Jubiläums-Bonusfolge mit Zertifikatstransparenz, neuen Ransomware-Taktiken und telnet

00:00:00:

00:00:02: Passwort,

00:00:03: der Heises Security

00:00:04: Podcast.

00:00:09: Hallo, liebe Hörerinnen und Hörer.

00:00:11: Willkommen zu einer neuen Folge von Passwort, dem Podcast von Heises Security.

00:00:16: Ich bin Christopher Kunz von Heises Security.

00:00:20: Und mein Name ist Silvester Trömmel vom Computer-Magantin CT.

00:00:24: So, wie versprochen, das ist jetzt die Bonus-Folge, wo wir sozusagen einfach nahtlos Passwort fünftig ausdehnen.

00:00:32: weil wir nicht zu Punkt kommen und weil wir ein Jubiläum zu feiern haben.

00:00:37: Wir machen weiter mit Certificate Transparency, einem meiner Lieblingsthemen, das ich wirklich gerne mag, ganz anders als den ganzen PGB-Kram, den mir nur Christopher immer ans Bein klebt.

00:00:51: Also ob nicht wahr, die ganze Redaktion gebt dir den ans Bein.

00:00:54: Das

00:00:54: stimmt.

00:00:58: Also es geht um Certificate Transparency, worum geht es genau.

00:01:01: Es geht darum, Google hat so eine Liste im JSON Format, dafür, welche Certificate Transparency Logs, so wie wir jetzt meistens dann einfach nur noch CT und CT Log sagen, sie akzeptieren, also die für Chrome sozusagen gültig sind oder nicht.

00:01:19: Kannst du noch mal dich

00:01:20: sind?

00:01:20: Kannst du noch mal gerade zwei Sätze sagen, was ein CT Log ist, um noch mal die Leute anzuholen, die wir...

00:01:26: Die Idee ist, dass in der modernen WebPKI jedes Zertifikates ausgestellt wird, in so einen CT-Log eingetragen werden muss.

00:01:35: Und dann kann es in Monitore geben, die sozusagen all diese CT-Logs flöhen.

00:01:40: Und der primäre Grund, warum ich das haben will, ist, dass ja so ein Browser oder auch so ein Betriebssystem vertraut, ganz vielen Certificate Authorities.

00:01:49: Und wenn ich jetzt zum Beispiel heise bin und mir halt vom von der CA meiner Wahl ein Zertifikat für heise.de besorge, dann ist es schön.

00:01:58: Ich habe aber das Problem, dass eventuell am anderen Ende der Welt irgendeine ganz andere CA illegalerweise auch ein Zertifikat für heise.de ausstellt und dann irgendjemand anders Opfern vorgaukeln kann, er oder sie sei heise.de.

00:02:15: Und damit genau das erkannt werden kann, Akzeptieren die Bräuse eben nur noch Zertifikate, die in einem CT-Lock stehen.

00:02:23: und wenn ich im Heise.de bin, dann kann ich zu einem CT-Lock meines Vertrauens gehen und sagen so, hey, bitte sag Bescheid, wenn irgendwo auf der Welt ein Zertifikat für Heise.de auftaucht und dann sehe ich da.

00:02:34: meine, und ich sehe eben hoffentlich nur meine.

00:02:37: Und sobald ich da sehe, ach, guck mal, irgendeine andere CA in irgendeinem anderen Land hat auch eins für heiße DE ausgestellt, kann ich ihn intervenieren, dafür sorgen, dass das invalidiert wird und auch überhaupt der Sache nachgehen, wie es dazu kommen konnte.

00:02:50: Das ist sozusagen, aus Certificates Transparency, leistet.

00:02:54: Und warum es auch wichtig ist, und das ist halt eine Nachteil, die ich in Zufügung zur Web-PKI, es hat eine Weile gedauert, bis es sich halt verbreitet hat und so.

00:03:04: Und damit es funktioniert, muss es eben eine Reihe von diesen Logs geben.

00:03:08: Die müssen einerseits einigermaßen vertrauenswürdig sein und andererseits möchte ich auch irgendwie nicht nur einen haben, sondern es sollte möglichst verteilt sein, damit halt da nicht wieder so eine Instanz irgendwie unangemessen viel Macht einfach auf sich konzentriert.

00:03:22: Und Google verwaltet eben für Chrome und ich glaube, die gilt auch für Android, aber nicht hundertprozentig sicher.

00:03:27: So eine Liste, da steht drin, das sind die Logs, die wir aktuell vergültig halten.

00:03:33: Hier sind Logs, die wir früher vergültig gehalten haben und so.

00:03:38: Diese Liste ist öffentlich aus Transparenzgründen.

00:03:42: Dies aber nicht gedacht, das öffentliche ist API.

00:03:45: Also es ist nicht dazu gedacht, dass sich jetzt irgendwelche anderen Anbieter, die sozusagen CT-Prüfungen machen wollen, auch an diese Liste orientieren.

00:03:54: Tun sie aber.

00:03:56: Das dürfen sie nicht, also im Sinne von die Nutzungsbedingungen von Google untersagen das.

00:04:03: Sie machen es halt trotzdem und es wäre okay, wenn die das halt gescheitersupporten würden, weil Google eben ab und zu was an dieser Liste ändert.

00:04:13: Sie haben auch, also immer mal wieder gibt es auch sozusagen eine neue Format-Version dieser Liste und dann müssen halt alle, die die Liste konsumieren, damit ziehen.

00:04:22: Das würde ich jetzt total überraschen, das tun sie halt leider.

00:04:26: Nicht, ne?

00:04:27: Und der Effekt ist, dass jedes Mal, wenn Google irgendwas an diese Liste macht, irgendwie das halbe Internet auf die Nase fällt.

00:04:32: Und das ist natürlich schlecht, weil irgendwelche komischen CT-Dritt-Anbieter-Apps dann die Liste nicht mehr lesen können und dann plötzlich jedes Zertifikat für ungültige achten oder so.

00:04:43: Zuletzt ist es im Juni, no, zwanzig, fünfundzwanzig passiert.

00:04:46: Wir haben ein Passwortfolge, sechsunddreißig drüber geredet.

00:04:49: Aber das ist immer wieder auch vorher schon passiert.

00:04:53: Und es passiert halt, Egal, wie sehr Google in die Welt schreit, dass sie was an dieser Liste ändern werden.

00:05:01: Ich habe das hier mal nachvollzogen, als Beispiel im August, zweiundzwanzig, haben sie angekündigt, dass es, also die aktuelle Version der Liste ist eine V-III, dass sie die V-I und die V-II-Listen, die sie noch online hatten, abschalten werden.

00:05:19: Das ist dann im Oktober passiert.

00:05:21: Dann sind monatelang alle möglichen apps auf die schnauze gefallen und immer wieder neue apps angekommen mit.

00:05:26: Oh, ich fahre jetzt auch auf die schnauze.

00:05:28: Was für sorten von apps fallen denn da auf die schnauze?

00:05:31: messenger bildersharing apps oder spezialisierte.

00:05:35: Im prinzip jede app die sagt ich möchte einen server kontaktieren.

00:05:39: Ich möchte dieses tls zertifikat mit certificate transparency prüfen.

00:05:44: Und ich laufe auf geräten die nicht also die endo hat fünfzehn oder älter.

00:05:51: sind.

00:05:52: Ab Android XVI ist es eingebaut.

00:05:55: Das heißt, ich kann einfach über die normalen Netzwerke, also Standard Libraries, die halt Android mit habietet, sagen, bitte baue hier die Verbindung auf und prüfe auch Statistical Transparency.

00:06:05: Davor war das nicht eingebaut.

00:06:08: Und wenn ich jetzt eine App habe, die sagt, also die auch unter älteren Androids laufen soll und auch unter diesen älteren Androids unbedingt CT prüfen soll, dann brauche ich so eine dritte Anbieter App, eine sehr bekannte ist der Abmatus.

00:06:22: die von einem einzelnen Entwickler unterhalten wird, der auch vollkommen überarbeitet ist.

00:06:26: Und unter anderem vermutlich deshalb mit diesen Formatendungen von Google nicht hinterher kamen.

00:06:32: Und das ist dann wirklich ein bunter Strauß von Apps, die da auf die Nase fallen.

00:06:37: Alle die, die so eine, als Abmatus oder halt so eine andere Library einsetzen.

00:06:42: Das ist dann eben so Ende zweiundzwanzig die ganze Zeit passiert, bis dann im Februar zweiundzwanzig, nachdem das auch nicht aufgehört hat, im Sinne von jetzt sind irgendwie alle auf die Nase gefallen, die sie erwischt.

00:06:52: Google klein beigegeben hat und die V-Eins vor zwei Listen wieder angeschaltet hat.

00:06:57: Einfach nur damit diese Buck Reports aufhören, bei ihnen einzuprasseln.

00:07:02: Obwohl, wie gesagt, das kein Service ist, den Sie ja als Service angeboten haben.

00:07:06: Wir haben einen neuen Versuch gestartet.

00:07:08: Sie haben dann im März dreiundzwanzig angekündigt.

00:07:11: dass ab Juno, die V.V.Liste den Fehler vieler viel liefern wird.

00:07:18: Also die wird sozusagen nicht mehr geben.

00:07:20: Also der Server wird den Fehler vieler viel liefern.

00:07:23: Da hat niemand darauf reagiert, schamper.

00:07:27: Im Mai, der April, hat der Google nämlich diese Pläne aufgegeben.

00:07:31: Ich zitiere mal.

00:07:44: Also sie haben einfach geguckt, wie viele Anfragen passeln weiter auf diese V-II-Liste ein.

00:07:49: Die nehmen hoffentlich ab, weil wir haben in die Welt geschrieben, dass wir Sie im Juno abschalten werden, die haben nicht abgenommen.

00:07:56: und dann haben sie im Mai die Reißleine gezogen und gesagt, okay, wir schalten es nicht ab, sonst fällt wieder das halbe Internet auf die Nase hin.

00:08:04: Sie haben dann gesagt, okay, wir lassen diese Liste irgendwie weiter online, wir tun da keine Locks raus.

00:08:14: Damit nicht noch irgendwas auf die Nase fällt, wir tun da neue Logs rein.

00:08:18: Die Liste ist im Prinzip wertlos.

00:08:20: Die Liste spiegelt auch nicht wieder, welchen Logs wir vertrauen.

00:08:23: Das ist die V-O-Drei-Liste.

00:08:25: Diese Liste ist einfach nur da, weil irgendwelche unsupporteten Apps sonst auf die Nase fallen.

00:08:32: Was in die Liste allerdings nicht rein kann, sind Static-City-Logs.

00:08:37: Über die haben wir auch in Folge thirty-six und in Folge thirty-nine geredet.

00:08:40: Neues Format für diese Certificate Transparency Logs.

00:08:44: weil die halt ein neues Format sind, sind die anders in diese Liste hinterlegt, also in einem anderen Feld halt und so.

00:08:51: Und von denen gibt es immer mehr.

00:08:53: Das heißt, diese V-II-Lockliste, die sozusagen eh keinen inherritten Wert mehr hat, wird auch immer weniger sinnvoll, weil halt immer mehr aktuelle Locks da nicht eingelistet werden können.

00:09:06: Das ist schon seit Jahren.

00:09:08: diese Liste einfach... sollte man nicht benutzen.

00:09:11: Das fand ich auch sehr lustig.

00:09:11: Man kann die ja abrufen.

00:09:12: Die ist ja immer noch online.

00:09:14: Das ist eine JSON-Datei.

00:09:15: Der erste Wert, den diese JSON-Datei enthält, ist die Versionsnummer.

00:09:19: Und die Versionsnummer dieser Liste da erlaubt.

00:09:22: Deprocated do not use this loglist.

00:09:24: Also das ist die Version.

00:09:26: Und Google kommt halt nicht los davon.

00:09:29: Diese do not use this loglist Liste wird fleißig, alliberal eingesetzt.

00:09:35: Haben die die Versionsnummer edited for clarity?

00:09:38: Ja, so scheint es mir.

00:09:42: So, wir machen fast forward Anfang Januar, zwanzig, sechsundzwanzig.

00:09:46: Auf der certificate transparency policy mailing-Liste meldet sich Issen on behalf of our company.

00:09:53: Es scheinen bei eine Firma aus dem chinesischen Umfeld aber er verredet nicht welche Firma.

00:09:59: Typischerweise wählen sich ja chinesische Staatsbürgerinnen und Staatsbürgerinnen, die viel mit im englischsprachigen Ausland unterwegs sind, einen Vornamen aus dem jeweiligen Sprachraum.

00:10:12: Und das scheint bei ihm auch der Fall zu sein.

00:10:14: Ja, also das ist nicht unüblich, dass sie sozusagen so einen Rufnamen haben.

00:10:18: Naja, jedenfalls meldet sich halt Yvesen, on behalf of your company, er sagt nicht genau, welche Comedy es ist, aber er zählt halt so, naja, Sie haben zwanzig-einundzwanzig für irgendwelche Geräte, die sie halt haben, wo irgendwelche Apps drauf laufen, von ihnen entschlossen, Appmattus eben für Certificate Transparency zu nutzen, dann haben sie sie nicht mehr darum gekümmert.

00:10:39: Also überhaupt nicht.

00:10:42: Ich zitiere, we have not actively tracked updates and unfortunately missed the deprecation notice for CTV-II.

00:10:51: Also wie gesagt, die... Die gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in der Gab's in Vor Jahren gesagt haben, das wird kaputt gehen.

00:11:27: Auch ein Rückgriff auf die letzte Folge vielleicht hat Google da die brennenden Reifen der Deliverability dieser E-Mail nicht erfolgreich durchsprungen und ist irgendwo im Spam-Filter hängen geblieben.

00:11:36: Das

00:11:36: wäre natürlich das Lustigste, wenn nicht mal Google seine Mails mehr im Griff hat.

00:11:39: Aber ich glaube, man kann eindeutig sagen, der Fehler liegt hier bei der Firma von Ethan, weil selbst wenn es diese Mail von Google nicht explizit an sie noch mal gäbe, kann ja nicht einfach diese Library einbauen und mich dann einfach jahrelang nicht drum scheren.

00:11:53: haben sie aber gemacht.

00:11:54: Jetzt sind sie in der Situation, dass sie, zitiert, Zitat, Millionen Geräte im Markt und oder in Lagerhäusern haben, die sie nicht updaten können.

00:12:04: Also zum Großteil, weil sie sozusagen, die halt in irgendwelchen, ausgeschaltet irgendwelchen Lagerhäusern rum liegen, da kommen sie nicht ran und die werden vielleicht irgendwann mal aktiviert oder so.

00:12:12: Aber wenn die aktiviert werden, nachdem sozusagen, diese VZL-Liste keine Logs mehr enthält, die irgendwie Zertifikate enthalten für den Endpunkt, den die Firma da hernimmt.

00:12:26: Das ist ja unglaublich, welche Firmen es geht, welche Webseite sozusagen diese Geräte da kontaktieren sollen.

00:12:31: Aber wenn die halt ein Zertifikat präsentiert, das nur noch in neuen Logs steht und nicht mehr in Alten, dann werden die das halt scheinbar auf die Nase fallen.

00:12:39: Also ich zitiere noch mal über High Risk of Activation Failure and Disruption to Normal Operation.

00:12:46: Und das droht Ihnen wohl im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April,

00:12:58: im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April, im April.

00:13:14: So ESP-Basierte irgendwas, smarte Heizkörper, Regler oder irgendwie sowas in der Art, wo das da verbacken ist und die dann halt einfach Kistenweise oder Containerweise irgendwo im Lager liegen.

00:13:27: Ich habe ehrlich gesagt keine Ahnung.

00:13:29: Also ich bin ehrlich, also ESA ein bisschen am Raten, weil ich so lustig finde, sich hinzustellen und zu sagen, okay, wir brauchen unbedingt Certificate of Transparency.

00:13:39: Diese Sicherheit ist uns wichtig.

00:13:41: Die ist uns so wichtig, dass sie sogar in Android-Versionen brauchen, wo das nicht unterstützt wird.

00:13:48: Deswegen müssen wir auf so eine Zert-, oder in allgemeinigen Umgebungen brauchen, wo das nicht von der Standard-Library unterstützt wird.

00:13:53: Deswegen müssen wir auf so eine Drittanbieter-Library ausweichen.

00:13:56: So wichtig ist es.

00:13:58: Und gleichzeitig ist es uns so wurscht, dass wir es reinklatschen und uns fünf Jahre lang nicht drum scheren.

00:14:04: Also es ist, ich ja, keine Ahnung, was für ein Device das sein könnte, wo man sozusagen ... mit dieser zweigespaltenen Ansicht rangehen.

00:14:13: Hat das eine Securitywurst ist?

00:14:14: Es gibt natürlich allenthalben.

00:14:16: Aber warum bauen Sie dann überhaupt eine CT Library ein?

00:14:20: Mir fällt gerade ein, dass es ja von Brian Craps eine längere Recherche gab zu diesen chinesischen... TV-Boxen, die mit Android ausgeliefert werden und womit du allerlei Streamingdienste irgendwie raupkopieren kannst oder so illegale Streamingdienste ausführen kannst, die auch dann vorinstalliert in der Regel irgendwelche Malwehr haben oder Teil von so Proxy oder ORB-Netzwerken werden.

00:14:41: Und da würde das vielleicht sogar passen, weil das Geräte sind, die sind immer relativ preisgünstig.

00:14:47: Das heißt, als Hersteller könntest du dir Millionen oder Hunderttausende davon aufs Lager legen.

00:14:51: Die haben aber ein eingebautes Android.

00:14:54: Und müssen natürlich auch viel TLS sprechen und würden dann auch für ihre Aktivierung mit irgendeinem Server in China reden und da dann auch gleich einmal abkippen, in welches Proxy-Netzwerk, die jetzt gleich eingeschläust werden.

00:15:03: Vielleicht ist es so was.

00:15:04: Ja, und die hätten vielleicht auch ein Interesse daran sozusagen oder eine reale Watteschance, dass irgendein anderer Spoxynetzwerk versucht, sie zu unterwandern oder so und deswegen müssen sie Certificate Transparency einspannen, um die Certificate zu validieren und so.

00:15:18: Ist eine gute Theorie.

00:15:19: Also ich habe einfach keine Ahnung.

00:15:22: Sie haben jetzt jedenfalls sozusagen ein Problem.

00:15:25: Und man muss sagen, Schneid haben sie auch, weil sie halt jetzt, nachdem sie irgendwie fünf Jahre lang schlafen waren, sagen, we kindly request that Google updates the city v. to loglist, to align with the city v. to loglist.

00:15:38: Also diese v. to logliste von der Google seit drei Jahren schon sagt sie, hey, die ist wertlos.

00:15:43: Das ist nicht unser Stand, welche Logs wir für sinnvoll erachten.

00:15:48: hört auf, die herzunehmen.

00:15:50: Version ist do not use this log list.

00:15:54: Die sollen jetzt bitte mal updaten, damit die sozusagen wieder den akkuraten Stand von Google Sicht auf Certificates Experience wieder gibt, damit die Geräte von Isons Company da irgendwie wieder tun.

00:16:06: Ihr könnt euch das vielleicht denken.

00:16:08: Google's Reaktion war also sozusagen nicht im Business English formuliert, würde ich sagen hell no.

00:16:16: Im Business English war es... Während ich sehr sympathisch bin zu dem Schmerz, dass das euch und deinem Team causieren wird, hat unsere Erfahrung uns gesagt, dass die Höhe des Dettelins nicht uns benötigen, sondern die Ökosysteme breit.

00:16:32: Einmal ein Detteliner verwendet sich eine neue Bedeutung von Entwicklerinnen und Entwickler, dass sie negativ empfangen werden und uns für weitere Verspannung fragen.

00:16:42: Also jede Mal, wenn sie ... der Etlein-Anrück kommt wieder irgendjemand aus der Versenkung und sagt doch Gott, bitte verschiebt es doch noch mal.

00:16:50: Ja, Gott, er hat ja Monstrandom, denn genau das ist ja passiert.

00:16:54: Genau.

00:16:56: Man merkt halt auch Guglanker Lust mehr.

00:16:58: Also sie seit Jahren verschieben sie und verschieben sie diese Liste, weil jedes Mal wieder irgendjemand ankommt und sagt aber, aber, aber dann geht doch bei uns was kaputt.

00:17:09: Nichts ist so.

00:17:09: trotz, haben sie jetzt einen Plan vorgestellt, um ist ein Problem, also ist ein Weg zu geben, sein Problem zu lösen und halt auch allen anderen mit diesem Problem, weil er vermutlich und Google Card über die Lieder von Singen nicht alleine damit dasteht und sie wollen jetzt sozusagen also machen einen weiteren Versuch diese Listen zu deaktivieren und da halt irgendwie von los zu kommen.

00:17:36: Es geht los mit, sie fangen jetzt an, Client zu Fingerprinten, also irgendwie dem Client zuzuordnen, ist es ein legitimer CT Monitor oder sonst ein Teil des Certificate Transparency Ökosystems, der sozusagen auf die wahre Google Liste Zugriff nehmen will, um mal zu wissen, okay Google, welche Logs haltet ihr denn für Valide, welche Logs haltet ihr für Expired, welche Logs haltet ihr für Up and Coming, aber sie ist noch nicht verbreitet und so weiter.

00:18:04: Versus Bist du irgendeine Library, die hier unzulässigerweise und abgesprochenerweise versucht, einfach die gleichen Logs zu verwenden wie Google?

00:18:13: Und wenn eben dieser Heurist-Prik oder dieses Fingerprinting zu dem letzteren Schluss kommt, dann liefern sie eine andere Liste aus.

00:18:21: Also sie werden grundsätzlich, ich quote unquote, illegalen Nutzern der V-III-Liste, also halt irgendwelchen Apps, die das nicht hernehmen sollen, und halt allen Nutzern der alten V-II-Liste, die ja eh nicht aktuell ist, andere Versionen ausliefern dieser Liste.

00:18:39: Diese speziellen Listen, die sozusagen dynamisch an die Kleins ausgegeben werden, bekommen keine neuen Logs mehr.

00:18:48: Das heißt, die werden notwendigweise auslaufend ihre Sinnhaftigkeit, weil alle Logs ja solche Ablaufdaten haben.

00:18:54: Die Logs in Certificate Transparency machen in dieses Temporal Sharding.

00:18:58: Die sind dann zuständig für ein ganzes Jahr oder für ein halb Jahr üblicherweise.

00:19:02: Und die laufen dann irgendwann aus.

00:19:04: Und wenn sozusagen keine neuen Docs mehr in diese Liste aufgenommen werden, dann wird diese Liste irgendwann erdlos werden.

00:19:09: Für die V-Zwohl-Liste sollte das ab Januar, der Fall sei, dass die einfach keine Lok mehr enthält, die ja noch aktiv ist.

00:19:18: Und

00:19:20: für die

00:19:21: Variante der V-Zwohl-Liste, die sie aber jetzt rausgeben, wenn sie glauben, du bist aber kein legitimer Nutzer, sollte das ab Juli, der Fall sein.

00:19:32: So, jetzt hat es halt auch nur den Effekt, dass dann, also dann eben, ich spätestens im Januar, siebenundzwanzig oder im Juli, siebenundzwanzig die Apps irgendwie tilt sagen.

00:19:41: Deswegen gehen Sie einen Schritt weiter, Sie haben zwei Mimic-Locks, so nennen Sie das, erstellt.

00:19:48: Das sind keine echten Locs, die gibt es nicht wirklich, aber die sind sozusagen formal, haben Sie halt ein passendes Lock-Key-Pair und deren Private Keys sind publiziert, also kann man sich unterladen auf der Google-Webseite.

00:20:01: Das heißt, sie sind halt sicherheitstechnisch und certificate transparency technisch absolut nichts wert, weil jeder für seine, für jedes Zertifikat sich so SCTs von diesen Logs generieren lassen kann.

00:20:14: Und die Idee ist jetzt, weil das jeder kann, kann eben dann zum Beispiel so eine Firma wie die von Ethan, wenn dann ihre Geräte irgendwann im April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April, April.

00:20:31: Sieht sie, ach guck an, da sind ja noch zwei so Logs.

00:20:32: Zwei ist genau die Zahl, die ich brauche, kriege ich dann sozusagen, wenn ich meine Webseite kontaktiere, ein Zertifikat mit SCTs von diesen beiden Logs.

00:20:40: Und dann kann halt Eastons Company solche SCTs generieren und ihre CA hoffentlich sagen, bitte, bitte, bitte, schick doch diese, also klebe doch diese SCTs als Zertifikat, wenn du es auslieferst.

00:20:54: Oder halt auch, also deinem TLS Dienstleister, man kann das auch über TLS Extensions machen und so.

00:20:58: Also man muss da irgendwie, sofern man nicht alle selber macht, mit seinen Infrastruktur-Providern ein bisschen reden.

00:21:05: Aber es gibt sozusagen die Möglichkeit, sich einfach selber solche SCTs zu basteln, die deswegen halt sicherheitstechnisch auch keinelei Wert haben.

00:21:12: Aber die irgendeine Uralt-App, die irgendeine Uralt-Version diese Liste will, zufrieden stellen sollten und dann sind die happy.

00:21:21: Auch das schien nur so ausbedingte Gegenliebe zu stoßen.

00:21:27: Da hieß es dann so, ja, aber wir haben mit unserem SSL-Provider geredet und das ist irgendwie schwierig und so, aber da war dann Google halt auch auf dem Dampfer.

00:21:33: Also, das ist jetzt, was ihr kriegt, nehmt es oder lasst es.

00:21:40: Immer wieder im Raum steht, weil das scheinbar bei diesem speziellen Library irgendwie helfen würde, ist, dass die, dass die Liste einfach abschalten und dann vierhundert vier liefern.

00:21:49: Und er sagt eben Google Natives machen, wenn nicht das haben wir ausprobiert und es ist bei den Haufen.

00:21:52: Geräten sind damit auf die Nase gefallen.

00:21:54: Also das ist genau das, was wir nicht tun werden.

00:21:56: Diese Liste wird online bleiben.

00:21:58: Die wird halt zunehmend inhaltlich sinnlos werden.

00:22:01: Und wenn sie an dem Punkt ist, dass ihr sozusagen da keinen Logs mehr... habt, die euch irgendwie verifizieren können, dann habt ihr halt diese Mimik-Logs, die sind nix wert und damit ist Certificate Transparency auch für den Eimer für euch, aber zumindest eure App funktioniert.

00:22:15: Trotzdem trauen sie den Braten nicht, also Google sagt halt, naja gut, so planen wir das jetzt mal gucken, ob dieser Plan steht.

00:22:23: Ich mein, sie haben ja schon viel geplant und sind jedes Mal wieder eingeknickt, weil sie gesagt haben, okay, fein, dann schalten wir das Internet halt doch wieder an.

00:22:31: Sie werden jetzt ab Juli, im Jahr Immer mal wieder für bis zu vier Stunden, diese V-III-Liste für illegale Nutzer und die V-II-Liste schon mal eindämmen, sodass die nur die Mimics enthält, so wie das dann eben anfangen, also ab Januar, zu Hause, sieben und zwanzig notwendigweise der Fall sein wird.

00:22:51: Einfach nur, um zu gucken, wie viel dann umfällt.

00:22:54: Und sie sagen eben, das werden wir für maximal vier Stunden machen, wir werden maximal einmal pro zwei Wochen machen.

00:23:01: So dass halt die Welt sich dran gewöhnen kann, was immer umfällt, wenn Google mal ihre uralte V-Zwei-Liste abscheidet für bis zu vier Stunden.

00:23:10: Und hoffentlich, hoffentlich, hoffentlich kommen sie sozusagen dann ab, also in diesem halb Jahr an dem Punkt, dass sie sagen okay.

00:23:19: Jetzt sind, also jetzt sind die Leute irgendwie außer, das sind einigermaßen entweder migriert auf eine andere Lösung, nutzen die eingebauten Certificate Transparency von halt Android oder was auch immer oder nutzen diese Mimic-Logs oder was auch immer, sodass sie dann möglicherweise, also das sagt Google, sie schließen das halt nicht aus oder andersrum, sie garantieren, dass sie die Listen online lassen mit diesen Mimics bis Juli'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i'i' Und danach hoffen sie, sie halt endlich abschalten zu können.

00:23:55: Wir werden sehen, ob es dazu kommt oder ob halt wirklich, also wieder, wenn sie dann irgendwie im Juli mal so testweise die Dosisten eindampfen oder so, wieder so viel auf die Nase fällt, dass sie sich was anderes überlegen müssen.

00:24:06: Aber es ist, also ich merke, ich bin hoch amüsiert und wir tun natürlich die Leute bei Google Light oder so, aber es ist wirklich lustig, wie sie diese Listen... nicht loskriegen, obwohl sie sie seit Jahren und Jahren halt nicht mehr hernehmen, sie nicht mehr inhaltlich sinnvoll sind.

00:24:24: Also die Listen als auch die Dokumentation in die Welt schreit.

00:24:27: man soll die Finger von diesen Listen lassen.

00:24:31: Und trotzdem kommen sie nicht daraus, dass immer immer wieder wichtige Apps halt umfallen, wenn sie irgendwas dran machen.

00:24:41: Das das ist ja schon ein bisschen wild.

00:24:44: ich weiß nicht ob du es schon gesehen hast aber.

00:24:47: Ich habe mir gerade den thread auch noch mal aufgemacht und die story ist ja noch nicht zu ende noch nicht ganz also.

00:24:54: Ich muss es mal so ein bisschen recapitulieren aus.

00:24:57: sagen wir mal der david versus guliat sich zum google eine der größten organisation einer der.

00:25:05: Rigidisten Vertreter von Änderungen in der Web-PKI, die sagen so ab Chrome-Hundertsechzig fliegen alle Zertifikate raus, die nicht das und das erfüllen und dann kann das CAB gerne nachziehen.

00:25:16: So und da diese Google, die auch immer sowas sagen wie wir müssen hier Internet weiter Entscheidungen treffen, deswegen machen wir uns das im Chrome-Team auch immer alles nicht leicht und so weiter und sofort.

00:25:27: Die kriegen eine E-Mail bzw.

00:25:29: kriegen hier, das findet ja alles auf Google Group statt, also auf der CT Policy Mailing-Liste des Chromium-Projekts.

00:25:35: Die kriegen von einem anonymen Chinesen eine E-Mail, in der er sagt, wir sind ein Android-Kramhersteller, der irgendwie an alle möglichen Business-to-Business-Kunden und Business-to-Konsumersachen weiterverkauft und wir haben Millionen Geräte.

00:25:49: Ich kann dir aber leider nicht sagen, wer wir sind.

00:25:52: Dieser anonyme Chineser sagt, mach das mal bitte anders, und die haben ja auch in der ersten Mail nicht gesagt, ja, könnten wir da vielleicht bei Zeit mal darüber reden, sondern da steht in Caps very urgent davor.

00:26:02: Also ist jetzt auch nicht so, dass sie sagen, wir wissen, dass wir ein kleines Licht sind.

00:26:06: Diese anonymische Lese, der treibt also diese Organisation vor sich her, um das Gleiche zwar nicht zu wiederholen, was sie schon mal gemacht haben, nämlich dann wieder irgendwelche Deadlines zu verlängern, aber ringt denen so eine Bastel-Mimik-Lösung ab, ohne seine Anonymität.

00:26:24: zu lüften zumindest nicht in dem was wir sehen kann ja sein dass hinter den kulissen einer los gerannt ist und gesagt hat von google.

00:26:30: so wer seid ihr denn wirklich mal hier?

00:26:33: also ich glaube ich denke es ist realistisch dass google weiß wer das ist unter anderem weil auch in der ersten antwort von von google wenn du das siehst sagen sie though I only approve this one.

00:26:49: The other one was a threat, which included a bunch of personal information.

00:26:53: I presume you did not intend to post.

00:26:56: Also Sie haben da sozusagen als Datenschutz, könnten die anderen Mails nicht durchgelassen.

00:27:00: Deswegen würde ich davon ausgehen, dass Google jetzt eventuell unabsichtlicherweise weiß, wer das ist.

00:27:05: Ja,

00:27:06: okay, stimmt.

00:27:07: Habe ich auch gelesen, habe ich dann aber direkt wieder vergessen.

00:27:10: Also offensichtlich ist es kein ganz winziger Laden, sonst hätte sich Google da gar nicht so vorhertreiben lassen.

00:27:17: Dass die dann auch nicht sagen so hier.

00:27:21: Karten auf den Tisch bitte.

00:27:22: ihr seid Lenovo oder ihr seid keine Ahnung Xiaomi oder sowas ist ja egal.

00:27:27: Das finde ich schon putzig.

00:27:28: und dann kommt da diese ganze Diskussion die im Wesentlichen von einem.

00:27:33: wir möchten aber gerne dass ihr das so macht wie wir das wollen und googles Riesenladen.

00:27:39: Eigentlich wollen wir das nicht so gerne.

00:27:41: getrieben ist und dann ist das ganze thema ausdiskutiert.

00:27:44: dann kommt ein zweiter an und über chinesen und sagt hey wir haben genau das gleiche problem.

00:27:51: das kam vor drei tagen am sechsten zwanzigsten.

00:27:52: der heißt nur tl tl macht erst mal was man auf mailing listen so gerne macht nen full quote tofu text oben voll quote unten und sagt dann hey wann ist es so weit?

00:28:03: wann können wir denn damit rechnen?

00:28:04: wann ist das fertig?

00:28:06: ich finde das ich finde das wild Und dann hat er sich ungefähr vor einem Tag am achtenswarzigsten nochmal ganz lieb bedankt.

00:28:13: und dann sagt er, hey, wir haben mit mehreren CAs gesprochen.

00:28:17: Und einige CAs bauen uns Zertifikate, die dann irgendwie SCTs so einbauen, wie wir das gerne hätten.

00:28:25: Und wir müssen das koordinieren mit denen.

00:28:28: Und deswegen wollen wir auch wissen, wann das fertig ist.

00:28:31: Es ist Wind.

00:28:32: Das ist so, weiß ich.

00:28:36: Also es gibt auch auf einer anderen, es gibt ja einmal die Certificate Transparency Policy Liste und dann gibt es eine andere CT-Mening Liste auch noch.

00:28:44: Auf der anderen kam jetzt auch noch der Ruf nach, man bräuchte bitte drei Mimics aus irgendeinem Grund, da gab es aber gerade noch keine Antwort drauf.

00:28:52: Also vielleicht ändert sich auch an der Zahl der Mimics noch was.

00:28:55: Aber der Punkt ist halt auch, ich hab's grad noch mal rausgesucht, als im Juno, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Juni, im Jun Gefallen ist.

00:29:10: Na, haben halt angeblich die Apps von Monday.com, Everbride, UPS, Kraken, Ikea und JudiMeetinger ist aufgegeben.

00:29:18: Und das sind halt schon einfach Firmen, wo ich verstehe, wo Google sagt, okay, und wenn die dann allen die Welt schreien, Google ist schuld, dann lassen wir es halt besser und geben ihnen nochmal irgendeine Chance ihren Kram zu fixen oder so.

00:29:30: Also es ist halt auch nicht von wegen dann... dann fällt halt irgendwie die komische Putzenapp von irgendeiner Firma, von der du noch nie gehört hast auf die Nase, sondern es sind scheinbar jedes Mal doch auch wieder relevante Namen dabei, wo man dann nachvollziehen kann, dass gut gesagt, okay, wär schon doof, wenn die jetzt einfach kaputt wär.

00:29:48: Stimmstensfalls machen diese Apps dann auch irgendwie, oder was auch immer das ist, CT für irgendwelche Update-Lösungen, sodass die Hersteller ja nicht mal irgendwie Updates reinkriegen, wenn das mal umgefallen ist und so.

00:29:59: Also ja, ich finde es auch total wild, das ist eigentlich auch lustig.

00:30:04: Wenn ihr das auch lustig findet, dann sagt uns Bescheid, es gibt nämlich noch eine andere Geschichte im Certificate Transparency-Umfeld, die sich gerade so vor sich hin entwickelt, wo ich auch überrascht und amüsiert war, wie es dazu geht.

00:30:22: Schreibt uns auch einfach auf Mastelon oder per E-Mail oder so, wenn ihr mir irgendwie auch in der nächsten Folge noch was zur Certificate Transparency hören wollt, dann... Hätte ich da noch was in Petto.

00:30:34: Also eigentlich haben wir ja jetzt genug Zeit, dass du es sofort erzählen kannst, ne?

00:30:38: Ja, aber ich habe das jetzt nicht vorbereitet.

00:30:40: Ah.

00:30:42: Deswegen steht es auch nicht in den Notizen.

00:30:46: Gut, wir verlassen das PKI und bewegen uns in den Untergrund.

00:30:55: Wir machen ein bisschen Cybercrime, aber nur wenig Cybercrime, weil der gar nicht so im Vordergrund steht.

00:31:01: Erstmal eine kleine Randnotiz.

00:31:04: Wir haben ein bisschen Stühlerücken im Cybercrime.

00:31:06: Foren.

00:31:07: Universum, da gibt es ja so vier, fünf Foren, die immer Lustiges, da bittet die Behörden über so lustiges Wack-Emole-Spiel, mal ist das eine offline, dann kommt das andere wieder und dann gehört das angeblich den Behörden.

00:31:18: Diesmal hat es einen Cybercrime-Foren namens Ramp-Avish, das ist eines der Foren, in die man auch nicht einfach so reinkommt, sondern nur mit Fürsprache beziehungsweise gegen Einwurf von Scheinen.

00:31:29: Und das ist jetzt vom FBI Gebastet worden.

00:31:33: also die tour also die ordnendomain da kommt so eine landeseite dieses bla bla bla.

00:31:40: man kennt die.

00:31:42: Besonderheit von ramp ist das ist eines der wenigen wenn nicht sogar das einzige der größeren untergrund vor und war wo ransomware erlaubt war also wo die ganzen ransomware dudes ihre.

00:31:51: Ähm, ihre Accounts hatten, bei XSS zum Beispiel gab's das auch, aber nur für die technischen Aspekte und da sind dann auch die Leute, wenn sie angefangen haben, ihre Ransomware Asset Service Programme zu bewerben, relativ zügig rausgeflogen.

00:32:03: Also der Lock-Bit-Sub, oder Chef, der ist da gebannt worden und alle möglichen anderen auch.

00:32:11: Das Ramp-Forum sah das ein bisschen anders, da war Ransomware also ein erlaubtes Thema und jetzt ist Ramp erst mal offline, mal sehen wie lange und was dann noch danach kommt.

00:32:21: Ein anderes Forum, nämlich das Breach Forum, gibt es dafür wieder.

00:32:24: Das hat auch so ein bisschen so eine On-off-Beziehung mit dem Internet in den letzten Jahren gehabt.

00:32:29: Das war immer mal wieder down.

00:32:30: Es gibt sehr hartnäckige Gerüchte, dass es von Behörden unterwandert wurde oder betrieben ist.

00:32:37: Und das ist jetzt aber wieder verfügbar oder sowas ähnliches wie verfügbar.

00:32:41: Da geht mal die Online-Adresse nicht, mal die... Clear Web Adresse, aber das gibt es und das ist auch tatsächlich nicht ein Reboot des Forums mit anderen.

00:32:52: Also, wo einfach jemand den Namen sozusagen geklaut hat und eine Kopie online gestellt hat, sondern das sind auch tatsächlich die Inhalte und die Atmens, die letzten Atmens des Original-Breach-Forums.

00:33:04: Und dann gibt es noch einen ganzen Stapel anderer Foren, die immer wieder unter und offline sind.

00:33:07: Aber diese beiden haben schon eine gewisse Fallhöhe, weil sie immer mal wieder auch Die Quelle für irgendwelche größeren Leaks sind und weiß ich da so ein bisschen die Szene trifft wer auch wieder aus der versenkung aufgetaucht ist.

00:33:22: was man nicht gedacht hätte ist eine.

00:33:26: Gruppe oder er als operatoren oder renzo erstrain namens alph wie beziehungsweise früher hieß nie mal black cat.

00:33:33: die haben sich verabschiedet.

00:33:35: recht unrühmlich.

00:33:36: Ich müsste lügen, ich glaube, im Jahr ist es im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube,

00:33:57: im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ist es im Jahr, ich glaube, im Jahr ihnen nicht Zustand und ihrem Affiliat nicht Zustand dann genommen, obwohl sie halt, also ich meine, das war ja, das liebes Gut war halt einfach, ich meine, die haben halt nicht nur das Opfer geklaut, sondern auch ihren Affiliat.

00:34:13: Genau.

00:34:14: Und das es gibt in der Szene Mechanismen, um das zu verhindern, zum Beispiel, ich glaube Lockpit macht das so, dass die Opfer... der Lösegeldsumme direkt an den Affiliate zahlen und die restlichen zwanzig Prozent direkt an Lock-Bit, sodass das in beide Seiten nicht vorkommen kann, dass der eine den anderen um die Provision beschleißt.

00:34:35: Aber klar, es gibt keine Ehre unter Dieben und deswegen war da jetzt auch keiner diesseits des Gesetzes besonders mitleidig, höge der Akteur gegenüber, die Dieser Affiliate hat es dann gleich nochmal da angegriffen.

00:34:50: Ich glaube, Change Healthcare war es und hat gleich nochmal gesagt, jetzt wollen wir aber auch noch mal ein zusätzliches löse Geld.

00:34:55: Also, wenn da der eine der anderen betrückt, trifft es nie entfalschen.

00:35:01: Die haben sich an einen der bekannten Beobachter der Cybercrime Szene gewandt, nämlich wie X Underground, der betreibt ein riesiges Archiv von Malware Samples, wo alles drin ist, was es an Malware so rumkreucht und fleucht und der ist auch sehr gut in der Szene vernetzt.

00:35:19: Unter anderem hat ihm in den letzten Wochen auch der Dimitri Khoroshev ein Lebenszeichen zukommen lassen, also der Operator von LockBit.

00:35:28: Und eben auch elf wie und er hat das beiden nicht geglaubt, dass sie die echten sind und hat den einfach über was auch immer sie ihn kontaktiert haben, wahrscheinlich Q Talks oder so.

00:35:37: Einfach Katzenbilder zurück geschickt, bis sie irgendwann angefangen haben, ihm auch mit Katzenbildern zu antworten.

00:35:42: Und dann irgendwie hat er dann wohl Spitz gekriegt, dass das das Original ist und die haben ihm ein paar interessante Sachen oder zwei interessante Sachen erzählt.

00:35:49: Das kann ich nur in indirekter Rede wiedergeben, weil das habe ich da aus dem Telegram Channel gefischt.

00:35:55: Und das eine ist, dass sie sagen, wir betreiben, wir werden in Zukunft, also wir werden wieder anfangen zu arbeiten, wir werden aber keine Leakszeit mehr im Darknet betreiben, also über Tor und Onion, weil, würdliches Zitat, the FBI can fuck it leert.

00:36:11: Also frei übersetztes FBI kann mit an Tor rumfuschen und kann Tor... Ich wollte sagen, es ist IT

00:36:19: bezieht sich auf Tor, ne?

00:36:21: Also die gehen davon aus, dass FBI Tor auseinandernehmen kann.

00:36:24: Genau.

00:36:25: Und sie wollen jetzt für alles, was sie tun, die Blockchain benutzen und wollen da irgendwie dann die auch ausnutzen, dass man da dann auch nicht so einfach mit irgendwelchen Takedowns arbeiten kann.

00:36:36: Dieses

00:36:37: Prinzip oder diese Idee haben ein paar andere auch schon gehabt.

00:36:41: Auch andere ransomware-Dudes, aber wo man es zuerst gesehen hat, war bei Nordkoreanischen Malware-Angriffen.

00:36:48: Die haben dann so Ethereum-Smart Contracts verwendet, um da drin Informationen zu transportieren, wie zum Beispiel, das haben wir jetzt auch in diesem Beispiel.

00:36:55: die IP-Adressen und URLs zu den Command- und Control-Server.

00:37:00: Und das macht eine relativ neue Ransomware-Strain namens Deadlock.

00:37:06: Die haben keine Leaksite und haben es jetzt trotzdem irgendwie so sozusagen auch auf Heise geschafft, ohne eine Leaksite zu betreiben.

00:37:15: Die sind auch keine Reseller von irgendeinem bekannten Ransomware-Service-Programm.

00:37:20: Ich habe auch keine Informationen über irgendwelche Opfer dieser dieser deadlock ransomware gefunden weil die natürlich dann durch das raster sämtlicher trekking mechanismen fallen also die großen sites die ransomware angriffe oder ransomware sites RAS programmetracken.

00:37:37: die machen das üblicherweise indem sie auf die diese leaksite scrapen und Das geht natürlich nicht wenn keine da ist.

00:37:44: auf jeden fall hat einer von Group IB die haben da ein sample irgendwo rausgefischt von dieser deadlock ransomware die einige Sachen macht, die jeder Ransomware auch macht, nämlich sie machen Double Extortion, das heißt sie verschlüsseln die Dateien und exfiltrieren sie und das bedeutet, dass sie damit auf zwei verschiedene Arten erpressen können.

00:38:10: Sie können dich einmal damit erpressen, dass du deine Daten nicht mehr auf deine Daten nicht mehr zugreifen kannst.

00:38:15: und zum anderen können sie nicht damit erpressen, dass sie deine Daten entweder veröffentlichen oder an die Konkurrenz verkaufen oder an andere.

00:38:21: Mal wäre oder Cybercrime-Artisten, die dann da irgendwelchen Kappes mitmachen.

00:38:25: Das ist aber typisch, Double oder Triple Extortion, das dritte bei der Triple Extortion wäre dann Dinal of Service.

00:38:31: Und sie nutzen für die UALs ihrer Command and Control Server auf eine ganz, ich weiß gar nicht, ob ich das eine pfiffige Art finde oder nicht, nutzen sie Polygon Smart Contracts, die... legen wenn sie ein system verschlüsseln nicht nur diese übliche text datei zahl bitte bitcoin im wert von x dollar an folgendes wallet sondern sie legen da auch eine html datei bei.

00:38:56: und diese html datei integriert im grunden formular oder so eine so ein support chat über den session instant messenger und lädt dann per javascript über eine kleine javascript funktion aus dem aus der polygon blockchain aus einem speziellen smart contract dessen adresse da in der in dem javas kriptat kodiert ist eine von der wird eine funktion ausgeführt die heißt ich glaube.

00:39:27: Ein property wird rausgeholt.

00:39:29: das kann gesetzt werden mit einer funktion namens set proxy und das holen sie sich dann mit dem xml htp htp requester raus und das ist dann quasi.

00:39:38: Ein Proxy-Server, der diese Kommunikation entgegen nimmt und dann an sie weiter leitet.

00:39:43: Also quasi nochmal eine zusätzliche, eine zusätzliche Indirektionsebene, um eben die Kommunikation für die Deadlock-Leute ein bisschen einfacher oder ein bisschen sicherer zu machen.

00:39:55: Einfacher wird es vor allem für die in Anführungszeichen Kunden, also die Opfer, denn die müssen sich dann kein Session kleint runterladen, sondern können über dieser HTML-Datei direkt mit ihren Erpressern kommunizieren.

00:40:07: Ob es das jetzt wert war, weiß ich nicht.

00:40:11: Ich habe mir diesen Smart Contract angeguckt bzw.

00:40:14: auch mal was da so alles drin steht und da ist dieses Set-Proxy-Funktion das letzte Mal vor zweieinhalb Monaten ausgeführt worden vor sieben, siebzig Tagen und da ist dann eine IP-Adresse, die in der Ukraine sitzt, reingekippt worden und seitdem ist da nichts mehr passiert.

00:40:32: auch diese Vorgehensweise noch aktuell ist oder ob sie jetzt einfach einen Smart Contract mit der anderen Adresse verwenden, die werden sie ja auch regelmäßig vielleicht einmal pro Angriff rotieren oder so.

00:40:41: Das ist unklar.

00:40:42: Wenn euch das interessiert und ihr euch das im Detail angucken wollt, auch mal die technischen Details noch weiter anschauen wollt, Group IB hat das alles auseinander klar mühsert und den Link zu dem Blogartikel packe ich in die Show Notes.

00:40:55: Ja, also ich finde das ganz interessant.

00:40:57: Vielleicht um ein bisschen zu erklären, das ist ja... Eigentlich keine dumme Idee.

00:41:01: Wenn man diesen Smart Contract correct programmiert, dann kann man sicherstellen, dass nur jemand, der halt ein Passenzest zertifikat oder sie sonst irgendwie identifizieren kann, da diese Proxy-Adresse hinterlegen kann.

00:41:17: Und gleichzeitig kannst du halt ganz allgemein aus so einer öffentlichen Blockchain keine Info tilgen.

00:41:22: Das heißt, Alle überall könnten halt die die Clients in Anführungszeichen sich den aktuellen Proxy IP suchen und gleichzeitig, wenn der Server irgendwie hopsgenommen wird, kann ich halt das Angriff in eine neue setzen und keine Behörde kann irgendwie statt mir da eine Adresse setzen, die ihnen gehört und so.

00:41:48: Ich habe mir das System jetzt nicht genau angeschaut, also ich finde zwei Sachen einem großen und ganzen interessant.

00:41:52: Das eine ist... dass sie eben sagen wir trauen tor nicht mehr ausreichend.

00:42:01: Es ist ja nicht zum ersten mal dass da irgendwie zweifel laut werden.

00:42:04: na es gab in diesem fall wo das bka jemanden die war das bka oder jemanden die analysiert hat Die also der war allerdings ein bisschen speziell gelagert und die haben mit dem chatten können und dieser chat klein war so ein bisschen.

00:42:18: also es war also relevant dass sie da eine Kommunikation initiieren können und sie haben sich dann auch glaube ich bei Wodafone angeklopft und gesagt, wir brauchen jetzt hier mal die App-Adressen von allen Leuten, die mit diesem, also es war irgendwie wichtig, dass sie irgendwie schon rausgefunden haben, der war bei Wodafone und so.

00:42:34: Es war halt so relativ speziell.

00:42:37: und jetzt zu sagen, wo wir machen gar nichts mehr mit Tor, finde ich, eine interessante Info.

00:42:43: die mich ehrlich gesagt mehr beunruhigen würde, wenn sie nicht sagen würden, dafür machen wir jetzt ein Blockchain, weil wenn du dir anschaust, was die durchschnittliche Sicherheit von diesen ganzen Blockchain-Projekten ist, die ist halt die so laat.

00:42:55: Also, deswegen habe ich auch einfach auch gesagt, wenn dieser Smart Contract programmiert ist oder so, na und wenn ich jetzt wetten müsste, würde ich eher darauf wetten, dass das nicht ist.

00:43:05: Molly White betreibt ja mit web-threesgoinggrade.com eine Webseite, die die... nach wie vor checkt, wie viele Millionen wieder irgendwo rausgetragen worden sind, weil halt irgendjemand einen Fehler in seinem Smart Contract hatte oder die passenden Private Keys verbaselt hat oder sonst halt irgendeinen Schmarrn gemacht hat.

00:43:29: Also ich glaube, wir werden abwarten müssen, aber ich bin mir nicht sicher, ob das FBI das jetzt nicht mehr zerlegen kann, nur weil es in irgendeinen komischen Smart Contract gelegt haben.

00:43:42: Es bleibt zu beobachten, wir werden euch zu gegebenen Zeitpunkt darüber in Kindness setzen, wenn es was Neues gibt.

00:43:51: Genau, wenn es interessante oder wenigstens amüsante Entwicklungen dazu gibt.

00:43:56: Apropos interessante Entwicklungen.

00:44:00: Wir haben uns hier noch aufrechnen, wir wollten kurz über Köln reden und Konsorten.

00:44:06: Also Köln... Wissen wahrscheinlich fast alle ist so ein Kommando zählen tun und vor allem auch eine Library, die halt irgendwie so jedes Internetprotokoll der Welt spricht und sich deswegen halt auch in jedem Gerät der Welt befindet und entsprechend hohe Sicherheitsansprüche an sich selber stellt und auch als sehr, sehr gut gewartet und sehr, sehr sicher gilt und die haben lange ein Backbound-Programm gehabt, dass man ihnen halt Sicherheitslücken melden konnte.

00:44:39: und wenn das dann eine echte Sicherheitslücke war, dann hat man dafür Geld bekommen.

00:44:46: Das haben sie nicht mehr.

00:44:47: Wenn man jetzt ihre Security-Texi anguckt, dann steht da, we offer no, in Klammern, zero, rewards or other kinds of compensation for reported problems.

00:44:58: but we offer gratitude and acknowledgments clearly stated in documentation and around confirmed issues.

00:45:05: We will ban you and ridicule you in public if you waste our time on crap reports.

00:45:10: Also sie waren, dass sie einen verbanden und öffentlich lächerlich machen werden, wenn man sie mit Schmahn belästigt.

00:45:18: Und das kommt daher, dass die sich in den letzten Monaten mit einer immer größeren Menge an KI-generierten Müllreports rumschlagen mussten.

00:45:29: Daniel Stanberg, der Erfinder und immer noch maßgebliche Entwickler von Köln, hat das immer wieder vielfältig dokumentiert.

00:45:38: Er hat diese Buck Reports dann auch immer öffentlich gemacht, also die kamen über Hacker One rein und die sind ja da an sich nicht öffentlich einsehbar, ist ja sinnvoll, die beschreiben ja potenziell Sicherheitsblücken, aber ein Projekt kann dann eben, wenn sie wollen und sinnvollerweise machen sie es, wenn der Report halt uninteressant oder berufen ist.

00:45:57: das öffentlich stellen und das haben sie halt auch wieder gemacht.

00:46:00: und das Wald wirklich das sind unmengend Text die technisch dicht wirken die Zeit kosten um sozusagen zu verstehen was hier gesagt wird nur um dann halt wieder und wieder rauszufinden dass diese Funktion zum Beispiel die da angeblich gerade den Fehler auffassend ausgenutzt wird halt einfach nicht existiert.

00:46:21: aber zu dem Zeitpunkt hast du halt schon zwanzig Minuten diesen Report reingelesen um dann festzustellen, so ja ja, oder die Funktion existiert sogar in Köln, aber die angeblich anfällige Zeile, die gibt es halt nicht oder so, oder direkt vor der Zeile steht irgendwie die E-Fabfrage, die verhindert, dass genau das getan wird, was angeblich getan wird oder so.

00:46:39: Es gibt auch mal also Reports der Kategorie, wenn man mit Köln auf eine mit validen Benutzernamen und Passwort auf eine Passwortgeschütze Seite zugreift, dann kriegt man ein Ergebnis oder so, also auch so Trivialitäten.

00:46:52: Die einfach auch eine profunde Unkenntnis dessen verraten was curl leisten kann und sollte und was der web server zum beispiel leisten sollte.

00:47:02: Ja das gibt es natürlich auch wobei das glaube ich einfach herzuerkennen ist.

00:47:06: also ich habe mir einige von diese buggepots durchgelesen und das ist halt wirklich.

00:47:10: Also du du versuchst zu verstehen das scheint auch Sinn zu ergeben.

00:47:15: Und dann ist halt an einer Stelle nicht ein Missverständnis oder so, sondern halt einfach eine glatte Halluzination drin.

00:47:20: Da steht da halt was, was die Fakto nicht der Fall ist.

00:47:22: Aber nachdem ja auch Stanford vermutlich nicht jede Kotzeile von CURL Auswände kennt, wird er das halt auch nicht parat haben, sondern muss es eben erst analysieren und dann feststellen, der Moment, die Funktion, die ist ja gar nicht so aufgebaut, wie sie angeblich aufgebaut ist oder so, oder aufgebaut sein soll.

00:47:38: Am Köln spricht Ihren Blog-Post dazu von Terror Reporting, weil es halt so unglaublich viele Ressourcen bindet bei Ihnen.

00:47:45: Und deswegen stellen Sie jetzt Ihr Backbound-Deprogramm einfach ein.

00:47:48: Sie sagen, dass diese finanzielle Aspekt fördert das einfach in eine Maße, indem Sie nicht Herrere werden.

00:47:59: Es gibt jetzt zwei Sachen dazu.

00:48:00: Es gibt erste Anzeichen, dass andere Projekte in eine ähnliche Richtung gehen.

00:48:04: können, also möglicherweise will LockeforJ zum Beispiel seinen Backbound-Programm auch einstellen.

00:48:09: Also die sagen zumindest, sie sehen das gleiche Problem.

00:48:12: Die Anzahl der Reports steigt krass an, die Anzahl der sinnvollen Reports sinkt.

00:48:18: Und das steht halt in einem immer schlechteren Verhältnis zu der Zeit, die du investieren musst, um diese Reports zu analysieren.

00:48:24: Jetzt kann man natürlich gucken, wenn das so ein Problem ist, dass in der Szene verbreitet ist, dann muss es ja die Backbounty-Programmen auch irgendwie tangieren.

00:48:36: Was schlägt denn zum Beispiel Hacker One vor, die Plattform die Köln ja genutzt hat?

00:48:40: Du hast es rausgesucht, insofern sag doch mal.

00:48:43: Ich will was sagen, ich weiß es Herr Lira, ich weiß es, das ist ganz klar.

00:48:46: Wenn ich eine E-Mail schreibe, die sehr lange ist mit ChatGPT und die schreibe ich jemandem, der keine Lust hat zu lesen, dann benutzt der ChatGPT, um sich diese E-Mail zusammenfassen zu lassen in drei Bullet Points.

00:48:57: Und genau so machen wir das auch mit den Slop-Reports.

00:48:59: Das empfiehlt Hacker One rein zufällig, zeitlich sehr, sehr nah an dem Announcement von Daniel Stamberg, dass man jetzt das Hacker One Bug Bounty Programm.

00:49:11: Beendet in ihrem block übrigens das bau und die programm von wurde gesponsort und das hat nur die bau und dies wurden nicht von von projekt selber gezahlt sondern von dem unternehmen die das die gesponsort hat.

00:49:25: den dank Daniel auch sehr artig.

00:49:27: oder das das költeam auch sehr artig in dem in dem block post auf dem block.

00:49:32: aber ich könnte mir vorstellen.

00:49:34: Das der finger den sie in richtung hacker one.

00:49:36: Ausstreckend nicht der zeige finger ist sondern möglicherweise der daneben.

00:49:41: Denn dass der Hacker One sich hinstellt und sagt, ja, mach doch einfach Exposure Management.

00:49:46: und dann auch noch sagt, hier sind unsere Best Practices von Hacker One.

00:49:50: Übrigens, wir haben auch ein passendes KI Projekt für Produkt für eure Triage, der AI Slop Report, die ihr von uns bekommen habt.

00:49:58: Das hat eine gewisse Kurs.

00:50:01: Das ist schon.

00:50:02: Schon nice, irgendwie so.

00:50:04: Also schon in seiner Dreistigkeit.

00:50:06: Ich wollte sagen, eigentlich ist es lohntverschämt.

00:50:07: Also

00:50:10: da stehen mehrere Best Practices drin.

00:50:11: Ich muss ganz kurz das hijacken hier, das steht nicht in den Notizen, aber es ist einfach auch schön.

00:50:16: Erstmal Establish Clear Program Policy and Design to Preserve Signal.

00:50:21: Würde ich sagen, hat Curl jetzt gemacht, ne?

00:50:23: Die Program Policy ist klar, es gibt kein Geld.

00:50:26: Wir machen nichts mit Hacker One, geht weg.

00:50:29: Und die Hoffnung ist, dass das Signal dann preserve sind.

00:50:31: Um Best Practice II, Reduce Reliance on Manual Validation.

00:50:36: Macht bitte weniger händisch.

00:50:38: Und das ist dann die Folge.

00:50:41: zu oder die Hinleitung zu Best Practice III, per AI Scale with Human Judgment.

00:50:47: Sie sagen dann, AI alone does not solve the problem.

00:50:50: Ja, no shit, Captain Obvious.

00:50:52: Aber man soll KI zum skalieren benutzen.

00:50:55: Aber also weiß ich nicht.

00:50:59: Denn... Nach allem, was ich so gesehen habe, wenn man einen LLM fragt, ob ein bestimmter Text oder irgendein ein Stück Daten KI generiert ist, dann gibt es entweder Watermarks da drin, was ja bei vielen Bildgeneratoren inzwischen so ist, oder es ist mehr so ein Hit and Miss Ding.

00:51:18: Also entweder du hast eine unheimlich hohe false positive Rate oder eine unheimlich hohe false negative Rate, aber ich habe das nicht so wahrgenommen, dass ChatGPT Text, der von irgendeinem anderen LLM kommt, wirklich zuverlässig erkennt.

00:51:31: Insofern weiß ich auch nicht, ob die so eine Triage per KI da jetzt überhaupt eine Lösung ist, kurz oder mittelfristig.

00:51:39: Aber das ist das, was Hacker One empfiehlt.

00:51:42: Und sie und alle anderen, die bullish für KI sind und sagen, KI macht jetzt alle Arbeit, die sonst die doofen, armen Click-Worker machen mussten, die irgendwelche Triage für Sicherheitslücken oder Sicherheitslückenreports machen mussten.

00:51:58: Die freuen sich natürlich jetzt alle.

00:52:01: Ja, also es ist... Ich bin sehr lustig, sich hinzustellen zu sagen, AI alone cannot solve the problem, aber es ist aber schon klar, dass AI alone das Problem verursacht hat.

00:52:14: Und es soll jetzt gar nicht darum gehen, da kommen wir gleich dazu, dass sozusagen KI insgesamt und immer Müll ist, aber sie ist halt offensichtlich ein ernsthaftes Problem für dieses Konzept von Backbounties.

00:52:28: Das wäre dann eigentlich halt der Job von Hacker One und anderen Plattformen sich da ordentlich zu überlegen, wie sie ihr System sozusagen resilient gegen solchen Slop machen können.

00:52:40: Und was ich stattdessen halt sagen ist, jetzt verkaufen wir halt auch noch irgendwie den Projekten oder dienen den Projekten halt irgendeine KI-Lösung an, sodass dann die eine KI halt sinnlos lange Reports generiert.

00:52:50: die irgendwie inhaltsleer sind und die andere KI dann hoffentlich erkennt, dass es sinnlos lange Reports sind, die irgendwie inhaltsleer sind.

00:52:56: Und der Einzige, der sich hier wirklich darüber freuen kann, sind die KI-Firmen, weil auf beiden Seiten Token verbrannt werden, wie Hölle für nichts einfach.

00:53:05: Das erinnert mich in seiner Circle-Jerkigkeit an so Ökosysteme wie Wissenschaftliches publizieren, wo du als Wissenschaftler eine, ein Forschungsprojekt ausarbeitest, dann ein Paper dazu schreibst und einen Verlag dafür bezahlt, dass er dir ein freundlicherweise dreißig Minuten auf einer Konferenz frei hält, wo du dieses Paper präsentierst.

00:53:30: Dann gewährt das Paper natürlich kostenlos in die Proceedingsübernommen, die du dann wiederum für deine Forschungsinstitution kostenpflichtig kaufen musst, bei demselben Verlag, damit du sie zitieren kannst.

00:53:43: in Folgepapern, bei denen sich dieser ganze Kreislauf dann wieder wiederholt und so selbst referenziell haben ja schon andere mit mehr Wirtschaftsachverstand analysiert ist viel diesen kommerziellen KI use cases derzeit, wo jetzt eine KI erkennen muss, ob jemand mit KI seine Hausaufgaben gefälscht hat und dann zahlt der Lehrer halt für die Erkennung und der Schüler hat schon gezahlt für die möglicherweise gefälschten Hausaufgaben und das meint mir Vorsichtig gesagt, wenig nachhaltig.

00:54:17: Ja.

00:54:18: Andererseits, Simon Oldmann muss halt auch von irgendwas leben.

00:54:21: Der arme Mensch hat, glaube ich, nicht so viel Geld.

00:54:23: Ja, gut.

00:54:23: Also, ich weiß nicht, dass es wäre eine der Wetten

00:54:24: für im Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr für den Jahr.

00:54:42: möchtest du auch nicht unerwähnt lassen, wenn ich die Notizen richtig interpretiere, dass KI schon bei etwas helfen kann.

00:54:47: Nämlich?

00:54:48: Ja

00:54:48: ja, also es ist ja nicht so, dass sozusagen KI das Backfinding sozusagen bedroht.

00:54:56: Sie bedroht nur dieses Ökosystem der Backbau und die ist aber an sich.

00:55:00: Also insbesondere wenn man halt beim Finden auch mit menschlichem Sachverstand rangeht und eine KI geschickt einspannt, dann kann sie doch aus helfen, Bucks zu finden.

00:55:10: Das hat gerade die Sicherheitsfirma Isle demonstriert.

00:55:14: Die hat mit Hilfe von KI zwölf Sicherheitslücken in OpenSSL gefunden.

00:55:20: OpenSSL ist jetzt ein Projekt, an dem es zwar immer wieder Kritik gibt, aber das doch recht gut gewettet ist.

00:55:27: und es ist es nicht trivial, da irgendwie eine Sicherheitslücke zu finden, geschweige denn ein rundes Dutzend, noch dazu eine davon High, eine Moderate und zehn Low in ihrem Schweregrad.

00:55:40: Das ist extra zu erwähnen, denn Sicherheitslücken mit einer Severity High und in diesem Fall sogar eine, die vor der Schlüsselaushandlung ansetzte, sind in OpenSSL inzwischen tatsächlich sehr selten, so wie ich das gelesen habe.

00:55:56: Genau, also das ist schon wirklich ein beachtlicher Fund, den die Kaida sozusagen mit ermöglicht hat, wohl gemerkt hat nicht einfach irgendjemand irgendeinem LLM sagt, such mal was und post ist dann in diese Backbound die Plattform, weil dann kommt halt der Slop raus.

00:56:17: Das heißt bei aller Kritik an der Tatsache, dass sie diesen Slop nicht in den Griff kriegen, soll das nicht heißen, dass alles, was daraus kommt, notwendigweise Slop ist.

00:56:26: Diese Entwicklung, also dass man das, man mit KI auch echte Sicherheitsglücken finden kann, die halt in diesen Projekten schlummern und die bis dahin niemandem aufgefallen sind.

00:56:35: Niemand irgendwie, die Zeit und der Nährvater sich da durchzukauen und die KI sich halt echt gut durchkauen kann.

00:56:41: Veranlas dem auch zu Vorhersagen zum Beispiel von Philippo Valzorda, den wir auch schon mehr verraten wegen tausend tollen Sachen, die er so macht.

00:56:52: Das zusätzlich zu einem Slop-Problem, also die Projekte ersaufen in sinnlosen Reports und auch drohen könnte, dass die Projekte in validen Reports ersaufen.

00:57:03: Weil mit KI sozusagen jetzt relativ schnell ein Haufen Zeug, was sich über Jahre oder Jahrzehnte an Bucks angesammelt hat, gefunden wird.

00:57:12: Schlimmstenfalls sozusagen schneller als die Entwickler, damit die herkommen, das jetzt alles irgendwie auszubessern.

00:57:19: Ich habe hier als Fazit dazu diesen Apogrüfen angeblich chinesischen Fluch hingeschrieben.

00:57:26: Mögest du in interessanten Zeiten leben?

00:57:28: Ich glaube, wir können sagen, das tun wir.

00:57:31: Schauen wir mal, wie es weitergeht.

00:57:34: Mhm.

00:57:35: Du bist so in interessanten Zeiten leben.

00:57:38: Ja, interessante Zeiten sind es.

00:57:41: Und als letztes kleines Thema wenden wir uns noch mal anderen interessanten Zeiten zu.

00:57:47: Denn eigentlich waren alle Zeiten so oder so interessant.

00:57:52: In diesem Fall geht es...

00:57:54: Darf ich kurz?

00:57:55: Ich glaube, dass der Film Back to the Future gerade so in Rundesjubiläum hatte vor ein paar Tagen.

00:58:01: Und möglicherweise haben ein paar Leute irgendwie mit dem DeLorean komische Runden gedreht.

00:58:06: Und jetzt kriegen wir ja sicher das Lücken aus anderen Zeiten, oder?

00:58:10: Ja, bei Back to the Future spielt auch nassetundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundund geht in dunkle Zeiten zurück, als wir das mit der Verschlüsselung noch nicht so genau genommen haben bei der Systemadministration.

00:58:39: Die Neunziger haben angerufen und haben uns durch den Zeit-Tunnel eine Lücke in, ja ihr hört richtig, in Tellnet zugeschickt.

00:58:49: Diese Lücke in Tellnet ist also genau genommen in einetutels TellnetD, also dem Telnet-Demon von iNet-Utils und so wie ich es verstanden habe auch anderen iNet-Utils-Tools.

00:58:59: Ich will mich aber da jetzt gar nicht mehr reinbegeben.

00:59:01: Also dieses ganze iNet-Di-iNet-Utils ist alles Hölnzeug aus einer dunklen Vergangenheit.

00:59:07: Das ist wie Hexenverfolgung und spanische Inquisition.

00:59:13: Will ich nichts mehr mit zu tun haben?

00:59:16: Full Disclosure.

00:59:18: Sylvester hat das mit einem Emoji versehen in die Notizen.

00:59:22: geflanscht, als ich mal gerade gestern nicht geguckt habe.

00:59:26: Und ob wir dann noch eine Warnung dazu in die Folge mit rein nehmen, das ist ja jetzt schon die Bonus-Folge, das ist sozusagen der Bonus zur Bonus-Folge.

00:59:35: Das ist eine Sicherheitslücke, die ich mir schon gar nicht mehr im Detail angeguckt habe, aber der Proof of Concept besteht buchstäblich daraus, dass ich als Benutzernnahme folgenden Stringen setze, bindestrich f leerzeichen root, bindestrich a. Also zwischen dem Lerzeichen und dem Lerzeichen.

00:59:55: Also ich hab jetzt die Umgebungsvariable, die User auf Kommando zahlen Parameter.

01:00:01: Ich kann mir das buchstäblich im C-Code vorstellen, die das aussieht da drin.

01:00:05: Und wie das dann direkt alles aneinander geflanscht wird und dann bist du halt gut auf dem Zielsystem.

01:00:12: Allerdings eben nur wenn dieses Zielsystem per Tellnet erreichbar ist.

01:00:15: und da möchte ich folgendes Statement verlesen.

01:00:20: Dass ich mit meiner Pressestelle abgestimmt habe.

01:00:24: Wer Server mit offenem Port, dreiundzwanzig ins Internet stallt und das ist kein Honeypot, der hat die Kontrolle über sein Leben verloren, sollte seine Lebensentscheidungen gründlich hinterfragen und verdient auch ein kleines bisschen geroutet zu werden.

01:00:38: Das ist mein Statement zu dieser Sicherheitslücke.

01:00:42: Ja, also ich würde sagen, falls ihr irgendwo einen Telnet-Diemen betreibt, dann prüft jetzt erstmal, ob der aktuell ist und aktualisiert ihn und dann bastet ihr euch eine Mütze mit Eselsohren und setzt sie euch auf.

01:01:06: Jetzt machen wir es hier so lustig, andersrum.

01:01:08: Wenn ihr wirklich irgendwo einen Telnet-Service betreibt und es sozusagen dafür den guten Grund gibt, dann bitte, bitte schreibt uns, weil das würde mich wirklich interessieren.

01:01:18: Und ich werde es wahrscheinlich bitter bereuen, das ist wie das letzte Mal, als ich gesagt habe, wo kommt denn MDF hier noch vor, ne?

01:01:23: Aber es wird tausend Stellen geben, wo aus tausend relevanten Gründen irgendwie Tell denn noch unterwegs sein muss.

01:01:31: Ich will das alles nicht.

01:01:32: Ja,

01:01:32: das schreibt

01:01:33: einfach mir.

01:01:34: Ich möchte das nicht.

01:01:35: Das ist dann wieder, dann ist dann wieder in irgendwelchen, weiß ich nicht, Flughafenssoftware und in digitalen Stellwerken oder in Atomreaktorsteuerungen oder irgendwie sowas.

01:01:47: Genau, aber da sind wahrscheinlich irgendwelche in Fortran geschriebenen Telnet-Server, die davon nicht betroffen

01:01:54: waren.

01:01:54: Wir sind ja im Jahr zwanzig, sechsundzwanzig, wir nehmen kein Telnet mehr, wir nehmen jetzt einfach VNC, ohne Benutzernamen und Passwortautortifikationen.

01:02:02: Und dann ist das doch sicher, oder?

01:02:05: Es ist zumindest grafisch.

01:02:07: Das ist doch mal der Punkt.

01:02:09: Ja, in diesem Sinne.

01:02:12: Ja, aber ganz

01:02:13: ernsthaft sagt uns Bescheid, wenn ihr irgendwo Tellnet fahrt, das interessiert mich wirklich, warum man irgendwo noch Tellnet fährt.

01:02:20: Ich kann mir auch wirklich keine, also mir fällt wirklich keinen Sinn vor der Use Case ein und also...

01:02:26: Also ich meine SSH ist halt jetzt auch schon nicht jung, ne?

01:02:30: Nee, das war schon nicht jung, als ich angefangen habe, es zu benutzen.

01:02:36: Damit sind wir aber genau an der Stelle, wo wir üblicherweise sagen... bickt uns gerne Feedback an password-podcastatheise.de.

01:02:46: Ihr könnt uns auch gerne schreiben, wenn ihr zum Beispiel der Meinung seid, dass dieser Modus zwei kürzere Folgen statt einer langen Folge für euch viel besser in die Hörgewohnheiten passt und dann nehmen wir das zumindest mal in die Diskussion mit.

01:03:02: Ansonsten bleibt mir nur zu sagen bis zum nächsten Mal und denkt dran.

01:03:08: Dieser Podcast hat eine komische Definition von kürzerer Folge und ist das einzige Passwort, das ihr teilen solltet.

01:03:15: Tschüss!