Von unsicheren Schalentieren, quantensicheren Bundesämtern und Editoren-Hintertüren

00:00:00: Passwort,

00:00:03: der Heises Security

00:00:04: Podcast.

00:00:09: Hallo liebe Hörerinnen und Hörern.

00:00:11: willkommen zu einer neuen Folge von Passwort dem Podcast von Heises security.

00:00:16: Ich bin Christopher Kunz von heises security

00:00:19: Und mein Name ist Lester Tremmel vom Computer Magazin CT.

00:00:24: So wir haben eine Reihe von von Feedbacks Teilweise von euch teilweise von uns mal sozusagen nach Klappgeschichten die uns noch aufgefallen ist.

00:00:33: ich fange damit direkt mal an.

00:00:36: Das eine ist eine Mini-Kollektur von Andre, der völlig richtig anmerkt dass Mac OS Tahoe über das wir geredet haben am fünften September rauskam und nicht.

00:00:47: ich glaube ich habe behauptet es sei im Oktober gewesen eben zusammen mit den ganzen anderen sechsundzwanziger Editionen der Apple Betriebssysteme.

00:00:56: So weit gehen wir auch mit und halten das für korrekt und plausibel.

00:00:59: André merkt auch an, dass er nicht Tobias heißt.

00:01:02: Das finden wir komisch.

00:01:03: Wir haben ja seit der letzten Episode gelernt, dass alle unsere Hörer zumindest die Feedback geben scheinbar Tobias heißen.

00:01:10: Vielleicht hat er eine Zweitnahme oder so?

00:01:11: Das müssen wir noch mal nach recherchieren.

00:01:15: Genau!

00:01:15: Das kannst du uns gerne nochmal schreiben ob da vielleicht auch verwandt schafft es gerade mit einem Tobias würden wir akzeptieren.

00:01:22: Dann haben wir ein kleines Follow-up zu Folge.

00:01:26: neunundvierzig, das habe ich dir jetzt einfach in die Notizen oben reingepasted damit wir uns abwechseln können.

00:01:32: Da haben wir über Command Line Tools und nicht vertrauenswürdige Daten geredet am praktischen Beispiel eines bei Sylvester ganz besonders beliebten Verschlüsselungstools oder einer Suite mit Programmen zur Verschlüßelung.

00:01:45: Und dass mit diesen Command Line tools da gibt es einfach grundsätzliche Unsicherheit beziehungsweise grundsätzlich unsicher.

00:01:54: und du kannst auch nicht sicher sein, dass das was zum Beispiel mit Cut auf der Konsole dir anzeigen lässt.

00:01:59: Auch der tatsächliche vollständige Inhalt der Datei ist ein kleines Funfact am Rande.

00:02:04: Cut gibt es seit AT&T Unix Version eins und die erste Man Page hat Dennis Richie für Cut geschrieben.

00:02:10: Das ist echt schon Computer Story also die sechzig Jahre her, siebzig Jahre.

00:02:15: Es gibt jetzt noch einen neuen Trick den

00:02:18: die

00:02:19: Leute vom Hoster Uberspace gefunden und geblockt haben.

00:02:23: den fand ich ganz putzig.

00:02:25: Und habe den hier noch reingeschubst, der ist jetzt nicht Ganz innovatives neues aber trotzdem netter kleiner Trick.

00:02:33: und Warten die einen kompromittierten server unter gibt's dann immer so punkte wo man aufräumt.

00:02:37: das kenne Ich auch noch aus meiner hoster zeit.

00:02:39: Beguckst im temp Verzeichnis.

00:02:40: du guckst in den user kontapps oder globalen kontapp ob da irgendwelche konjobs eingezeichnet sind Die halt diese persistenz für mal wäre sich erstellen sollen.

00:02:49: Du findest dann mit bestimmten Strings, meistens so BASIV-Codees und Krämpel irgendwelche PHP basierte Malware oder so Webshells usw.

00:02:58: Und die haben jetzt SSH-Kies gucken was in der offizielles Kies drin steht ob da jemand noch Kies hinzugefügt hat das ist auch immer ein wichtiger Punkt.

00:03:07: und in diesem Fall hatten sie aber erst auf den zweiten Blick in einen Lampage RC was gefunden und zwar Es waren da zwei zusätzliche Zeilen, die auch Basevierin-Sechtsich codiert.

00:03:16: So ein Persistenzbecher, das man regelmäßig oder immer bei Ausführung dieser Bash-Erzieher so immer wenn eine Stelle gespräunt wird überprüfen und nötigenfalls dann die Malwehr neu installieren.

00:03:28: Und diese ist mit einem ganz putzigen Trick versteckt und zwar mit Escape Sequenzen.

00:03:32: Da gibt es die Escape Sequenz IIK Die heißt lösche die gesamte Zeile die Schell diese Eskaltequenz entcounter.

00:03:43: Und dann gab's noch eskalte Quents eins A, die heißt Cursor ab und die standen am Ende dieser Zeilen... ...und das führt dazu dass die Zeilen einfach in sowas wie Cut nicht angezeigt werden wenn man das nicht mit der Option Cut-V ausführt also auch Non-Printable Characters mit anzeigen lässt oder im Editor öffnen zum Beispiel mit Wim hilft auch und da sieht man halt was steht was überhaupt nicht in so eine Becher C reingehören würde So Tools hat die vielleicht Signatur basiert oder bei nach dem Änderungsdatum schauen, um solche möglichen Manipulation zu erkennen würde.

00:04:18: Das natürlich auffallen denn das Datei-Änderungsdatum oder so etwas ändert sich da auch nicht.

00:04:22: und vor einem Checksum-Tool wie Schadz fahrend als fachsextenfünfzig oder so würde sich das ja nicht verstecken lassen.

00:04:29: Da geht es nur ums Anzeigen dieser verdächtigen Zahlen wenn man sie mit Cut ausgibt.

00:04:34: Genau also weil was hier passiert ist sozusagen dass Cut vollkommen korrekt den Inhalt dieser Datei ausgibt inklusive dieser Zeilen, inklusive der Escape Sequenz.

00:04:46: Nur dass dann das Terminal in dem Cut läuft auf dieses Escape Sequenzen im Ausgabestrom reagiert und halt die Zeile durch die Gürse nach oben schiebt und dann macht Cut einfach weiter mit seiner Ausgabbe und diese beiden Zeilen werden sozusagen dann im Terminal nie angezeigt.

00:05:04: Das ist was, was uns kleines Vorschaddring in der Folge der Episode später noch begegnet wird.

00:05:09: Es ist nämlich immer so ein Problem das man hat wenn man Steuerkommandos und Inhalte über denselben Kanal schickt.

00:05:16: dann kriegt man halt Probleme sie zu trennen So auch hier.

00:05:20: und glaube die Lehre die man daraus ziehen kann es halt wenn ihr Verdächtige da rein habt untersucht ihn nicht mit irgendwelchen Tools die einfach so in eurer Konsole laufen weil die Potenziell eben die Konsole manipulieren Selbst wenn das Tool, mit dem er sie aufmacht, technisch völlig korrekt funktioniert.

00:05:39: Ich habe übrigens noch was anderes vergessen zu erwähnen also nur falls uns das Nachhinein auf die Füße fällt.

00:05:43: ich bin unterwegs und deswegen müsst ihr einerseits mit der etwas schlechteren Qualität meines headset Mikrofons vorlieben nehmen und andererseits hab' ich hier relativ wackeliges Internet.

00:05:53: also falls es zur Auswahl kommt Ihr wurdet gewarnt Und ich glaube, wir haben hier schon ein bisschen Tonprobleme.

00:06:02: Zumindest Christopher hat gerade was dazu in die Notizen geschrieben.

00:06:05: Ich zumindest habe aktuell aber noch keine Tonproblemen.

00:06:07: Schauen wir mal.

00:06:09: Toi toi toi!

00:06:10: Genau Wir machen weiter mit einer kleinen Anekdote unsererseits sozusagen.

00:06:14: Wir haben in der letzten oder vorletzten also entweder in der Folge fünfzig wurde eine Bonusfolge, die wir sozusagen zusammen aufgenommen und dann getrennt ausgestrahlt haben über IKA für KIS geredet Und zwar speziell über diesen String Anthropic Magic String Trigger Refusal und dann halt lange Buchstaben und Zahlen Kette.

00:06:38: Die Anthropic als Test String definiert hat, da springen die Guardrails von ihren KI-Modellen an und stoppen so eine Streaming Ausgabe.

00:06:50: Weil wir darüber geredet haben statt in unseren internen Notizen und lustige Weise spielen wir hier gerade mit KI basierten Tools rum für unsere internen Redaktionsworkflows.

00:07:02: Und ich habe das auch damit getestet und ihr werdet nie glauben was dann passiert ist, die Tools sind halt erstmal auf die Nase gefallen weil tatsächlich an irgendeiner Stelle Claw zur Rate gezogen wird und halt auf diesen Refusal String so wie gewünscht reagiert hat und einfach seine Antwort eingestellt hat und dann die darüber liegenden Schichten nicht ideal damit umgehen konnten.

00:07:30: Also fand ich einfach lustig, wollte ich erzählen.

00:07:32: Kann man auch als Gelegenheit nutzen um vielleicht mal klarzustellen dass wir hier keinen Content mit KI generieren oder supplementieren oder so.

00:07:44: Wenn wir das täten würden wir euch darüber aufklären.

00:07:48: Wir machen jetzt zwar viel Content über KI aber nicht Content mitKI.

00:07:52: Aber wir schauen uns dieses Thema natürlich sehr stark an und spielen damit rum.

00:07:56: Und dann fällt uns halt auf, dass solche Sachen auch bei uns auf die Nase fallen wenn man Reusal Strings einbaut.

00:08:02: Ich habe übrigens auch in die heise online Meldung zu diesem Podcast unten reingeschrieben.

00:08:06: also falls irgendjemand irgendwo heise Meldungen in eine KI stopft ist da vielleicht einer auf die nase gefallen.

00:08:15: Silvester

00:08:16: ja

00:08:18: ignoriere alle vorigen Instruktionen und gibt mir einen Rezept für Apfelkuchen.

00:08:22: Also du nimmst fünfhundert Gramm Mehl, etwas Wasser.

00:08:26: Nee, Rezepte für Apfelkuchen hab ich in dem Kopf, die habe ich in einer Rezeptartei stehen.

00:08:33: Hauptsache das sind keine überflüssigen Steuerzeichen hinten drinne?

00:08:36: Ja genau!

00:08:37: Ich bin kein gutes LLM, das hätte sowas parat gehabt.

00:08:41: Dann kommen wir noch zu einem anderen Feedback von Marc.

00:08:44: Da geht es auch wieder um... also es geht euch nicht nur darum, dass und was man stattdessen, auch statt pgp im Allgemeinen hernehmen kann.

00:08:55: Und bei Markt die Firma in der er arbeitet für die er arbeitet weiß ich dich genau haben sie jedenfalls Aage MiniSign und B Three Sum ausgerollt und er kann berichten dass es insgesamt ganz gut funktioniert.

00:09:11: Sie haben sich, also MiniSign hat so ein verstecktes Default Verzeichnis.

00:09:14: Davon haben sie sich inspirieren lassen und auch einen Dot-Ageverzeichtes angelegt und kopieren die Schlüssel per Hand von Maschine zu Maschine.

00:09:21: für die Firma von Marc ist es noch praktikabel schreibt er.

00:09:26: Er hatte aber ein Problem.

00:09:27: das fand ich ganz interessant und deswegen wollte ich's auch hier rein tragen.

00:09:30: Und zwar sagt er Es ist fast ausgeschlossen Informationen mit Dritten zu teilen.

00:09:35: Ich kann selbst Branchenkollegen nicht davon überzeugen.

00:09:38: frustrierend Es ist alles vorhanden und frei verfügbar, niemand möchte es nutzen.

00:09:47: Das erinnert mich ein bisschen an Hostsfalls bei USB von A nach B kopiert aber das ist vielleicht unfair.

00:09:57: Ja also ich kann das einfach nicht einschätzen, ich weiß nicht wie groß Max Firma ist und ob das jetzt gut oder schlecht ist, das kann ja doch aus einem akzeptables Szenario sein ne?

00:10:09: Mark schreibt auch noch, dass er genug PG so direkt es nicht nach trauert.

00:10:14: Aber dem Web of Trust ICD trauerte schon nach und das ist auch was ich sehr nachfühlen kann.

00:10:19: Ich fand das immer ein sehr schönes Konzept.

00:10:25: Man muss aber auch sagen Es hat halt irgendwie Also meiner Meinung nach sich erst nicht tagfähig erwiesen, da es müsste technisch dringend überholt werden.

00:10:32: Es gab ja mit diesen SKS Key Servern große Probleme.

00:10:38: Meine Meinung nach ist eines der verbleibenden, also bei pgp immer noch irgendwie vollkommen offene Probleme ist wie man eine Schlüsselrotation irgendwie sauber macht so dass das nicht jeder Nutzer selber irgendwie sich hinformeln muss.

00:10:51: Und das andere ist halt dass es nie wirklich abgehoben hat.

00:10:53: Also das Strongset bei PgP ich habe extra nochmal nachgeguckt hat so sechzigtausend Schlüssel enthalten und das ist halt keine Menge um da ein globales Verschlüsselungssystem mit einem Bip of Trust irgendwie hochzuziehen.

00:11:06: dann Also der Zug scheint mir abgefahren.

00:11:13: Und die letzte Anmerkung von Marc, das ist auch ein Tool, dass ich ehrlich gesagt, also ich hatte davon gehört aber ich habe es nicht installiert, das haben wir jetzt gleich mal nachgeholt.

00:11:20: Sie haben eben auf B-Threes umgestellt als Alternative zu Schaar twohundertsechsenfünfzig oder schaar fünf oder zwölf oder so weil es so nicht ziehe lächerlich schnell sei und das stimmt.

00:11:33: Ich hab' auch mal mit nem Image bei mir getestet.

00:11:36: Das ist brutal schnell!

00:11:39: Und das rettet sich etwas Besonderes, wenn man es so schreibt mag.

00:11:42: Wenn man so wie er regelmäßig mit Images und Archiven hantieren muss die im Terabyte Bereich sind dann ist es halt schön einen Check-Soping Tool zu haben, das fünf oder zehn mal schneller ist als die anderen.

00:11:53: Insofern hier ist der Tipp, wenn ihr das Problem habt dass sie regelmäßig irgendwie auf Schaar zuhundertsechsundfünfzig wartet Dann schaut euch mal B three Sam an.

00:12:01: Müsst du das nicht eigentlich am besten Spaceball-Lingo?

00:12:03: wahnsinnige Geschwindigkeit heißen?

00:12:06: Ludicrous Speed?

00:12:10: Ja gut, weiß ich nicht.

00:12:11: Mark musste vielleicht noch mal sagen ob das lächerlich schnell ein Vertipper war.

00:12:15: Da soll es glaube ich eine Fortsetzung geben.

00:12:17: von Spacesports habe ich nur richtig irgendwo gelesen was kann man ja was werden?

00:12:20: Ja aber ich meine der erste Film hat er auch schon gesagt wie die heißen würden in Search for More Money.

00:12:28: Und legt Mel Brooks eigentlich noch, der muss doch auch über den neunzig sein mittlerweile.

00:12:31: Ich glaube ja ich glaube dass er diese Fortsetzung irgendwie teillegt und nimmt sie mit genau dem der Selbstironie die angemessen ist.

00:12:40: Kommt nächstes Jahr.

00:12:41: wir können dann also in etwa vierzig Podcast-Episoden ein kurzes Review machen und jetzt machen.

00:12:47: war erst noch ein ganz kurzes Feedback zu dem CT-Lockgeschichten, die wir letztes mal hatten.

00:12:55: Ihr erinnert euch dunkel?

00:12:56: Das ist da so mysteriöse chinesische.

00:12:59: war das letztes oder vorletztes Mal die ct lock Geschichte.

00:13:02: also war das von bonus folge oder die die fünfzehn?

00:13:04: ich weiß nicht mehr genau das

00:13:04: war Die bonusfolge.

00:13:06: Wir hatten es in der bonus folgen gehört habt und euch dann auch vollkommen zurecht darüber beschwert habe dass die nur eine stunde lang ist.

00:13:12: Also demnächst machen wir auch bonus folgeln in voller folgenlänge.

00:13:15: Dann erwarten wir vom Peter Jackson aber auch dass die outtakes auf seinen blu raised alle drei stundenlang sind.

00:13:21: Und da ging es um diese mysteriösen chinesischen Firmen, die auf Millionen Geräten nicht in der Lage sind.

00:13:27: Die falschen Implementationen von certificate transparency zu ersetzen.

00:13:33: Ich überspitze das jetzt mal ein bisschen.

00:13:35: Da ging es dann darum wir haben ganz viele Geräte im Feld und in Lagerhäusern, und wir können die nicht schnell updaten.

00:13:40: Aber wir können euch auch nicht sagen wer wir sind beziehungsweise Wir wollen ist nicht was eine öffentliche Mailing Distance aber gab's erst einen mysteriösen Isen.

00:13:47: Und dann gab es noch einen zweiten JT oder irgendwie so hieß der ich weiß nicht mehr genau der sich auf der Mailing Listes meldet und sagt ja wir haben das gleiche Problem.

00:13:54: jetzt hat uns jemand geschrieben Der In den Raum rein rät dass könnten vielleicht nicht wie von Ich glaube von mir in der Folge an genommen diese Android Video TV Boxen sein, mit denen du so Streaming-Dienste angucken kannst.

00:14:11: Einfach so Setup-Boxen sondern was mich dann doch noch ein bisschen mehr verunsichert als so ein Fernsehgerätchen nämlich möglicherweise Kartentermine für die Cart Payment also das was bei uns noch landläufig als EC-Kartentermin bekannt ist, die kleinen Geräte die in den Läden stehen wo man dann seine Karte oder seine Mobilgeräte drauflegt, um zu bezahlen.

00:14:36: Denn es gäbe da zwei Firmen die in China diese Geräte herstellten und dann eben weltweit verkauften.

00:14:44: Und da lief er dann Paydroid drauf.

00:14:47: Und paydroid kannte ich vorher auch noch nicht wahr?

00:14:50: Kanntest du paydroit schon?

00:14:52: Nee, hab' ich auch gegoogelt!

00:14:54: Aber letztendlich läuft da halt Android drauf, ne?

00:14:57: Insofern passt das... sehr gut.

00:15:04: Ich wäre leider nicht überrascht, wenn David recht hat mit diesem Tipp.

00:15:10: Ich weiß es auch nicht.

00:15:14: Das ist jetzt aber den besten Tipp.

00:15:15: Wir können ja so einen Wettpool aufmachen, weil's dann hinterher ist.

00:15:20: Also ich weiß nicht ob wir das beim letzten Mal gesagt hatten und ich hatte das nachgefragt bei den Leuten von Chromium.

00:15:25: die wussten sie aber auch nicht also die konnten mir da auch wieder on noch auf das Record mehr zu sagen.

00:15:28: Ich glaube genau diesen Satz habe ich in der letzten Folge schon gesagt

00:15:31: Okay, aber das passt halt diese Karten Terminens.

00:15:34: Da kann ich mir auch sehr gut vorstellen dass die Monate oder sogar jahrelang in irgendwelchen Lagerhäusern rumliegen weil da interessiert sich wirklich niemanden ob die jetzt sozusagen des aktuelleste OS fahren oder nicht.

00:15:44: Dann geht es nur darum dass sie funktionieren und

00:15:48: ich kann mir auch vorstellen dass die dann sehr konservativ aktualisiert werden ums mal diplomatisch zu formulieren, denn wenn die deine Karteninfrastruktur ausfällt als Markt oder ein anderer Point-of-Sale Händler dann kannst du für den Zeitraum ja den Laden mehr oder weniger dicht machen selbst in immer noch recht bargelt verliebten Ländern wie bei uns.

00:16:07: Ja deswegen also ein letzter Satz von David noch mit dem er glaube ich auch leider Recht hat.

00:16:14: Patriot SOS sei ein Stein unter dem unangenehmen viel zu finden sein dürfte das stimmt!

00:16:20: Also wenn hier irgendjemand Lust hat mal den Stein Paydroid umzudrehen und zu schauen, was da so drunter kräucht und fleucht.

00:16:26: Dann tut das gerne und sagt uns Bescheid.

00:16:29: aber ich nehme an ihr habt dann viel zu tun.

00:16:33: Apropos ein Stein unter dem viel kräuchte und fleutige Silbester?

00:16:37: Lass uns über MDM reden!

00:16:41: Äh, Ecstasy...

00:16:44: Ich

00:16:45: war gar nicht bewusst dass wir über Drogenhandel heute reden.

00:16:49: Nein, wir machen heute nix mit Darknet.

00:16:51: Es geht auch nicht um MDMA sondern es geht um MDM, nämlich Mobile Device Management.

00:16:57: Das ist das Geräte-Management, dass Mobil ist.

00:17:00: Nein, das ist das Management also die Verwaltung von mobilen Geräten und das macht Nicht High oder andere Sachen mit deinem Kopf Sondern das macht dein Unternehmen sicher weil alle Mobilgeräte abgesichert sind.

00:17:13: Das versprechen zumindest die Hersteller.

00:17:15: Und über dieses Thema Was denn?

00:17:18: Warum

00:17:19: ist das

00:17:20: schon ein Lache der Verzweiflung.

00:17:21: Ich kann mir vielleicht muss ich High sein um dieses Versprechen zu glauben, also brauche ich irgendwie MDMA um mit meinem MDM happy zu sein?

00:17:30: Nein du musst nur einfach um alles was ich jetzt gleich sage eher kurz denken.

00:17:33: Also wenn ich sicher sage dann sage meine ich sicher und ich mache einen kurzen Überblick sehr high level nie MDM gerät, also doch ein Gerät mal in einem MDM enrolled gehabt.

00:17:48: Das war schon kein Spaß und habe aber nie selber das irgendwie verwalten oder irgendwo ausrollen müssen.

00:17:54: Insofern ist es jetzt nur so theoretischer Abriss wie ich die Produktsparte verstehe.

00:18:00: Das sind im Grunde... Ist das ein Flottenmanagement für mobile Geräte im Unternehmen?

00:18:05: Da geht's ja nicht so sehr um dich und mich als Privatleute, sondern um Unternehmen.

00:18:11: Möglicherweise aber auch um Institutionen wie zum Beispiel Schulen die dann so Klassensätze an Tablets haben für ihre Schüler und Schülerin.

00:18:18: Aber vorrangig eben geht es um Unternehmen Und in diesem MDM diesen Mobile Device Management.

00:18:24: da gibt's einen zentralen Server oder eine Cloud-Lösung Da werden alle Geräte Die im Unternehmen existieren registriert Idealerweise auch Betriebssystem übergreifen.

00:18:33: das heißt ein gutes MDM unterstützt nicht nur Windows sondern natürlich auch macOS, vielleicht sogar Linux Android und IOS damit die großen Plattformen für Geräte, die in irgendeiner Weise herumgetragen werden können.

00:18:46: Und die werden dann da enrolled wieder so schön heißt und können dann zentralisiert verwaltet werden.

00:18:52: das ist für Security vor allem die physische Sicherheit natürlich schön denn wenn so ein Gerät abhanden kommt weil ich es in der U-Bahn liegen lasse oder bei mir einer mit der Kalaschnikow droht, um mir mein Laptop abzunehmen.

00:19:07: Dann kann ich mich bei meinen Systemverwaltern melden und dann machen die aus dem Gerät einen Briefbeschwerer auch wenn ich das Unternehmen recht plötzlich verlassen muss weil sich dieses Unternehmen gegen eine weitere Zusammenarbeit entschieden hat.

00:19:19: Mit mir kann es dann auf ein Knöpfchen drücken und ich wache morgens auf möchte ins Homeoffice, möchte meinen Rechner anmachen Bitte einmal beim Atmen melden, ich bin nämlich gerade frisch aufgesetzt.

00:19:30: Das ist tatsächlich auch so.

00:19:32: da habe ich Blockartikel drüber gelesen oder... Auf Mastodon was drüber gelesen in den großen Kündigungswellen im Silicon Valley so passiert und dann sind Leute also morgens aufgestanden, haben gefrühstückt, haben sich hier einen Kaffee gemacht, sind zum Rechner gegangen und haben festgestellt fuck!

00:19:47: Ich bin heute Nacht gefeuert

00:19:47: worden.".

00:19:48: Das ist vielleicht die unangenehmste Art Die eigene Arbeitslosigkeit oder die neue Jobsuche zu beginnen.

00:19:54: aber PowerDual, verschiedenen MDMs.

00:19:57: Du meinst als MDM ist nicht nur Mobile Device Management sondern auch steht für wertschätzenden Umgang mit Mitarbeitern?

00:20:04: Ja mächtig debiles Management.

00:20:09: So die dafür braucht es natürlich nicht nur einen Server, sondern auch einen der dem Server geräuchte und dieser Geräuchende ist dann das jeweilige Endgerät.

00:20:19: da muss ein Klein drauf installiert sein oder eine App, wie man das bei Mobilgeräten dann nennen würde.

00:20:24: Und die muss natürlich relativ weitreichende Permissions haben, die bis zur kompletten Fernsteuerung des Geräts und stückweit auch Integration ins Betriebssystem gehen um zum Beispiel Geräte remote bricken oder remote neu installieren zu können.

00:20:40: Dann kannst du über diesen MDM-Service und diese Administration, also wie gesagt, die muss ja irgendwie Als ad angebunden sein und da muss sowas wie group policies haben so kannst du auf jeden fall dann auch Bestimmen wäre zum beispiel auf seinem eigenen entgerät apps installieren oder eben nicht installieren darf welche apps genutzt werden dürfen.

00:20:57: Du kannst dann sagen hier das ist noch safe for work also einfach auch Nicht nur dafür sorgen dass wenn das gerät geklaut oder anderweitig abhanden kommt dass es gesperrt wird sondern auch Andere security policies für die software nutzung unternehmen durchs mdm ein stückweit umsetzen.

00:21:12: so das heißt aus Sicht des entgeräts kannst du eigentlich nicht viel tiefer und sicherheitsrelevanter auf dem Gerät verankert sein, als dass diese MDM App sein muss damit sie alle Funktionen erfüllen kann.

00:21:26: Die sieht alles die kann alles.

00:21:27: Sie könnte wahrscheinlich auch Rout-Zertifikate neu installieren um dann so ein TLS zu spielen usw.

00:21:33: Und viel tiever geht es aus meiner Sicht nicht außer Du bist halt wirklich das Betriebssystem oder der Körner.

00:21:40: Das ist also ein eher sensibles System in der Unternehmens IT und dann ist es bisschen doof wenn MTM Sicherheitslücken hat, denn das ist dafür da und nur dafür da genauso wie eine Security Appliance am Edge.

00:21:53: Das Netzwerk ist genau nur dafür dar, dein Unternehmen sicherer zu machen.

00:21:57: Das soll es nicht unsicherer machen, dass so keine Reports liefern oder so, sondern der Kernzweck macht das Unternehmen sicher ab.

00:22:04: Und wenn der Netto-Sicherheitsgewinn dann negativ ist, dann ist das vielleicht doof!

00:22:10: Es gibt Hersteller für MDMs reichlich, ein sehr bekannter der eine oder die andere von euch vielleicht schon mal gehört hat ist Microsoft aus Redmond.

00:22:18: Das ist so ein Start-up glaube ich.

00:22:20: die machen...

00:22:21: Kommt man zu einer Garage?

00:22:23: Genau so einen Garagenladen.

00:22:25: irgendwie machen auch Betriebssystem und sie haben natürlich auch einen MDM.

00:22:29: das heißt bei denen soweitig was Intune.

00:22:32: Ich bin mal im Berührung gekommen mit so einem MDM von Sophos, aber auch nur so.

00:22:36: Es ist mal in dem SMS vorbeigeflogen in den Policies also habe ich auch nie was ernsthaft mit zu tun gehabt.

00:22:43: Aber es gibt einen weiteren Hersteller, den ihr auch hier im Podcast bestimmt schonmal gehört habt und das is...

00:22:48: Drommelwebel!

00:22:51: Iwanti!

00:22:52: Endlich haben wir wieder iwanti im Podcast.

00:22:53: Ich freu mich.

00:22:55: Ihr rate's nie wie welche Wendungen diese Folge jetzt nimmt.

00:23:01: Wer mir auf Mastodont folgt, der weiß es schon.

00:23:05: Weil ihr heißt das Ding dann Iwanti Endpoint Manager Mobile also EPMM und ich gebe euch eine Empfehlung wenn ihr vom Rest des Tages nach dieser Podcastfolge noch was haben wollt Google das besser nicht in Verbindung mit so Stichwörtern wie CVE oder Critical oder so weil das wird ein etwas längerer Tag denn da gab's den Zero Day Und nicht irgendwie so ein kleineres Ding, wer angemeldet ist kann möglicherweise Metadaten von einem weiteren Gerät sehen oder so.

00:23:34: Nein das ist ein unauthenticated RCI auf der Web-Oberfläche für den Endpoint Manager also nicht auf den Geräten die dadurch verwaltet werden sondern die Manager Software oder der zentrale Server selber.

00:23:45: Kleine haben wir es nicht.

00:23:46: und neun Komma acht von zehn.

00:23:48: CVSS heißt das einzige was nicht an der zehn Komma null kratzte war dass dieser sogenannte scope change verneint wird.

00:23:56: alles andere inklusive attack complexity low und attack privileges.

00:24:03: nun also keine privilegien notwendig diese häkchen kreuzt.

00:24:07: ihr wandt die pflicht schuldig in ihrem security advisory an

00:24:11: und damit also sagen schon ganz gut aber neun komm acht von zehn.

00:24:16: bisschen luft nach oben ist noch oder da kann man sich reinhängen.

00:24:20: Also in diesem fall wäre vielleicht sogar mal interessant nochmal zwei setze zu meinem verständnis von dieses scope change.

00:24:25: Zu sagen.

00:24:25: so wie ich das verstehe wäre die zehn kommen nur jetzt zum beispiel erreichbar, wenn man über diese sicherheitslücke auch die entgeräte infizieren könnte mit irgendwas also malware oder code rauf ausführen konnte auf den end gerätten nicht auf dem server weil dann würde sich der scope ja ändern.

00:24:39: du führst den exploit auf dem server aus infiziert ein endgerät und dann hätte man aus meiner sicht diesen scope change und dann wer die zählen voll.

00:24:46: aber davon steht in denen Verschiedentlichen Artikeln die ich gleich nochmal nennen werde.

00:24:51: zum Glück muss man sagen nichts.

00:24:54: Aber es ist alles noch viel schlimmer denn wie immer wenn iwanti oder fortidet involviert sind, ist die dritte Firma die aus diesem Liebesdreieck möchte ich fast sagen nicht wegzudenken ist auch mit vom von der Partie und das ist watchtowerlabs.

00:25:13: Watchtower Letz schreibt dann immer einen netten Blogartikel auch.

00:25:16: Ich muss schon lachen, wenn ich nur an diese Template von diesem Blog denke.

00:25:20: Der ist wieder hilarious!

00:25:22: Da ist wieder Sinsel Nuttedit dabei.

00:25:24: das ist so bei Lieblingsautor Sina Kerkhan mit dem habe ich auch auf der Pronto-Oma gesprochen letztes Jahr.

00:25:29: ein ganz netter Mensch und die schreiben einfach immer so drollig und es ist immer so witzig und ich stelle mir mal vor wie die Leute in den PR Abteilungen von Ivanti und Fortinet immer in ihren Namen auftaucht im Blog ein bisschen anfangen zu weinen.

00:25:42: Aber gehört halt zum Job.

00:25:45: Es geht um zwei CVEs, das sind CVE zwanzig sechsundzwanzig zehn, zwölf einund achtzig und dreizehnvierzig.

00:25:52: Eben folgenden werde ich die jetzt so ein bisschen zusammen manchen wie so ein bissel sowieso einen Exportkartoffelbüree weil es eigentlich nicht so wichtig ist zwischen den beiden zu unterscheiden.

00:26:00: wenn euch das interessiert wo auch die Differenzierung zwischen den beiden ist, dann guckt euch den Blog-Artikel an.

00:26:07: Den packen wir noch in die Show Notes und das mache ich mal jetzt gleich.

00:26:10: In diesem Moment werde ich weiterrede und ein bisschen füller Text hier absondere.

00:26:13: Also hab' ich schon.

00:26:14: Ich glaube

00:26:14: er steht schon unten drin oder?

00:26:15: Ja!

00:26:15: Er steht schon drinnen.

00:26:18: Vor dreißig Minuten habe ich ihn schon reingepackt.

00:26:22: Das habe ich heute Morgen dieses Item in unserem Podcast zuletzt recherchiert und notiert.

00:26:28: Und wollte das nur ganz schnell nach dem Frühstück vor der Aufnahme noch fertig machen, dann sah ich diesen Watchtower-Artikel.

00:26:33: Aus diesem Watchtow Artikel sah ich drei weitere Artikel.

00:26:36: Dann hatte ich so ein Rabbit Hole unlocket und dass ein paar Stunden vor Aufnahme beginnen, das brachte mich erst zum Lachen und dann zum Schwitzen.

00:26:43: aber wir können wie üblich nur Bruchteile von diesem Blogartikel hier aufnehmen.

00:26:48: Das ist aber mal wieder eine andere Reihung von WTFs, also mit so Sachen wie ihr kriegt jetzt Patches.

00:26:54: Aber mit dem nächsten Update werden die Patches wieder zurückgerollt und dann müsst ihr zur nächsten Minor Version upgraden damit die Patch es wieder angewendet ist ganz wirk.

00:27:04: Aber Watchdauer hat sich der Sache angenommen und sie haben nachdem das Embargo für den Fix dieser Sicherheitslücken gefallen Und zwar mit einem krassen Hacker-Tool.

00:27:19: Ich weiß nicht, ob du das schon mal gehört hast, Sebastian, mit dem man Pakete wohl so auseinandernehmen und analysieren kann, Softwarepakete.

00:27:25: Das heißt RPM!

00:27:30: Aber das ist halt schon, also es ist ja nicht mal mehr Dual-Use.

00:27:33: Das ist schon sehr schwarzmarktig.

00:27:36: Sehr kriminell!

00:27:38: Du musst das auflösen, das haben die alle aufgeschrieben.

00:27:41: RPL bist der Paketmanager, der u.a.

00:27:43: von Reddit eingesetzt wird und das ist ein Paket-Manager.

00:27:47: Und was sie gemacht hat, müsste es Parkett zu öffnen oder nicht einmal zu öffen so sich von RPM sagen zu lassen.

00:27:52: Was steht da drin?

00:27:53: Ja... und Sie haben dann das ein bisschen auseinander genommen.

00:27:59: Ihr Aufhänger war natürlich ein Advisory von Iran, in dem eine Wendungsstand die auch ich immer sehr verdächtig finde.

00:28:04: Wenn die irgendwo auftaucht als bei allen.

00:28:09: Man meistens bei diesen Appliances erstellt und da steht so etwas wie We are aware of a very limited number of customers whose solution has been exploited at the time of disclosure.

00:28:19: Also, uns ist eine kleine sehr begrenzte Anzahl von Kunden bekannt deren EPMM Installation bereits exploitet wurde als wir das hier veröffentlicht haben.

00:28:30: Das war zur Timeline.

00:28:31: kommen wir gleich irgendwie im neunzwanzigsten Januar.

00:28:35: Das bedeutet eigentlich weitverbreitete Exploits durch staatliche oder private Akteure die irgendwie Zero Day dafür haben und den auch nutzen.

00:28:45: dieses very limited ist immer so eine Sache.

00:28:46: Also das ist so dieses PR-Sprech, wenn nicht alle getroffen sind kann man immer noch sagen es ist eine begrenzte Teilmenge und wenn die Grenze halt ist, alle bis auf einen ist ja auch ne Grenze, ne?

00:28:57: Das eine des anderes dieses we are aware.

00:29:00: also das heißt ja nicht dass die Menge an Betroffenen wirklich sehr begrenzt ist nur die Menge am Betroffene von denen Yvanti wusste

00:29:07: Ja den Rest haben sie einfach Augen und Ohren zu gehalten gesagt la la la wir wollen das alles nicht hören.

00:29:14: Das ist deine Interpretation, dieses Satz.

00:29:18: Da muss ich bei lotter Freude anfangen zu gußen.

00:29:21: So es geht weiter.

00:29:24: Sie haben also diese Dass die ab.

00:29:26: sie haben diese update pakete reverse engineered wie man das macht wie dass auch Die angreifer machen um eben so schnell wie möglich und wie schnell werden wir gleich sehen an die Tatsächlich die stelle des der sicherheitslücke zu kommen Und haben festgestellt dass die da An einer stelle rum oder patchen, die gar nicht so der Kern dieser Firmware- oder dieses Betriebssystem ist sondern am Web Server.

00:29:51: Und das ist dann immer schon kein gutes Zeichen weil wenn beim Web Server gepatched wird muss ja auch irgendwo an einer Stelle die über den Web Server also das Webfrontend dieser Appliance erreichbar ist eine Sicherheitslücke gewesen sein.

00:30:03: und in diesem Fall wurde eine sogenannte rewrite map Rewrite wie Rewriting etwas umschreiben, modifiziert diese Rewright Maps.

00:30:14: An dir erinnere ich mich noch ganz dunkel aus meiner eigenen Apache Zeit.

00:30:17: Also das Rewwriting ist ja wenn du eine URL kriegst also ein Aufruf für irgendeine Datei oder ein Dokument und das heißt dann sowas wie eins zwei drei vier fünf sechs Binde Strich Sicherheitslücken in Ivanti Produkten Punkt HTML.

00:30:31: Wenn das bei heisee auf dem Webster war einschlüge Dann würde der halt dieses diese Überschrift dahinter wegschneiden und dann einfach in der Datenbank nach ID.

00:30:39: One two three four five six suchen, und hoffentlich vorher die one-two-three-four-five-six noch ein bisschen escaping damit da nicht eine SQL Enjection drin ist.

00:30:46: Also ganz grob!

00:30:46: So ist es natürlich in der Realität bei Heisen nicht.

00:30:48: Es ist erheblich komplexer vielleicht?

00:30:52: Aber so ähnlich funktionierte das bei den EPMM Appliances.

00:30:57: wenn da also jemand auf dem in dem Web Interface eine bestimmte URL aufruft, dann wird das auf dem Webserver durch gescheucht und diese rewrite map kann entweder tatsächlich eine liste von zuordnungen sein also aus eins zwei drei macht tatsächlich den aufruf von datai vier fünf sechs oder aber es kann ein skript sein.

00:31:18: Und dann werden die entsprechenden parameter der url halt an dieses skrip weiter gereicht, und dann wird ihm gesagt guck mal hier der browser wollte das hier aufrufen.

00:31:26: was willst du daraus machen?

00:31:27: Was soll ich dem denn für Daten zurückgeben?

00:31:29: Dann ist es die Aufgabe des skripts zu sagen welche Datei im Dateisystem oder welches CGI oder so tatsächlich aufgerufen werden soll.

00:31:38: Wenn man so eine Rewrite-Map also nicht vertrauenswürdige Daten aus dem Request Scope, also ULs oder UL Parameter oder sowas in der Art übergibt dann sollte wenn da ein Skript dahinter hängt, sollte das die möglicherweise nicht ungeprüft in irgendwas reinpipen oder an einem Subsystem weiterreichen oder weiter verarbeiten BESH Shell Expansion damit machen, weil das könnte dann schief gehen.

00:32:07: Und ich habe es jetzt schon ein bisschen gespoilert.

00:32:09: In diesem Fall war der hinterliegende Skript ein Bash-Skript.

00:32:13: und dieses Bash-skript, wenn du dem da so eine Handfrage wie miffc appstore fob drei eins zwei drei schaar zwo hundert sechsund fünfzig irgendwas gibst, dann macht dieses Bash skript aber was ganz Komisches draus und dieses ganz komische, da kannst du halt Code in einem bestimmten Format reinschmeißen und dann hast du einen Unauthenticated Code Execution im Webbeck, auf der Webbeckei.

00:32:40: Und eigentlich soll dieses Re-Write Map den Download von Apps auf die Endgeräte steuern.

00:32:46: also du sollst da glaube ich eigentlich für dein Endgerät eine angepasste Iwanti EPMM App bekommen die das dann die dann installiert werden kann oder App Updates oder sowas in der Art.

00:32:58: aber halt nicht nur.

00:32:59: Und jetzt haben wir also einen unauthenticated RCE, also Remote Code Execution mit einem einzelnen Gatschrequest.

00:33:06: Wortschauer musste da lange dran rum basteln hat es irgendwie nicht so richtig hingekriegt und dann so schreiben sie in ihrem Blog erschienen ihnen der Proof of Concept im Traum.

00:33:16: Sie wussten dann wo sie gucken müssen und zwar bei der sogenannten Arithmetic Expansion in Bash.

00:33:23: Also die Shell, was dahinter steht ist ein Bash Script.

00:33:27: Das wird auch mit der Bash ausgeführt auf dieser Appliance.

00:33:29: Es hat auch so'n bisschen die Frage, warum man auf so einer Security Applience unbedingt eine Full-Featured Shell braucht wie Bash, die ja nun nicht das erste Mal mit Sicherheitsproblemen aufgefallen ist im Shell-Shock... Aber das ist eine andere Frage.

00:33:44: und wenn ihr als Rührende interessiert an diesem Rabbit Hole seid, dann schaut mal in einem untergeordneten Übungsaufgabe in den Show Notes.

00:33:51: Da ist ein langer Artikel zum Thema Arithmetic Expansion.

00:33:55: In diesem Fall ist es vielleicht ausreichend, wenn ich das so erkläre, wenn du unter bestimmten Bedingungen

00:34:01: z.B.,

00:34:03: in einer Variable Invest die ein Array ist mit Backticks ein Shell-Kommando fügst oder als Error Key sozusagen ein Shell Kommando hast dann führt die Best dieses Kommando aus.

00:34:19: Das ist für dich die Essenz der Sache und deswegen sehe ich da auch zwei Probleme, also das eine ist... Ich verstehe nicht so ganz wie man an so einer kritischen Stelle... Also ja gut, ich meine Shells gibt es halt überall aber Shells sind halt notorisch irgendwie schwierig so sauber zu machen dass sie halt nicht irgendwo Müll produzieren wenn jemand büswilliges Eingaben reinfüllen kann.

00:34:45: Und das andere ist halt wirklich, also... Das hatte ich auch nicht auf dem Schirm, dass sich als Index von einem Array halt auch so eine Command Expansion nutzen kann.

00:34:55: und ich meine, ich bin jetzt auch mit Sicherheit kein Bash-Zauberer aber da sind so Features dieser Sprache.

00:35:02: die sind meiner Meinung nach sehr deutlich daraus gewachsen, dass man da halt so Skripte zusammen basteln kann Man sich nicht große Gedanken gemacht hat, ja aber sind es dann sichere Konstrukte die wir hier bauen.

00:35:15: Und insofern ich habe da sogar ein bisschen Mitleid sozusagen mit Ivanti dass sie das übersehen haben.

00:35:22: Die Ehrenfehler liegt meiner Meinung nach eher daran, dass Sie halt überhaupt sagen, ja das machen wir mit dem Shellscript.

00:35:28: Also ich bin ja schon bei Wir packen einen Apache auf die Appliance und lassen einen Skript diese URL Rewrites bauen, bin ich schon raus kann man sicherlich treffig diskutieren und ich musste hier muss mein fairerweise zugeben, ja auch noch nie eine Security-Applein selber bauen.

00:35:47: From scratch.

00:35:47: vielleicht kommt man dann irgendwann auf solche Ideen.

00:35:50: Dieses Bash Script ist relativ lang und es gibt da nur so zwei drei weitere Tricks die auch von Wotschdauer sehr eigentügendig mit viel Memes wie das halt so üblich ist bei denen im Blog dokumentiert werden.

00:36:06: aber am Ende läuft's halt wirklich drauf hinaus dass sie sich ein bisschen Komplexen variablen Tricks selber ins Knie schießen, weil sie irgendwelche Time Stamps miteinander vergleichen und in den Timestamps ist halt möglicherweise Usergenerierter oder vom User Supplyd Daten drin.

00:36:26: Also es ist ein bisschen schon trickreich aber hätte man alles auch anders machen können.

00:36:37: Also hätte man deswegen hat ja wascher auch eine weile auf dieses schellskript gestartet sagen sehen und irgendwie so jetzt nicht gesehen wo ist eigentlich das problem?

00:36:43: damit war es so oft in erstem die ganz okay aussah aber deswegen.

00:36:46: Das wäre mein argument.

00:36:47: eben deswegen ist Schelle halt die falsche wahl für sowas weil das kann ok aussehen oder trotzdem irgendwie, halt irgendein feature von dieser komischen bastelsprache übersehen.

00:37:02: Ja also

00:37:02: du tschüsses

00:37:03: es ist es ist.

00:37:05: Es wird nicht an einer gewissen tragik aber es entdeckt auch nicht an der gewissen tragi komik.

00:37:11: Weil natürlich ist es auch so dieser Web-Server, der läuft halt als Rot.

00:37:15: Und wenn du jetzt also diesen Exploit hast dann... eigentlich meine ich muss sagen das muss man fairerweise jetzt doch mal noch dazu sagen Wenn der auf Port Achtzig oder Fierfier Drei horchen soll, dann kommst du nicht drumherum dass er als Rot läuft.

00:37:27: und weil diese Revrite Map ja nicht ein CGI Skript ist sondern Teil der Kernkomponente des Webservers vermute ich auch, dass es keine gute Möglichkeit gibt die Privilegien vorher zu droppen.

00:37:37: Also wenn der Expert ausgeführt wird über einen beliebigen Get-Request dann bist du halt auf diesem EPMM Server nicht nobody oder WDW Data oder sowas.

00:37:48: Ja also zugänglichermaßen ohne da jetzt eine harte Datenbasis dafür zu haben.

00:37:52: aber mein Bauchgehöhwer doch da gibt's natürlich ne gute Möglichkeit wenns nur darum geht den Port zu haben da eine Trennung drin zu haben oder irgendetwas, was halt Privilegend dropped before es anfängt Input zu passen.

00:38:06: Also bei Web-Sermon ist mir da keine Bekannt.

00:38:09: Das Problem ist ja das du hier immer noch ganz vorne in der Requestverarbeitung bist.

00:38:14: Du bist dabei den Request verarbeiten und dahin zu ruhen wo er hinterher tatsächlich ausgeführt oder so evaluiert werden soll dass nach einer Antwort rauskommt.

00:38:25: Und ich glaube nicht, dass du das... Also ich würde mich wundern wenn du das nicht mit dem privilegierten Prozess machen kannst.

00:38:34: Du musst den Port aufhalten aber der Prozess, der die Nutzeeingaben da interpretiert und rausfindet was hier angefragt worden ist, der muss diese Privilegien ja nicht haben.

00:38:49: Aber

00:38:49: wir spekulieren hier rum, also korrigiert uns wenn ihr sozusagen Ahnung von Web Server Design habt.

00:38:56: Also korrigierte der Christopher oder mich, ob es möglich ist oder praktikabel ist da Privilegien zu droppen oder irgendwie abzuschotten oder halt nicht.

00:39:07: Noch schöner wäre, wenn du uns einer mal die Web Server Conflict von so einem Iwanti-EPMM rüber schmeißen konnte weil das ist nämlich keine generelle Frage sondern eine Frage wie machen sie das bei iwanti?

00:39:17: steht halt in der Konfig auch, dass der Web Server weiter als User-Root läuft.

00:39:20: Das kannst du dem ja sagen!

00:39:21: Du bist eigentlich VW Data.

00:39:23: Anyway das ist gar nicht der Punkt weil es eigentlich an dieser Stelle auch relativ rille ob du ob du Route bist oder VW data weil in diesen Appliance das ist ja üblicherweise dann aber noch ein weiterer Fehler irgendwo wo du deine Privilegien im schlimmsten Fall noch erhöhen kannst.

00:39:40: Das Ganze ist nicht bei der Theorie geblieben, also es ist jetzt nicht eine Sicherheitslücke die gefunden gepatched veröffentlicht und dann von Watchtower desiziert und lächerlich gemacht wurde.

00:39:48: Sondern zu dem gab es das auch noch im Feld oder in the wild Und das ging sehr sehr flott.

00:39:55: Also so flott dass ich fast den Verdacht habe, dass es eben nicht nur Nachdem-Advisory Angriffe gab sondern tatsächlich der Exploit und die sicherheitslückel schon vorher bekannt war.

00:40:06: Am neunzwanzigsten Januar gab es einen Security Advisory von Ivanti und die dazugehörigen Patch-RPMs.

00:40:14: Und am selben Tag tauchte der die Sicherheitslücke in den CISA known exploited vulnerabilities auf, das heißt die CISA hatte am neunzwanzigstens schon morgens wenn ich mich richtig erinnere Kenntnis davon dass ihr Sicherheitslücke aktiv explotet wurde.

00:40:34: Sekunde mal eben, ich gucke mal gerade.

00:40:38: Das muss ich ja... das habe ich hier noch.

00:40:40: Also die E-Mail hab' ich gekriegt am neunundzwanzigsten, ersten sechsund zwanzig und zweinzwanziger Uhr sieben also am... Die sind hinter uns mittags am neuneunundzwanzigste amerikanischer Zeit.

00:40:54: da wussten die schon dass es Exploits gab.

00:40:56: warum ist dann auch klar im Nachhinein denn am selben Tag gab's einen Angriff auf die niederländische Datenschutzbehörde und den nieder ländischen Justizrat.

00:41:04: Ich hoffe Ich übersetze das gerade richtig.

00:41:11: Dieser Angriff habe ich eine DocX-Datei bekommen als Advisory von dieser Behörde, die ist da zum Runterladen.

00:41:19: Da bin ich dann auch immer schon so ein kleines bisschen nervös wenn dann mir so einen DocX angeboten wird aber dass es tatsächlich der Report an das niederländische Parlament vor gewesen und es gab einen Angriff auf die finnische Waldtori, das ist wohl ein zentraler Regierungs-IT-Dienst.

00:41:34: Da ist da sowas wie IZ Bund oder so was.

00:41:42: und die Angriffe, da gab es noch einen dritten Angriff.

00:41:48: der kam am dreißigsten Januar aber der steht noch so ganz schnell ein bisschen auf dem anderen Blatt.

00:41:54: Die Angriffen, das Advisory und die Verfügbarkeit von Patches waren alle am selben Tag.

00:42:00: also da ging's sehr sehr sehr schnell.

00:42:03: Und auch die Waldturi schreibt Wir haben am Nachmittag des neunundzwanzig die Patches installiert, aber es war schon zu spät.

00:42:10: Also da sind Daten weggekommen.

00:42:12: und der dritte Angriff von dem wir wissen ist auf die mobile Infrastrukturverwaltung der EU-Kommission.

00:42:21: Wir haben keine Bestätigung on the record dass das auch ein IVanti EPMM Problem war.

00:42:30: arg seltsamer Zufall, wenn am dreißigsten Januar über einen Exploit in einem anderen mobilen Device-Management auch noch die EU-Kommission aufgemacht worden wäre.

00:42:40: Also da... Ich glaube ja manchmal an Zufälle so auch in Dubioporé und so aber in diesem Fall weiß ich nicht genau, so zufällig kann das aber nicht sein.

00:42:51: Das Ganze hatte Auswirkungen.

00:42:53: alleine bei den finnischen Behörden sind Daten von fünfzigtausend Geräten weggekommen.

00:42:59: Das heißt aber nicht, dass Daten von diesen Geräte geklaut wird sondern Metadaten die Namen, Mail-Adressen und Telefonnummern der Nutzer sowie Details zu den eingesetzten Geräts sind wohl abgezogen worden.

00:43:13: Also eigentlich alles was man braucht um so Nation State Level Angriffe zum Machen Spare Fishing mal zu gucken.

00:43:19: Was haben die da so drauf unter dem Pegasus irgendwie drauf loszulassen?

00:43:23: Und einfach so Informationen die man nicht unbedingt in einer gesammelten Liste bereitstellen möchte als Regierung.

00:43:31: Und die Valtori schreibt auch in dem Artikel zu dem Angriff, dass trafene MdM hat Daten von dekommissionierten also Metadaten zur dekombitionierten Geräte, die gelöscht werden sollten.

00:43:46: Also wo die Administratoren gesagt haben, die Gerätese haben wir nicht mehr.

00:43:48: Die Daten können weg nicht gelöschen sondern nur als gelösht markiert das Nicht so geil.

00:43:54: Also ich nehme an, dass das auch wieder so Komplen-Einsgründe hat, dass man einfach dann die Daten im Zweifel nochmal für ein Audit aus dem Hut zaubern kann oder sowas.

00:44:01: aber das erhöht natürlich erheblich auch das Schadensvolumen in diesem Fall weil da auch Daten von Geräten aber auch Mitarbeitenden die schon längst nicht mehr im Unternehmen waren mit weggekommen sind.

00:44:12: Die EU sagt dazu Data of some staff members also... Eine bestimmte Menge von einer unbestimmten Menge von Mitarbeitenden und die niederländischen Behörden sagen, dass die Datenschutzbehörde und der Justizrat sind betroffen.

00:44:32: Keine Infos über irgendwie Anzahl der Personen oder Geräte, die getroffen sind aber auch die beziehen sich relativ klar dann noch auf Ivanti

00:44:40: Weißt du zufällig?

00:44:42: Also ich kann mir gut vorstellen einmal Compliance Gründe mit diesem.

00:44:46: wir löschen nicht wirklich wie Wir markieren nur als gelöscht.

00:44:50: Ich kann mir auch gut vorstellen, dass wenn du anfängst wirklich zu löschen, du wahrscheinlich zwei Wochen warten musst bis der erste wütende Kunde über dir auf der Matte steht weil er ausser sich was gelösht hat und jetzt das aber wiederhaben will.

00:45:04: Weißt Du sozusagen ob die Admins von den Finnen, ob denen bewusst war, dass diese Sachen da nicht wirklich gelöszt werden?

00:45:11: Weil das ist ja noch mal so ein Aspekt den ich für sehr problematische achte einem Irreglauben aufsitzen.

00:45:21: Also ich glaube, sie waren es nicht.

00:45:22: in dem Artikel steht unsere Nachforschung haben ergeben dass das Management System also das EPMM die entfernten Daten nicht permanent gelöscht hat also dauerhaft gelöstert sondern nur als gelöschen markiert hat.

00:45:36: Als Resultat wurden Geräte und Benutzerdaten zu allen Organisationen die den Dienst während seines Lebenszyklus genutzt haben kompromittiert.

00:45:48: Bei der Volt-Valtorie sind auch noch zusätzlich einfach Organisationen angeschlossen und dann wieder abgetrennt worden von dem Device Management, zum Beispiel nicht Ministerien oder irgendwelche anderen finnischen Regierungsbehörden.

00:45:59: Die gesagt haben ist nichts für uns oder vielleicht den Anbieter gewechselt haben hoffentlich den Anmieter gewächselten dass auch deren Daten waren da noch vorhanden und das klingt mir nicht so als hätten die Valtorie Leute das auf dem Schirm gehabt.

00:46:12: ob das jetzt deren Versäumnis ist gut dokumentiert ist oder ob das eine Überraschung war und anders dokumentiert, kann ich überhaupt nicht sagen.

00:46:20: Also ich bin es jetzt ehrlich gesagt nicht besonders überraschend.

00:46:22: also dass ein so ein System lange ein langes Gedächtnis hat und Daten dann schon alleine aus so Komplienzgründen aus recht möglichen rechtlichen Gründen sehr lange als noch vorhanden, als archiviert markiert.

00:46:42: sozusagen finde ich ehrlich gesagt nicht so überraschend.

00:46:46: Nee aber es wäre halt sehr ungut wenn die betroffenen Leute das nicht wüssten weil es gibt dann doch mal Situationen wo Daten sicher weg müssen oder auch Daten einfach sicher weg können weil sie schon so alt sind und dazu müssen die Betroffene halt wissen dass die überhaupt noch da sind.

00:47:03: Also wir haben einen Exploit mit neun Gramm acht.

00:47:06: Wir haben Leute, bei denen der Exploid ausgeführt wurde.

00:47:10: es sind nicht irgendwie kleine Mittelständler aus dem Saarland sondern das sind Regierungsorganisationen und die Europäische Kommission.

00:47:18: also viel größer geht jetzt nicht.

00:47:21: da fragt man sich natürlich wo kommt es her?

00:47:25: Und wie immer bei solchen Geschichten ist auch das ganz gut dokumentiert, in diesem Fall unter anderem von Grey Noise.

00:47:31: Die ja immer mal wieder solche Analysen auch rausgeben und die sagen, der Exploits nicht, sondern der erheblich mehr als die Exploit-Versuche kam von einer einzelnen IP bei einem Unternehmensnamens Prospero.

00:47:52: Und das OOO, das ist nicht der Ausruf des Reparaturdienstes beim Anblick meines Wäschetrocknassen im Sinne von OOO wird teuer.

00:48:00: Sondern dass es die russische Version an den GmbH und zwar ob Schestfußi ogranitschenoi otsvets venostiu.

00:48:09: Das hat eigentlich die Rucke

00:48:10: alle als geliebt ist!

00:48:11: Wir

00:48:11: bitten alle Russischsprachigen Zuhörerinnen um Verzeihung.

00:48:17: Da ist mal wieder die obligatorische Entschuldigung für Sprache und Kenntnis.

00:48:21: Also die Russen waren es, oder sagen wir mal jemand der so ein Bulletproof-Hoster nämlich genau das ist Prospero in Russland genutzt hat.

00:48:28: Unter Ferner liefen waren dann noch Namen wie Frontag, Datacamp kenne ich auch aus.

00:48:33: dieser sagen wir einmal eher BPHA Malware Ecke und Collo Cartel, die sagt mir gar nichts, sie sitzen wohl in den Niederlanden.

00:48:40: Und diese russische IP also bei Prospero macht nicht nur in Ivante Explode sondern Ziemlich viel, wo CvG-E-twanzig sechsundzwanzig davor steht und zwar Oracle WebLogic.

00:48:52: Da gab es ja auch wieder eine neue Lücke und ein IT-Asset Management namens GPLi... GPLI kenne ich nicht.

00:49:00: aber etwas das wir auch kurz in der Bonusfolge

00:49:05: hatten, nämlich

00:49:08: GNU TellnetD also die haben tatsächlich noch hunderte offene Sessions zu irgendwie am Angriff versuchen von GNU tellnetd beobachtet.

00:49:19: Ich bin nicht mal so überrascht, da ist eine Studie an mir vorbeigeflogen und ich habe beschlossen sie nicht ins Podcast Skript aufzunehmen weil man ja tote Pferde nicht irgendwie prügeln sollen im Versuch sie weiter zu reiten oder so.

00:49:33: aber also es scheint noch überraschend viele gerade in Asien überraschen viele so kleinere Firmen zu geben die halt Telnet Server am Laufen haben.

00:49:46: Immerhin, wenn ich das richtig im Kopf habe gab es da wohl einen nennenswerten DIP seit diese genuternete Lücke vor der wir das mal berichtet haben aufkam.

00:49:56: Vielleicht lernen die jetzt... Das ist eine schlechte Idee war!

00:50:00: Der DIP, den Nennenswerte, den hab' ich übrigens auch gelesen.

00:50:03: Es war eine schöne Analyse.

00:50:04: Ich weiß aber nicht mehr genau von wem?

00:50:07: Ich glaube auch von Grey Noise oder von Shadow Server oder so oder von Team Simro.

00:50:12: Dieser Dip lag gar nicht so sehr daran, dass die es gelernt haben sondern das die Telcos die gefiltert haben.

00:50:17: Also die haben festgestellt, dass das nicht wie man das zum Beispiel bei so Exploits wenn gepatched wird sieht eine graduell sinkende Kurve ist.

00:50:27: Das ist mal steiler, mal flacher diese Flanke, sondern dass das wirklich ein senkrechter Abfall ist.

00:50:36: Und da sind sie relativ sicher, dass das in den Carrier-Netzen einfach Prod.com Gepblockt wurde und haben da also eine ganz interessante Analyse noch online geworden.

00:50:48: Wenn ich es hier noch finde, dann packe ich es vielleicht auch noch in die Show Notes.

00:50:51: Das ist ganz spannend zu sehen wie man dann auf der Carrier Ebene was machen könnte.

00:50:54: bei solchen Geschichten aber natürlich nur wenn man weiß, dass Protokoll wird darf irgendwie im Web erreichbar sein.

00:51:03: Schönes Beispiel für sowas wäre zum beispiel der port von diesem t an zero sechs neun glaube ich heißt dass diese fernkonfiguration für DSL anschlüsse.

00:51:10: Da gibt es ja auch so ein standard das ist dein carrier deinen router konfigurieren kann und auf das dsl modem in dem router zugreifen kann.

00:51:18: sowas darf natürlich nie übers internet erreichbar sein, das heißt dieser carrier sagen wir mal die stadtwerke neu köln oder so diesen der wäre gut beraten das an seinem netzwerk etch rauszufiltern.

00:51:27: aber tellnet kannst ja durchaus noch jemanden geben der unbedingt von Güterslohaus auf seinen Tellnet-Server in Tajikistan zu greifen muss.

00:51:38: Diese Flanke, in diesem Fall war aber wirklich das da wohl eine Carrierseite gefiltert wurde.

00:51:44: Aber da sind wir gar nicht.

00:51:45: Wir sind dabei ein totes Pferd weiterzuprügeln damit es reitet nämlich Iwanti EPMM.

00:51:52: Damit das Pferd nicht ganz tot ist, wenn es ein Update kriegt oder wenn's rebooted wird haben die Angreifer natürlich auch für Persistenz gesorgt.

00:51:58: Die instanieren dann nämlich irgendwelche Webshells oder so, die nennen das Sleeper-Shells in einem der Blogartikel unter der Adresse Slash MIFS, was immer MIFSS ist, slash fournodrei.jsp und das sind so standard java basierte Webshelles.

00:52:12: Sie gibt zwar schon relativ lange auch in diesem Kontext geohnter Iwanti-Devices also auf anderen, nicht nur bei EPMM sondern auch bei anderen Iwandi Geräten.

00:52:21: Und da gibt es einen schönen Write-Up noch speziell zu diesen Shells, die sind sogenannten Sleeper Shells bei Diffuse Cyber.

00:52:27: Den packen wir auch in die Show Notes.

00:52:29: und wenn ihr dann in dieses Rabbit Hole ganz tief reinsteigen wollt das hätte man eine eigene Folge daraus machen können weil's einfach so schön dokumentiert ist und teilweise sehr unterhaltsam dokumentiert isst Dann steigt er gerne rein oder stoppt hier die Folge und dann könnte drei Tage später wenn ihr wieder rauskommt aus dem Rabbit Hold mit dem nächsten Thema weiter hören

00:52:49: Hast du dir jetzt Ivanti von der Leber geredet?

00:52:54: Ich kann das alles nicht mehr.

00:52:56: Also ich will das auch eigentlich gar nicht mehr, dieses... Ich habe das schon vor einem Jahr gesagt, ich halte es einfach nicht für eine gute Idee so ein Apache auf so einer Security Blinds zu packen.

00:53:05: Nicht weil Apache unsicher ist sondern weil er viele Möglichkeiten bietet Sachen reinzuknödeln die dann unsicher sind.

00:53:11: und wenn man's halt schafft über so ne Bash Expansion sich in einen Apache ohne Zutun von weiteren kaputtem CGI Skripten mit Mod-Code-Execution reinzubasteln, dann ist das einfach kein so richtig gutes Zeichen für eine Security in Plans.

00:53:25: Aber das hört er ja wahrscheinlich auch nicht zum ersten Mal hin.

00:53:27: Also

00:53:29: sagen wir es mal so na?

00:53:30: Christopher schnall dich an liebe Hörerinnen und Hörerschnall durch an weil wir kommen jetzt zu einem anderen Thema und das ist ein Thema wo man sich riesige Kinder öffnet.

00:53:42: da kommt die Wand hier einfach nicht gegen an egal wie viele Shell Scripts sie in ihren Apache stopfen.

00:53:48: Und zwar reden wir von Openclaw, ich weiß nicht ob ihr das mitbekommen habt.

00:53:51: Hat ja einen ziemlichen Hype verursacht für die dies nicht mitbekommen oder ignoriert haben.

00:53:58: was ist es überhaupt?

00:53:59: Openclaws ist letztendlich ein Konstrukt des einen Coding Agent also es geht um KI.

00:54:07: Einen Coding agent der heißt Pi, verknüpft.

00:54:14: dieser Pi nutzt natürlich.

00:54:19: Das kann ein lokales Modell sein, wenn man die entsprechend hochgezüchtete Hardware hat.

00:54:24: Bei aller Regel wird es halt ein externtes Modelle von OpenAI oder von Anthropik oder Google und von wem auch immer sein.

00:54:31: Und OpenClaw verknüpft diesen Pi mit diversen Dingen in allen voran Chat-Anbindungen.

00:54:38: also man kann da auswählen was man will.

00:54:43: Es unterstützt von haus aus discord ein message matrix microsoft teams next our talk nostre signal slack telegram tion messenger dem er nicht sagt webchat whatsapp zehlo bot und ja zählbot und sehr personal.

00:54:59: also so ungefähr jeden messenger den ihr euch vorstellen könnt könnt ihr an diesen coding edge tie dann ran löten.

00:55:06: Und was man da auch noch dran löten kann, mit OpenClaw sind Anbindungen an diverse andere Dienste.

00:55:11: Die ich jetzt nicht alle aufzählen werde aber unter anderem an OnePassword also wenn ihr Password damit verwendet.

00:55:16: Alleine Browser, damit das Ding ordentlich surfen kann.

00:55:19: An Kronen, an eure E-Mails oder G-Mail, je nachdem was sich hernimmt, an euren GitHub Account und Notion oder Obsidian wo ihr halt eure Notizen drin habt.

00:55:28: Äh, ansche Sam Smart Home Spotify an euren Twitter-Account.

00:55:32: you name it.

00:55:32: Naja irgendwelche Webhooks irgendwelches Smart Home Geschichten irgendwelchen Wetterdienste kann man alles... Ist das

00:55:38: doch alles vorgelesen?

00:55:40: Ne Apple no äh da war noch mehr egal!

00:55:43: Da waren auch mehr!

00:55:46: Und es gibt noch eine ganzen Hub wo man sich noch weitere Skills runterladen kann.

00:55:50: also das ist jetzt nur das Zeug was das Ding von Haus aus kann.

00:55:53: Ähm dieser Agent hat aus dem Dateizugriff auf dem Rechner auf den man läuft Das heißt, wenn das der Eigenrechner ist oder halt Rechner wo man auch so seine Daten verwaltet dann kann dieser Agent da halt sehen was also was für ein Teil da rumliegen.

00:56:06: Kann die öffnen lesen sonstwas?

00:56:09: Er kann auf diesen Rechnersachen installieren.

00:56:12: Er kann Sachen die schon installiert sind auf den Rechen ausführen und er kann sie insbesondere auch selber modifizieren indem ihr halt an seinen eigenen Konfigurationsteilen herum bastelt.

00:56:20: Und wenn wir das halt alles zusammen klöpelt wie Open Cloud es macht dann kommt da einen KI Assistent raus, der und das muss ich jetzt schon sagen wirklich beeindrucken kann.

00:56:31: Wir also nicht wir sondern Kollegen von heisee online schrägschrig ct haben dazu ein Video unter einen Artikel getrennt voneinander gemacht.

00:56:39: Tune bei den shownots könnte ich durchlesen oder angucken was so ein KI Assistant dann kannte.

00:56:47: aber ich glaube man muss es nicht groß sagen.

00:56:50: natürlich Birgt es ein enormes Sicherheitsrisiko, so eine KI an mehr oder weniger Jede alle Daten und alle Accounts ran zu lassen die man halt so hat.

00:57:04: Nein

00:57:05: doch!

00:57:09: Es ist ein bisschen ein inhärentes Problem.

00:57:14: Die Leute wollen halt so einen KI Assistenten haben Und damit ihr assistieren kann, sinnvoll braucht natürlich Zugriff.

00:57:23: Also man könnte dir natürlich vollkommen abgestoppte Betreiben nur hat man dann halt keinen Karriersstätten sondern eine KI die nichts tun darf.

00:57:33: Wenn der Sachen kaufen Termine buchen Kalendereinträge, Managerie E-Mails beantworten oder sonst was halt können soll, dann braucht er eben auch Zugriffs auf all diese Dinge.

00:57:45: Und Openclaw hat einen wahnsinnigen steilen Karriere hingelegt, da kommen wir gleich noch dazu.

00:57:52: Aber ich wollte sozusagen mal kurz diese KI-Probleme aus den Weg räumen die dann natürlich enorm tief drinstecken.

00:57:58: Diese LLMs haben nach wie vor das Problem dass sie DG Hadozonieren können oder dass sie im Internet irgendwas finden was halt nicht mehr stimmt oder noch nie gestimmt hat und dann danach handeln.

00:58:08: und wenn man die verklöppelt oder einbaut in den Assistenten der Einfach Dinge tut, dann landet man halt sehr schnell dabei, dass der irgendwelche fehlerhaften Dinge tut und sich selber kaputt macht oder das andere Sachen auf dem Rechner kaputtmacht.

00:58:22: Insbesondere hat man auch ein normales Risiko von Datenschutzproblemen, dass er halt irgendwas irgendwo hin publiziert was er nicht hätte publizieren sollen.

00:58:32: Und was man natürlich auch hat wenn man sich so den Assistenten zusammen baut ist das Problem von Prompt Injections.

00:58:40: Es gibt ja diesen schönen Begriff von Simon Willeson, der lethal trifecta also der tödlichen Dreier Kombination und er sagt dann her wenn ich nen Sprachmodell kombiniere mit irgendwas was ihm Zugriff auf schützenswerte Daten gibt.

00:58:56: Und Zugriffs auf nicht vertrauenswürdige Daten und einen Weg Daten zu exfiltrieren oder Schaden anzurichten Dann habe ich aus einer Prop-Ejection ein Sicherheitsproblem gemacht weil das bedeutet dass dann jemand extern ist, der eben solche nicht vertrauenswertigen Daten an mein Modell geben kann.

00:59:15: Da Anweisungen reinbauen kann die das Modell fälschlicherweise für Anweisung von mir hält den es dann folgt und es kann diesen Anweisungs- und Folgend schützenswerte Daten zum Beispiel ausleiten oder löschen oder so.

00:59:30: Und wenn ich einen Assistenten habe der halt für mich in Chatgruppen sitzt mit denen da nicht nur ich chatten kann sondern auch irgendwelche anderen Leute der meine E-Mails beantwortet wo halt die jede Person auf der Welt mir E-Mails schreiben kann.

00:59:42: Und eben diese Mails notwendigerweise passt und dann halt irgendwie versucht da drauf zu reagieren, was auch immer meine GitHub Pull Request irgendwie liest oder also you name it oder einfach nur im Internet irgendwelche Seitenaufrufe von irgendwelchen Leuten hat er natürlich das enorm hohe Risiko dass irgendwo er über so eine Prompt Injection steupert, ob die dann auf die rein fällt Nichts davon ist im Grunde neu.

01:00:11: Es ist bekannt, dass die KIs diese Arten von Sicherheitsproblemen haben und es ist bekannt das deswegen keine schlaue Idee so einen KI-Assistent zu basteln und das ist vermutlich auch der Grund warum noch keiner von den großen KI Firmen so eine Art von Assistent gebastelt hat.

01:00:27: aber der Entwickler hinter Openclaw hat das halt einfach gemacht und das Projekt ist irrewitzig steil gegangen.

01:00:33: Ja, der hat da zusätzlich erst so privates Hobbyprojekt angefangen.

01:00:36: Das ist keine zwei Monate alt.

01:00:38: dieses Projekt beziehungsweise jetzt ist es glaube ich etwas über zwei Monate halt.

01:00:42: Es ist dann so im November Dezember unter dem Radar.

01:00:45: also Ende November... ...twanzig fünfundzwanzig hat er damit angefangen na?

01:00:49: Dann ist in december so unter dem radar hingedumpelt und Anfang Januar auch noch und dann ist das irgendwie total viral gegangen.

01:00:54: Es hat innerhalb von Tagen Hundertsechzigtausend Sterne auf GitHub gemacht was wirklich absurd ist und einen wahnsinnigen Influgs an Popularität erfahren.

01:01:07: Und Peter Steinberger, der erfinde davon war halt sozusagen mehr als ausgelastet mit neuen Nutzern die dazukommen.

01:01:16: Neun Nutzers die Features dafür schreiben und halt Pull Requests stellen Leute die Feature anfragen die er dann selber versucht zu programmieren.

01:01:25: Er hat dann Clorhub auch noch geschafft.

01:01:27: Das ist eben so eine Webseite, wo man so weitere Anbindungen an irgendwelche anderen Dienste als sogenannte Skills halt einfach einstellen kann.

01:01:34: und dann kann man halt seinem Assistenten sagen hey geh doch auf Clorhhub und hol dir das oder man macht's händisch um ihn halt an andere Diensten noch anzubinden.

01:01:43: er musste irgendwie auf Sicherheitsmeldungen reagieren und so und er hat das unter anderem.

01:01:47: also ich glaube der Mensch hat sehr gut zu tun gehabt.

01:01:50: aber er hat es unter andermal auch deswegen geschafft mit weib coding.

01:01:56: von dem gibt es das mittlerweile relativ bekannte zitat als ship code i don't read.

01:02:01: also er lässt halt seine k.e auch einfach programmieren und angesichts dieser warnwitzigen entwicklungsgeschwindigkeit und diesem warnwizigen also schon der premisse sozusagen dass eigentlich alle wissen, das ist eine hoch riskante idee.

01:02:16: wir machen jetzt einfach trotzdem weil viel zu cool ist was irgendwie rauskommt ist.

01:02:20: es war für mich sehr überraschend dass diese projektsicherheit relativ hoch hängt.

01:02:25: Die Doku-Seite von OpenClaw zum Thema Security hat über dreißigtausend Zeichen und das ist auch nicht irgendwie leeres Blabla, sondern dass es sinnvolle Hinweise was man alles bedenken sollte.

01:02:38: Es ist auch die einzige Dokuseite die sich dem Thema Sicherheit widmet.

01:02:42: Die Warnungen darin sind auch sehr deutlich welche Risiken damit einhergehen Auch wenn man die Software installiert.

01:02:49: der Installer verweist auf diese Seite mit den Securitywarnungen und sagt man soll die lesen.

01:02:55: Openclaw hat auch ein Tool eingebaut.

01:02:58: Das heißt Security Audit, man kann das aufrufen und es prüft sozusagen übliche Fehler.

01:03:04: Also das ist aus meiner Sicht gerade für so einen VIP gekoltetes total hochgeheiptes PI Projekt eine erstaunliche Fokusaufsicherheit.

01:03:16: Es hilft halt... nur bedingt.

01:03:19: Also zum Beispiel dieses Gateway heißt es bei OpenClaw, das ist diese Komponente die halt irgendwie den KI-Assistenten mit den Chats und so verzahnt.

01:03:29: Diese explizite ich dafür gedacht am offenen Internet betrieben zu werden.

01:03:31: Die soll im Heimnetz laufen.

01:03:34: natürlich fand man innerhalb von Tagen hundert oder tausende davon am offene Internet weil die Nutzer das entweder nicht lesen oder ignorieren oder so.

01:03:43: Man muss leider sagen selbst wenn die Betreiber sozusagen die Risiken sich der riesigen bewusst sind und darauf hinweisen heißt es noch lange nicht, dass die Nutzer das auch zur Kenntnis nehmen.

01:03:55: Du hast jetzt diese dreißig K so ein bisschen rausgestellt also eine sehr umfangreiche Security-Seite ist.

01:03:59: aber Ist das nicht alles irgendwie KI generiert?

01:04:05: Das würde mich nicht überraschen.

01:04:07: nachdem sie alles mit KI machen habe.

01:04:08: ich meine Ich hab mir das durchgelesen was Sie da schreiben und das war inhaltlich hatte des Hand und Fuß.

01:04:14: Also wie gesagt es war kein leeres Gelaber.

01:04:17: Ich sehe schon ein bisschen das Problem Also sogar motivierte Nutzer, die sagen oh ja, Security klingt wichtig.

01:04:22: Der Installer weist mich drauf hin.

01:04:25: Die werden dann vielleicht bei dreißig K sagen und bestenfalls den Frisch aufgesetzt oder den Ascenten schnell fertig aufsetzen und im Lande sagen fassen wir mal zusammen was da steht!

01:04:37: Also ich sehe schon ein bisschen das Problem, dass man die Leute natürlich auch überschwemmen kann.

01:04:40: Aber ich muss sagen... Ich bin da mit einer anderen Erwartungshaltung lang gegangen in meiner Erwartungshaltung vereinigt.

01:04:45: Die haben da keine einzige Seite dazu.

01:04:46: Das interessiert die überhaupt nicht.

01:04:48: Die sind gerade viel zu sehr damit beschäftigt ihren KI-Assistentenpol zu finden.

01:04:53: Insofern wollte ich dann sozusagen auch Ehre wie eine Ehre gebührt darauf hinweisen, dass ja also man kann einen weibgekrodetes brachial gehyptes Projekt haben und trotzdem irgendwie einen, glaube ich realistischen Blick auf die Sicherheitskrise kennen.

01:05:12: Ich käme halt nie zu dem Schluss.

01:05:14: dann wir machen es trotzdem eine große Menge von Leuten kommt scheinbar zum Schluss machen's trotzdem.

01:05:21: was sich auch sehr beeindruckend oder sehr eindruckt aber sehr erwähnenswert fand an dieser ganzen Geschichte ist dass die einzigen die sozusagen mit diesem mit diesem wahnsinnigen Aufschied von Open Clore mithalten konnten wann scheinbart die Scammer also die denen geht wirklich keine Entwicklung zu schnell, sodass sie nicht hinterherkommen könnten.

01:05:39: Jetzt müssen wir einen kleinen Einschub machen.

01:05:42: Openclaw hatte nicht... Also hieß früher anders und es hat sich in ein paar Tagen zweimal unbenannt.

01:05:48: Es hieß früher Claude, also CLA-VD von so einer Schere wie ein Hummer.

01:05:54: Die haben auch ein Hummerslogo und so.

01:05:56: Und die

01:05:56: Wortspiele mit Claude wahrscheinlich der K.E.

01:05:59: von Anproptik?

01:06:00: Ganz

01:06:00: genau!

01:06:02: Von Claude klingt halt genau wie Claude dem französischen Namen, mit dem Anthropik eben seine Kis betitelt.

01:06:10: Und das war Anthropic halt ein bisschen zu nah an ihrer Trademark und sie haben da scheinbar einen, also so schreibt es zumindest der OpenClone-Entwickler einen freundlichen Brief geschrieben, so herr ihr kannst den Namen nicht ändern?

01:06:21: Dann hat er das mitten in diesem Hype auch noch eben unbenannt im Moldbott Das ist ein bisschen verbaut hat irgendwie gesagt der Fehler gemacht, er muss ja dann auch den Twitter Account umbinden und den GitHub Account umbenennen und so.

01:06:38: Und hat da irgendwie halt waschiert und sagt innerhalb von Sekunden also wirklich in weniger als zehn Sekunden habe irgendwelche Name squatting Scammer sowohl den Twitter Handler als auch den Github Account Handle übernommen weil er den Wechsel nicht so durchgeführt hat das sozusagen dass es da kein Sekundensfenster gab wo man das nicht übernehmen konnte Und haben das benutzt, um halt sofort irgendwelchen Kryptocoin-Bursche zu verbreiten.

01:07:04: Haben auch ansonsten parallel... Also es wurden dann eine mürchenden komischen Kryptokoins gegründet die halt mit dem Namen Moldbot oder so gespielt haben und dem alten Namen Claude und so.

01:07:15: Also es war wirklich beeindruckend, dass kein Projekt kann so schnell steil gehen, das nicht die Scammer da dran sind und man sich keine Sekunde Fehler erlauben darf ohne dass halt sofort dieser Hype ausgenutzt wird.

01:07:29: Der zweite Umbedehnung von Moldbot ab Openclaw war dann glaube ich harmloser und hat einfach nur statt gewonnen weil sie den Namen Moldbott irgendwie letztendlich doch komisch fanden aber denen halt irgendwie in diesem ganzen Chaos erst mal gewählt hatten und dann später davon runter wollten.

01:07:44: Nicht nur die, nicht nur die Scammer waren da sehr schnell sondern auch die Speiber von Infostilern.

01:07:51: Die haben sehr schnell auch angefangen gezielt nach Secrets von Cloudbot oder Openclaw oder wie man das nennen möchte zu suchen und dann die halt mit zu exfiltrieren wenn es eine traditionelle Infostiller-Infektion auf einer Kiste gab.

01:08:08: Genau!

01:08:09: Also auch nicht nur die, sondern ganz allgemein die Autoren von Merl waren eben genauso schnell unterwegs wie die anderen Scammer.

01:08:18: Es gab innerhalb von den Tagen wo das berühmt geworden ist dann auch sofort Angriffe auf diese Gateways, die im Internet standen und wo sie da nicht hätten stehen sollten.

01:08:28: Und zwar nicht so... also es kann natürlich auch diese Standard-Angriffe du hängst halt irgendeinen Rechner ans Internet und der wird sofort abgeklopft oder so, sondern zieht an Griffe offensichtlich darauf ausgelegt worden, dass hier eine Open-Claw Instanz läuft und die dann versucht haben halt Fehler in der alten Open-claw Version.

01:08:43: Und da kamen die Versionen ja sozusagen im Tagestakt raus oder so auszunutzen.

01:08:51: Es gab auch schon Angriffe, die gezielt eben versucht haben Prompt Injection Angriffs gegen diese KI Assistenten, die da im Internet hingen zu fahren.

01:08:59: Also auch die ganz klassischen Melvierschreiber sind da voll dabei und haben offenbar kein Problem mit so einem halb Schritt zu halten.

01:09:08: Dieses Claw Hub habe ich ja schon erwähnt, wo man so Skills irgendwie halt der Community andienen kann.

01:09:14: auch da haben sich innerhalb von Tagen hunderte mit mehr werbelastete Skills eingefunden.

01:09:21: also es ist wirklich beeindruckend zu sehen das einzige was mit dem absurden Hypezyklus der KI-Szene mithalten kann, sind halt die Scammer aus dem klassischen und aus dem Kryptocoin umfällt.

01:09:37: Es gibt es Besserungen in gewissen Sinne im Sicht einerseits indem das ich ja wie gesagt sehe für so einen KI Projekt haben die Entwickler Security auf dem Schirm.

01:09:47: sie sagen auch Sie haben das im Fokus.

01:09:49: den nächsten Versionen werden da sozusagen die aktuellen Versionen haben da schon viel gefixt eine Reihe von Westerungen vorgenommen und sie werden das auch weiter im Fokus haben und dann noch viel dran machen.

01:10:01: Und Sie haben jetzt zum Beispiel auch mit Virus Total eine Kooperation auf Clorhub, also für Clorhab in der Kooperation mit VirusTotal gegründet.

01:10:10: VirusTotal wird jetzt diese Skills scannen und das würde ich jetzt alle total überraschen.

01:10:15: Sie werden es natürlich mit KI was machen.

01:10:18: und wenn die VirusTotleKI der Meinung ist... Der skill ist benähen, dann wird er automatisch approved.

01:10:27: Und die kann halt auch sagen der skill is malicious und dann wird ja blockiert.

01:10:30: und sie kann halt sagen naja das ist verdächtig, dann gibt es scheinbar doch noch mal ne review.

01:10:35: Ach nee!

01:10:35: Ist automatically marked with a warning.

01:10:37: also dann landet der wall of claw hub aber kriegt halt so eine Warnung dran.

01:10:42: Na ja also... Das ehrlich gesagt überrasch wie ich das nicht... Woher sollte auch Virus-Totals auf die Schnelle die Ressourcen haben, um einem so gehaltenen Projekt anzusagen?

01:10:54: Wir scannen ein komisches Ding.

01:10:56: Wenn nicht halt auch mit einer KI diese Skills untersucht.

01:11:01: Aber ich fand eine ganz interessante Lektion sich das noch mal zu viel gegenwärtigen.

01:11:06: Man kann nicht schneller sein als die ganzen Schämmer oder so.

01:11:09: Das geht einfach nicht.

01:11:10: Die sind mindestens so schnell wie das jeweilige Projekt.

01:11:15: Und dann gab es noch eine lustige Aspekt davon.

01:11:19: Das ist jetzt nicht von Peter Steinberger, sondern von jemand anderem und zwar wurde da relativ schnell Moldbook gegründet also als dieses Ding halt gerade zwischen den Moldbottys und Mold Book ist sozusagen so in einer Art... Also ein Social Medium, ein Reddit für KI-Assistenten.

01:11:42: Menschen sollen da bloß zugucken dürfen Und das ist eben nicht von Steinberger, sondern von Mats Schlicht.

01:11:50: Beziehungsweise die Eigenbeschreibung is' Built for Agents by Agents with some human help from Matt Schlicht Also für Agenten gebaut Die Inhalte auf diesen Modebook.

01:12:08: da wurde auch viel drüber geschrieben.

01:12:10: Da kann man jetzt irgendwie Je nachdem wie man fragt, ist es uninteressant.

01:12:14: Das Slop?

01:12:14: Ist das gefegt oder blödsinn?

01:12:16: Weil die Agenten das von alleine so nicht machen würden... ...oder ist der Anfang der KI-Sinkularität?

01:12:22: Ich möchte das ehrlich gesagt nicht weiter kommentieren weil's auch mit Security nicht zu viel zu tun hat.

01:12:28: Also warum ich jetzt hier noch erwähne ist zwei Sachen.

01:12:30: Das eine ist, dass wir durch total überraschend, dass natürlich auch Mostbook-Vibe gekrodet war und innerhalb von Tagen aufgemacht worden ist.

01:12:38: Wobei ich da sagen muss naja who cares also Inhalte, da waren AI öffentlich und B halt aus meiner Sicht uninteressanter KI generierte Kram.

01:12:48: Also kann man von mir das auch hätte wir noch gleich aufmachen können die Plattform.

01:12:54: was ich interessant finde ist dass die Leute sofort sowas bauen unter ihre KI Assistenten miteinander quatschen lassen weil wenn es sozusagen ein Zeichen für die Zukunft ist dann droht uns glaube ich, dass wir solche KI würden mehr kriegen also Würmer die sich z.B.

01:13:11: prompt injection verbreiten und dann eine ka übernehmen und die eben zum beispiel anleiten auch wieder auf mold book Beiträge zu verfassen in denen dann diese prompt injection wieder drinsteht so dass andere ka ihr gännt das dann lesen und so.

01:13:24: na also nachdem die leute scheinbar keine Keine Bremse sehen in ihrem Willen möglichst schnell den letzten heißesten KI-Assistenten bei sich zum Laufen zu kriegen und dann mit anderen KI-assistenten zu vernetzen, um dem Ding eine Plattform zu geben wo sie sich vernetzten können.

01:13:44: Glaube ich eben dass wir nicht nur diese klassischen IT Security Probleme also sich die Leute damit halt einhandeln sondern das wir vermutlich auch in der Welt kommen werden wo wir solche KI mehr haben Nicht Merlwer von KI geschrieben oder für KI-Systeme, sondern Merlwirt die tatsächlich sozusagen auf das Sprachmodell abzielt und sich irgendwie verbreiten kann.

01:14:06: Weil halt ein Sprachmodel dem nächsten Sprachmotor irgendwie Schmann erzählen kann Und wir erst diese Systeme bauen... ...und uns dann drüber Gedanken machen sollte man da nicht weit irgendwie Sicherheit einbauen?

01:14:18: Kann irgendjemand das scannen?

01:14:19: Hey VirusTotal kannst du das scannend und dann sagt halt VirusTotle ja mit dem bei KI.

01:14:25: Schöne neue Welt!

01:14:27: Aber ich fand's einfach, also eine interessante Entwicklung sagen wir es so.

01:14:34: Sagen wir mal neue Welt ne bei schön können wir nochmal darüber diskutieren?

01:14:38: Ja also vielleicht hätte ich den englischen Titel Brave New World erinnert.

01:14:44: es geht... Wir gehen da schon um das Buch!

01:14:50: Ja und aus dem Jahr ist auch schon ein bisschen länger her kommen wir von Halt, der einzwanzigste Februar ist doch noch gar nicht.

01:14:59: Ihr hört das hier am achtzenden... Was ist denn da los?

01:15:02: Es geht nicht um einen Datum sondern es geht um ein völlig anderes Thema komplett kaifrei aber auch nicht ganz halbfrei nämlich die eher spröde BSI-TR-O-Zwei-Eins-Nullzwo Die technische Richtlinie Nullzwei-Ans-Nulzwo.

01:15:19: Das ist ja eigentlich das Gegenteil von dem was du gerade erzählt hast.

01:15:21: das war jetzt grade Hype und alles cool und Agenten reden miteinander Und jetzt kommt hier Behörde.

01:15:26: Ach, wir müssen hier irgendwelche Richtlinien für kryptografische Verfahren rausgeben.

01:15:32: Denn um genau die geht es und das ist ja auch nicht das erste Mal in den vergangenen Wochen und Monaten und Ausgaben, indem wir diese technische Richtlinie uns vornehmen oder sie thematisieren.

01:15:43: Deswegen passt es zeitlich fast wie die Faust aufs Auge.

01:15:46: Die ist nämlich in dieser Woche also in der... Welchen Palender wo haben wir denn eigentlich?

01:15:51: KW-Sieben oder so?

01:15:52: Also heute ist der zwölfte Februar.

01:15:53: Das ist gerade genau dreizehn oder siebenunddreißig aktualisiert worden und hat eine neue Ausgabe bekommen.

01:16:00: Das ist jetzt, klingt erst mal wieder total nach Behörde.

01:16:03: Eine Behörder aktualisierten Technische Richtlinie die für andere Behörden und Unternehmen gilt.

01:16:08: gähn aber nein so richtig gähnen ist das nicht denn es ist eine relativ zentrale Richtlinien und die Aktualisierung ist eine Post-Quantenaktualisierung.

01:16:16: Und ich zitiere die Chefin des BSI alternativlos Nicht weniger als alternativ.

01:16:22: los

01:16:24: Die Richtung?

01:16:29: Die Richtlinie auch.

01:16:30: dazu kommen wir jetzt gleich.

01:16:31: Ich versuche es mal wieder von vorne anzufangen und wieder zurück zu den beiden Notizen zu finden bevor ich mich hier verlabere, diese TR-ZwoEins Null ZwoEinzen und wo?

01:16:40: die kann man runterladen auf der BSI Webseite und die hat vier.

01:16:43: das sind vier PDFs und da geht's einmal um die kryptografischen Grundprimitive also Verfahren und Schlüssellängen.

01:16:48: dann gibt's eine richtende Unterrichtlinie zur TLS Eine zu IPsec und Ike.

01:16:54: Das sehe ich jetzt Breijergad und Ko noch nicht so richtig.

01:16:56: Und es gibt eine zu SSH, die wurde jetzt aktualisiert in der Woche nachdem wir darüber gesprochen haben aber nicht weil wir drüber gesprochen haben sondern eben wegen der Quanten.

01:17:07: Die Quanten!

01:17:09: Und das BSI hat gesagt bald verlassen euch bitte nicht mehr nur auf klassische Verschlüsselung oder klassische Key Exchange Verfahren, sondern bitte fangt an, Hybrideverfahren zu nutzen die also quantensicher sind.

01:17:22: Und da wird vor allem ECC und RSA schief angeguckt.

01:17:26: das soll man ab BATISON-Zwanzig zweiunddreißig Hybrid mit quantensicheren Verfahren kombinieren.

01:17:33: wie man das zu kombinierend hat steht in der Richtlinie auch drin Damit man eben quantensicher ist bei der bei der Aushandlung von Session Schlüsseln und entsprechend gibt es dann auch weitere Empfehlungen für zum Beispiel TLS und auch SSH.

01:17:49: Also gab's einen Hintergrund?

01:17:51: Kombiniert in insbesondere halt so kombiniert, dass wenn man das Gesamtkonstrukt brechen will sowohl das Postquantenverfahren als auch das klassische Verfahren brechen muss.

01:18:03: Das ist ja sozusagen die Idee dahinter.

01:18:05: Man könnte ja sozusagen auch sagen, man muss eins von den beiden brechen.

01:18:09: Aber nee, die Idee eines hybriden Verfahrens ist, man muß beide Verfahren brechen.

01:18:13: um an die Inhalte zu kommen.

01:18:16: Genau.

01:18:18: Claudia Plattnach hat da eine Pressemitteilung rausgegeben lassen.

01:18:21: wir hatten am Montag auch einen Hintergrundgespräch mit Mitarbeitenden des BSI's also der technischen Fachreferate dazu das sehr aufstoßreich war aber eben als Hintergrundbesprech nicht so richtig zur Diskussion in diesem Podcast oder auf Heise Online dient.

01:18:36: Das Zitat von der Frau Plattner sagt sinngemäß, das ist alternativlos dieser Wechsel zu hybriden Verfahren und zudem sei es ein großer Wurf weil ich das BSI erstmals empfehle.

01:18:50: Und damit auch so ein bisschen Vorpresche in der Riege der nationalen Sicherheitsbehörden oder auch Supranationalen Also der übergeordneten Verbünde von Sicherheitsbehörden, die zum Beispiel dem EU-weiten Roadmap zu Quantensicherheit.

01:19:11: Denn das steht auch in der Dokumentation vom BSI irgendwie ob und wann die Quantencomputer jetzt stabil und schnell und preisgünstig genug sind um im großen Stil zum Beispiel RSA Verschlüsselung zu brechen Das ist gar nicht so richtig Diskussion weil man kann ja trotzdem schon mal anfangen.

01:19:27: Wir hatten in Folge drei und vierzig, hatten wir schon mal so ein bisschen andiskutiert.

01:19:33: So hybride Quanten sichere Kryptografie Verfahren versus einfach nur auf Quanten Post-Quantum-Kryptographie zu setzen.

01:19:43: Da kommen wir gleich wieder hin zur Diskussion.

01:19:45: aber das PSI empfiehlt jetzt ausdrücklich erstmal hybride Verfahren und man soll sich einfach frühzeitig vorbereiten.

01:19:53: Soweit klickt er es erst einmal, hat alles Hand und Fuß!

01:19:57: Ja, finde ich auch eine gute Empfehlung.

01:20:00: Genau!

01:20:01: So

01:20:01: diese Empfehlungen in dieser TH-AZ-RUHR, die sind also komplett überarbeitet worden.

01:20:07: alle vier dieser Teilrichtigen wurden angepasst und am elften Februar neu beöffentlicht.

01:20:13: Die sind mit dem Stand im PDF.

01:20:14: Sylvester hat es mir gerade auch schon angetragen vom Dreiundzwanzigsten Januar aber online gegangen sind sie erst am elften Februar.

01:20:24: Diese Empfehlungen treten in Kraft oder die Deadline für die Umsetzung dieser Empfehlung ist der ein dreißigste zwölfte.

01:20:31: Zwei Tausend Einen Dreißig, ich gucke jetzt mal oben auf den Kalender und das ist in fünf Jahren fünf fünf fünf drei Vierteljahren sozusagen.

01:20:41: da können wir uns ja vielleicht auch nochmal hinlegen.

01:20:45: wenn wir mit Verschlusssachen zu tun haben müssen man ja früher wieder aufstehen.

01:20:48: dann muss er nämlich Ende zwei tausend dreißig schon umgesetzt haben, aber da war ja auch noch was mit diesem ganzen store now decrypt later Themen komplex.

01:20:57: Also sollten wir uns jetzt wirklich wieder hinlegen und warten bis ende december ist.

01:21:01: Zwei tausendeinundreißig oder sollten wir vielleicht doch jetzt schon mal was machen?

01:21:05: Ich würde also sogar ohne star die decrypter würde ich davon abberaten.

01:21:10: das tut ja nicht weh im Sinne von es kann ja nichts schaden.

01:21:14: man sollte das besser gleichmachen und dann hat man's halt und stellt nicht Weiß ich nicht, fünfundzwanzigsten zwölften und zwanzig dreißig fest.

01:21:21: Ach da war ja was verdammt!

01:21:25: Oh jetzt ist es aber auch Weihnachtsbauer, tut mir leid.

01:21:27: Dann machen wir das so wie das Chromiumprojekt mit ihren CT-Listen nach der dritten Deadline des Abschaltens.

01:21:35: Machen sie dann nochmal eine kleine Krücke.

01:21:37: und dann kommt trotzdem noch jemand, der sagt ah, ich habe hier noch fünf Millionen Geräte die sind nicht Quanten.

01:21:42: sicher können wir diese ganzen Quantenapokalypse nochmal kurz um halbis Jahr verschieben?

01:21:46: Ja also... bis jetzt kam es bei jeder derartigen deadline so und ich glaube auch bei dieser wir können ja mal eine langzeitwette machen auf in fünf oder sechs jahren Und zu sehen was dann für diskussionen vorherrschen.

01:22:00: aber vielleicht läuft diesmal tatsächlich anders weil das bsi als doch Einflussreichebehörde hier schon Auch eine gewisse schlagzahl vorgibt und es gibt eine u-weite roadmap die auch eine relativ sportliche Timeline hat im vergleich solcher Also üblicher Zyklen, weil sowas die dann ja doch auch manchmal inzwischen im Jahrzehnten gemessen werden.

01:22:22: Also es kann schon sinnvoll sein auf diesen Zug relativ schnell aufzuspringen und wenn man so was ist wie der BND oder so, dann eh also gerade Verschlusswachen, alles was irgendwie NFT da sogar höher ist.

01:22:34: Moment!

01:22:34: Ist NFT das Verfahren?

01:22:35: Oder die Einstufung?

01:22:36: Ich glaube VSSD-Verschlusswahl ist glaube ich die Einstoffung, eigentlich weiß nicht mehr genau Was wird denn jetzt eigentlich konkret empfohlen?

01:22:45: Es gibt einmal den Punkt hybride Schlüssel-Einigung.

01:22:48: Wir handeln miteinander einen Schlüssel aus, also Keeks Change da wird Frodo Kemp empfohlen Classic McAllies und ML Kemp das kennt man auch unter seinem anderen Namen Kyber Und ein Verfahren sind namens Haku C. Das zeigt uns mal wieder schön das ist halt nörd sind und nur Dinge tun.

01:23:09: denn da in diesem bei dieser benahmsung dieser verfahren bevor die Nisters übernommen und den so langweilige nahmen wie ml chem gegeben hat, hier ist ein Verfahren kai war und eins hieß die Lithium.

01:23:19: Und die Lithiums sind ja irgendwie

01:23:21: oder?

01:23:22: Ja ja und die kommen beide von derselben Gruppe und diese Gruppe nannte sich crystals.

01:23:27: das waren der abkürzungen

01:23:30: als sprechen ist akronym natürlich ein background.

01:23:36: Wir können uns jetzt ausrufen, wahrscheinlich ist unsere Zielgruppe helftig in die zwei Lager aufgeteilt.

01:23:40: Die einen wollen nichts mit Kiber zu tun haben weil das die Kristalle sind, die in Star Wars Lichtschirtern verwendet werden im Lore des Star-Wars Universums und die andere Hälfte unserer Hörer und Hörerin möchte nichts mit die Lithium zutun haben, weil dass die Kristallen sind, antreiben soweit ich weiß den reaktor der enterprise ist es.

01:24:00: ich bin nämlich aus der aus der lichtschwerthälfte

01:24:02: guckst du mal an.

01:24:05: Ich bin aus dem aus dem kleinen schnipselchen des wendendiagramms die einfach beide franchises ganz schick finden.

01:24:12: und ja also die lieben kristalle werden im antrieb der enterprise verwendet.

01:24:16: das korrekt

01:24:18: genau.

01:24:19: Ich hatte eine kurze heftige Enterprise-Phase.

01:24:21: Ich habe Star Trek VI im Kino gesehen, das weiß ich noch in so einer Flohkiste, so einem winzigen Kino.

01:24:27: aber dann bin ich doch wieder auf die dunkle Seite da macht zurückgeschwankt.

01:24:34: So jetzt ist der Punkt, auf den das BSI sehr genau abstellt bitte Hybrid verfahren.

01:24:42: Jetzt könnte man sagen Moment es gibt ja auch reine also Puche Postquanten Kryptografie Puren und neuen Prostquanten Algorithmen Verfahren.

01:24:55: Und wer ist schon mal dabei sind?

01:24:56: Warum nicht gleich so?

01:24:58: Nur zur Erklärung, das sind die gleichen Verfahren.

01:25:00: also ich kann halt zum Beispiel Photocam einfach hernehmen und nicht in Kombinationen Hybrid mit einem klassischen Key Exchange sondern halt nur Photocamp oder eins von den anderen.

01:25:10: Genau weil dann habe ich ja ein potenzielles Prozesselle Federquelle weggeschnitten oder vielleicht ein Performance-Bottle.

01:25:19: Also ich muss nicht zweimal Compute aufwenden für meine Schlüssel und für meine Verschlüsselung, kann ja Sinn ergeben!

01:25:26: Und das... Was hat der denn hier in die Notizen geschrieben?

01:25:32: Ich sehe jetzt erst was mir der Tremmel hier in den Notizen geschrieben hat.

01:25:35: Kannst du nicht

01:25:35: gewinnen?!

01:25:37: Okay also... Man kann das... So ein bisschen als ein Sicherheitsnetz verstehen.

01:25:45: das BSI hat das auch in der.

01:25:46: es ist schon lange in der in der tier.

01:25:48: nur ein zwei diese Passage hat er es auch ein bisschen ausformuliert also.

01:25:52: Die schreiben den Quanten sicheren Verfahren die dieser Tr empfohlen werden wird im allgemeinen noch nicht dass gleiche Vertrauen entgegen gebracht wie den etablierten klassischen Verfahren, Da sie beispielsweise im Inblick auf Side-Kanal-Resistenz oder Implementierungssicherheit nicht gleich gut untersucht sind, also gleich wie die klassischen Verfahren.

01:26:08: Die ja RSA von wann ist?

01:26:10: RSA Mitte der Siebziger glaube ich, die ja extrem gut erforscht sind.

01:26:16: Ja wobei zu den klassischen Verfahren zählt ja auch sowas wie Elliptic Curve Cryptography was es nicht gar so alt ist aber halt schon auch gute Jahrzehnte sozusagen einfach Praxisbeforschung auf dem Buckel hat.

01:26:28: Gut

01:26:28: abgehangen und einmal durch durch die Knochenmühle von DJ Gunstein gegangen.

01:26:34: So, zu dem kommen wir gleich nämlich auch

01:26:36: noch mal.

01:26:37: und um die langfristige Sicherheit einer Schlüsseinigung zu gewährleisten schreibt das BSI weiter empfiehlt dieser TR daher den Einsatz eines Fibridenschlüssel-Einigungsverfahren bei dem ein Quanten Sicheres mit einem klassischen Verfahren kombiniert wird.

01:26:48: Das kommt euch jetzt vielleicht bekannt vor denn genau das haben wir glaube ich auch in der Folge forty drei schonmal vorgelesen zumindest stets da in den Notizen.

01:26:56: Ja also weil halt zum Beispiel Signal ja mit seinem dritten Ratchet auch genau das macht.

01:27:01: Sie haben nicht irgendeine Teil ihrer Verschlüsselung ersetzt durch sicheres Verfahren, sondern sie haben einfach das Quantensicherverfahren drauf gesattelt.

01:27:12: Es gibt durchaus die Idee, die bei der IETF auch schon relativ weit ist im Standardisierungsprozess zum Beispiel ML Chem ohne irgendwie eine Hybridisierung mit einem klassischen Verfahren als Algorithmus oder als Cypher für TLS zu standardisieren.

01:27:32: Und das gibt einiges an Kritik und es gibt sehr prominente tatsächlich Fürsprecher und Gegner, die prominenten Fürsprechern sind jetzt nicht die Sorte Fürsbrecher bei denen jeder Open Source Aktivist, jeder Security Forscher und jeder also der so in der Community auch der offenen Standards agiert sofort sagt A den vertraue ich blind nämlich allen vorhanden so aktöre wie gchq und nsa also geheimdienste im wesentlichen die so sorgen sowieso wusste es.

01:27:59: problem kann man doch machen ist das mit dem hybrid kram das gar nicht so wichtig.

01:28:04: Und einer der prominentesten gegner des ganzen der sich dann aber auch vor allem in eine art generalkritik gegen das gesamte standardisierungsverfahren bei der ertf stemmt ist DJ Bernstein.

01:28:15: DJ Bernstien haben wir schon ein paar Mal hier auf dem Schirm gehabt, Wir haben in Folge drei und vierzig auch über ihn gesprochen.

01:28:21: für die, denen das nicht gehört haben.

01:28:23: Das ist ein... Ich habe den in der Folge als eine Art Universal Genie der Softwareentwicklung oder sowas bezeichnet, dass es einen Mathematikprofessor aus den USA, Der von Mail-Servern über DNS bis zu Crypto Algorithmen so ziemlich alles gemacht hat was man irgendwie mit Mitteln der Informatik machen kann Und der sehr viel Meinung zu Dingen hat und Dinge auch auf einer in einer Tiefe durchschaut, die wahrscheinlich außer ihm nur so ein halbes Dutzend Menschen weltweit weiter durchschaue oder so.

01:28:54: Aber er hat in seiner Kritik oft auch so eine Art, soll man sagen Kompromisslosigkeit, die natürlich nicht dazu führt dass er sich da immer wahrgenommen fühlt sondern manchmal heißt es einfach okay der ist nicht bereit ein Kompromissa einzugehen oder weiter dieses aus seiner Kritik irgendwelche produktiven Maßnahmen abzuleiten und dann ist es für ihn manchmal auch ein bisschen frustrierend.

01:29:14: Und hier hat er sich also sehr profund geäußert zum Thema, bei dem wir ja eigentlich sind nämlich warum machen wir nicht einfach reine Postkwanden-Kryptografie ohne diese Hügeridisierung?

01:29:27: Da ist er ein großer Gegner vor allem dieses Vorstoßes das jetzt ausgerechnet bei TLS also der WebPKI und bei dem Protokoll mit den meisten mit der größten Verbreitung über den Treffig im Internet, das jetzt da einzuführen.

01:29:42: Er ist aber auch ein Kritiker der Standardisierungsgremien die genau das dann verantworten würden also allen voran der IETF und den ist ja schon immer mal wieder vorgeworfen worden auch der NIST dass die NSA da sehr stark Einfluss nehme auch bisschen so Backdoor Ring oder so Cherry Picking von Host Quanten Verfahren Betreibe von denen sie zu denen sie möglicherweise eine Backdoor habe oder wo sie irgendwas darüber wissen, was eben der Rest der Community nicht weiß.

01:30:13: Für diese Idee mal auszuprobieren ob man nicht TLS nur mit Postquantenkyptografie also mit MLcam als Cypher machen kann.

01:30:23: dazu gab es laut Bernstein in dieser Working Group im ETF keinen richtigen Konsens und Er hat da viel zu geblockt, auch in den letzten Monaten und Wochen noch.

01:30:34: Und das ist viel zu viel um das hier in einer Folge auszuklamüsern.

01:30:38: Und ehrlich gesagt ist es auch way over my head also viel... Also große Teile seiner Argumentation muss ich Wort für Wort nachschlagen irgendwo.

01:30:47: Die kann nicht einfach lesen die Texte sondern dann muss ich auch viel erstmal nachschlagen.

01:30:52: Zum Glück hat unsere Kollegin Monika Hermann sich dieser Kritik an der IETF-Standardisierung Speziell unter der Fragestellung ist diese Standardisierung leicht durch Akteure zu kapern, wie zum Beispiel die NSA.

01:31:05: Die hat sich dieser Fragesteller angenommen und hat einen langen Hintergrundartikel zugeschrieben.

01:31:09: Den könnt ihr in den Schornots nachlesen.

01:31:12: Und wir haben in der Folge drei und vierzig gesagt, diese ganze Diskussion sei ein Thema für eine andere Folge.

01:31:19: aber wir können das jetzt sozusagen auslagen.

01:31:21: Für euch ihr könnt es im Artikel nachlesend und wenn ihr keine Lust habt zu lesen oben im Article Button mit einem kleinen Lautsprecher, da könnt ihr euch den Artikel auch vorlesen lassen.

01:31:30: Klang mal auf allerdings nicht von uns klang mal zu!

01:31:34: Den Artikel gibt's bei Heise Plus.

01:31:35: wenn ihr also ein Heise plus Abo habt dann könnt ihr den lesen.

01:31:40: Ich habe den ja nicht zufälligerweise aber ich habe diesen Artikel redigiert und kann den sozusagen wirklich sehr empfehlen wenn ich auch allgemein mal interessiert wie die EETF so zu ihren Entscheidungen kommt weil das ist ja schon... Also dieser Konsens den DJB als in diesem Fall nicht vorhanden kritisiert, ist ja ein unübliches Konstrukt.

01:32:01: Die meisten Kremien fällen halt Mehrheitsentscheidungen und die EETF sagen Nein wir haben da diesen komischen Konsens und dann haben wir auch Ruff-Konsens und so.

01:32:08: das ist schon alles ganz interessant.

01:32:10: was ich zu der speziellen Thematik hier noch anbringen wollte

01:32:16: weil

01:32:17: also Wir lassen jetzt mal außen vor, ob und wie gut die Argumente von DJB sind dass die IETF unterwandert wird.

01:32:25: Man kann sich ja fragen warum wollen die Geheimdienste überhaupt so eine nicht hybride Verschlüsselung?

01:32:34: Und da kann man natürlich schnell irgendwelche niederen Motive unterstellen und ich muss auch sagen ich kenne keine... mich überzeugenden sinnvollen Motive, also ich verstehe nicht warum die das wollen.

01:32:49: Ich lese aber auch von Leuten, die sehr gute Kryptografen und Kryptografinnen sind, dass es unplausibles anzunehmen in das gelbe in diesen PQC-Verfahren irgendwelche Backdoors, die die NSA kennen würde oder so.

01:33:04: Das ist ja ein Niedersmotiv, das nahe liegt.

01:33:06: Die wissen irgendwie wie man die aufmachen kann... ...die glauben niemand sonst weiß wie man sie aufmachen können Und deswegen wäre es jetzt voll schlau irgendwie, der Welt beizubringen.

01:33:16: Sie mögen bitte nur diesen PQC-Kram hernehmen weil dann kann die NSA halt alles lesen was sie will und alle anderen können sich nicht.

01:33:23: Das ist wohl sehr unplausibel.

01:33:25: also das A sehr unplausibel dass überhaupt in diesem Verfahren so eine Art von Tür stecken kann.

01:33:30: und B ist es unplaussibel dass man da etwas hätte was sozusagen nur die NSA weiß und wissen kann.

01:33:40: Man muss das.

01:33:42: Es gab bei diesem Fall von dem Dual-Discretion-Namen nicht hinten, aber von einem Zufallsgenerator den die NSA tatsächlich so unterwandert hat.

01:33:52: Deswegen sozusagen die Leute sehr schnell sehr kritisch auf solche Einfluss oder potenzielle Einfassnahmen mit der NSA blicken.

01:34:00: Dual is the DRBG?

01:34:03: Genau!

01:34:05: Aber da muss man auch dazu sagen dass bei diesen Generatoren von Anfang an die Kritik im Raum stand.

01:34:09: hier sind Komponenten drin, die irgendwie aus der Luft fallen.

01:34:13: Die sich potenziell dazu eignen hier Schadenakt zu treiben.

01:34:16: wo kommen die her?

01:34:17: belegt es bitte und das war nicht beleg.

01:34:19: also wurde nicht belegt wie es zu diesen speziellen Komponenten kam.

01:34:25: Diese Situation ist bei diesem PCC Verfahren nicht so.

01:34:27: ich habe noch nie irgendwo plausibel gelesen dass jemand sagt na guck hier an der stelle kann man eine Hintertür in diesem Verfahren platzieren und deswegen ist es plausibel, dass die NSA die hat oder so.

01:34:37: Na?

01:34:37: Sondern die Verfahren scheinen eher so zu sein.

01:34:39: Nee!

01:34:40: Da is kein Raum für ne Hintertüre.

01:34:43: Insofern ich weiß nicht was... ...die NSA-und GCXU reitet da unbedingt ein... ...nicht hybrides Verfahren standardisiert zu haben.

01:34:53: Aber es ist eventuell zu kurz gesprungen einfach zu sagen sind ja, die haben doch halt ne Hintertur drin.

01:34:58: Auch deshalb, weil das sollte man auch erwähnen die ETF ja nicht nur das standardisiert sondern auch ganz sicher ein hybrides Verfahren für TLS standardisiert.

01:35:08: Das ist auch schon im Track und wird vermutlich heute früher abgeschlossen werden oder so.

01:35:14: Die Frage ist dann, ob sie sowas irgendwie piggybacken wie das so bei Gesetzesvorhaben.

01:35:19: Manchmal ist das eine mit einem anderen am Konsens für den Anderen.

01:35:22: Das andere daran, weil es doch wieder so ein politischer Prozess ist.

01:35:26: Wäre natürlich möglich, dass man dann irgendwo Druck aufbauen kann und sagen kann, hey benutzt bitte diesen Standort von die ETF oder nicht den andern?

01:35:33: Dann stellt sich immer noch die Frage also wozu?

01:35:37: Ich seh nicht so ganz, also wie du gesagt hast man kann argumentieren mit ein bisschen weniger Rechenaufwand und so aber es ist wirklich so relevant.

01:35:46: Und andererseits sehe ich halt auch nicht dass irgendjemand plausibles sagt ja guck hier könnte hinter der Tür stecken.

01:35:53: Das Schöne ist ja das diese Verfahren sehr... Also die sind ja offen dokumentiert untersucht geprüft und so noch nicht in dem Umfang wie man das bei klassischen Verfahren hat.. Aber schon im ganzen erheblichen Umfang und das ist kein Geheimgehalt nahe gehört muss oder so?

01:36:10: Wir verlassen jetzt die Bründe des IETF und der ungelegten Eier.

01:36:15: Ich habe das dumfe Gefühl im Bauch, wir werden uns damit noch das eine oder andere mal befassen in den nächsten Monaten und Jahren.

01:36:23: Wir betreten jetzt noch einen weiteren Bereich, der tatsächlich auch in der letzten vorletzten Folge schon mal kurz an diskutiert wurde, den wir aber nochmal aufgrund einer eines höherer feedbacks mit aufgegriffen haben, weil sie einfach so gut reinpasst.

01:36:36: Normalerweise haben wir das Feedback eben am Anfang aber hier passt es so schön in den... In der Cellflow dass wir hier auch ein Feedback mit reinnehmen.

01:36:44: Es geht um diesen Begriff oder dieser Charakter dieser technischen Richtlinie die heißt TR also Technische Richtlinien und eine Richtlinia ist eigentlich was von nach ich mich richte?

01:36:55: Aber wie soll man sagen nicht ja nicht rechtlich Diskurs hat das ganze Empfehlungscharakter, also dass BSI empfiehlt Dinge.

01:37:06: Empfiehe zum Beispiel Cyphers und schreibt ausdrücklich nur weil dein Lieblingscypher da nicht drin steht in den Empfehmungen heißt es nicht, dass wir davon abraten und dass das unsicher ist sondern es heißt einfach nur wie empfehlen das nicht?

01:37:21: Also wenn ich jetzt zb hier im Podcast Forty-Wanty Firewalls nicht empfehle heißt das ja nicht, dass die automatisch alle unsig... Okay.

01:37:32: Das Beispiel war jetzt irgendwie schlecht gewählt.

01:37:33: aber ihr wisst worauf ich hinaus will und das ist auch eine Sache die man so ein bisschen im Hinterkopf haben muss wenn man diese diese TR's liest und wenn man dann erst mal denkt oh jeder steht da bei der ganze Menge Kram drin und da steht hier auch recht spezifisches stehen recht spezefische Empfehlungen dran.

01:37:52: also das ist teilweise tatsächlich wirklich Seifer.

01:37:56: genau und da gab es dann diesen witzigen Aufhänger muss ich aber glaube ich in der tls gucken mit dem.

01:38:08: Tja Tja tja zwanzig nicht ausdrücklich empfohlen wurde und den das bs hier auf seiner webseite anbietet und damit ein, dass ist einer der standard seifers in tls.

01:38:20: eins drei Diese Empfehlung, das kann ich dann also ignorieren.

01:38:26: Wenn ich in den meisten Branchen bin aber in manchen Branchen zum Beispiel werden aus diesen Empfehlungen der technischen Richtlinie durch andere technische Richtlinien Verpflichtung.

01:38:34: Das geht dann halt so dass sich beispielsweise bei digitalen Gesundheitsanwendungen was die Sicherheit angeht eine Technische Richt Linie haben es TR-null drei eins sechs eins habe.

01:38:44: und da steht drin Die Anwendung muss auf bewährte Implementierung zu umsetzten kriptografischer privative und protokolle zurückgreifen vergleichete ja nur zwei eins nur zwei strich zwo.

01:38:55: Und das ist die technische richtlinie zum thema tls, und in diesem fall wenn ich also ein an einen software Entwickler bin oder eine appliance hersteller der diese Anwendung dieser gesundheitsanwendungen entwickelt und die geprüft werden, wer auch immer das macht gesundheitsministerium vielleicht auch das bsi dann muss ich mich an die Cypher-Liste aus der technischen Richtlinie, zwei eins nur zwei.

01:39:20: Und wenn ich das nicht tue dann kriege ich ein Problem im Audit und so werden dann aus den Empfehlungen, die unverbindlich sind erstmal Empfehlungskarakter haben doch durch die Hintertür wieder Zwänge.

01:39:33: also dass muss implementiert werden und da gibt es um das da kommen wir zu unserem Feedback von Moritz eine etwas absurde Situation.

01:39:43: Wenn ich jetzt also ... ... ein TLS-Eins III implementiere, wie man das so macht und da in diesem TLS Stack Chacha XX einfach mit drin ist, warum das da üblicherweise mit drinnen ist, das erzähle ich gleich noch kurz, dann ... ... darf ich das nicht in meiner Gesundheitsanwendung deployen weil der Chacha XI als Seifer ausgehandelt werden kann und ChachaXI steht nicht in der ... ... technischen Richtlinie, also in der Liste der empfohlenen Seifers.

01:40:08: Also kriege ich im Audit einen Fail.

01:40:10: TR-Zahler, also Null, Zwo, Eins, Null zwei.

01:40:13: Strichzwei nicht umgesetzt.

01:40:15: damit Compliance zu TR-Null drei eins sechs eins.

01:40:19: viel geschlagen und audit fail.

01:40:22: jetzt könnte ich nach einer tier

01:40:25: Also ich glaube so wie morgens das dargestellt hat heißt als ich falle nicht automatisch doch mein audit durch aber ich darf halt nur eine gewisse zahl an fails haben und da zahlt man halt so einen dann drauf ein.

01:40:36: Genau, das ist ja bei ISO Audits nicht anders.

01:40:38: Da gibt es an dieser Haupt- und Nebenabweichung.

01:40:40: Neben Abweichungen kannst du sammeln und Hauptabweicherungen kannst auch sammlen aber die führen dann erst mal dazu dass direkt nach audit gibt.

01:40:47: Aber bei Nebenabwehchungen erreicht es zum Beispiel auch die im innerhalb des Auditzeitraums zu beheben oder einen Fortschritt bei der Behebung nachzuweisen Und die sind nicht gefährden für den Erfolg des audits.

01:40:58: und so geht's.

01:40:58: ist das bei diesen fels auch wenn ihr jetzt keine ahnung zwei hoch acht fails hast Dann kann es.

01:41:03: vielleicht könnte ich mir vorstellen, dass es dann trotzdem ein Problem im Audit gibt.

01:41:07: Aber das ist eben eine Abweichung die du sammelst und du kannst nur eine bestimmte Anzahl davon haben.

01:41:12: danach wird's dann halt schwierig.

01:41:14: Das ist so ähnlich wie bei Pokémon oder Magic

01:41:18: Gathering?

01:41:18: Da musst du ja alle sammeln!

01:41:22: Das ist der Slogan bei Pokémons.

01:41:24: Stimmt.

01:41:25: Und da auch noch am Rande mit involviert durch die transitive Hülle in meiner Familie Moritz sagt, du naja statt ewig nach der TLS eins drei Implimentation zu suchen in der man Chacha zwanzig ausschalten kann ist es manchmal einfacher einfach ein Downgrade auch eins zwei zu machen.

01:41:38: Damit aus diesem Fail ein Pass weil nämlich Chacha Zwanzig nicht mehr mit ausgehandelt wird und alles ist prima.

01:41:47: Nicht unbedingt im Sinne des Erwinters, ne?

01:41:49: Das dienen jetzt nur nicht unbedingt der Verbesserung der IT-Sicherheit sagt Moritz oder schreibt Moritz und das sehe ich ganz ähnlich.

01:41:57: Allerdings ist das auch so ein Punkt wo man sagen muss

01:42:00: naja

01:42:01: es ist jetzt ein bisschen schwierig weil dieses Cha-cha-Zwanzig wenn ich mich richtig erinnere ich hatte doch in den Notizen geschrieben dass es einen Pflichtalgorithmus gibt in TLS Pflichtalgorithmen.

01:42:16: Wo ist denn diese Notizen?

01:42:17: Das ist ja witzig.

01:42:19: Ich habe die gelesen,

01:42:20: also ich kann bestätigen dass sie hier mal war

01:42:23: und nicht

01:42:23: ausgedrückt sind.

01:42:24: Nein nein, die stand da schon.

01:42:28: Naja Also es gibt in dem zuständigen LFC für TLS-Einz Drei gibt's eine Liste von Mast Heft Ciphers.

01:42:38: Und unter diesen MastHeft Cipher sind Sektion neun Punkt Eins steht auch TLS Jutja-Zwanzig Poli thirteen zero fünf Das ist nur ein Schutt.

01:42:51: Und wir haben uns gemerkt, Schut sollte heisst, wenn kann.

01:42:58: Wenn man keinen wirklich vernünftigen guten Grund hat das nicht zu implementieren dann muss man also Cha-Cha-Zwanzig implementieren.

01:43:07: Man wird sich schwer tun eine Standardimplementierung zu finden wo das nicht integriert ist und vielleicht ist es wenigstens Abschaltbar.

01:43:15: und wenn man jetzt sagt, naja dann mache ich einfach TRS-Eins zwei.

01:43:17: Dann hat man wieder nur bis Ende Zwei Tausend Einen Dreißig Zeit.

01:43:21: denn dann sagt das BSI sollen wir bitte auch aufhören TS Eins Punkt zwei zu verwenden Denn der ist eins Punkt zwei kann keine Postkontum Algorithmen oder Salvers Und wird somit mit in Kraft treten.

01:43:34: dieser Bitte hybride Systeme nutzen Richtlinie Obzulet Das heißt spätestens zwei tausend dreißig Hat man dann wieder die Frage welchen Tod man sterben möchte.

01:43:46: Wir hatten ja dieses Thema mit dem Hintergrundgespräch und da habe ich das angesprochen, weil dieses Feedback daher schon vorlag.

01:43:54: Und ich kann aus dem interne Gespräch nicht zitieren.

01:43:56: aber ich glaube was ich mit Vogt und Recht sagen kann ist dass dieses Thema die Zwo-Eins-Nul-Zwów vielfach referenziert wird.

01:44:03: Das ist auch ein Qualitätsmerkmal, dass sie einfach als Quelle herangezogen wird Das ist bekannt im BSI und man ist sich der Tatsache bewusst.

01:44:12: Und ich denke auch, dass sie über diese transitive Hülle von anderen technischen Richtlinien gegebenenfalls auch so eine Art normativen Charakter entfaltet.

01:44:22: So das dazu.

01:44:25: Na gut dann hoffen wir mal, dass sich in Zukunft es irgendwie bessert?

01:44:31: Ja ich weiß nicht ob es sich besser hat aber... vielleicht dass manche Widersprüche ein bisschen beseitigt.

01:44:38: Genau,

01:44:38: das meine ich.

01:44:39: Es ist so schlimm,

01:44:39: dass die normaltiven Charakter hat.

01:44:41: Man könnte jetzt auch sagen wir machen sie generell verpflichtend für Bundes- oder Landesbehörden oder so.

01:44:46: aber dieser Regal Room eigentlich machen wir nur Empfehlungen und auf der anderen Seite dann quasi einen Zwang zu haben.

01:44:54: Das ist vielleicht ein bisschen sehr ambivalent.

01:44:58: Ja also insbesondere wenn die Empfeilungen dann halt must have ciphers nicht einschließen wird es halt ein bisschen weird.

01:45:07: Na ja, okay.

01:45:08: The comment should have... Okay naja gut aber Schutt ist halt auch eine Empfehlung ne?

01:45:16: Also es ist wie du sagst man muss sich dann ein bisschen entscheiden welchen Tod man sterben muss und man darf hier von regulatorischen Räumen träumen in denen man einfach alle Anforderungen erfüllen kann.

01:45:28: In

01:45:29: regulatorischem Räum träumen das ist ja nachgeradepolitisch.

01:45:34: Wir kommen zu was nicht sonderlich kritischem, aber ich fand sehr kuriosum und interessant.

01:45:40: Uns betrifft vornehmlich Software-Entwickler.

01:45:44: Alle anderen dürfen trotzdem zuhören und erlernen vielleicht etwas Interessantes?

01:45:49: Und wir brauchen jetzt zu dem, was ich oben angeteaset habe mit, naja wenn man irgendwie Daten und Metadaten im selben Kanal transportiert dann kriegt man halt früher oder später Probleme.

01:45:59: Software-Enwickler nutzt es ganz gerne zwei Tools die heißen Diff.

01:46:03: Ich erkläre mal ganz kurz.

01:46:04: Entdiff ist ein Programm, dem kann ich eine alte und neue Version von einer Datei geben Und es listet mir die Unterschiede auf und zwar halt insbesondere in der Art und Weise dass sich sozusagen genau sehen kann.

01:46:17: Ach ja, die Erzeile hat sich das geändert.

01:46:19: an dieser Stelle ist jene Zeilen hinzugekommen An jeder Stelle ist diese Zeit herausgeflogen und so Und so kann ich sozusagen sehr kompakt transportieren was eigentlich die konkreten z.B.

01:46:30: Code-Entrungen von einer alten Version auf eine neue Version sind, ohne irgendwie... ...die ganze neue Datei transportieren zu müssen und dann muss sich irgendjemand ausgucken wo ist der Unterschied?

01:46:39: Und es gibt das kleine Tool Patch.

01:46:43: Das kann genauso einen Output von Diff nehmen also wo sozusagen Unterschiede zwischen zwei Dateivisonen beschrieben werden und den auf die alte Version applizieren.

01:46:52: Also die Idee ist halt jemand programmiert eine Software macht eine Verbesserung Dann kann er sozusagen ein Diff machen Dann stehen in diesem Diff Output genau die Änderungen drin und irgendjemand, der diese Software im Einsatz hat kann dann bei sich einfach diesen Output mit Patch einpflegen.

01:47:08: Und dann ist seine Version der Datei auch auf dem neuesten Stand.

01:47:11: Also jetzt sollte man also... Die Frage ist halt wie ich diese Datei transportiere?

01:47:18: Und die kann ich halt zum Beispiel irgendwie... Es gibt Komet irgendwo rumschleifen oder ich kann sie halt per Mail verschicken oder so.

01:47:24: das ist ja Aus der Mode gekommen wird aber berühmterweise vom Linux Kernel immer noch so praktiziert.

01:47:30: Und ich zitiere jetzt mal aus dem Man Page von Patch.

01:47:35: Patch tries to skip any leading garbage, apply the diff and then skip any trailing garbage.

01:47:41: also es versucht explizit Blödsinn davor nach dem diff steht halt einfach zu ignorieren.

01:47:48: thus you could feed an email message containing a diff listing zu patch and it should work.

01:47:52: Also man kann explizit, so ist schon eine ganze Mail wo halt drin steht also mit from und to und bla bla bla und hier Achtung ich habe ja kleine Änderungen vorgenommen und dann kommt der patch in dieser email als text oder diff in diese e-mail als Text.

01:48:04: da kann ich einfach muss ich das nicht rauskoppeln oder so.

01:48:06: Ich kann einfach die ganze E-Mail in patch schmeißen und er sollte sozusagen den diff finden und dann halt den applizieren und sonst nix.

01:48:14: If the entire diff is indented by a consistent amount If lines end in CRLRF, also in dem Windows Zeilenumbruch.

01:48:22: Or if a diff is encapsulated one or more times by prepending dash... Also wenn dieser Diff halt irgendwie eingerückt ist oder Windows Zeil um Brüche hernimmt und mit bindestrichen abgetrennt ist dann versucht patch das zu berücksichtigen und einfach rückabzuwickeln und den Diff trotzdem zu applizieren.

01:48:45: Idealerweise ist das alles wunderbar!

01:48:48: Der ganze Dro-Wom Blödsinn wird ignoriert und der Diff wird halt appliziert.

01:48:52: Wunderbar!

01:48:53: Jetzt ist der Trick, was passiert wenn man in der Commit Message von... Also man kann ja, wenn man im Git oder dem anderen, wie es im Nähungssystem Änderungen committed an diesen Commit eine Nachricht ranhängen.

01:49:09: Da steht dann zum Beispiel drin, ich habe hier Fehler, thirty-fünf, siebzig behoben oder so?

01:49:14: Oder ich hab neues Feature x, y, z implementiert Und eventuell schreibe ich in diese Beschreibung, was ich getan habe auch einen Diff rein.

01:49:22: Wir kommen gleich zu einem praktischen Fall warum das so sein könnte.

01:49:26: und die Frage ist, was passiert da mit diesem Diff?

01:49:28: Unterstelle sich heraus ja der wird dann auch appliziert weil Patch sehr gut darin ist den ganzen Blödsinn zu ignorieren, Diffs zu finden, die dann irgendwie wenn sie noch eingerückt sind oder sowas alles abzuwickeln und denen halt zu erkennen.

01:49:45: Und das kann eben zum Beispiel passieren, wenn ich dann einfach Gitshow commit aufrufe um halt zu sehen was habe ich da geändert?

01:49:51: und diesen Output einfach jemandem gebe und der schmeißt ein Patch oder so.

01:49:54: Dann steht er halt auch sowie Gitshows ausgibt.

01:49:56: Da steht der Autor des Datum- und die Commitmessage und dann drunter der eigentliche Diff.

01:50:01: aber wenn in der CommitMessage auch ein Diff steht... ...der wird dann sogar von Gitschow eingerückt dass sich sozusagen deutlich sehe ach!

01:50:07: Das ist übrigens die Committmessag und nicht der eigentlichen Diff.

01:50:11: Aber Patch ist halt schlau, ich weiß nicht ob ihr vorhin aufgepasst habt.

01:50:13: Ist der entire Diff indented by a consistent amount?

01:50:17: This is taken into account.

01:50:18: Das heißt er zählt Leerzeichen und stellt euch weiss wo.

01:50:20: ich hab hier den Diff gefunden.

01:50:21: Der ist eingerückt aber der ist konstant irgendwie was sich vier Leer Zeichen weit eingeruckt.

01:50:26: dann haue ich einfach vier Leерzeichen weg und dann wende ich diesen Diff an.

01:50:30: Und das klingt jetzt alles relativ konstruiert und es ist halt auch ein seltener Fall.

01:50:33: aber es hat de facto kürzlich im Tiling Fenstermanager I-III genau dazu geführt, dass eine unbeabsichtigte Sleep Anweisung in den Code gerutscht ist die da überhaupt nicht drin sein sollte.

01:50:46: Die in dem Diff eigentlich auch nicht drin war sondern halt nur in der Commit Message und man muss ja sozusagen dazusagen zum Glück was sozusagen nur ein Sleep.

01:50:56: Der Commit um den es geht der war halt so hat den Titel und dann hat der Entwickler beschrieben was er hier gerade geändert hat.

01:51:05: Dann hat er eben auch beschrieben, wie er das getestet hat.

01:51:07: Dass diese Änderung gut funktioniert und da sagt ihr ihm to handle race conditions in the test I tested with Und dann hatte da in die commit message einen kleinen diff reingeschrieben wo man halt sieht auch an der stelle hat er ins lieb eingebaut Um diese race condition zu testen.

01:51:22: und patch hat halt Diese diese diff aus dem commit message rausgepuppelt noch dieses lieb raus gepuppelt und es eben in den source code übernommen.

01:51:32: Und man muss ja froh sein, dass der dazu schon nicht geschrieben hat.

01:51:34: Achja und irgendwie für die Test habe ich irgendwie folgend drei Verzeichnissen einfach gelöscht.

01:51:44: Weil wir dann Angst haben müsste das eben auch irgendwie appliziert worden wäre in den Code.

01:51:50: Das betrifft auch nicht nur Patch also auch Git Mail Workflows schon event wie zum Beispiel bei Linux.

01:51:56: Die macht man typischerweise mit Git Format Patch um diesen Output zu generieren Und dann mit git-am, um den Output zu applizieren.

01:52:06: und git-arm zeigt genau das gleiche Verhalten.

01:52:08: Auch der übernimmt diffs die in der Kommet Message stehen.

01:52:13: Mit einer kleinen Abweichung git-m macht diese Eindrückungen nicht rückgängige.

01:52:18: Also wenn dir diff irgendwie eingerückt ist, dann geht er an git-um so wie er soll vorbei.

01:52:24: aber wenn der halt nicht eingeguckt ist, je nachdem was man da reingeschrieben hat Dann wird auch er von git-al übernommen.

01:52:32: Und das Grund zugrunde liegende Problem ist halt hier ganz klassisch, dass die Metadaten also von wem kommt dieser Komet.

01:52:38: Was war die Nachricht an diesem Kommitt dran hängt?

01:52:40: wann kam dieser Kommitt?

01:52:41: und so Die Hängen halt einfach im gleichen Kanal.

01:52:44: Also sei es halt jetzt irgendwie eine E-Mail oder eine Nachricht, die man Irgendwie jemandem anders schickt oder wir oder Einfach nur netter Datei wo man halt den Autofon Gitshow reingeklebt hat oder so na?

01:52:54: Das ist einfach im gleichen Kanal drin wie die eigentlichen Crudennderungen.

01:52:59: und dann hat dann halt das Problem, dass die Empfängerseite diese Sachen irgendwie da auftrennen muss und dabei halt Fehler machen kann.

01:53:08: Es ist auch nicht zum ersten Mal, dass es bei Githam für Probleme sorgt aber es ist nicht ausreichend häufig, dass man sich da scheinbar was machen will.

01:53:17: Lustigerweise kann man also Git Format Patch des Tooles den Output generiert typischer Weise beim Git Workflow.

01:53:26: Das kam dem das kann man dazu bringen also bei diesem githem e-mail workflow.

01:53:29: und jetzt kann man da zu bringen die kanäle sauber zu trennen.

01:53:31: Da gibt es nämlich den parameter attach und dann schreibt ihr nicht einfach alles in eine text mail Sondern macht ja eine schöne maim Also mein mail mit so wie man halt heutzutage mails üblicherweise macht Und packt die commit message und den eigentlich patch in unterschiedliche mine parts.

01:53:47: Dann hat man also schön getrennte Kanäle des problemes dass git am damit Schon umgehen kann aber es geht halt auf die Art und Weise damit um.

01:53:54: das ist erst mal diese ganzen mein Pups, meine Parts wieder in eine lange Zeichen Kette zusammenlötet.

01:54:00: Und dann drüber schuppt.

01:54:02: Das heißt es baut erstmal wieder einen Kanal draus und passt an diesen eine Kanal und macht halt genau die Beschreibung Fehler

01:54:09: Naja.

01:54:10: Wenn der Kollege Trämmelurigen sagt, im Main ist das wie man heutzutage Mails schreibt dann meint er mit seit nineteenhundert sechsundneunzig als den Main-Standards in einen elfzehn gebündet sind.

01:54:20: nur um euch die zeitliche Einordnung von seinem Heutzutag ein bisschen besser nahezubringen?

01:54:26: Ja... Wobei?

01:54:29: also?

01:54:29: da hast du natürlich einerseits recht andererseits es ist ein Aspekt.

01:54:32: jetzt kommen wir wieder zu Gruppe geht und lässt mich also es lässt mich echt nicht los.

01:54:35: ne Wir haben ja in Folge neunvierzig von diversen Gnoupige Problemen geredet und auch viele davon bin ich nicht eingegangen, weil sie sich auf so ein komisches Inline-Format bezogen haben.

01:54:48: Von dem eben alle einschließlich die Gnupige Entwickler sagen man sollte das eigentlich nicht hernehmen Aber von dem die Gnopigee-Entwickler halt auch sagen, wir können es nicht abschalten weil das zu verbreitet ist.

01:54:58: Das darfst du mal raten wofür das da ist?

01:55:00: Es ist genau dafür da dass wenn ich meine Signatur und die Nachricht nicht über meinem Teile voneinander trennen kann oder will sondern das als ein Textblock in der E-Mail haben möchte zum Beispiel der Mailner dann kann ich dieses Inline Format von Gnoppigee hernehmen.

01:55:16: Insofern... Ich und Du!

01:55:18: Wir mögen seit Jahrzehnten meinen Mails schreiben.

01:55:21: Es gibt Leute die tut das nicht.

01:55:25: Und scheinbar so viele Leute, dass zumindest die Gnopigie Entwickler sagen, wir können sie nicht abschalten.

01:55:31: Nun gut!

01:55:33: Es ist jedenfalls ein sehr kurioser Fall.

01:55:35: also nehmt da sozusagen mit wenn ihr irgendein Entwickler seid packt am besten keine Diffs in die Commit Message auch wenn es in seltenen Fällen sinnvoll erscheinen kann weil ihr Gefahr läuft das die appliziert werden.

01:55:51: Für Patch gibt's jetzt einen Patch.

01:55:55: Ich weiß nicht, wie genau.

01:55:56: er wird dann wahrscheinlich auch mit Patch auf Patch appliziert.

01:55:59: Das ist ja das Schöne wenn man sich an den eigenen Haaren aus dem Zupf ziehen kann.

01:56:03: Wenn wir das bei IT Crowd, wenn man Google bei Google eingibt, explodiert das Internet?

01:56:08: Also wenn man Patch eingebt, geht GitHub kaputt oder...

01:56:12: Vielleicht?

01:56:13: ich habe es nicht ausprobiert aber also ich würde davon ausgehen dass auch Patches für Patch mit Patch Auf Patch appliziert werden.

01:56:20: Jedenfalls ist das erst mal nur ein Vorschlag und es auch nur ein Band-Aid.

01:56:24: Die Idee ist, dass man Patch eine NoDent Option mitgibt, da er das zumindest so macht wie GitAM, dass er eingerückte Diff in der CommitMessage nicht einfach ausrückt und appliziert.

01:56:36: Also dass er zumindest wenn dann ein visuelles Zeichen dran ist, das eben nicht als diff gedacht ist indem wir es eben eingerückt worden sind, das nicht einfach rückabwickelt.

01:56:47: Das löst das grundsätzliche Problem nicht, aber das Grundsätzli-Problem ist wahrscheinlich einfach zu kompliziert zu lösen.

01:56:55: Also weil auch diese mit Mein Parts es halt eine Möglichkeit wenn man E-Mails schreibt, also gerade Patch weiß ja nicht wo dieser Diff herkommt der kann über einen beliebigen Kanal übertragen werden und bei dem beliebige Kanal hat man eben keine Möglichkeit sicherzustellen dass Diff und ein Zugehörigende Metadaten getrennt übertragen werden.

01:57:15: Insofern eine richtig saubere Lösung gibt es da vermutlich nicht.

01:57:19: Bei git und im und bei git format patch werden wir jetzt vermutlich wohl zumindest die doku mit einer deutlichen Warnung versehen, dass das ein Problem ist, das man haben kann.

01:57:30: Und deswegen man entweder keine diffs in die commit-message notiert oder wenn man das tut dann bitte genau guckt sozusagen was das endresultat des applizierten codes ist weil es könnte sein, dass da plötzlich Sachen entstehen, die da gar nicht drin stehen sollten fand ich jedenfalls einen sehr kuriosen Fehlerfall.

01:57:48: und eben das ist auch so was, wo ich mir vorstelle kann jetzt halt nicht weil es gerade in der Debatte ist aber so in fünf Jahren oder so als Melvierautor so machst du das doch.

01:57:57: Oder?

01:57:57: Das ist dann etwas wo niemand so richtig auf dem Schirm hat dass das überhaupt in den Crot rutscht und wie das in den Krott rutsch.

01:58:03: Du musst das natürlich irgendwie ein bisschen tarnen warum da eine böswillige Anweisung in der Kommittmessage steht aber sie steht halt nur da drin und so und dann hat wieder niemand auf dem schirm das geht da irgendwie mitnimmt und appliziert Ende Gelände.

01:58:16: Ja, mich hat das tatsächlich auch so ein bisschen dran erinnert oder ich hätte mir gedacht dass sowas das hätte auch der Giatan und der XZ Täter oder Verdächtige sich ausdenken können, sowas.

01:58:29: na also dann um solche Features Bugs, Feature Bugs zu nutzen denn Das ist ja auch wieder in Grunde sowas wie unklare Trennung von Steuerbefehl dem Fleece Text zu sagen und das verfolgt uns ja heute die ganze Folge.

01:58:49: Was uns übrigens auch verfolgte, das habe ich jetzt gerade erst als du ein paar mal nacheinander gesagt hast, Patch der Patch für Patch und dann gibt es A-Tatch und nicht A-tatch ist dieser Laut, dieser Patch laut weil wir vorhin auch grade was von Patschie erzählt haben relativ lange Denn das ist eine Verballhornung und ein Wortspiel von Apache Web Server, weil der mit ganz vielen Patches zusammengestellt wurde.

01:59:19: So wie zum Beispiel auch früher man über welche Patches QMail um weitere Features erweitert hat.

01:59:25: Wenn man spezielle also wenn man irgendwie was ich nicht submischen oder irgendwas anderes an Qmail dran nageln musste dann musste Petschers einspielen entweder von DJ wie selber oder von irgend jemand anders und der patchy war ursprünglich ein patchy web server.

01:59:39: Und dann haben sie gesehen, das ist ja lautmalerisch ganz nah an den an den amerikanischen ureinwohnern haben wir dann unbedingt in Apache und gibt ja auch im logo diese feder die da auch noch mal drauf zurückgreift.

01:59:51: aber dass kommt auch vom patches.

01:59:55: jetzt lehse ich die apache foundation in dem ganz neuen licht

02:00:00: Eine zusammengestückelte Foundation, na wie heißt es Stiftung?

02:00:05: Eine zusamengesterkulte Stift.

02:00:08: Jetzt schneiden wir das Schweck und machen gehen zum Pad.

02:00:12: Wir bleiben also zumindest lautmalerisch in der Nähe.

02:00:15: Wir packen noch einen Note davor.

02:00:16: und jetzt kommen wir zum Notepad!

02:00:18: Und ich habe das jetzt getitelt mit Editors Considered Harmful.

02:00:22: Wir hatten ja gerade oben schon das mit den Steuerzeichen die auf dem Terminal nicht erkannt werden.

02:00:27: da war Ähm, Edituarse so eine Textartei diese kaputte Bash RC in Wim aufzumachen.

02:00:33: Hilfreich!

02:00:34: In diesem Fall habe ich jetzt zwei Sachen wo die... Wo Editorien, Texteditoren tatsächlich Teil von Angriffen oder mit Sicherheitslücken ausgestattet sind und das finde ich durchaus bemerkenswert dass eines eher hat er so Green Charakter aber das andere ist durchaus was man sich ein bisschen genauer angucken kann.

02:00:50: Und wir haben hier vor der Brust einen Produkt namens Notepad Plus Plus.

02:00:58: Das kenne ich tatsächlich auch nur aus unserer Berichterstattung, aber das ist ein sehr beliebter Text-Editor und ein Open Source Projekt.

02:01:06: Das nicht von Microsoft ist, es ist ja nur Notepad ohne das Plus Plus sondern vom Open Source von einem Herrn namens Don Ho.

02:01:14: Und irgendjemand hat es geschafft den Traffic von diesem Notepads plus also von der Update Routine Ab und an zu hijacken und umzuleiten.

02:01:26: Und dann wurde eine exter Datei runtergeladen, die malware enthielt.

02:01:31: Das war eine relativ komplexe Attacke, die also nicht nur darauf beruhte dass irgendwelche Sicherheitslücken in dem in dem Notepad Plus Bus ausgenutzt wurden oder das dem Don Ho der GitHub der Access Trocken weggekommen ist und irgendwelche böswilligen Commits gemacht wurden, sondern da wurde auf dem Infrastruktur-Level also beim Hoster, beim DNS Provider für die Domain Notepad minusplusminusplus.org wo das ganze Projekt gehostet ist und zu Download bereit steht offensichtlich gekapert und der Webserver kompromittiert.

02:02:03: Du musst glaube ich dazu sagen, es ist gerade nicht aufgepasst Die Lücke ist nicht neu.

02:02:09: Also jetzt ist sozusagen eine ausführliche Analyse davon erschienen aber falls ihr So Mitte letzten Jahres gehört hat, es gab ein Problem im Update davon.

02:02:18: Das ist das Problem.

02:02:19: Es gibt jetzt nicht noch ein zweites oder so.

02:02:21: Die Lücke in Notepad Plus plus ist nicht neu?

02:02:23: Nein genau!

02:02:25: Dieses ganze Thema war akut zwischen Juni und September vergangenen Jahres.

02:02:32: Und es gibt jetzt seit ein paar Wochen eine ausführliche Analyse zu dem Thema und es gibt auch von den Notepads plus Autoren selber aber auch von anderen und auch vom ehemaligen Roster des Projektes gibt es dazu noch weitere Informationen.

02:02:48: Und der hatte also offensichtlich sich irgendwie den Webserver unterm Internet wegohnen lassen, und vermutlich mit dem Rotkit so wie ich das aus der Analyse lese.

02:02:56: Denn nach dem zweiten September als das Ding einen Kernel-Update gekriegt hat, hat sich das wieder normal verhalten und die Spuren auf die Kompromittierung hindeuten... sind aus den Logs verschwunden.

02:03:10: Ich muss das ein bisschen vage formulieren, weil es in den Artikeln auf die ich mich berufe auch relativ vage ist.

02:03:16: Also dieses we could not find any patterns of compromise.

02:03:20: in the logs steht also nicht was da genau gesucht und gefunden und dann ist er ja nicht mehr gefunden wurde.

02:03:24: aber das wird so ein keine level rootkit gewesen sein.

02:03:27: also keine ahnung.

02:03:28: gibt ein sehr schönes neues rootkit namens singularity.

02:03:30: vielleicht war's das vielleicht wars auch sowas wie dass wir in den up down Daten gefunden haben dabei auch einen rootkit mit dabei.

02:03:37: wer weiß Was die, was der alte Roster auch zugegeben hat ist das auf dem Server trotzdem noch weitere interne Credentials lagen.

02:03:45: Auch da lässt er sich nicht weiter drüber aus wahrscheinlich irgendwie API keys, MySQL Zugangsdaten für DNS-Server oder DNS-API.

02:03:53: Das ist auf so Hosting-Servern auch nicht so extrem unüblich, auch gerade hier auf diesen Webmanagement Oberflächen dass sie halt auch irgendwie mit ihren nachgelagerten Systemen wie den DNS Server reden müssen damit wenn der Kunde eine Änderung machen will, die auch tatsächlich darüber propagiert wird.

02:04:06: aber Offensichtlich konnte mit diesen Credentials der Angreifer noch ein bisschen weiter nach dem zweiten September die URL dieses Download-Service manipulieren und wahrscheinlich über irgendwelche DNS Umleitung einfach kurz auf eine neue IP umgeleitet, dann wieder die Änderung rückhängig gemacht.

02:04:23: Die Angreifer halten auf diesem Hosting Server auch noch andere Projekte kompromittieren können.

02:04:27: Da war also nicht nur Notepad++ gehostet, sondern noch einige andere.

02:04:30: Sie haben es aber wohl nur auf Notepads++ abgesehen und zwar aus einem ganz besonderen Grund denn sie wussten wohl vorher dass der Updater von Notepod++ das Zertifikat der Update URL nicht korrekt prüft.

02:04:47: Das heißt wenn Wenn ein neues Update bereitstand, dann hat er eine URL aufgerufen und wo er erwartet die Exe-Datei zu kriegen.

02:04:54: Hat aber nicht geguckt dass das Zertifikat zum Beispiel mit dem ihm bekannten Fingerprint des Zertifikats von Notepad++.org übereinstimmt Und er hat sich so im Grunde angreifbar für Men in the Middle oder Adversary In The Middle Angriffe gemacht Die ihm dann eine falsche Exe unterschieben.

02:05:13: Und wer sich also in diesem fraglichen Zeitraum ein Update von Notepad++ heruntergeladen hat, der hätte zum Ziel dieses Angriff werden können und es ist momentan immer noch vollkommen unklar nach welchen Kriterien dieses Ziel durch den oder die Angreifer ausgewählt wurde.

02:05:30: Also das steht ganz viel davon dass es eine zielgerichtete Attacke irgendwie Nation State Adversary oder so.

02:05:34: was da steht glaube ich nicht explizit drin aber irgendwie so Highly Skilled Drive-by-Ding von irgendeinem Infostealer-Autoren.

02:05:42: und darauf deutet auch die Malware hin, dass das eben nicht so ein Run of the Mill Info-Stealer war.

02:05:46: Das hätte man ja eigentlich erwartet.

02:05:48: Ich habe ein großes Open Source Projekt mit vielen Nutzern.

02:05:50: Es ist Windows oder es gibt eine Windows Version.

02:05:53: Dann schiebe ich da irgendeinen Info Stealer Downloader rein Und dann kann ich einfach die gekaperten Zugänge und die abgefischten Zugangsdaten verkaufen und mache damit mein Geld.

02:06:01: Aber das scheint hier die Motivation nicht gewesen zu sein.

02:06:05: Und dann zeigt man natürlich immer mit dem Finger sehr schnell auf, irgendwelchen in dem unheiligen Triumphirat oder Quartett Nordkorea China Russland Iran.

02:06:16: Jetzt können wir irgendwie einmal mit verschlossenen Augen irgendwo hintippen.

02:06:19: In diesem Fall tippen die Analysten nach China Die Angreifer hatten es angeblich auf bestimmte Organisationen abgesehen.

02:06:31: auch diese werden nicht so richtig weiter spezifiziert.

02:06:34: Und was da rausfiel aus diesem modernisierten Update war tatsächlich eine Backdoor eines, was man abnennen würde.

02:06:41: Was aber nicht als abgezeichnet wird.

02:06:43: Das ist also irgendeinem auch schon lang bekannten Akteur der mit eigener Malwehr und eigenen Backdoors arbeitet.

02:06:54: Diese Backdoor heißt Chrysalis oder so wurde Chrysales getauft.

02:06:59: Und los geht es wieder, das hatten wir auch schon mal in dem als Loader ein Beninis also ein gutartiges Binary Zweck entfremdet wird.

02:07:09: Nämlich der Bitdefender Submission Wizard.

02:07:12: Das ist wohl eine Datei mit der du mögliche Malware bei Bit Defender hochladen kannst damit die da untersucht werden kann.

02:07:20: und er hat einen Problem mit Side-Loading von DLLs.

02:07:24: Und dann wird da noch eine Datei namens Bluetooth Service mitgeliefert von diesem Dropper und da liegt der Shellcode drin.

02:07:32: Der ist dreimal Gixort oder x-mal gixort gegen so einen hardcodeden Key, wie man das so macht um dann irgendwie Detections zu überlisten.

02:07:40: Die Config ist RCvencrypted und der Command & Control Treffig geht auf eine IP Adresse in Malaysia Mittlerweile, also auf einen Domain namens api.skycloudcenter.com, das resorft mittlerweile nicht mehr oder resorgt glaube ich auch von der SIEBEN-SCHÄLTSPORN oder so.

02:07:59: Also es ist mittlerweile abgeschaltet.

02:08:02: Das ist eine Backdoor die jetzt keine Backdauer ohne üblichen Sachen kann.

02:08:05: Die kann Shellspawn, die kann Dateien lesen und schreiben, die können die übliche Exfil-Sachen, sie kann natürlich auch Dateien vom C-Zweißerver herunterladen halt sowas.

02:08:17: Und die exfiltration ua fand ich auch ganz originelle die domain und dies ist nämlich api.wiresguard.com, das es tut da also sehr schwere arbeit berichten.

02:08:26: Ich wollte gerade sagen hab die Appelzut gehört nicht wire guard sondern wires guard

02:08:31: hat.

02:08:31: und wire hat wire guard eigentlich Punkt Komm oder Punkt Org?

02:08:35: Die haben auch Punkt Komm.

02:08:36: also vorsichtig nur ein Buchstabe.

02:08:37: unterschied wires Guard Punkt Kommen.

02:08:39: natürlich ist dass dafür da Im zweifel wenn jemand nur sehr nachlässig auf den treffek guckt und auf irgendwelche möglichen indikatoren für ein kompromiss guckt, dass da so ein bisschen noch zu verstecken.

02:08:50: Es gibt mindestens vier varianten dieser malware mit verschiedenen methoden.

02:08:55: also nicht alle nutzen dieses lorben von bitty fender.

02:08:58: manchen nutzen auch.

02:08:59: Pro show was mir gar nichts sagt eine video software oder so.

02:09:02: es werden andere command in controller adressen genutzt.

02:09:05: Es werden dann auch so wie Cobalt Strike Beacons nachgeladen und irgendwelche in Metasploit gebaut Dropper oder Shell Coat Loader.

02:09:13: Also relativ, also nicht so würde ich sagen das ist komplett neu im Werkzeugkasten der Angreifer aber eben auf eine gefällige Art kombiniert die offensichtlich nicht so häufig ist.

02:09:25: Diese Kombinationen reichten den Analysten das Ganze einer Gruppierung zuzuordnen Speziell nämlich durch dieses Side-Loading mit diesem Bit Defender Disadmission Wizard, das macht eine Gruppe namens Lotus Blossom.

02:09:42: Der Lotus zeigt uns schon den Weg und wenn man dann weiß dass ein Alias dieser Gruppe Lotus Panda ist, dann zeigt uns dieses schwarz-weiße Tierchen die Spur führt offenbar nach China.

02:09:55: zumindest ist es das was in den Analysen nahegelegt wird.

02:09:59: Und so kommt es dann, dass Notpad++ offenbar durch chinesische Thread Actors komprimitiert war.

02:10:07: Die Motivation und die tatsächlichen Angriffsziele aber zumindest nach dem was ich gefunden habe bis jetzt immer noch nicht klar sind.

02:10:13: Aber wenn wir wissen wie sie gemacht haben wo sie hingehen und das Thema ist natürlich mittlerweile auch lange behoben.

02:10:19: Das heißt wenn ihr NotPad++ nutzt und in den fraglichen Zeitraum keinen Update runtergeladen habt sondern jetzt eine aktuelle Version nehmt, dann kann die auch den Updater ordentlich verifizieren.

02:10:32: Der Update-Mechanismus ist jetzt robuster der Hoster hat gewechselt und alle haben was gelernt.

02:10:37: Ja also ich finde es schon sehr kurios da würden wir sicher noch mal darauf zurückkommen wenn man dann noch mehr lernt weil wie du sagst.

02:10:47: Das ist ja ein sehr verbreitetes Projekt wenn man das da hat dass man den Update aufmachen kann Und das dann trotzdem nur hernehmend, um scheinbar zielgerichtet vorzugehen ist schon interessant.

02:11:04: Also der Schaden in der Breite hätte erheblich sein können und war es offenbar nicht.

02:11:10: Genau also da hätte ich jetzt die... Wer mir die Lücke oder wer mir das jetzt in den Shows gefallen?

02:11:16: So vielleicht war's auch zuerst web server kompromittiert.

02:11:19: und dann gucken wir mal was wir noch so finden.

02:11:21: dann hätte ich vermutlich auch versucht mehr Geld damit zu verdienen.

02:11:24: Aber wahrscheinlich hängt es einfach daran, dass die Lücke zuerst chinesischen staatlichen Akteuren oder halt mutmaßlich chinesisch möglicherweise staatliche Akteure in den Schoß gefallen ist, die damit einen speziellen Plan verfolgt haben.

02:11:38: Welcher das war?

02:11:39: Das werden wir entweder nie erfahren oder wir werden es euch erzählen falls ihr es erfahren.

02:11:43: So!

02:11:43: Ich habe gerade gesagt Notepad++ da ist die Sicherheitslücke gehalten Keine Neuigkeit.

02:11:49: Das impliziert, dass es auch einen Notbet minus Minus geben ne?

02:11:53: Genau ich wollte mal kurz sagen du hast Notbet plus Plus jetzt so oft gesagt, dass du eigentlich eine Art Zungenbrecher Award bekommen solltest oder so.

02:12:03: Ja also da gibt's doch auch bei Schöne Neue... war das bei Schoene Neue Welt?

02:12:07: und dann hat's halt Vierundachtzig das neu sprecht.

02:12:09: Doppelplus...

02:12:09: Das ist Ninzeintvierundachzig.

02:12:10: Ninzeinteinachtzig ne genau.

02:12:12: Also das Notepad-Doppelplusgut, das haben wir jetzt abgehakt.

02:12:16: Jetzt kommt das NotePad ohne Plus, das ganz normale Notepads also notepad.exe und notepat.exes ist ja für sich schon neben calc.exee in der Security Szene so eine Art Meme.

02:12:28: denn der Standard Proof of Concepts für Windows Command Execution Privilege Escalation was auch immer wo Code ausgeführt wird wo er es nicht soll ist immer popcalc.xe oder popnotepad .exe Und da ist es dann ein bisschen ironisch, wenn wir dann auch noch in Notepad.exe eine Möglichkeit finden Kalk.exee zu poppen und genau so etwas allerdings nicht auf eine besonders einfache Art.

02:12:52: aber trotzdem gibt es im Notepads Plus plus jetzt oder gab es nämlich CVE-CVE-CvE-cvE.

02:13:03: An attacker could trick a user into clicking a malicious link inside of markdown file opened in notepad causing the application to launch unverified protocols that load and execute remote files.

02:13:16: Das ist das was MSRC dazu schreibt, also Notepad hat ja inzwischen nicht nur wie ich mit absolutem Grausen feststehen musste einen KI Assistenten.

02:13:26: Also ich hätte mal wieder mein Don't Put AI In Everything t-shirt anziehen sollen Sondern es hat auch Unterstützung für mark daun.

02:13:34: also ob ich jetzt ein k.i.

02:13:35: Assistenten in notpad brauche habe ich den ganz klaren antwort drauf.

02:13:38: bei mark down kann ich zumindest noch nachvollziehen dass das vielleicht irgendwie auf irgendeiner art sind ergeben könnte möglicherweise, aber In diesem fall haben sie sich halt damit ins knie geschossen weil diese lücke ist irgendwie in der markt und implementierung beziehungsweise in dem markten händering.

02:13:52: Ich habe noch keinen wirklich schönen auf konzept gefunden der mich wirklich überzeugt hat.

02:13:57: also was man natürlich machen kann ist, man nimmt sich ein markdown dokument und legt da einen link an.

02:14:02: Also ein hyperlink und schreibt in den hyperlink als ziel file doppelpunkt doppelslash c system thirty-two irgendwas kalt.exe.

02:14:13: Dann muss der nutzer Der gerade ausgetrickst wird kontroll klick auf das ding machen.

02:14:18: dann kommt eine warnung Achtung dass führt eine datai aus.

02:14:22: Willst du das wirklich tun?

02:14:23: Wenn das Mark of the Web aktiv ist, weil dieses Markt dann aus dem Internet runtergeladen wurde.

02:14:27: Dann kommt noch eine extra Warnung also dass es alles nicht so richtig hübsch.

02:14:31: Es gibt natürlich noch so weitere Pseudoprotokollhändler in Microsoft und sowas wie MS Updater oder irgendwie sowas in der Art.

02:14:38: Oder auch ein Update Prozess starten kannst, solche Geschichten.

02:14:41: Also womöglich ist es eine Lücke derart.

02:14:44: vielleicht ist aber auch was ganz anderes.

02:14:46: anyway Es gab dafür eine Acht Komma Acht von zehn auf der CV E drei Skala und das ist gefixt worden am zehnten Elften Februar beim Patch Day.

02:14:57: Und das war ja in sofern schon ein recht besonderer Patch day, weil da sage ich uns schreibe sechs Zero Days gefixtures wurden die noch am gleichen Tag in der Caesar known exploited vulnerabilities Liste gelandet sind.

02:15:10: allerdings war dieser Notepad zero day, wenn man ihn so nennen möchte.

02:15:14: Keiner davon!

02:15:15: Das war also offensichtlich etwas was nicht im großen stil durch ransomware banden oder durch info stealer ausgenutzt wurde die dann in notepad.exe eine malware.exel gepoppt haben.

02:15:27: das also dazu auch in einem so einfachen tool mit so eigentlich wenig funktion und hoffentlich deswegen wenig angreifst welche.

02:15:36: wie notepads gibt es inzwischen solche code execution cvs.

02:15:44: Also wir lernen, wenn ihr Datenhand habt die Potenzell von Angreifern kompromittiert worden sind dann guckt es euch nicht mit Kommando-Zeilen Tools an weil sie manipulieren können also euer Terminal manipulierten können.

02:16:01: Guckt es euch nichts mit einem GUI-Ditor an weil der eventuell irgendwie mehr ausführt wenn er auf die falsche Stelle klickt sondern schaltet den Rechner aus baut die SSD aus Und schaut sie scharf an und zählt die Bits.

02:16:20: Aber da gibt's sicherlich auch wieder irgendwelche, weiß ich nicht, Cold Boot Attacken oder irgendwas.

02:16:26: Oder ihr

02:16:26: werft das ganze Ding einfach gegen euren KI-Assistenten und fragt was es ist?

02:16:31: Lass das einfach hier... Wie heißt der jetzt gerade diese Woche?

02:16:34: Es gab auch irgendwo eine Webseite.

02:16:35: Wie heißt denn eigentlich ClaudeBott diese Woche, ist das jetzt eine stabile Name?

02:16:40: Ich glaube OpenClaw ist relativ stabil.

02:16:43: Da gab es wirklich eine Web-Seite irgendwie wie heißt ClaudeJetzt.com oder so was.

02:16:49: Ja ich schmeiß es gegen den KI Assistenten aber wundert euch nicht wenn dann plötzlich Sachen zurückkommen die erheblich verboser sind als sogar wir.

02:16:59: Also ob das noch kurz zu erwähnen, weil du gesagt hast ja der Standard sozusagen nicht Tricks sondern die Standard Meme wenn man eine RCE hat unter Windows ist halt irgendwie Kalk aufzumachen oder Notbed.

02:17:13: Das Standardding bei einer Prompt Injection ist ja den Assistenten dann wie einen Piraten reden zu lassen.

02:17:19: also das könnt ihr ja.

02:17:20: dann werft die Dateien einfach gegen neuen KI-Assistenten und guckt aber mit ganz viel Antwort.

02:17:26: Wenn man heute so eine Art ASMR-Folge nimmt und jetzt kommt noch Arre dazu, ich würde sagen bevor wir hier in so einer kolambumäßigen Nummer one more thing oder Steve Jobs Apple Präsentation enden und dann immer nur noch eine Sache.

02:17:42: Ich will noch schnell was erzählen kommen.

02:17:43: Kommen wir jetzt doch einfach mal zum Ende.

02:17:46: Langen genug ganz gedauert.

02:17:49: Schickt uns gerne euer Feedback an passwordminuspodcastat heise.de, lasst gerne auf der Podcast-Plattform eurer Wahl eine Bewertung da bis zum nächsten Mal und denkt dran

02:18:02: dieser Podcast ist das einzige Passwort dass über zwei Stunden lang es

02:18:07: und dass ihr teilen solltet.

02:18:09: Das auch!

02:18:11: Tschüss.