von denen heißt, Lower Decks, glaube ich, oder so.

00:43:23: Ist ein lustiger Podcast.

00:43:25: Okay, guck ich mal rein.

00:43:26: Hör ich

00:43:26: mal rein.

00:43:27: Wir haben noch ein Mini-Update zu einem Thema aus der letzten Folge.

00:43:31: Wir sind jetzt nämlich tatsächlich mit dem Leser Feedback durch.

00:43:34: Wenn ihr noch mehr Feedback für uns habt, dann schreibt uns gerne eine E-Mail an password-podcast at heise.de.

00:43:43: Oder uns auch auf Mastodon schreiben.

00:43:45: Eine unserer Zuschriften kam auch von Mastodon.

00:43:47: Das war die mit dem Store-Wort.

00:43:51: Ansonsten, wir sind auf allen möglichen Plattformen, schreibt uns gerne da, aber garantiert eine Antwort gibt es tatsächlich nur per E-Mail, weil der Rest der Kanton tatsächlich schon untergeht.

00:44:01: So, wir hatten in der letzten Folge über N-Ait-N gesprochen oder N-Acht-N diese Automatisierungs-Workflow-Plattform, die ziemlich nifty ist und coole Sachen kann.

00:44:11: Leider kann sie ein bisschen mehr Sachen ungeplant als sie können sollte.

00:44:14: und da gab es dann einiges an RCS, die konnte man auch oder man konnte, sondern Authentication Bypass und... So ein Code-Execution-Ding dann so so ein unauthenticated Code-Execution-Teil verknoten.

00:44:24: Es gab jetzt noch einen kleinen Nachschlag, nämlich einen neuen Remote-Code-Execution-Bug in sehr recenten Versionen, die so recent waren, dass ich, der ja nun vor zwei Wochen ersten Update gemacht habe, erst mal hektisch Docker-Container pullen musste.

00:44:39: Das ist CVE-E-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zwanzig-Zw.

00:44:47: Unauthenticated, das funktioniert nämlich nur für Angreifer, die bereits ein Konto in dem nacht n haben und die da Workflows anlegen können.

00:44:55: Und dann ist es aber super einfach.

00:44:57: Du musst so eine Expression, also so eine JavaScript Funktion im Grunde, in den in ein mehr oder weniger beliebiges Eingabefeld in einem bestimmten Knoten packen.

00:45:07: Und dann wird ein Systemkommando im Beispiel sowas wie ID oder UMI oder irgendwie ENF, also Ausgabe der Umgebungsvariablen im Kontext.

00:45:17: das jeweiligen Containers oder Note-Users oder was auch immer die Abstraktion ist, üblicherweise läuft NNN ja in einem Container ausgeführt.

00:45:26: Die haben das gefixt, unter anderem in NNN, zwei für fünf und auch in dem zwei-fünfer-Tree ist das gefixt.

00:45:33: Es gibt dann write-up von JFrogs, da stehen auch die genauen Versionsnummern drin.

00:45:37: Und die Commit-Message für den Fix, die hatten wir auch letzte Woche schon, die waren nämlich das berüchtigte Merch-Commit-from-Forg.

00:45:43: Das kann wir also gleich wieder sehr bekannt vor und untermauert wieder, wenn die Commit Message zu lesen ist, dann ist irgendwas schief gegangen.

00:45:51: Also ich mag dieses Tool echt, aber im Moment kommen mir die Menge der Sicherheitslücken und ihre Abfolge so ein bisschen vor wie WordPress oder andere Tools, die dann auch aus sehrem Fokus stehen plötzlich, weil jemand was Schönes gefunden hat und alle anderen dann auch sehr genau hingucken.

00:46:04: Aber das bleibt zu sehen und anders als WordPress sind NNN Instanzen in aller Regel ja hinterher.

00:46:12: mindestens Benutzernamen und Passwortabfragen.

00:46:15: Und sofern nicht wieder so ein Authentication Bypass aufschlägt, ist dann so eine RCE immer noch eine Neue Komma Neuen, aber zumindest keine Zehn Komma Null.

00:46:26: Jo, ich bin jetzt gerade in Überleitung eingefallen.

00:46:30: Jetzt kommen wir von, also du hattest gerade ein Tool, das du magst, aber das bisschen viel berechtigt, die Kritik abkriegt zu einem Tool, das ich nicht mag, aber das manchmal noch unberechtigt, die Kritik abkriegt.

00:46:42: Und zwar geht's um BitLocker.

00:46:44: Also ich hab mit...

00:46:46: Ist das diese Ransomware-Bande aus Russland?

00:46:48: Genau, nein.

00:46:50: Es geht um die Festplattenverschlüsselung von Microsoft.

00:46:53: Ich hab ja mit Windows... Ah, die

00:46:55: Watt, dann ist das die Ransomware-Bande aus Redmond.

00:46:59: Das ist ja kein Ransomware, wenn Sie das Abo vorher abnehmen.

00:47:02: Das ist einfach nur ein

00:47:03: Abo.

00:47:03: Nicht Postpaid.

00:47:06: Nee, also es liegt mir wirklich fern, sozusagen Microsoft in Schutz nehmen zu wollen, aber ich fand an der Stelle sollte man vielleicht mal drüber reden.

00:47:16: Es gab diese Geschichte, es ist rausgekommen, also ja, es ist rausgekommen, dass Microsoft BitLocker Schlüssel, die sie haben, an Verstrafverfolgungsbehörden rausgeben, wenn die Behörden sagen, dass sie rausgeben müssen.

00:47:32: Das ist die Story.

00:47:34: Ich fand es jetzt ehrlich gesagt wenig überraschend, also weder dass Microsoft diese Schlüssel hat, weil es dokumentiert ist, noch dass diese hergeben, wenn berechtigte Behörden fragen.

00:47:43: Aber irgendwie hat es doch ziemliche Kreise gezogen und ich wollte mal darüber reden.

00:47:48: Also ganz allgemein BitLocker ist eine Festwartenverschlüsselung.

00:47:51: Das heißt, die verschlüsselt einfach sozusagen die gesamte Platte und muss eben bei Systemstart entschlüsselt werden.

00:48:01: und schützt dann halt sozusagen davor, wenn das Gerät aus ist.

00:48:04: Na, wenn es an ist und da Sachen drauflaufen, dann ist die Verschlüsselung eh geöffnet und was auch immer, wenn da halt mehr und mehr draufläuft, dann liest ihr halt, was ihr lesen will.

00:48:12: Aber es schützt halt bei dem ausgeschalteten Gerät.

00:48:14: Es gibt verschiedene Varianten von BitLocker, da muss man jetzt auch ein bisschen aufpassen.

00:48:18: Es gibt nämlich was, was Microsoft Geräte Verschlüsselung nennt und was technisch halt auch auf BitLocker basiert, aber andere Einstellungen anbietet auch nur, als das... Das mit Locker, das merke ich es oft an BitLocker nennt.

00:48:32: Darum geht es jetzt hier, also für diesen Fall ist der Unterschied gar nicht so wichtig, es geht darum, dass der Schlüssel für diese Festplattenverstüßlung zumindest entweder vollständig im TPM liegt, also in diesem Trusted Platform Module, in eurem Rechner, oder zumindest teilweise, also was man halt auch machen kann mit dem richtigen BitLocker, dass man dann ein Passwort angibt.

00:48:52: Und dann muss man halt ein Passwort eingeben und das TPM muss ein Schlüssel freigeben und dann kann die Platte entschlüsselt werden.

00:48:59: Und weil der Schlüssel zumindest teilweise im TPM liegt, kann es sein, dass ihr an eurem Wechner bastelt, was das ich irgendwie mal testweise in anderes Betriebsgesicht hochfahrt oder irgendwie Hardware austauscht.

00:49:11: Und dann das TPM sagt, hui, hier ist aber die Hardware manipuliert worden.

00:49:15: Ich gebe den Schlüssel nicht frei.

00:49:17: Ihr könnt einen Angriff stattfinden.

00:49:20: Und dann kommt ihr nicht an eure Platte heran.

00:49:23: Außer ihr habt eine Wiederherstellungsschlüssel, den Bitlocker.

00:49:27: normalerweise automatisch generiert und den BitLocker normalerweise automatisch in das Microsoft-Konto hängt, mit dem ein Windows-Account ja üblicherweise verknüpft ist.

00:49:39: Und da muss man sagen, das rettet halt ganz massiv immer wieder Leuten den Hintern, die halt sich gar nicht bewusst waren oder sie nicht darauf geachtet haben, dass eben BitLocker auf ihrem Gerät aktiv ist, dass die Platte de facto verschlüsselt ist mit einem Schlüssel der MTPM-Leak.

00:49:57: Irgendwas dran rumgeschraubt haben.

00:49:58: und dann sagt halt das TPM, ich kann den Schlüssel nicht freigeben, hier ist Hardware manipuliert worden.

00:50:03: Die Kiste bootet nicht mehr und das Einzige, was sie noch an ihre Daten kommen, ist, dass sie eben sich in ihrem Microsoft-Konto anmelden können mit irgendeinem anderen Gerät, da die wieder Herstellungsschlüssel finden und damit eben doch Bitlocher wieder aufmachen können.

00:50:19: Ich mache das anders.

00:50:20: Ich habe meine Wiederherstellungsschlüssel alle im Schließfach bei der Sparkasse Gelsenkirchen.

00:50:24: Da kann gar nichts passieren.

00:50:26: Also das ist natürlich die Alternative, da kommen wir gleich dazu.

00:50:29: Aber der Punkt ist halt, die Erfahrung lernt schon, gerade wenn wir unbedarfteren Nutzern eine Wiederherstellungsschlüssel an die Hand gibt und sagt, hey, das musst du voll gut drauf aufpassen.

00:50:38: Und dann ist in drei Jahren, tritt eben dieses Problem auf, dass sie den Wiederherstellungsschlüssel bräuchten, dann haben sie den halt nicht zur Hand.

00:50:48: Insofern, das ist schon was, das ist ja auch was bei diesen Crowdstrike-Problemen.

00:50:54: Massiv Systeme betroffen hatten, hat sie dann irgendwie gesagt, ich kann hier nicht buten, ich kriege das BitLocker nicht auf.

00:50:59: und dann waren viele Leute da, die gesagt haben, so, hier soll's ein Video-Erschungssystem geben, ich hab keine Ahnung, den kann sein, dass ich den irgendwann mal hatte, jetzt hab ich ihn nicht mehr, was mach ich denn nun?

00:51:07: Und wenn sie Glück hatten, war der eben in ihrem Microsoft-Account.

00:51:12: Aber wenn der im Microsoft-Account ist, dann kann eben da auch Microsoft auf Zugriff nehmen.

00:51:16: Und wenn Microsoft auf Zugriff nehmen kann, dann kann eben auch das FBI oder jede andere Behörde, die halt entsprechend befugt ist, bei Microsoft anklopfen und sagen, gib mal diesen Schlüssel her.

00:51:27: Und ob das ein Problem ist oder nicht, hängt halt davon ab, was ihr von dieser Festplattenverschlüsselung erwartet.

00:51:34: Wenn ihr euch davor fürchtet, das Behördendruck auf Microsoft ausüben, um an eure Daten zu kommen, dann ist das ein großes Problem.

00:51:43: Dann würde ich aber auch sagen, dann solltet ihr vielleicht nicht Windows hernehmen.

00:51:46: Weil wenn ihr befürchtet, das Behörden Druck auf Microsoft ausüben, um an neue Daten zu kommen, Microsoft kann euch auch ein Update unterschieben für Windows, das die Daten einfach so austrägt.

00:51:57: Und bei der Schwämme von Infostilern, die so kursieren, ist es wahrscheinlich eher heblich, eher heblich einfacher, jemandem mal eben so ein Infostiler unterzujugeln und würde ja reichen für ein paar Stunden, um an dessen Passwortmanager Masterphrase zu kommen, als Diese Aktion.

00:52:16: also hängt wirklich sehr stark vom Fredmodel ab, dass man persönlich hat und wie die Paranoid man ist.

00:52:23: Genau.

00:52:23: Und die Idee gerade an dieser Geräteverschlussung, die halt standardmäßig aktiv ist, ist ja genau das.

00:52:29: Das macht sich einfach selber an.

00:52:31: Das betrifft auch unbedarfte Nutzer.

00:52:33: Und wenn diese unbedarften Nutzer dann in fünf Jahren unbedarfter Weise ihre Festplatte durch eine größere austauschen und die Alte einfach auf den Müll werfen, dann haben sie kein Datenleck, weil das Ding ist voll verschlüsselt und der Schlüssel dazu, der steckt halt im TPM.

00:52:47: Dafür ist das Gedacht, dafür funktioniert es auch hervorragend.

00:52:52: und das Ziel dieser Sache ist eben ganz deutlich in der Breite auch bei unbedarften Nutzern diesen Schutz ausgerollt zu haben.

00:53:00: und das Ziel ist nicht Hochrisikonutzer, die eventuell von Behörden aufs Korn genommen werden.

00:53:08: Automatisch davor zu schützen wie sollte also so ein automatismus kenne ich auch nicht.

00:53:12: man kann das natürlich machen wenn man sagt mir reicht jetzt aber nicht.

00:53:16: eine option die man halt hat ist diesen wiederherrschungsschüssel aus dem microsoft konto zu löschen.

00:53:21: dann muss man halt microsoft vertrauen dass ihr noch wirklich löschen b dass sie nicht falsch herausgegeben haben und c dass sie halt keinen scharpernack mit dem windows ansonsten treiben.

00:53:33: also ich weiß nicht.

00:53:34: sozusagen ich mein kann man tun, aber ob das wirklich die Security Postste verbessert, würde ich mal bezweifeln.

00:53:41: Man kann auf eine andere Verschlüsselungsoftware als BitLocker setzen.

00:53:46: Prominenterweise gibt es da Vera-Kript.

00:53:48: Das ist sozusagen eine Nachfolge von Tu-Kript.

00:53:50: Der kann halt insbesondere auch die Systempartition von Windows verschlüsseln.

00:53:55: Der macht, ich weiß nicht, ob der was mit TPM macht oder so, aber der macht jedenfalls nichts mit irgendwelchen Online-Accounts, wo man die Sachen, also wo dann irgendwelche Wiederhäschungsstüssel abgelegt werden.

00:54:03: Da gibt man dann ein Passport ein, wenn der bootet und mit Passwort Buddha der und ohne Passwort halt nicht.

00:54:08: So ähnlich funktioniert es auch unter Linux, also man könnte natürlich auch, wenn man eh schon Angst hat, dass irgendwie das FBI bei Microsoft anklopft, das Betriebssystem wechseln.

00:54:18: Bei Linux gibt es typischerweise auch keine solchen Cloud-Accounts und entsprechend auch keine Wiederherstellungsschlüssel in diesen Cloud-Accounts.

00:54:27: Bei MacOS übrigens schon, da gibt es die iCloud und jetzt wird es auch interessant, jetzt kommt hier Überraschenderweise Gefläme, nicht gegen Microsoft, sondern gegen Apple.

00:54:38: Es ist nämlich so, dass vermutlich Apple das gleiche Problem hat.

00:54:42: Da liegen die Recovery Keys in der Cloud und Apple kann sie auslesen.

00:54:48: Außer ihr schaltet die Advanced Data Protection ein, dann sollte das nicht mehr der Fall sein, dann sollten diese Schlüssel in der Cloud nämlich Ende zu Ende verschlüsselt sein.

00:54:58: Also dass eben nur eure Geräte daran kommen und nicht Apple.

00:55:03: Oder ihr nutzt schon MacOS Tahoe, also die ganz aktuelle Version ist glaube ich im Oktober oder so, die ist vergangenen Jahres rausgekommen.

00:55:10: Damit scheint der Wiederherzungsstüssel dann in der iCloud Keychain zu liegen und vermutlich nur da.

00:55:17: Und die iCloud Keychain ist schon seit Menschen gedenken Ende zu Ende verschlüsselt.

00:55:23: Es scheint auch so zu sein, dass man früher wurde man bei MacOS gefragt, so hey, willst du den Wiederherzungsstüssel?

00:55:29: die sozusagen ausdrucken und irgendwie in eine Safe tun, oder soll ich die in die iCloud packen.

00:55:33: Diese Frage scheint sie hier übrig zu haben, der wandert jetzt immer in die Cloud, aber halt in diese Keychain, die endet zu endestüsselt ist.

00:55:40: Jetzt habe ich hier vermutlich und sollte und scheint und so gesagt, weil, und das ist jetzt so meine Kritik, das steht irgendwie nirgends.

00:55:48: Also ich habe jetzt wirklich den vergangenen Woche viel Zeit damit verbracht, Apple-Doku zu flöten und die haben ausführlich dokumentiert.

00:55:56: welche Sachen in der iCloud, wie verschlüsselt oder nicht verschlüsselt werden.

00:55:59: Und zu diesen Wiederherstellungskeys habe ich nichts gefunden.

00:56:02: Ich habe auch mit Kollegen geredet, teilweise Kollegen mit viel Apple-Expertise, die auch drin gesucht haben, die haben auch nichts dergleichen gefunden.

00:56:10: Ich habe auch Kontakt mit Glenn Fleischmann aufgenommen.

00:56:13: Das ist ein externer Journalist, der sich viel mit Apple auskennt und der auch darüber geschrieben hat, dass es sich mit Tahoe geändert zu haben scheint.

00:56:21: Und er auch sagt, er kennt keine Doku von Apple, die das irgendwie klipp und klar sagen würde.

00:56:27: Er hat auch versucht, Apple zu kontaktieren und da keine Antwort auf bekommen.

00:56:30: Das haben wir übrigens natürlich auch gemacht.

00:56:33: Ich habe bis dato überhaupt nichts gehört, außer so einer automatisierten, ja, ihre Nachricht ist eingegangen.

00:56:40: Und also da muss ich schon sagen, was zur Hölle, das muss dokumentiert sein.

00:56:46: wie Apple mit diesen Schüßeln umgeht.

00:56:48: Also insbesondere wenn sie eh groß dokumentieren, was sie wie Ende zu Ende für Schüßeln oder nicht in ihrer Cloud, dann so einen ganz zentralen Ding einfach nicht zu erwähnen, finde ich wild.

00:57:00: Und muss ich sagen, dass, also ich habe eigentlich eine relativ hohe Meinung vom Datenschutz bei Apple, aber... Das ist echt schwach, dass das wie der Hühner-Hot irgendwo steht.

00:57:13: Selbst wenn sie sagen, wir haben der Zugriff drauf, weil es rettet halt die Leute in den Hintern, dass wir das wieder herstellen können, so wie bei Microsoft.

00:57:18: Gerade ist ein Argument, dass ich nachvollziehen kann, aber das soll halt irgendwo beschrieben sein.

00:57:24: Naja, ich würde euch also raten, wenn ihr, also es würde ich euch eh, wenn ihr MacOS hernimmt, auf der Home zu satteln und diese Advanced Sutter Protection.

00:57:35: einzuschalten, weil aktuelle Software ist immer gut und diese Advanced Data Protection ist fein.

00:57:40: Wenn ihr Linux nennt, habt ihr das Problem nicht.

00:57:42: Wenn ihr Microsoft hernimmt, dann habt ihr entweder größeres Problem oder ihr lebt einfach damit, dass Microsoft an diese Keys rankommt, würde ich sagen.

00:57:52: Schön wäre natürlich, muss man schon sagen, wenn Microsoft auch so eine Ende zu Ende verschlüsselte Cloud Speicher anbieten würde, das tun sie nicht, also zumindest nicht für diese Recovery Keys.

00:58:03: Wenn ihr irgendein anderen Weg geht, wo ihr halt selber auf diesen Schlüssel aufpasst, dann seid ihr halt auch selber die einzigen sozusagen mit denen ihr sauer sein könnt und was schief geht.

00:58:15: Ich habe hier ein Zitat von Gandalf reingeschrieben.

00:58:23: Das müsst ihr ja mit dem Schlüssel machen, weil wenn ihr, so sagt ich, vertraue irgendwelchen Recovery-Maßnahmen der Anbieter nicht, dann müsst ihr halt auch wirklich sicher sein, dass ihr auch in vier Jahren, wenn es dann zum Problem kommt, noch an den Recovery Key dann kommt und nicht dann feststellt, ach verdammt, der war ja in dem Ordner, wo der letztes Jahr im Keller stand, als da das Wasser rein ist und jetzt kann ich ihn nicht lesen oder so.

00:58:46: Keines Fun Fact aus meiner Recherche zu dem Thema, die relativ kurz war.

00:58:52: Ich wollte es dann auch nochmal wissen, weil wir auch darüber debattiert haben, ist das Standard-Einstellung, dass dieser Recovery Key in der Cloud landet oder nicht?

00:58:59: und habe dann auf meinem eigenen, an meinem einzigen Windows-Rechner geguckt, den ich... und zum Spiel und Verwende für nichts anderes und habe festgestellt, dass ich die Einstellungen für BitLocker gar nicht finden kann auf dem Gerät und hab in das.

00:59:12: und dann habe ich mir alle wirklich einen Hautbus angeguckt und dachte, warum fehlt denn das?

00:59:16: Und dann habe ich nochmal geguckt, habe ich es immer noch nicht gefunden und auch beim dritten Mal noch schärfer hinschauen, da habe ich dann gemerkt, da gibt es irgendwie eine komische Fehlermeldung, dass es irgendwie nicht aktivierbar ist.

00:59:27: Und dann habe ich so ein bisschen so ein surprise Pikachu Face gemacht und festgestellt, dass mein Ich hab zwar natürlich ein tpm, ich hab ja auch Windows Elf, auch der Kiste ohne irgendwelche Sperrenzchen zu machen, aber irgendwas war da kaputt und ich hätte ein BIOS Update gebraucht.

00:59:42: und dann habe ich aber für mein etwas älteres MSI Board, das war ein Bauvorstark der CT, ich glaube aus November, zwanzig, habe ich dann keine, also habe ich zwar ein aktuelleres BIOS gefunden, das irgendwie von zwanzig ist, aber.

00:59:57: Das lässt sich dann mit diesem komischen BIOS-Updater nicht installieren.

01:00:00: Und dann habe ich erst mal wieder gesehen, was für einen Zustand BIOS-er heutzutage sind.

01:00:04: Das ist alles so, als ob sie noch Text waren und so weiße Schrifte auf blauem Grund waren, die mir erheblich sympathischer als dieses ganze Clicky-Bunty, was da jetzt vorherrscht.

01:00:13: Aber über BIOS-er und UEfies und wie es in denen drin aussieht, haben wir ja in der Book-Kitty-Folge auch schon länger gesprochen und was die alles für Quatsch machen.

01:00:20: Stand heute kann mein... Spielrechner immer noch keinen BitLocker, kann also auch keine Wiederherstellungskeys in die Cloud hochladen.

01:00:28: Mit diesem Sicherheitsrisiko muss ich leben, weil alles, was es dazu holen gibt, ist mein Steam-Konto.

01:00:34: Also das ist eher ein guter Punkt, ne?

01:00:36: Man kann natürlich auch sagen, dann schalte ich jetzt BitLocker aus, dann landet der Schlüssel nicht in der Cloud.

01:00:40: Also ja, aber dann ist halt auch nichts da, was verschlüsselt ist.

01:00:43: Also da gewinnt man ja nichts, dann kann das FBI einfach ohne Anfrage über Microsoft euren Rechner lesen.

01:00:48: Weil in jedem Fall, das sollte man vielleicht auch klarstellen, Es geht hier um die Festplattenverstüßlung, das heißt wer auch immer da was auslesen will auf diesem Weg, braucht euer Gerät.

01:00:58: Er braucht zudem zusätzlich das TPM oder den Wiederhäschungs-Key oder was auch immer, aber er braucht die Platte.

01:01:04: Und wenn ihr die Verstüßlung einfach ausschaltet, dann braucht der Angreifer halt nur noch die Platte.

01:01:11: Genau.

01:01:12: Und das ist jetzt hier natürlich das FBI, eine sehr US-zentrische Sicht, weil die dann bei Amerikanern anklopfen würden.

01:01:18: Hier wäre es dann typischerweise... Lokale Ermittlungsbehörden LKA und BKA oder so, die dann versuchen würden, nachdem sie euch das Gerät weggenommen haben, das Schlüsselmaterial zu kriegen.

01:01:29: Ja, wobei ich nicht weiß, also keine Ahnung, wie Microsoft darauf reagieren würde, wenn irgendwelche ausländischen Behörden sagen, gib mal her.

01:01:39: Das ist wahrscheinlich noch etwas für Gestempel und Aufkleber und Unterschriften sich vorzeigen.

01:01:44: Das stimmt wohl ja.

01:01:45: Also das haben wir auch bei Microsoft nicht... Zumindest ich nicht nachgefragt, wie man darauf reagieren würde, insofern brauchen wir das.

01:01:52: Das würde

01:01:52: sie, glaube ich, auch nicht sagen.

01:01:55: Das kann ich mir schlecht vorstellen, dass sie dann sagen, ja, ja, wir haben ja den Vierpunkteplan, wollt ihr den mal sehen.

01:02:00: Naja, für sowas haben ja reputable Dienste ein Canary, wo drin steht.

01:02:05: Stand heute wurden wir nicht zu einer geheimen Zusammenarbeit mit Regierungsbehörden verpflichtet, weil man darf nicht darüber reden, wenn man verpflichtet wurde, aber man darf sagen, dass man es noch nicht wurde.

01:02:15: Ja, aber beides ist ja auch, also das ist ja hier nicht tangiert.

01:02:18: Also Microsoft hat einfach gesagt, so ja, es gab, ich glaube, zwanzig Fälle oder so im vergangenen Jahr, weil

01:02:23: das WRA

01:02:23: angefragt hat und wir haben die Schlüssel ausgegeben.

01:02:26: Also das weiß auch nicht irgendwie in der Gag-Orde oder so.

01:02:30: Wie gesagt, weiß das nicht so richtig, wo die Aufregung herkommt, weil also was sonst hätte denn da passieren sollen.

01:02:37: Tjo.

01:02:38: Apropos Aufregung.

01:02:40: Jetzt kommen die Blutdruck-Kabletten.

01:02:41: Ich hole meinen Schächtelchen schon mal raus.

01:02:45: Wir begeben uns in die Matrix oder auch nicht.

01:02:49: Also es ist wieder so ein Thema, wo wir gesessen haben in der Vorbereitung und erstmal Silvester mich gefragt hat, sagt man hat das überhaupt was mit Security zu tun.

01:03:01: Und ich dann sagte, das hat eigentlich mit allem aus der letzten Folge was zu tun, mit digitaler Souveränität, mit Security, mit der kurzen Diskussion, was ist ein MVP?

01:03:09: Es war wie mit dem... Ja wie handgecraftet und getimt für unsere aktuelle aufnahme und es geht ja da um.

01:03:20: Cloudflare.

01:03:21: der ein oder andere kennt sie die machen dieses cdn und die dos und die haben aber auch allerlei anderen kram die machen ja auch diese vertannels also so ein proxy kombinationsding und die haben auch die sogenannten cloudflare worker und jetzt ist ja jeder entweder total anti oder total bulisch auf k i. Und K.I.

01:03:41: Coding und Coding Assistenten und Vibe Coding.

01:03:43: Es gibt da also Proponenten, die sagen, ich mache das jetzt alles nur noch.

01:03:46: Ich glaube, ich habe heute gelesen, irgendwie über dreißig Prozent des Microsoft Umsatzes hängen an ihrer Wette auf Open AI im Moment.

01:03:54: Das ist auch ganz putzig.

01:03:57: Und Cloudflare wollte einfach auch mal was gesagt haben, glaube ich, und hat einen Mitarbeiter vorgeschickt, der nicht nur zeigen sollte.

01:04:05: dass sie auch mal was programmieren können und nicht nur betrieb können, sondern dass ihre eigenen Produkte hier, also diese Cloudfly-Worker, auch einfach der totale geile Scheiß sind.

01:04:13: Und der Blog-Titel, der sparte auch nicht mit Buzzwords, Building a Serverless Post-Quantum Matrix Home Server, hieß es da.

01:04:24: Und da ist ja der Titel schon quatsch.

01:04:25: Das ist ja schon irgendwie Building a Serverless Server.

01:04:29: Da bin ich ja schon wieder... weiß ich nicht.

01:04:32: Ich bin mit diesem Server des Kram eh nie so richtig warm geworden, weil nur weil die Server kleiner sind und ich sie jetzt Worker nenne und zwischen ihren Aufgaben schlafen lege, dann sind das ja immer noch Server.

01:04:42: Also auch die Cloud sind ja Server, sie gehören halt nur nicht mehr.

01:04:46: Also das ist alles so diese Hype Nomenklatur.

01:04:49: Ich muss das erst fertig sagen.

01:04:51: Ich muss das jetzt erst mal aus meinem System kriegen, Sylvester.

01:04:56: Das jetzt von

01:04:57: heute benutzt komische Begriffe Herr Kunz.

01:05:01: Das ist doch alles nur Hype.

01:05:05: Früher gab's

01:05:05: Server und es wäre mir mal glücklich damit.

01:05:09: Ja, eben.

01:05:10: Früher haben wir noch Host-Files per USB-Kina gegen drum geschickt.

01:05:13: Da brauchten wir keinen DNS und dann brauchten wir den DNS auch nicht DNS-System zu nennen.

01:05:17: Weil wir hatten den gar nicht.

01:05:19: Wir hatten WCP und Host Files.

01:05:21: Ich stimme dir ja sogar zu.

01:05:22: Also um das klarzustellen, Serverless ist halt so ein komischer PR Begriff.

01:05:26: Natürlich sind das Server auf denen der gut läuft.

01:05:29: Nein, das ist Serverless.

01:05:30: Das ist ein Serverless-Home-Server.

01:05:32: Das hat Cloudflare gesagt und dann muss das stimmen.

01:05:34: So, und was sie jetzt gemacht haben ist, sie sind also hingegangen, haben gesagt, okay, wir haben diese Cloudflare-Workers.

01:05:39: Ich gehe jetzt gar nicht in Detail darauf, was ein, was die sind und was sie nicht nennt.

01:05:43: Darum geht's auch nicht.

01:05:45: Im Endeffekt wollen die... Dass ihr eure Infrastruktur nicht auf eine vm klatscht und die da betreibt sondern bei cloudflare in den workern betreibt weil die dann auch irgendwie Geo also nah an die eyeballs rankommen.

01:05:57: das ergibt ja total auch Sinn.

01:05:59: so mit cloudflare mit seinen locations alles fein was wie sie wie sie es gemacht haben war jetzt nicht ganz so fein weil dieses ganze projekt dass ein mitarbeiter von cloudflare gebastelt hat und dann im cloudflare block announced hat das war Großteils KI-Illusion, nee, wie heißen die Halluzination?

01:06:22: Also es war so zusammenfantasiert und unvollständiger Quark.

01:06:27: Und das hat direkt zu einem relativ vehementen Echo geführt, unter anderem von jemandem, der es wissen muss, nämlich der Entwicklerin von ContinuVoo.

01:06:41: Gott, ich habe das noch nie laut ausgesprochen.

01:06:42: Continuability Community Driven Matrix Home Server.

01:06:46: Also ein richtiger, echter existierender Server-Server, den man auf einer Formen betreiben kann.

01:06:51: Und die war auf Mastodon sehr, sehr, sehr wenig amused über diese Geschichte.

01:06:59: Das liegt ein bisschen daran, dass diese Referenzimplementation, wo am Anfang im Blog dann auch stand irgendwie Production Grade oder sowas in der Art, irgendwie so eine Floskel.

01:07:06: Also Sachen wie Authentifizierung von Events in Matrix-Räumen war oder sowas ähnliches einfach weggelassen hat.

01:07:14: Und dann fragt die sich natürlich zurecht, warum schreibt man so einen Müll und warum behauptet man dann auch noch, das sei ja total sinnvoll, weil diese Worker ja auch günstiger seien, als sich eine VM irgendwo zu mieten.

01:07:26: Ich glaube, der Vergleichspreis war von Digital Ocean.

01:07:29: Das seien ja dann zwanzig bis fünfzig Euro oder eine Dollar, Entschuldigung, Dollar im Monat und die Worker kosten nur zehn.

01:07:36: Und dann kam so eine Tabelle in diesem Blog-Post, der ansonsten eigentlich sehr, sehr technisch ist und auch so mehr anders zwischen Codezeilen genau, wie funktioniert Matrix auf Protokollebene und eben so einem Kostenvergleich.

01:07:50: Kannst du dich noch an der Gerät erinnern von Stefan Raab?

01:07:53: Ja, ja.

01:07:54: Ich habe auch gerade in der Recherche hier, dass der Gerät jetzt offiziell den Name von dem Gerät mit Logo.

01:08:03: Genau, der Gerät gibt es immer noch.

01:08:05: und der Gerät für die jüngeren unter uns oder die, die so alt sind, dass sie sich nicht mehr erinnern.

01:08:11: Der Gerät ist ein automatisches Portioniergerät für Fleischspieße nach dünner Art.

01:08:20: Der schneidet nämlich schweißfrei, in diesem Fall also DDoS Protection included im Gegensatz zu einer VM.

01:08:26: Der Gerät ist immer vor der Chefin der Geschäft.

01:08:29: Das war dann Time to Deploy in Seconds und nicht eben in Stunden, wenn man so ein Matrix-Server von Hand auf eine Feuerung installiert.

01:08:36: Und der Gerät wird auch nie müde.

01:08:38: Da behaupteten die dann die Rattabelle Maintenance none.

01:08:41: Das ist absolut wartungsfrei.

01:08:42: Ich installiere diese Software und dann betreibe ich sie für immer.

01:08:44: Weil das ja auch schon immer funktioniert hat bei Software, dass ich sie einmal irgendwo deploye und dann muss ich nie wieder das dran machen.

01:08:49: Alleine das jemand, der schon mal Software irgendwo installiert hat, der muss doch auf die Idee kommen, dass Maintenance none.

01:08:56: mit einer Software zusammenhängen, die im Internet betrieben wird.

01:08:59: Einfach nie trivial, nie wahr ist.

01:09:02: Da kann ich mich auch schon wieder aufregen.

01:09:04: Also unglaublich.

01:09:06: Und so ging das weiter.

01:09:07: Und dann haben die das tatsächlich in die Matrix-Community, also die Entwickler-Community hat sich dann zusammengesetzt und rausgefunden, anhand ihrer eigenen Lock-Dateien und ihrer eigenen Metriken, auf ihren eigenen von ihnen selber betriebenen Matrix-Servern, die mit echten Nutzern und nicht nur irgendeinem hypothetischen Proof-of-Concept ausgestattet waren.

01:09:25: dass die Kosten der Worker pro Request, denn die fallen auch noch an, viel teurer werden als die dizzierte Vm und das CPU und Storage und sowas sogar noch aus der Gleichung rausgeblieben sind, weil wir diese Matrix User, die dann in irgendwelchen Räumen rumbeeren, dann die machen irgendwas anderes als ein bisschen zu schätten.

01:09:41: Die laden da irgendwelche Sprachnachrichten hoch oder gottlos bewahre Videos, die muss ich auch noch irgendwo wegspeichern.

01:09:47: Das war in dieser Rechnung überhaupt nicht vorgesehen.

01:09:52: Jade, heißt sie, war also wirklich ab in Arms und schrieb auch auf Mastodon.

01:09:57: Ich kann das eigentlich nicht anders als eine Beleidigung auffassen, dass jemand sich hinstellt und sagt, ich habe das mal eben gebastelt.

01:10:04: Und jahrelange Arbeit von Leuten, die das wirklich bauen als Open Source Software und nicht nur als guck mal, was ich Geiles kann, das außer Acht zu lassen, was das für eine Leistung ist.

01:10:13: Und ich glaube, Sylvester, du hast auch bei Matrix selber mal nachgelesen, wie die das so fanden.

01:10:21: breite Kreise gezogen und mittlerweile gibt's auch im Block von Matrix Org halt Post die zurecht.

01:10:28: und also möchte ich auch an der Stelle vielleicht mal einbauen, darauf hinweisen es sozusagen, also dieser einen Entwickler, der das in den Cloudflare Block geschrieben hat, der hat halt sehr viel Angriffe unter der Gürtellinie dafür abbekommen und das ist natürlich nicht okay, also die Kritik sollte.

01:10:48: Sie freuen sich im Prinzip, dass sich Cloudflip in Matrix beschäftigt, aber sie wollen halt doch hervorheben.

01:10:53: The code doesn't yet implement any of matrixes core features, which allow you to federate safely.

01:11:00: And so doesn't yet constitute a functional matrix server, let alone a production grade one.

01:11:06: which you should consider deploying.

01:11:08: It doesn't model rooms as a replicated graph of events.

01:11:11: It doesn't check permissions or uphold power levels und noch ein paar andere Sachen.

01:11:16: Also dieses Ding ist halt ein Konstrukt.

01:11:22: Wenn man wohlwollend darauf gucken will, und ich habe das Gefühl, die Matrixorg-Leute wollten, dass sie wohlwollend darauf gucken sagen, ja, das ist ein nettes Framework, auf dem man was aufbauen könnte, wenn man wollte.

01:11:33: Es hat halt mit einem funktionierenden Matrix Server noch relativ wenig gemein geschweige denn mit Produktionsreifer, also Projection Ready Software.

01:11:45: Und das ist also wirklich aus einem Blog-Post, der sehr freundlich gesonnen agiert und halt trotzdem nicht umhin kommt zu sagen, das Ding macht einfach nichts von dem, was es können soll.

01:11:57: So nun hat jetzt der Entwickler und Auf mutmaßlicher Autor des Blockposts steht derselben Name dran.

01:12:04: Wir werden gleich nochmal kurz zuversprechen, weshalb Name da vielleicht eher dran stehen sollte.

01:12:09: Ein bisschen Flacke kriegt.

01:12:10: Unter der Gürtellinie ist nicht okay, aber die Kritik in der Sache konnte er wohl doch auch nachvollziehen.

01:12:16: Wir wusste ja auch, was er getan hat und was nicht.

01:12:19: Und dann... begann die Schadensbegrenzung in tech bro manier.

01:12:24: so wir haben jetzt was gebaut und das war scheiße.

01:12:26: und jetzt gucken wir das wir irgendwie ein bisschen zurück rudern.

01:12:28: und dann Haben sie erst mal klargestellt im blog oder war das auf github.

01:12:35: It's a proof of concept and a personal project und nicht a production great matrix home server Implementation running entirely on cloud flares etch infrastructure wie es vorher hieß.

01:12:47: Also, dann haben sie ich hatte es hier reinkopiert diese production grade matrix home server implementation blablabla.

01:12:55: das stand halt ursprünglich in dem github repository.

01:12:59: in dem blog post stand sozusagen anfang nichts.

01:13:03: und dann kam dieser disclaimer der dann gesagt hat auch übrigens es ist ein proof of concept und a personal project.

01:13:08: vorher hat der blog post einfach nicht gesagt also man hat notwendigerweise angenommen dass das ein cloudflare projekt ist weil der cloudflare block drüber erzählt was cloudflare so alles gemacht hat mit ihren cloudflare workhand geschweige und eben nichts von proof of concept oder personal project.

01:13:24: Und wenn du das Projekt dann angeguckt hast, dann hat es behauptet es sei production grade.

01:13:30: Und man hat auch im Block hinzugefügt, some sections have been edited for clarity.

01:13:36: Das ist ein bisschen wie, wie war das push commit from fork?

01:13:40: Also edited for clarity.

01:13:42: Wenn ich sowas lese, dann packe ich schon automatisch.

01:13:46: den Diffbetrachter aus, weil das ist, also ich, meiner Meinung nach, in mehr als der Hälfte Fälle halt, also nicht mal ein Feigenblatt, so auch hier.

01:13:55: Also Sie behaupten, Sie haben dann paar Sachen deutlicher formuliert.

01:14:01: Was die Fakte, das zum Beispiel Vorherstand ist, der Ausgangspunkt

01:14:05: war

01:14:06: Tuvunil, nehm ich an, also Tvunil, schreibt man das, Tuvunil, ein Rust basierter Matrix Home Server.

01:14:15: Was da jetzt steht ist, der Ausgangspunkt war Synapse, die peißenbasierte Referenzimplimentierung eines Matrix Home Servers.

01:14:23: Also, allein was sie behaupten, dass der Ausgangspunkt gewesen sei, ist eine komplett andere Software in einer komplett anderen Sprache.

01:14:33: Und ich weiß weder ob das vorher oder nachher richtig war, aber dann zu behaupten, updated for clarity ist halt, also, wie fällt kein anderes Wort ein als Verarsche, ne?

01:14:44: Und was ja auch, was ja auch updated wurde vor Clarity ist, dass sie auch Quatch über To Onele selber erzählt haben, denn da stand drin Design for Traditional Deployments, PostgreSQL for Persistence, Redis for Caching, File System for Media.

01:14:59: Und das To Onele hat wohl nie Redis oder Postgre verwendet.

01:15:04: Das stimmt einfach nicht.

01:15:05: Und solche Fehler kommen mir, also diese A. Dieser Fehler in Fließtexten kommt mir irgendwie schon so ein bisschen verdächtig vor und da klingelt was bei mir.

01:15:16: Da stellen sich mir so ein bisschen die Nackenhaare auf, weil das sind Fehler, die typischerweise jemand nicht macht, der diesen Text schreibt mit seinen eigenen Fingern und sich denkt, ich schreibe den Text jetzt runter und dann Sachen, die er nicht genau weiß, einfach weglässt, sondern eher jemand, der möglichst viel Text produzieren will, möglicherweise nicht mit den Fingern.

01:15:38: Und dann einfach Sachen da rein fantasiert, die gar nicht so wirklich richtig sind.

01:15:43: Oder wie siehst du das?

01:15:45: Ja, als ich meine, der Verdacht liegt nahe, dass dich nur beim Schreiben der Software sehr viel KI und sehr viel NE zum Einsatz kam.

01:15:54: Und sehr wenig NE zum Einsatz kam, sondern halt auch beim Schreiben dieses Blog-Posts.

01:15:58: Also es geht noch weiter nahe auch.

01:16:00: Also in der ursprünglichen Version stand dann weiter unten Nachdem Sie darüber geredet haben, dass das hier ausgangspunkt dieser Rust-Software sei, dass die gute Nachrichter wäre, dass man Rust nach WebAssembly kompalieren könne.

01:16:13: Und deswegen konnten Sie die Core-Magics-Protocol-Logic, Event-Authorization, Room-Set-Resolution, Cryptographic-Verification einfach direkt von Rust nach WebAssembly übersetzen.

01:16:24: Ja wunderbar, easy peasy, weil WebAssembly läuft schon mal auf diesen Worker.

01:16:28: Jetzt steht er halt.

01:16:29: dass sie die Matrix Protocol Logic, also Event Authorization, Room Set Resolution und Krippelgrafik Verification in TypeScript, also nach TypeScript, von Python nach TypeScript migriert hätten, mit dem Hono framework.

01:16:41: Also auch einfach was komplett, also wo es unschlüssig ist wie jemand, der sozusagen auch nur grob weiß, wie dieses Projekt aufgebaut ist, das schreiben konnte, weil die Sachen einfach komplett anderen Inhalt haben.

01:16:55: Eine von den beiden, mindestens eine von diesen beiden Versionen muss vollkommen falsch gewesen sein.

01:17:02: Hab ich schon mal meinen Lieblingsradio-Erevan-Witze erzählt, an denen erinnert mich das gerade so ein bisschen.

01:17:06: Kennst du Radio-Erevan-Witze?

01:17:08: Ja.

01:17:09: Das sind so Witze für die von euch, die das nicht kennen, die in der Sowjetunion sehr beliebt waren, weil sie so ein bisschen so leise, systemkritisch waren, aber nicht systemkritisch genug, um dafür Probleme zu kriegen.

01:17:19: und die lauteten immer Frage an Radio-Erevan.

01:17:21: Stimmt es das?

01:17:22: Irgendwas.

01:17:23: Und dann kam eine Antwort, die lautete dann im Prinzip ja, aber dann folgte etwas vollkommen anderes.

01:17:27: Mein Lieblingswitz ist... Frage an Radio Erichmann.

01:17:30: Stimmt ist, dass der Genosse-Kosmonaut Juri Gagarin beim zwanzigsten Jahrestag des ZK der KPDSU in Moskau ein rotes Auto gewonnen hat.

01:17:39: Und dann kommt die Antwort.

01:17:40: Im Prinzip ja, nur es war nicht der Genosse-Kosmonaut Juri Gagarin, sondern der zufällig gleichnamige Genosse- Volksschullehrer Jury Gagarin.

01:17:48: und es war auch nicht beim zwanzigsten Jahrestag des ZK der KPD in Moskau, sondern beim vierten Jahreskongress der Volksschullehrer in Novosibirsk.

01:17:55: Und es war kein Auto, sondern ein Fahrrad und er hat es nicht gewonnen, sondern es ist ihm gestohlen worden.

01:18:02: Aber es war rot.

01:18:05: Ja, so in der Art diese beiden Varianten, das Blockpost, der ja angeblich nur... etwas zur Verdeutlichung etwas geupdatet worden.

01:18:17: Ja.

01:18:18: Ich

01:18:20: weiß nicht, willst du wieder weitermachen?

01:18:21: Ja, es wird nicht besser.

01:18:24: Sie haben dann auf GitHub auch relativ viel gemacht.

01:18:27: Auch hier ein bisschen updated for clarity.

01:18:29: Also Sie haben diese ganzen Anmerkungen to do und dann validate PDU-Signaturen validieren.

01:18:36: Unwichtig bei einem sicheren Messenger.

01:18:38: Check authorization.

01:18:39: braucht kein Mensch Autorisierung, das sind ja die, unter anderem auch diese Power Levels, die oben schon mal angesprochen wurden von Matrix selber.

01:18:46: Return Actual Authentication Chain, auch ein To-do, machen wir später.

01:18:50: Check Permissions, machen wir später.

01:18:51: Sign the Event for Federation, machen wir auch später.

01:18:54: Weil Föderation, das hat schon immer gut funktioniert, wenn wir sowas komplett ohne kryptografische Signaturen und Verifikation machen.

01:19:01: Was soll schon schiefgehen?

01:19:03: What could possibly go wrong?

01:19:04: Also... Also...

01:19:07: Drei Sachen eigentlich.

01:19:08: Das eine ist, das war alles nicht implementiert, sondern wie du gerade vorgelesen hast, als To-Do's da einfach im Code drin.

01:19:14: Das Zweite ist, sie haben dann in der ersten Hau-Ruck-Reaktion einfach nur diese Kommentare aus dem Code gelöscht.

01:19:21: Also ist ja wohlgewegt die ganzen Schmarrn nicht implementiert, der da noch als To-Do drin steht, sondern sie haben einfach nur die To-Do's rausgelöscht.

01:19:27: Und drittens, die Sätze, die ich gerade vorgelesen hatte, also wo angeblich erst Trust nach WebAssembly und dann halt Python nach Types gibt.

01:19:34: Was da ja angeblich übertragen wurde, war Event Authorization, Room Set Resolution, Cryptographic Verification.

01:19:40: Jetzt liest du hier fort, als To-Do's sind noch Authorization, Check Permissions und seien die Event drin.

01:19:46: Also im Prinzip all die Sachen, die man ja angeblich so schön übertragen konnte.

01:19:51: Also ja, weil scheinbar ist einfach ein To-Do... von Python in einen to-do-kommentar in TypeScript umformuliert worden.

01:19:58: oder was soll da übertragen worden sein?

01:20:01: Also ist das ein Commits in den TypeScript-Files, das stimmt schon.

01:20:04: Also es sind TS-Files, keine PY-Files.

01:20:06: Also soweit sind wir schon.

01:20:08: Und ich find besonders süß, diese Comment, return actual authjade, weil der steht hinter einem authjade-Doppelpunkt leeres array.

01:20:16: Das ist einfach so, ja, dann hat man schon mal irgendwas zurückgegeben.

01:20:21: Super.

01:20:21: Trust me, Bro.

01:20:22: Ja, läuft richtig gut bei Cloudflare an der Matrix Home Server, Serverless Front.

01:20:27: Und die Readme sieht halt auch aus wie so eine Readme Textwüste, die aus, weißte so, Cloudcode kommt oder so.

01:20:34: Überall irgendwelche lustigen grünen Heckchen und viel Gedöns.

01:20:38: Alles, ach ja.

01:20:41: Ja, weiß nicht.

01:20:41: Also, wenn ich eine Readme schreibe für irgendwas, wo ich gerade den Proof-of-Concept gebaut habe, dann steht da mit ein bisschen Glück drin, wie man das zusammengenagelt und einmal laufrecht bekommt, aber... Gut, ich bin halt auch nicht verklaubt, vielleicht deswegen.

01:20:53: Dann haben sie aber auch natürlich gemerkt, und das war ja einfach vielleicht so ein bisschen so eine Panikreaktion, diese Kommentare, diese To-dos zu löschen.

01:21:05: Aber sie haben dann noch ein bisschen weitere Schadensbegrenzung betrieben, und zwar auf Lobsters.

01:21:09: Das war mir vorher auch noch nicht untergekommen.

01:21:11: Das ist so ein bisschen wie so ein Threaded-Diskussionsding, grob so wie Lemmy oder Hacker News.

01:21:19: Reddit-Style.

01:21:22: Und da fielen dann ein paar interessante Zitate von einem Cloudflare-Mitarbeiter, der aber nicht der betroffene Mitarbeiter war, sondern jemand anderes.

01:21:31: Und da ging es unter anderem auch darum, wie es denn so ein Projekt in das Blog geschafft hat.

01:21:38: Und das ist ja das Konzernsprachrohr für Cloudflare, wo auch durchaus interessante Sachen stehen.

01:21:45: Es ist also eben wieder so ein Punkt, wo ich mir denke, oi!

01:21:48: Wieso muss man denn eigentlich ohne Not seine Credibility so einreißen?

01:21:54: Und das haben sie dann wohl auch gemerkt, weil sie dann schreibt, in response to this, there are ongoing discussions.

01:22:00: Das ist schon immer schlecht.

01:22:01: Wenn irgendwo jemand sagt ongoing discussions in corporate English, das ist schon mal ganz schlecht.

01:22:05: On improving the processes, da für Rollenköpfe, around what kind of projects, dieses bestimmt ich noch mal, we show off on the block at the degree of security review, mehr, sehr viel Bear Security Review, they receive before publishing.

01:22:20: So, this should be a one of slip.

01:22:25: Sie versprechen also oder kündigen an, dass das ein einmaliger Ausrutscher war.

01:22:29: Daran werden sie sich vermutlich ein bisschen messen lassen müssen.

01:22:32: Ich nehme auch an, dass dieser Post nicht unabgesprochen war, mit wem auch immer, wer das verantwortet dann am Ende und auch das umzusetzen, was sie da ankündigen.

01:22:43: Und da steht er doch.

01:22:44: Und jetzt schneiden wir gleich wieder einen Soundsample hier rein.

01:22:48: We should probably have gone for something simpler for a Tech-Demo.

01:22:53: Nein, doch!

01:22:56: Ja, es ist ein Träumchen.

01:22:58: Also,

01:23:03: ich meine, das ist halt jetzt irgendein Typ auf Lobsters.

01:23:07: Wir wissen natürlich nicht sozusagen, Wie viel, also wo genau sich der in dieser Cloudflare Hierarchie befindet.

01:23:14: Insofern würde ich Cloudflare jetzt erstmal auch einfach nur daran messen, was sie auf ihrem Kanal gemacht haben.

01:23:20: und das ist dieser Schlag ins Gesicht von einem Disclaimer vor dem Blog Post zu kleben.

01:23:27: Und das ist für mich auch sozusagen der zentrale Kritikpunkt.

01:23:30: Also, dass da irgendein Entwickler scheinbar zu viel in den Vibe... Coding Topf gefallen ist und dann in einem kleinen Wahnsinns-Aktionen sich gedacht hat, haha, ich habe hier mit der KI irgendwie einen Matrix-Server auf Workers gebastelt und ich vermutlich lasse es die KI auch gleich den Blog-Boster zu schreiben und prüft es nicht und interessiert mich nicht dafür, ob das Ding überhaupt funktioniert und schreibe aus welchen Gründen auch immer oder korrigiere es nicht raus, dass der Production Ready und so steht.

01:24:02: Okay, alles schlimm und mir sozusagen nicht richtig zugänglich, aber das ist halt ein so ein Typ, whatever, was ich viel schlimmer finde, ist, dass der das entweder auf den Blockpost packen, also im Block von Cloudflare, packen konnte oder ohne, dass es da geprüft worden ist, oder dass es geprüft und durchgewunken worden ist.

01:24:22: Also in beiden Fällen hat Cloudflare dir, wie du gerade schon gesagt hast, wirklich einen Ruf zu verlieren haben, einfach komplett in Müll durchgewunken, der jetzt in ihrem Block steht.

01:24:34: Und jetzt haben sie da anderen Müll stehen.

01:24:36: Also wie gesagt, die Behauptung, was man da alles angeblich umgezogen hat, das kann ja gar nicht stimmen.

01:24:41: Das Claim oben ist eine glatte Lüge, weil da überhaupt nichts vor Clarity geupdatet wurde, sondern einfach fundamental Sachen umgedreht worden oder anders geschrieben worden sind.

01:24:51: Da steht einfach ganz was anderes.

01:24:53: Und mir fällt, wir haben ja in der Vergangenheit mehrfach positive über Cloudflare berichtet, weil das auch oft sehr interessant war, was die so in ihrem Blog erzählen.

01:25:02: Und mir fällt nichts anderes an, als zu sagen, Shame on Cloudflare.

01:25:05: Also, aus dem Loch müsst ihr jetzt echt eine Weile euch wieder rausgraben, bevor ich auch nur ein Wort glaube, was in eurem Blog steht, weil das, das war schon übel.

01:25:14: Und das hast du, glaube ich, gar nicht explizit gesagt.

01:25:16: Die erste Version von diesem Blog-Post, die hat ja nicht mal erwähnt, dass das ganze Ding ein KI-Projekt war.

01:25:21: Also, ob der Blogtext KI geschrieben ist, steht immer noch nicht drin, aber jetzt steht zumindest an dem Code dran, dass der mit KI gebastelt worden ist.

01:25:29: Das stand ja auch nicht dabei.

01:25:31: Also ich...

01:25:32: Das weiß ich tatsächlich nicht.

01:25:33: Das

01:25:33: weiß ich tatsächlich

01:25:34: nicht.

01:25:36: Also das weiß ich auch gar nicht genau.

01:25:38: Ja?

01:25:38: Okay, ja.

01:25:39: Weil dieses I Have Been Assisted by Claude war in der ersten Version, die ich mir angeguckt habe, schon drin, aber das kann nach dem... nach dem Commit gewesen sein.

01:25:50: Irgendwo stand das doch irgendwo auch in der Readme.

01:25:52: Steht das nicht auch in der Readme?

01:25:54: Na ja, gut, ist egal.

01:25:55: Doch I Was Assisted by Claude... Ja, aber es ist...

01:25:59: Das ist der dritte Komet.

01:26:00: Da stand vorher a Production Grade Matrix Home Server Implantation Running Entirely on Cloudflare's Edge Infrastructure Implantation Matrix Klein Server API I-I-I und Server Server Federation API.

01:26:12: Da stand nichts von Cloudcode Opus oder sonst was.

01:26:17: Das ist im Nachhinein, also wie gesagt, das Loch, das es sich da gegraben haben, das ist wirklich tief, zumindest aus meiner Warte.

01:26:26: Hat dabei immerhin reinsechzig Stars gekriegt und treizend Forks.

01:26:30: Wer forkt denn so was und warum?

01:26:32: Ich war auch

01:26:32: besucht, das zu forken, weil ich weiß ja nicht, was sie sonst noch mit ihrer Commit history machen oder nicht.

01:26:38: Ach so.

01:26:40: Gut, das Kind ist jetzt in den Boden gefallen, am Ende gilt dann vielleicht die alte Devise, du kannst dich nicht rausreden, nur tiefer rein.

01:26:48: Und tatsächlich fehlt mir eine Stimme in diesem Debakel, das ja doch wirklich Kreise gezogen hat, schon, und zwar die von Easter Coater, also Matthew Prince.

01:26:58: der sich ja an anderer Stelle schon immer sehr offen zu Sachen äußert, auch auf Hecker News dann mal lange kommentiert und zu Themenstellungen nimmt.

01:27:05: Ich bin mal gespannt, ob er sich hierzu auch einlassen wird und ob er da vielleicht auch noch mal ein bisschen was dazu sagt, wie auch da der Freigabeprozess ist und wie sinnig es auch ist, so die Arbeit von OpenStores Projekten als so eine Art Angebeprojekt.

01:27:24: bisschen abzuwerten, um die eigene Infrastruktur zu pushen.

01:27:30: Das finde ich auch so ein bisschen, das hat schon Geschmäckle.

01:27:32: und um das nochmal anzuschließen an die kurze Diskussion, die wir letztes mal hatten, das war ja eher so ein bisschen ein sich Luft verschaffen deinerseits zu dem Begriff des MVP, das Minimum Viable Product.

01:27:47: Das ist ja ein bisschen was wie ein verkaufbarer Proof of Concept und Da sind die Grenzen oft nicht klar definiert, was ist noch Proof of Concept und wo ist es schon wirklich weile will im Sinne von lebensfähig?

01:28:00: und ich glaube hier kann es da keine zwei Meinungen geben.

01:28:03: Das ist vielleicht noch nicht mal ein Proof of Concept, aber sicherlich keine MVP.

01:28:08: und wenn ich eine, eine, ein Open Network for Secure Decentralized Communication als das sich Matrix ja selber bezeichnet auf seiner Webseite implementieren will und dann das Secure weglassen und zwar auch nur einen Teil von dem Secure, der vom Protokoll, von der Protokoll-Definition abweicht, dann ist das nicht ein MVP und dann ist es auch aus meiner Sicht kein Proof-of-Concept mehr.

01:28:31: Weil das Konzept wird ja nicht nachgewiesen.

01:28:34: Ich habe ja gar nicht gezeigt, dass ich das Matrix Home Server implementieren kann, sondern nur irgendwas, was ich manchmal so verhält, wenn man ihm sehr, sehr doll vertraut und wenn man an manchen Stellen nicht so genau hinguckt und das ist nicht protokollkonform.

01:28:48: Das Serft zwar, obwohl es ja Serverless ist, ist der Server Serft schweißfrei, aber es Serft halt nicht korrekt.

01:28:55: Und das ist ja nur so eine Art Produktsimulation und sicherlich kein MVP und auch aus meiner Sicht kein Truff auf Konzept.

01:29:04: Nee, das war wirklich schwach.

01:29:06: Also nicht nur weil es nicht sicher ist und damit sozial nicht viable, sondern wenn ich es richtig verstanden habe, auch ist es die Centralize nicht richtig, weil sie die Stage-Resolution nicht korrekt machen.

01:29:15: Das heißt, wenn dieser Server an der Föderation teilnehmen würde, würde er sehr viel schneller sozusagen von dem anderen Netzwerkzustand ausgehen als der Rest und damit wäre es halt kaputt.

01:29:26: Also es ist nicht nur nicht viable, weil nicht sicher und es soll sicher Kommunikation machen.

01:29:31: Es ist auch nicht viable, weil es scheinbar einfach nicht funktioniert.

01:29:36: Na ja, wir sind ja, sind wir damit durch?

01:29:41: Ja, wir sind durch.

01:29:41: Ich bin total durch.

01:29:44: Wir gucken mal, ob dann noch was nachkommt und ansonsten behandle ich zumindest jetzt alles, was im Cloudflare Block steht mit sehr viel mehr Skepsis als vorher.

01:29:54: Wir kommen zu was, also da hat sich A niemand irgendwie voll ins Klo gegriffen und B ist es ein ganz ambisantes Ding.

01:30:04: Und es hat auch was mit KI zu tun.

01:30:06: Und zwar geht es um diese... LLMs, also genau genommen geht es um Claude von Anthropic.

01:30:14: Aber ganz allgemein haben diese Sprachkais ja Guardrails, also die Hersteller sind ja sehr darauf bedacht, dass diese KI sozusagen nichts produziert und auf keine Anfragen reagiert, auf die es nicht reagieren soll.

01:30:25: Und da gibt es verschiedene Methoden, man kann dann einfach die Eingaben prüfen, bevor sie an das Sprachmodell durchgereicht werden, man kann aber halt auch die Ausgaben des Sprachmodells prüfen, ob das da gerade erklärt, wie man keine Ahnung eine Bombe baut oder so und dann halt die Ausgabe blocken.

01:30:38: Dieses letzte Vorgehen hat aber halt das Problem, dass man diese Ausgabe oft streamen will.

01:30:43: Ihr kennt das auch hier, wenn ihr die Tools hernimmt, ihr stellt dann eine Frage und dann baut sich da so Stück für Stück die Antwort auf.

01:30:51: Das heißt, wenn ich irgendeine Guardrail habe, die sozusagen den Output kontrolliert, dann muss sie da irgendwo reinkrätschen können.

01:30:59: Und meine Anwendung, die dieses Sprachmodell irgendwie hernimmt, die also da seine Anfrage hinschickt und dann diesen Die Antwort des Sprachen Models gestreamt bekommt, muss halt irgendwie damit umgehen können, dass da potenziell so eine Garderoid reinkälscht und den Stream unterbricht.

01:31:13: Und damit man das passend programmieren kann, muss man das halt idealerweise testen können und deswegen bietet Anthropic einen Test String.

01:31:21: Der heißt Anthropic, underscore Magic, underscore String, underscore Trigger, underscore Refusal, underscore und da kommt eine lange Zahlenkolonne, die das Ding halt eindeutig macht.

01:31:31: Und den kann man einfach in den Prompt einbauen.

01:31:33: und wenn man den einbaut, dann wird halt dieses Guardrail da in den Ausgabestream reincatchen und so einen Streaming Refuser auslösen.

01:31:43: Und das ist ja eigentlich ganz schick, das ist halt ein Test, der genau das tut, was er soll, nämlich er erlaubt halt irgendwie Softwareentwickler zu testen, ob sie mit so einem Streaming Refuser klarkommen.

01:31:54: Das Ganze erinnert so ein bisschen an den iCar Test String.

01:31:57: Ich weiß nicht, wer von euch das kennt oder nicht kennt, das ist so eine Kleine Datei, die aber aus nur einer darstellbaren Zahl in Kolonien steht.

01:32:06: Und die ist an sich harmlos.

01:32:08: Die schreibt einfach nur, standard antivirus, irgendwas auf die Konsole.

01:32:12: Aber alle antiviren Hersteller haben sich halt oft geeinigt, dass sie die wie ein Virus behandeln.

01:32:17: So dass man die halt sehr schön hernehmen kann, um solche Systeme zu testen.

01:32:23: Wir haben, glaube ich, schon mal drüber geredet, in irgendeiner Folge, wo es um halber ging.

01:32:28: Und dieser ICA-Test-String ist ja auch tatsächlich ein ausführbares Programm unter DOS.

01:32:33: Ja, unter DOS.

01:32:34: Du kannst den in Punkt.com umbenennen und dann gibt der auf dem Bildschirm ICA-Standard-Antivirus-Test-File aus.

01:32:41: Das ist ja sozusagen ein ganz netter Heck, sozusagen.

01:32:43: Also nicht nur, dass das ein Ausführbar-Datei ist, sondern die ganze Ausführbar-Datei besteht aus darstellbaren Zeichen.

01:32:47: Das muss man auch erstmal zusammenlöten.

01:32:50: Also guckt euch gerne mal eine Erklärung zum IK Test String an, das ist ganz nettes Gebastel.

01:32:56: Aber dass es halt existiert, ist einfach ein sinnvoller Test-Vektor.

01:33:01: und dass Anthropic dann für Claw sowas bastelt, ist ja auch sinnvoll.

01:33:06: Das Lustige ist halt, dass man damit das LLM blocken kann.

01:33:09: Also das ist ja genau das, wofür das Ding da ist.

01:33:11: Das heißt, Leute bauen halt jetzt diesen... magic string trigger refusal in tweets ein in webseiten ein in reddit post und so Einfach nur um zu gucken ob halt irgendwo bei irgendjemandem jetzt irgendeine software auf die nase fällt weil sie halt mit klart auf diese dokumenten darauf guckt.

01:33:28: zum beispiel gibt es ein ganz lustiges beige also ein ganz lustigen tweet glaube ich war es.

01:33:35: Es gibt ja dieses model context protokoll mit dem man halt irgendwie Sprachmodelle in alle mögliche software zugänglich machen kann.

01:33:42: unter anderem gibt es einen pc m CP Server für binary Ninja.

01:33:47: Das ist ja so ein De-Kompellierungs- und Binary-Analyse-Tool.

01:33:51: Und das ist nicht einfach zu bedienen, also ganz allgemein ist ja Binary-Analyse nicht ganz trivial.

01:33:59: Und insofern ist das ja naheliegend zu sagen, ja dann lerne ich das halt nicht selber, sondern ich sage halt, Claude, nimm mal binary Ninja, um diese Datei jetzt zu analysieren, aber wenn die Datei halt diesen Test-String enthält, dann fällt halt Claude auf die Nase und dann fällt dieses MCP-Ding auf die Nase und dann muss ich mich halt auch selber mit Binary Ninja beschäftigen.

01:34:17: oder es gibt heute keine Analyse, das bin ja falsch.

01:34:22: Also finde ich ganz lustig.

01:34:25: Die Lehre daraus ist ein bisschen, ihr dürft euch nicht darauf verlassen, dass irgendeine Software, die einen Sprachmodell auf einem Sprachmodell aufbaut, zuverlässig funktioniert.

01:34:37: Aber ich würde hoffen, dass ihr das eh nicht tut, weil Sprachmodelle inherent probabilistisch sind und so eine Software kann nicht zuverlässig funktionieren.

01:34:45: Ja?

01:34:46: Ja?

01:34:47: Ach so, ah, Entschuldigung, ich habe eigentlich nur mein Zeigefinger an meiner Wange abgestürzt, aber ich könnte noch was zum Inhalt beitragen, wenn du möchtest.

01:34:54: Ne, weiß ich nicht.

01:34:55: Ich will eigentlich nur, dass du besagst, so ja, ja, ich werde nie darauf vertrauen, dass Software, die einen LLM einspannt, zuverlässig funktioniert.

01:35:03: Ich lache leicht nervös, weil ich Binary Ninja neulich noch verwendet habe, unter anderem für unsere Up-Down-Recherche für den Neun-Dreißig-C-Drei-Vortrag.

01:35:12: Aber LLM-frei und genauso war auch die Qualität meiner Arbeitsergebnisse.

01:35:17: Da habe ich also mit Ach und Krach so einen Mal-Währe-Fall reingeladen, gekriegt und irgendwie so ein paar Symbole von Hand resolving können und ungefähr gesehen, wo das Datensegment ist, wo das Kurzsegment, aber dann war es auch vorbei bei mir.

01:35:32: Immerhin

01:35:34: wirst du nicht daran gescheitert, dass der Anthropic Magic String Trigger Refusal darin steht.

01:35:38: Nein.

01:35:40: Weil du gerade sagtest, Software, die LLMs einsparen und zuverlässig funktioniert, jetzt gerade, während wir aufnehmen am neunzwanzigsten Januar, entwickelt sich sehr viel Geschichte rund um dieses Cloudbot, also mit CLAW.

01:35:55: Ich habe da noch nicht tiefer reingeguckt, aber du hast ja in den Diskussionen teilweise auch teilgenommen oder diese gesehen in den verschiedenen Redaktionschats, dass da, dass das ein riesen Thema ist.

01:36:05: Infostealer springen da inzwischen drauf.

01:36:07: Es gibt ganz viele offene Instanzen mit Schodan und so.

01:36:10: Und das ist auch wieder so hoch.

01:36:11: Ja, wild gewordenes AI-Tooling.

01:36:14: Zumindest ist das das TLTR, was ich bis jetzt da für mich mitgenommen habe.

01:36:19: Vielleicht machen wir dazu noch mal ein bisschen länger was, aber dafür muss ich die Geschichte glaube ich erst mal ein bisschen entwickeln.

01:36:25: Ja, genau.

01:36:26: Und wir müssen jetzt auch aufpassen, also wenn du mich jetzt dazu kriegst irgendwie allgemein über die Security von KI-basierter Software zu reden, dann, also ich geb da mit Kollegen ins Seminar drüber oder ein Webinar und da reden wir stundenlang, dann kommt der Podcast heute nicht zum Ende.

01:36:43: Erzähl mir doch mal, was würdest du denn davon halten, wenn jetzt jemand sagt, okay, wir machen jetzt noch mal genug PG neu, aber mit Assistenz von Claude Code.

01:36:51: Hättest du da eine Meinung dazu?

01:36:53: Ja, aber wir kommen jetzt zum nächsten Thema.

01:36:56: Ich führe mich nicht in Versuchung, sondern er löse mich von dem Claude G.P.G.

01:37:02: Kram.

01:37:03: Wir machen etwas KI und PKI-freies.

01:37:08: Und zwar kommen wir in die Welt von Harald Blauzahn, dem berühmten dänischen König des zehnten Jahrhunderts.

01:37:16: Ich habe sogar vergessen, warum er Blauzahn hieß.

01:37:19: Ich glaube, das ist sogar apokrüf.

01:37:21: also es gibt keine offizielle Erklärung.

01:37:23: Harald Blauzahn ist mir auch nicht persönlich bekannt, aber ein nach ihm benanntes Protokoll kennt jeder mit den lustigen Runen von Ericsson, nämlich Bluetooth.

01:37:37: Und da haben wir schon einmal eine umfangreiche Lücke im, die sich im Wesentlichen an den Pairing-Prozess zwischen Geräten, in diesem Fall zum Beispiel Kopfhörern und den Smartphones oder Computern, die am anderen Ende hängen, einklinkte.

01:37:53: Das haben wir besprochen in Folge, um um das sogenannte Headphone Checking.

01:37:59: Das wurde hier von deutschen Forschern gefunden.

01:38:02: Da haben wir auch die Disclosure so ein bisschen begleitet.

01:38:05: Das heißt, wir hatten ein paar Infos vorab, haben da auch ein bisschen was zugemacht online und die haben ihre Ergebnisse auch nochmal auf den Neun-Dreißig-C-Drei präsentiert, hatten da auch dann Proof-of-Concept-Code dabei, der war vorher noch unter Embargo.

01:38:17: Das Video zu diesem Vortrag, um den es jetzt auch nicht geht, packe ich aber in die Show notes, guckt euch das unbedingt mal an.

01:38:22: Von Dennis und Frieda, das ist auf jeden Fall ein spannendes Thema.

01:38:26: Und es gibt auch immer noch diesen Bluetooth Spam.

01:38:30: Also du kannst per Bluetooth Low Energy bestimmte Nachrichten... Verschicken die also ab broadcast verschickt werden und wo dann alle möglichen iPhones oder Android Smartphones in einer direkten Umgebung.

01:38:43: Anfangen zu fragen ob man sich denn jetzt mit diesen bohse Kopfhörern verbinden will oder ob man sein Apple TV nicht ausschalten möchte also alle möglichen wilden Pop-ups die zu bestimmten Geräte Nachrichten über Bluetooth gehören.

01:38:54: die Geräte sind aber in der Regel gar nicht in der Nähe.

01:38:57: das kann man mit Flipper Zero zum Beispiel ganz hoch provozieren und.

01:39:00: Das ist so ein bisschen für so Pranks in der U-Bahn.

01:39:03: Ganz lustig, hat ein paar Vorbedingungen unter anderem, dass die Geräte gerade aktiv, also angestaltet und die Bildschirme anlockt sein müssen.

01:39:10: Auch so ein Bluetooth-Low-Energy-Ding, was bestimmte Protokoll-Lücken oder also Lücken in den Zustandsgrafen der Protokolle ausnutzt.

01:39:20: Also nicht direkt technische Lücken, sondern eher Protokoll-Konzeptions-Lücken.

01:39:26: Und diesmal betrifft es nur Android bzw.

01:39:31: Google Geräte, also nicht Google Geräte, das habe ich in den Notizen falsch geschrieben.

01:39:35: Es geht um Android, es geht nicht ums iPhone, es geht nicht um iOS und es geht um Geräte, die das sogenannte FastPair implementieren.

01:39:42: Das ist ein Standard von Google.

01:39:45: Angeblich gibt es über vierhundert Geräte laut ihrer eigenen Werbesite, die dieses FastPair implementieren können, darunter auch die PixelBuds, also diese In-Ear-Kopfhörer von Google selber.

01:39:56: Und da kannst du mit einem Mit einem Arbeitsschritt, einem Tippen auf dem Smartphone Bildschirm, das Gerät perren, wenn es in der Nähe ist und siehst dann den Batteriestand und kannst es dann eben auch unter bestimmten Bedingungen mit diesem FindMyDevice oder diesem FindHub bei, heißt das glaube ich bei Android, Sylvester Gretstadt zwischen, wenn ich die Begriffe durcheinander bringe, ich bin ein iPhone Nutzer, kannst es dann auch checken.

01:40:18: Ehrlich gesagt, könnte ich nicht reingretchen dazu, wenn ich wollte, weil ich auch nicht weiß, wie das genau heißt,

01:40:24: der Marketing-Term.

01:40:26: Kann jemand anders dazwischen grätschen?

01:40:28: wer grätschen möchte schreibe uns gerne eine E-Mail.

01:40:29: Passwort Minus Podcast at heise.de.

01:40:32: Disclaimer ich befinde mich gerade am äußeren Ende meines Wissens über Smartphone Betriebssysteme denn es handelt sich um Android und nicht um iOS.

01:40:39: So Apple hat sowas ähnliches was auch Bluetooth Energy benutzt soweit ich weiß.

01:40:45: also wenn du neue Airpods kaufst und du hältst die in die Nähe also machst die an und hältst die die Nähe von deinem iPhone dann kommt das und das sind hier deine Airpods und willst du die verbinden und Da kannst du auch RTX relativ schnell perren, also diese Tracking Devices, die ja auch im wesentlichen Bluetooth können und in dieses Find My Device-Netzwerk bei Apple eingebunden sind.

01:41:07: Aber die Sicherheitslücke, um die es hier geht, die ist wie gesagt keine Android-Lücke.

01:41:13: Habe ich hier den Namen eigentlich schon erwähnt?

01:41:14: Noch gar nicht, ne?

01:41:15: Das ist ganz wichtig, denn die Lücke hat einen Namen und immer wenn eine Sicherheitslücke einen Namen und eine Webseite hat, dann... passiert eins von zwei dinge entweder die ganze welt geht in flammen auf oder es war eigentlich nur halb und gar nicht so wild.

01:41:28: hier sind wir vielleicht irgendwo dazwischen aber eher in der nicht so wildecke würde ich mal sagen.

01:41:34: das whisper pair nutzt jetzt so eine art implementationslücke aus also dieses fast pair.

01:41:40: ich nenn es jetzt mal protokoll.

01:41:42: ich bin gar nicht sicher ob es ein protokoll ist oder einfach eine sammlung von Nachrichten in verschiedenen Protokollen, wir nennen es jetzt mal Hilfsweise Protokoll.

01:41:49: Das kennt einen Seeker, in diesem Fall ein Android-Smartphone, weil deswegen heißt es Seeker, dass nach neuen Devices sucht, also nach Zubehörteilen sucht, wie den Kopfhörern, die sind diesen Airbats, die heißen ja dem Lingo Provider.

01:42:08: Die Providen nämlich diesen Zubehördienst, dass sie Kopfhörer sind.

01:42:11: Und der Sieger schickt periodisch irgendwie so einen Nachrichten in der Gegend rum und ich bin nicht ganz sicher, wie die das machen, ob das dann BLE ist, also wirklich Broadcast gemacht wird.

01:42:21: Und der Provider sollte diese Nachrichten eigentlich wegschmeißen.

01:42:26: Also AirBuds, die nicht im Pairing Mode sich befinden, also die nicht gerade auf der Suche sind nach einem Gerät, mit dem sie sich pairn.

01:42:33: Und das wird ja typischerweise durch irgendeinen langes gedrückt halten von irgendeinem knopf auf dem gerät ausgelöst oder so ein ähnlichen also einen physischen eine physische interaktion mit dem gerät diese erbert sollten eigentlich solche nachrichten von seekern ignorieren.

01:42:51: das verabsäumen aber viele dieser stecks oder zumindest einige dieser stecks und somit können unautorisierte geräte die sich in bluthoff reichweite befinden einen pairing prozess initiieren das heißt bluthoff reichweite.

01:43:04: Die Autoren dieser Whisper per Webseite und des Papers haben von bis zu vierzehn Metern gesprochen und das halte ich schon für ein bisschen optimistisch.

01:43:13: Aber sei es drum, es gibt auch ein hübsches Video da auf der Webseite, wie sie das dann von einem Ende eines Hörseals zum anderen machen, auch da, naja, aber vielleicht ist das auch künstlerische Freiheit.

01:43:25: Also funktioniert aber sicherlich gut in der vollbesetzten U-Bahn, auf einem Konzert oder auch auf einem Schulhof, wenn sich da gegenseitig Schüler und Schülerinnen einen Streich spielen wollen und dann die Kopfhörer der jeweils anderen übernehmen.

01:43:40: Wenn jetzt so ein verwundbares, angreifbares, wie auch immer man es nennen möchte, Gerät auf diese Pairing-Anfrage antwortet, dann kann der Angreifer, also dieser böswillige Seeker, eine ganz normale Blutungsverbindung herstellen und über die kann er dann halt machen, was die Profile, die dieses Accessoire gerade exponiert, zum Beispiel HID, also Fernbedienung von irgendwas oder eben Audio Device, das kann ja dann alles machen.

01:44:06: In diesem Fall ist das plakativste Beispiel, deswegen bleibe ich da jetzt einfach bei so ein paar Kopfhörer oder Urhörer.

01:44:12: Und dann kann ich natürlich Musik darauf abspielen und dann wundert sich plötzlich der legitime Besitzer, der die Dinger gerade im Ohr hat, warum da ganz andere Musik läuft oder irgendwelche Botschaften.

01:44:22: Neulich haben wir einen war das in Halle irgendwo in Deutschland, wurden plötzlich irgendwelche Lausprecherdurchsagen abgespielt.

01:44:32: Und irgendwelche Sirenränen heulen, so was könnte man damit auch simulieren, oder dieses fiese Geräusch von Nina, wenn die Warn-App zuschlägt.

01:44:39: Da kommt da so eine fiese Tröte aus dem Smartphone.

01:44:42: Man kann es aber auch andersrum machen.

01:44:44: Man kann mir die Geräte gerade irgendwo im Ohr sind oder angeschaltet auf dem Tisch liegen, kann man das Mikro aufmachen und die dann zu Wanzen umfunktionieren könnte dann.

01:44:53: Gespräche damit abhören und auf sein eigenen Laptop oder sein eigenes Smartphone Stream.

01:44:58: Natürlich alles nur aus der Bluetooth Reichweite heraus.

01:45:02: Also die sind besagten maximal vierzehn Metern und dann macht das natürlich das ganz zu einem Angriff, den ich aus einem Café, aus einem U-Bahn heraus, möglicherweise auch in einem Hörsaal durchführen kann.

01:45:13: Aber sobald die Leute dann aus der Reichweite rausgehen, funktioniert es nicht mehr.

01:45:20: Was sehr wohl noch funktioniert, Wenn einmal dieses pairing erfolgreich war.

01:45:25: und eine weitere Nebenbedingung, die ich aus dramaturgischen Gründen gleich als Erzähler eintritt, ist, dass man als Angreifer diese Geräte dann tracken kann.

01:45:33: Denn manche von diesen Fast Pair Enabled Geräten können über dieses Find Hub Network von Google integriert werden und können dann da getrackt werden.

01:45:46: Das ist ja So ein crowdsourced location tracking.

01:45:49: also die geräte haben ja selber kein gps sondern die haben im runde nur bluetooth und schicken dann.

01:45:54: Nachrichten an alle bluetooth geräte um sie herum.

01:45:56: und wenn diese geräte wiederum feind mal iphone oder feind hab aktiv sind dann sagen die guck mal ich hab hier gerade das erdeck von christopher kunst gesehen und geben die position dann.

01:46:09: weiter und die haben ja in der Regel nicht nur gps sondern über wehland triangulation oder über gsm verschieden gut aufgelöste standort informationen on device.

01:46:21: der angreifer kann also dieses gerät nun in seinen googlekonto hinzufügen wenn er es erfolgreich gepährt hat und dann kann er bewegungsprofil seines opfers erstellen.

01:46:29: und das wiederum geht auch außerhalb der blut auf reichweite denn wir nutzen hier ja nicht mehr bluetooth sondern dieses google Find My Device Netzwerk.

01:46:37: Und das kann ich also auch von der anderen Seite des Globus ausmachen, könnte da dann eben einfach Privacy Violations machen, könnte die die Personen stalken.

01:46:45: Und die kriegt dann irgendwann auch eine Benachrichtigung.

01:46:47: Da bewegt sich ein Gerät mit dir, heißt das bei Apple.

01:46:50: Ich denke, es wird sehr ähnlich auch bei Google lauten.

01:46:54: Das Blöde an dieser Benachrichtigung in diesem Fall ist, da wird dann auch der Name des Geräts und wahrscheinlich sogar ein thumbnail mit einem Foto des Geräts eingeblendet, also so ein Produktfoto.

01:47:02: Das ist aber genau das Gerät, was das Opfer tatsächlich auch hat, nämlich diese AirBuds, die er gerade im Ohr hat oder sie.

01:47:08: Und dann wird man denken, was ist das für ein komisches Popper?

01:47:10: Und natürlich bewegt sich das mit mir, das ist mein Gerät.

01:47:13: Ohne zu wissen, dass da tatsächlich ein Dritter das Gerät kontrolliert und es gerade trackt und diese Informationen in ein anderes Google kontokieren.

01:47:20: Und jetzt kommt das aber.

01:47:24: Das ist ein sehr großes, aber das geht nur, wenn dieses Gerät noch nie vorher mit einem Android-Device gepaert wurde.

01:47:31: Also wenn diese Airbats Fabrik neu sind, ich nehme die das erste Mal in Betrieb, will die mit meinem Android-Telefon perren und da sitzt aber neben dran ein Angreifer, der wartet seit Monaten auf genau diese Gelegenheit.

01:47:42: Er hat mir diese Airbats nämlich unaufgefordert zugeschickt und gesagt, das ist ein Werbegeschenk von Google und ich freue mich total.

01:47:47: und dann sitzt er da und übernimmt meine Verbindung, nur um mich dann ein paar Tage tracken zu können.

01:47:52: Jetzt wird es ein bisschen hypothetisch, das habe ich jetzt rein dramaturgisch gemacht.

01:47:55: Wenn ich zum Beispiel mir aus irgendwelchen Gründen diese Google Airbats kaufe und die dann am iPhone verwendet, dann wären sie nie vorher mit einem Android-Gerät verwendet worden, wohl aber monatelang, jahrelang mit meinem iPhone.

01:48:08: Denn Android-Geräte schreiben einen Account-Key auf das Device, wenn sie mit ihm das gepährt werden.

01:48:15: Und der allererste von diesen Account-Keyes, der auf so einem Gerät landet, der wird dann der Owner-Key.

01:48:21: Und dieser Ohner-Key ist derjenige, der dieses Gerät dann auch in seinen Google-Konto hinzufügen kann und der dann auch dieses Gerät über Fine My checken kann.

01:48:30: Das wird wahrscheinlich ein Reinstall der Firmware des Geräts nicht überleben.

01:48:34: Das heißt, wenn ich die weiterverkaufen will, dann werden diese Kies sicherlich dann auch irgendwie gelöscht werden.

01:48:38: Aber der Angriff hier, dieser Wisspapier-Angriff, der setzt eben voraus, dass das Opfergerät diese Kopfhörer noch nie vorher mit einem Endo-Telefon gepährt wurden und dann kann ich sie checken.

01:48:48: Das ist aber schon ein relativ großes Aber.

01:48:53: Whisperpair ist jetzt keine universelle Lücke, die auf alle Bluetooth-Geräte, die so draußen im Feld sind, anwendbar ist.

01:48:59: und auch noch auf eine sehr viel kleinere Liste, zumindest nach dem, was ich so gesehen habe, als die Headphone-Jacking-Geschichte von den deutschen Kollegen, also von Dennis und Frieda, und ihren Kollegen, also das ist nicht nur ein Zweierprojekt gewesen bei R&W.

01:49:16: Da gibt es eine Liste, ein Dutzend eingreifbare Geräte, das ist aber... Kein China-Schrott, sondern das sind namhafte Hersteller.

01:49:25: Da ist was von Sonos dabei, von Sony, von Google selber, von Jabra, von Harman.

01:49:32: Vieles von der Liste kam mir tatsächlich bekannt vor, weil viele der Kopfhörer auch beim Headphone-Jacking aufgetaucht sind mit Problemen in ihrer Firma.

01:49:40: Das könnte schon auf eine Art systemisches Versagen bei der Entwicklung der Firmware für diese Kopfhörer hindeuten.

01:49:47: Aber das systemische Versagen in dieser recht überschaubaren Liste angreifbarer Geräte liegt sowohl bei dem Hersteller, der da das übersehen hat, dass man auf mal bestimmte Pakete besser nicht antworten sollte, als auch bei Google selber.

01:50:03: Denn diese Geräte müssen einen Zertifizierungsprozess bei Google durchlaufen, bevor sie fast perfähig sind.

01:50:10: Da gibt es also so eine Art Positivliste zu geben, möglicherweise, weiß ich nicht, ob das auf dem Bluetooth Max basiert oder so, ich weiß es nicht.

01:50:18: Also nicht jedes Jeder Bluetooth-Kopfhörer kann automatisch fast per anbieten.

01:50:24: Und diese fehlerhaften Implementationen sind offenbar an diesem Verifikations- und Zertifizierungsprozess vorbeigekommen.

01:50:30: Weswegen die Autoren sagen, das war ein Fail auf drei Ebenen.

01:50:34: Einmal bei der Implementation, dann bei der Verifikation und eben noch bei der Zertifizierung durch Google.

01:50:39: Und da haben also in mehreren, Workflows, in mehreren Prozessen Probleme gegeben.

01:50:47: Kram ist ich beim zwischenzeitlich verwirrt.

01:50:55: Aber immerhin habe ich habe ich mich heute nicht noch nicht drum geschaltet.

01:50:57: Toll.

01:50:58: Der ganze Kram ist behebbar über ein firmware update des jeweiligen Geräts.

01:51:02: Also der jeweiligen Kopfhörer.

01:51:04: Das müssen die Hersteller natürlich bereitstellen.

01:51:07: Das müsst ihr, wenn ihr glaubt, da verwundbar zu sein individuell für euer Gerät prüfen.

01:51:12: Meine Erfahrung mit der headphone jacking Geschichte war, dass das schon ein bisschen spotty war.

01:51:19: also wir mussten da lange auch suchen welche firmware fix.

01:51:23: das problem das war auch oft dann nicht in den change locks und das war so ein bisschen ein bisschen anstrengend weil dann teilweise acht oder neun geräte eines herstellers verwundbar waren und die hatten dann irgendwie zwölf verschiedene firmware revisionen.

01:51:38: das war nicht so lustig.

01:51:39: also dieses prüfen ist tatsächlich unter Umständen keine triviale aufgabe der.

01:51:44: die finder der lücke das sind niederländer haben das im august an google gemeldet.

01:51:51: die haben dafür uns cvl gekriegt.

01:51:52: das ist cvl e twenty fünf zwanzig sechsen dreißig neun elf haben auch eine fünfstellige bug bounty gekriegt und dann ist google losgestratzt und hat die jeweiligen hersteller mit ins bot geholt die natürlich die firmware ihre devices fixen müssen und das teilweise möglicherweise gemacht haben teilweise möglicherweise aber auch nicht.

01:52:11: also da gibt es auch keine aktuellen informationen und die whisper per webseite sieht sich auch glaube ich nicht berufen die firmware stände da jetzt zusammen zu tragen.

01:52:19: es gibt bald dazu ein paper das ist noch nicht verfügbar und es gibt auch keinen proof of concept.

01:52:25: da sagen sie oder schreiben sie extra dazu das machen wir aus ethischen gründen nicht dass wir einen proof of concept raus geben.

01:52:31: auch das haben die headphone jacking leute damals auch nicht gemacht.

01:52:33: das hat dann eben noch bis zum congress gedauert.

01:52:36: ich habe den fort auch selber noch nicht gesehen erst noch auf meiner pile of shame schon die zweite pile of shame heute und hat da aber wohl auch detailliertere technische Informationen, als wir die gekriegt haben, als das zum ersten Mal veröffentlicht wurde.

01:52:51: Die Webseite ist bis bei PR.eu, können wir auch noch in die Shownotes packen, aber sie ist leicht zu merken und leicht zu tippen.

01:52:59: Was mich jetzt interessieren würde, ich weiß nicht, ob du dann eine Idee dazu hast, weil also die Autoren sagen sozusagen, Fail auf drei Ebenen, Implementierung, Verifikation und Zertifizierung.

01:53:11: Also ist es definitiv sozusagen versiehen in der Implementation.

01:53:15: oder war das so ein so Hör.

01:53:17: und dann haben wir hier wieder Kunden, die irgendwie aufschlagen, weil das angeblich nicht funktioniert, nur weil sie ihr Gerät nicht in Impering-Modus gesetzt haben.

01:53:24: Also reagieren wir einfach grundsätzlich auf die Sieger-Nachrichten, egal ob wir in Impering-Modus sind oder nicht.

01:53:30: Oder ist das wohl wirklich einfach ein Bug?

01:53:34: Also die relativ knappe Webseite schreibt dazu nichts.

01:53:36: Sie sagt aber klar, The specification states that if the accessory und so weiter und so fort ist, also es ist definitiv eine Speckverletzung und ich bin mir nicht sicher, ob das einen erheblichen Usability Gewinn gibt oder ob es wirklich ein Versehen war, also auch die Autoren und die Finder haben da jetzt nichts zugeschrieben.

01:54:01: Ja, es war nur so Verdacht, der mir kam.

01:54:02: Also ich meine, das ist sozusagen nicht durch die, das ist die Speck verletzt und deswegen nicht durch die Zertifizierung hätte kommen dürfen.

01:54:07: und das ist halt einfach ein Sicherheitsproblem.

01:54:08: Es ist ja fraglos.

01:54:11: Aber ich meine, viele Sicherheitsprobleme entstehen ja daraus, dass sich irgendjemand denkt, ja, ist er voll unpraktisch und dann müssen wir Kunden Support leisten, das machen wir anders.

01:54:23: Also den Angriff kann man auch jetzt als Angreifer, wenn man den Code hat, also wenn man einer von den paar Niederländern ist, die ihn gefunden haben.

01:54:31: auf einem beliebigen Bluetooth-Gerät durchführen.

01:54:32: Da braucht man also keine Spezial-Spionage-Ausrüstung, sondern ein Raspberry oder ein Laptop oder eben ein Smartphone.

01:54:39: Reicht.

01:54:41: Ich mache jetzt ganz was Radikales.

01:54:43: Wir sind nämlich bei einer Stunde fifty-fünfzig und wir haben hier noch eine Reihe von Themen auf dem Zettel.

01:54:50: und deswegen sage ich, wir brechen hier mal ab und ihr kriegt eine Bonus-Folge.

01:54:54: Das ist ja auch sehr schön anlässlich des Jubiläums.

01:54:58: Wir kommen hier sozusagen zum Zum Zwischenzeitlichen Ende.

01:55:02: Jetzt machen wir es mal andersherum.

01:55:05: Schickt uns gerne Feedback an password-podcast.heise.de.

01:55:10: Das nächste Mal ist bald.

01:55:11: Da kommt dann Folge-Fünfzig A mit, das haben wir ein bisschen spoilern.

01:55:16: Wir werden über ein Certificate-Transparency-Problem reden.

01:55:20: Das recht unterhaltsam ist über ransomware und smart contracts und über Backbounties.

01:55:28: Ganz kurz über die Neunziger, die ein Wurmloch geöffnet haben und uns Sicherheitslücken geschicken.

01:55:35: Das hört ihr dann vermutlich eine Woche später, jedenfalls erst Zusatzfolge.

01:55:40: Und bis dahin denkt dran.

01:55:42: Dieser Podcast ist das einzige Passwort, das ihr teilen solltet.

01:55:47: Ciao, ciao.

01:55:47: Tschüss.