Alte Bugs, neue Angriffe und zukünftige PKI

00:00:00:

00:00:02: Passwort, der Heises Security

00:00:04: Podcast.

00:00:04: Hallo liebe Hörerinnen und Hörern!

00:00:11: Willkommen zu einer neuen Folge von Passwort dem Podcast von Heises security.

00:00:16: Ich bin Christopher Kunz von heises security

00:00:19: Und mein Name ist Silvester Tremmel vom Computer Magazin CT.

00:00:23: So wir machen heute mal wieder eine folge bunt gemischtes mit allem möglichen.

00:00:27: Wir haben nämlich auch sehr viel feedback von euch bekommen Unter anderem nicht nur zu graphino s Und damit würde ich vorschlagen, steigen wir auch gleich mal ein.

00:00:37: Wir haben uns ein bisschen das aufgeteilt und Christopher greift jetzt noch einmal die Durespin auf.

00:00:43: da ist nämlich einiges glaube ich nicht so angekommen wie wir das kommunizieren wollten.

00:00:49: Genau!

00:00:50: Die Drespen hatte ich ja vorgestellt in der Rolfino S-Folger weil ich es einen Nifty Feature finde.

00:00:55: ganz kurz nochmal in einem Satz was sie macht Das ist eine zusätzliche Pin und ein zusätzliches Gerätepasswort die wenn ihr die eingebt sofort weiben.

00:01:05: Das ist dann also bis zur nächsten Neuinstallation ein Briefbeschwerer, alle Daten sind weg und auch nicht mehr zugänglich weil einfach auch alle Verschlüsselungs-Kies für die Geräteverschlüsselung vernichtet werden.

00:01:15: Und diese Durrestpin ist dafür da dass wenn ihr in eine Zwangssituation kommt oder irgendwie dadurch das Gerät von der Polizei abgenommen wird oder ihr gezwungen werden sollt die Pin einzugeben bei einem Überfall Ihr eine andere Pin eingebt und damit die Inhalte auf dem gerät davor schützt infremde unbefugte Hände zu fallen Das Missverständnis, dass da aufgetreten ist.

00:01:36: Ist das ein bisschen der Eindruck, wo entstanden ist?

00:01:39: Dass Silvester nicht so überzeugt von der Wirksamkeit dieser Durespin sei?

00:01:43: und das ist aber nicht so.

00:01:45: wir wollen auch nicht davor warnen die zu nutzen und sagen nee das hilft nichts sie bringt euch nicht sondern wir.

00:01:52: Silvesta wollte darauf aufmerksam machen und da flicht ich auch total bei, dass die Anwendung der Durespinnen in einer Zwangssituation euch persönlich unter Umständen nicht viel nützt, in dem Sinne als dass ihr trotzdem einen auf die Nase bekommt.

00:02:05: Denn ob ich verhauen werde weil ich meine PIN nicht verraten möchte und mich weigere sie einzugeben oder ob Ich verhauern werde, weil ich die Dresspin eingebe und dann das Gerät geweiht wird macht für meinen persönlichen Gesundheitszustand keinen Unterschied wohl aber Für den der Leute mit denen ich kommuniziert haben andere dissidenten oder investigativer Quellen oder irgendwelche anderen privilegierten Kommunikationen Die nicht in unbefugte Hände fallen sollen.

00:02:31: Und da ist es eben wichtig, dass man zwischen seinem persönlichen Wohlergehen und dem Wohlergehen der Leute mit denen man kommuniziert hat in der Risikobetrachtung differenziert.

00:02:40: Hast du richtig zusammengefasst, Sebastian?

00:02:43: Ja genau so will ich das sagen.

00:02:45: also was mir halt wichtig ist darauf hinzuweisen, dass das nicht ein Feature ist was eine plausible Abstreitbarkeit ermöglicht wo man dann sozusagen tun kann das wäre ja nichts.

00:02:55: also was man sich vorstellen kann das gibt's jetzt zumindest für manche Desktop-Betriebssysteme, dass man halt eine falsche PIN eingibt und dann startet da ein normales Android was wie üblich aussieht oder aber nur unverdächtige Daten enthält.

00:03:10: Das ist eben nicht was die Respin tut, die Respin löscht das Gerät und wenn jemand gerade Zwang auf mich an ausübt, dann ist für den Vollkommen offensichtlich, dass ich mich gerade diesen Zwang widersetzt habe und die persönlichen Konsequenzen können ...harisch sein, je nachdem in welcher Situation ich bin.

00:03:27: Aber möglicherweise schütze ich damit andere... ...je nach dem was wir da nicht auf dem Handy habe.

00:03:32: Das ist halt eine Abwägung die ihr treffen müsst bei den Situationen und im Bezug auf das jeweilige Betroffene Gerät.

00:03:43: Und die ihr unter Umständen auch

00:03:44: voreintreten

00:03:46: oder wirklichem Eintreten an einer solchen Situation treffen müsst.

00:03:49: also wenn ihr auf eine Demo fahrt dann lasst das Gerät lieber zu Hause, wenn ihr das Gefühl habt dass möglicherweise es zu Kontakt mit der Polizei kommt die euch das gerät abnimmt und irgendwie zwingen möchte zu entsperren.

00:04:03: Genau das gleiche gilt Wenn ihr in einem Land seid indem man auch der Polizei nicht trauen kann also Die Möglichkeit besteht dass ihr für eine verkehrsübertretung Alkoholfahrt vorgeladen werdet Und dann jemandes euch das Geräte unter irgendeinem Vorwand abnimmten und das Beiber darauf installiert.

00:04:18: Das ist jetzt kein Paranoides Beispiel dass ich irgendwie mir ausgedacht habe, sondern dass es in Serbien so passiert.

00:04:25: Da haben wir auch eine Folge zugemacht.

00:04:27: Die packe ich euch nochmal an die Show Notes und da ging es gegen einen Oppositionspolitiker der Destiny Smartphone mit Spyware des Geheimdienstes ausgestattet wurde.

00:04:36: also im Zweifel vielleicht dann doch das Gerät mal daheim lassen und ein Dampphone mitnehmen damit ihr erreichbar seid.

00:04:42: Einen sogenannten Burner.

00:04:44: Gut, das dazu aber wir haben noch mehr.

00:04:48: Heute ist ein bisschen der Wurm drin, das ist nämlich schon unser zweiter Tag und auch hier haben wir gerade gemerkt dass ich auf dem falschen Mikro aufgenommen habe.

00:04:55: Ich hab' das jetzt mal umgeschaltet.

00:04:57: Wundert euch also nicht wenn die Audioqualität jetzt anders klingt?

00:05:01: Das ist nicht mein KI-Klohn!

00:05:02: Ich verspreche... ...ich bin Nicht Künstliche Intelligenz.

00:05:07: Sebastian vielleicht musst du nochmal diesen Entropic String kurz vorlesen gleich oder wir machen mit dem nächsten Feedback weiter.

00:05:13: Ich glaube es geht schneller.

00:05:14: Ich glaub', wir machen im nächsten Video weiter.

00:05:15: Glaubt uns einfach Aber wir kämpfen täglich mit der Technik und heute wird es sich irgendwie besonders hart.

00:05:26: Wir klopfen auf Holz, ihr drückt uns die Daumen und wir machen weiter mit einem anderen Feedback, nämlich haben wir ja in der Folge zu Graphino S schon relativ deutlich gesagt, je nachdem was für Ansprüche ein Apps man hat dass man unter Umständen schlecht um die Google Play Stores herumkommt.

00:05:42: Man kann natürlich so etwas wie asteroid hernehmen wenn sich eher ausschließlich mit Open Source Apps zufrieden gibt.

00:05:49: Aber wenn man halt irgendwas braucht, was es nur bei nicht im Afterhood Store oder in so einem anderen Open Source Store gibt dann wird's halt schwierig.

00:05:56: Wenn man sich dann irgendwie selber die APK besorgen kann Dann hat man das Problem dass sie keine Updates kriegt.

00:06:01: und so haben wir erzählt wurde uns mehrfach berichtet dass das gar nicht stimmt.

00:06:06: Und zwar gibt es die schöne App Optanium.

00:06:11: unter anderem hat uns ein Tobias, das ist ja mittlerweile Tradition dazu geschrieben.

00:06:17: Und Optanium ist eben eine App die aus verschiedenen Quellen von Github oder von irgendwelchen Webseiten und Applications-Dateien beziehen kann und dann eben die nicht nur installiert sondern halt auch gucken kann ob auf der jeweiligen Quelle wo sie das halt her hat mit einer neuen Version vorliegt und dann ein Update durchführen kann.

00:06:38: Dann kann man zum Beispiel sich den Play Store je nach Nutzungsszenario auch sparen.

00:06:44: Das ist ein sehr schöner Tipp, ich muss sagen, Optanium kannte ich nicht.

00:06:49: Wir hatten das sogar früher schon mal in der CT irgendwann.

00:06:51: aber ich kann ja auch nicht alles lesen was wir so von uns geben.

00:06:55: Es wirkt sehr gut.

00:06:57: mehr kann ich dazu jetzt so nichts sagen weil ich habe es nicht ausprobiert ne?

00:07:00: Aber es gibt zumindest einige unter euch die das hernehmen.

00:07:03: und damit sie zufrieden sind.

00:07:08: Ich hab's auch vorher nicht gehört, ich werde mich jetzt mal bisschen genauer anschauen.

00:07:12: allerdings habe ich... einem der beiden Leser zu höherer.

00:07:18: Entschuldigung, wir machen ja hier Audio zurückgegeben.

00:07:21: Ich krieg so ein bisschen Schnappatmung wenn ich sowas lese wie ABK auf Gitarp runterladen und installieren weil ich immer Angst hätte dass man dann irgendwie auf eines von diesen Fake Repositories die er jetzt auch wie die Pilze aus dem Boden schießen und irgendwelche Malware-Verteilen reinfällt.

00:07:37: aber dafür habe ich mir Optaneum noch nicht genau genug angeschaut um rauszufinden wie das da möglicherweise verhindert wird.

00:07:44: Aber wenigstens kriegt die malware dann Updates.

00:07:46: Also dieses Risiko hat man natürlich, aber das hat mir auch so wenn man sich die apk-Datei irgendwie halt händisch zieht.

00:07:52: Die ist serviert.

00:07:54: Die Malware kriegt ja sowieso Updats.

00:07:55: da kommen wir aber gleich zu.

00:07:56: ich glaube da haben wir noch eine schöne Geschichte über verschiedene iOS Malware.

00:08:02: So ein drittes Graphene OS Feedback zum Thema Nutzung von Graphino S und wie baue ich mir meine verschiedenen Profile, auch diesen Private Space so?

00:08:13: Dass es am meisten Sinn ergibt.

00:08:15: Dafür führen viele Wege nach oben.

00:08:18: aber ein Tipp kam von einem anonymen Leser der sagt er macht es so dass im Hauptprofil Der Google Play Store gar nicht installiert ist und das nur Apps da sind die nicht Also die ohne Play Store auskommen und auch ohne irgendwie diese ganzen Play Store APIs.

00:08:38: Zum Beispiel Thunderbird für Emails, Antenna Podcasts Das ist übrigens unter den Android-Podcast-Playern Für diesen Podcast der meistgenutzte mit Abstand Signal als Messenger Am Auxio als Musikler usw.

00:08:53: Die Idee ist dann eben die Privacy zu stärken.

00:08:55: Im Private Space ist dann der Google Play Store installiert Und die wichtigsten Apps, die Play Store Dependent sind sozusagen.

00:09:05: Die sind da mit drin um ohne Profilwechsel diese Sachen verfügbar zu haben.

00:09:09: Da könnte ich mir dann vorstellen dass da vielleicht sowas wie Online Banking dabei ist oder irgendwelche anderen Apps die eben nur aus dem Play Store kommen und die dann da vielleicht auch irgendwelchen Spirenzchen mitmachen.

00:09:21: Ich hätte mal meine eigene Notiz lesen sollen.

00:09:23: In einem weiteren Profil für Banking ist dann die Banking AppInstitute, also dies nochmal separiert und hat dann ihr eigenes Profil um da wirklich komplett in einer eigenen Sandkiste zu spielen.

00:09:36: Das ist aber nur ein Weg von vielen und habe ich ja gerade schon gesagt viele Wege führen nach Rom Und man kann das nach eigenem Gusto nach eigen im Ermessen nach eigener Risikoanalyse kombinieren Welche Apps man in welche Profile packt welcher immer in den Private Space Park, ob man die Play Services überhaupt installiert oder ob man vielleicht auch komplett ohne auskommen möchte.

00:09:59: Da lässt einem Graphino S viel Freiheit aber diese Freiheit muss man eben auch selber mit Leben füllen und man wird dann nicht so sehr an die Hand genommen wie bei anderen Betriebssystemen, die haben diese Wahl einfach gar nicht lassen.

00:10:12: Ja das stimmt also.

00:10:12: das ist auch was mir persönlich aufgefallen ist wie ich auf Graphinos umgestiegen bin und dann gelernt habe zu oh da kann man halt mehr oder weniger beliebig viele was immer benutzerprofil anlegen und private space und so.

00:10:23: dann dachte mir so okay und was ist jetzt ein schlaues vorgehen.

00:10:27: Und dann kann man da halt viele sachen lesen von irgendwelchen leuten die irgendwie entweder sagen sie machen das so oder manchmal auch mit sehr viel selbstvertrauen sagen der beste weg ist folgende, ne?

00:10:38: Und das kann ja schon ein bisschen sozusagen schwimmen lassen.

00:10:43: insofern wenn ihr auf graffino es umsteigt... nehmt euch vielleicht vorher halt mal eine stunde und überlegt euch welche apps habt ihr eigentlich welche sozusagen datenschutz und sicherheitsanforderungen habt ihr an diese apps oder so.

00:10:55: Und dann überlegt doch ich was hier sozusagen wohin packt ob die profil überhaupt nutzt und ob er den privates besitzt?

00:11:01: wenn ja wie es aufteilt und so.

00:11:04: man kann das natürlich auch nachher alles noch irgendwie rumschieben und umziehen, aber man kommt nicht darum herum sich einmal darüber Gedanken zu machen.

00:11:12: Wenn man schon dabei ist dann kann man natürlich Überfällige Aufräumaktionen mal durchführen und sich von der App strengen, die man gar nicht mehr braucht oder?

00:11:21: einige Apps einfach umziehen auf die PWA, also die portable Web-Apps.

00:11:25: Die Web-Version denn diese Web-Control sind ja alle der Vanadium Browser, der auch schon vorgehärtet kommt und möglicherweise kann man sich dann von irgendwelchen Fremel-App's, die sowieso nix weiter sind als ein unsicherer Rapper, um den Browser-Controll trennen und braucht sich diese Problematik gar nicht anzutun.

00:11:43: Dann hat man einfach einen Bugmark in dem entsprechenden Profil.

00:11:47: Genau das kann man dann Android sogar auf den Desktop schieben liegt dann in iOS auch, die von der App geht.

00:11:53: Genau das ist auch was, was ich empfehlen kann.

00:11:55: Auch dieser Tipp den du gesagt hast, kann ich es dir auch sehr empfehle.

00:11:58: Also wie wär's genau so?

00:11:59: Ich bin halt umgezogen und hatte halt einige Apps früher gedacht, oh Gott!

00:12:02: Das jetzt zu migrieren haben irgendwie keine gescheite Export-Inportfunktionen, da muss sich die Einstellung übertragen und so am Ende habe ich die App einfach hinter mir gelassen.

00:12:10: Das ist ein ganz gutes Zeichen glaube ich dass die App nicht so viel bringt wenn man feststellt der Aufwand sie umzuziehen steht irgendwie nicht für ihren Nutzen.

00:12:21: So, dann kommen wir noch zu einem vierten und noch nicht mal dem letzten Feedback zur Graphino-S.

00:12:26: Das hat euch ja wirklich sehr viel beschäftigt und zwar hat uns Okuna auf einen Mastodon Thread von GraphinOS hingewiesen.

00:12:33: Vielen Dank dafür der nochmal ein paar Details zu diesem angekündigten Motorola Support liefert.

00:12:42: Und ich habe da so drei Sachen rausziehen können.

00:12:44: des eines es könnte mehr als ein Gerät geben zumindest Streib Graphino S. It will be a specific subset of Motorola's Devices, die Graphino S haben.

00:12:55: Also eine gewisse Untermenge der Motorola-Geräte wird mit GraphinoS Support kommen.

00:13:00: Untermengen kann natürlich auch eins sein.

00:13:01: Weiß ich nicht.

00:13:02: Christoph ermeldet sich weil er wahrscheinlich darauf raus will das ist mir klar Aber die Formulierung klingt für... Sie hätten ja auch schreiben können es wird ein Gerät geben oder so.

00:13:11: und sie haben gesagt ne jetzt wird eine gewissen Untermenging von den Geräten geben.

00:13:15: könnte also sein dass es mehr als einen Draftino S Motor Roller Gerät gibt.

00:13:21: und sie haben auch gesagt, dass von den aktuellen Geräten des Motor Rollers Signature und das Razor Full Fold in der twenty-sechsten-zwanzig Edition sozusagen nahe an ihren Standards dran sind.

00:13:36: Sie hätten die gerne schon jetzt unterstützt aber irgendwie fehlt ihnen da die Zeit.

00:13:44: Der Support für dieses Memory-Tagging war auch noch nicht so weit, wie sie sich das vorgestellt haben seitens Qualcomm.

00:13:50: Also wo der Chip herkommt.

00:13:53: Aber es klingt so als während sozusagen die größeren Baustellen eher softwareseitig Das Motorola halt in den Gänge kommen muss mit garantieren Updates und sie liefern die Zeitung und so Und dass vermutlich diese Grafino erst Geräte wenn Sie kommen ähnlich Also irgendwie eine neue Auflage so von diesem Signature, diesen Razer Fold abdecken werden und das sind eben die High-End Geräte von Motorola.

00:14:19: Das heißt es wird wohl nicht ganz billig werden.

00:14:22: Das ist auch was das Grafenos explizit sagt.

00:14:24: sie müssen sozusagen am oberen Ende der Skala anfangen weil das halt Motorola einfach Geld kostet sozusagen diese zusätzlichen Anforderungen von Grafenios umzusetzen.

00:14:34: und Sie haben mal die Hoffnung dass dann dieser Grafino S-Support allmählich in die billigeren Motorhüllergeräte eindringen wird?

00:14:43: Ich würde dann auch jedem und jeder Rührerin oder die sich dafür interessiert schon mal anraten, den ein oder anderen Euro ins Sparschweinchen zu schmeißen.

00:14:55: Weil das Signature geht irgendwo bei tausend Euro los und das Razer Fold kostet zwei.

00:15:00: Da kriegst du einen MacBook

00:15:01: für zwei Euro.

00:15:03: Zwei Tausend, ne mit mit mit vierundzwanzig Monats Vertracht an zwei Euro.

00:15:07: So war das denn ja früher.

00:15:08: die Handys kosteten immer ein Euro und dann hatte sie so einen sechzig Euro Vertrag an der Backe.

00:15:13: Nee, das kostet zweitausend Euro das Gerät des Folgen und ich hatte vor meinem geistigen Auge eines von diesen kurzen Klapphandys.

00:15:20: aber das ist ja so ein Smartphone dass aufgeklappt wird und dann ist es zweifel Smartphones also auch jetzt für meine Rosentaschen nicht so kompatibel Aber Das ist wirklich gerätegibtiv vorinstalliert mit graffino es kommen und die dann wo wir dann möglicherweise auch das nächste thema.

00:15:36: Ein bisschen eleganter erschlagen können nämlich die leidige frage der attestation.

00:15:44: Du leidest gerade voll elegant über.

00:15:45: aber ich wollte also eine sache sozusagen noch kurz explizit machen, ne?

00:15:48: Also das heißt halt schon wenn ihr sozusagen jetzt mit einem billigen pixel lieb eugelt, also irgendein acht A oder neun A unter graphino ist drauf zu tun Dann sieht es eher so aus, dass sie das jetzt tun.

00:16:03: Weil was auch immer davon Motorola kommt wird wohl nicht in dieser Pressklasse unterwegs sein.

00:16:07: Das ist zumindest wie sich das aktuell darstellt

00:16:10: und das hat mich jetzt mal eine schöne Überleitung gekommen.

00:16:12: Es

00:16:12: tut mir leid aber diesen Service wollte ich doch noch liefern.

00:16:16: Auch menschlich Serista!

00:16:17: Auch menschenlich also Aber ja kann ich trotzdem unterschreiben.

00:16:22: deswegen gebe die gerne dran über Leitungen Wenn ihr Grafinois ausprobieren wollt, generell wenn ihr irgendwelche Sachen ausprobierten wollt von denen ihr das Gefühl habt dadurch wird euer Leben sicherer oder besser.

00:16:32: Dann wartet nicht drauf bis Produkt X auf den Markt kommt dass er tolle Versprechungen macht weil das ist entweder teurer oder schlechter als was ihr euch erhofft habt.

00:16:39: Probiert es niedrigschwellig jetzt aus holt euch ein günstiges Pixel und dann könnt ihr immer noch wenn ihr das günstige Pixel dann mal ein bisschen ausprobiert habt und das zum Beispiel merkt eure Krankenkassen App funktioniert darauf nicht.

00:16:50: Dann könnt ihr immer noch sagen, dann ist Grafina jetzt vielleicht noch nichts für euch und ihr müsst noch ein paar Jahre warten.

00:16:55: Habt dann aber nicht tausend Euro in Motorroller Smartphone investiert.

00:16:58: Insofern guckt auch auf den Gebrauchtmarkt nach einem günstigen Gerät oder irgendwie bei Freunden die Systemwechsel machen und dann bankt einfach mal an.

00:17:07: das habe ich auch gemacht und das macht auch viel Spaß sich da einfach mal rein zu fuchsen.

00:17:11: Ich komme ja aus dem ganz anderen Ökosystemen, aus dem Apple-Ökosysteem und da ist es nochmal viel spannender auf Enddeutsch zu wechseln.

00:17:19: so Jetzt hab' ich aber Krankenkassenapp gerade schon erwähnt denn und das war auch ein Feedback, dass ich allerdings nicht direkt zum Podcast bekommen habe sondern auf Reddit eingesammelt habe.

00:17:30: Eine Krankenkasse in Deutschland hat mehrere Apps die Partu nicht unter Grafino S funktionieren, nämlich die Technikerkrankenkasse.

00:17:38: Da gibt es eine Liste, die hatten wir auch im letzten Podcast in dem Gryffino S-Podcast schon verlinkt von Apps, die diese Google Play Integrity API nutzen und damit die Integrität der Firmware des Betriebssystems des Geräts feststellen wollen und dann bei GryfinoS vor die Wand laufen.

00:17:55: Und dazu gehören mehrere Apps der Technikerkrankenklasse.

00:17:58: das habe ich auf meinem Testgerät auch ausprobiert.

00:18:01: Tatsächlich, man kann die zwar starten, kommt aber nur bis zur Eingabe der eigenen Zugangsdaten.

00:18:08: und dann sagt die App ihr Gerät erfüllt leider nicht die Sicherheitsanforderung dieser App.

00:18:14: Und bitte wenden Sie sich an den Support oder installieren sie ihr Geräte neu.

00:18:18: ich weiß es nicht mehr genau.

00:18:20: Auch eine harmlos scheinende App oder nicht sehr sicherheitsrelevant scheinend App nämlich Easy Park, die nutze ich privat auch um baggelt für Parkscheine sparen zu können.

00:18:32: Die funktioniert auch nicht, weil sie auch diese Integrity API nutzt und damit Graphino S aussperrt.

00:18:37: Ich packe die Liste trotzdem nochmal in die Shownaus.

00:18:40: ich meine wir hatten sie letztes mal schon drin aber wir packen sie noch einmal rein.

00:18:43: Ich habe die TK da um Auskunft gebeten, ich hab' auch beim BSI angefragt.

00:18:48: Ich hab von denen auch schon eine Antwort bekommen.

00:18:50: das wird aber eine längere Geschichte werden Dieses ganze Thema Attestation, Integrität und warum manche Apps nicht auf Grafino ist.

00:18:58: Und anderen Customroms laufen und ob das einen technischen oder eher organisatorisch rechtlichen Grund hat in einer späteren Folge kommen.

00:19:08: denn da würde ich gerne gucken welche Lösungsmöglichkeiten es überhaupt gibt.

00:19:11: momentan sieht es nämlich nicht so aus als gäbe es welch die Aufgegenliebe sowohl bei Google als auch bei Graphino S, bei denen sowieso wenig auf Gegenliebe stößt, was sie nicht selber gebaut haben.

00:19:21: Als auch bei den App-Herstellern und bei Playern wie dem BSI Stößte.

00:19:25: Das heißt es gibt da einige Sachen.

00:19:27: wir haben auch weiteres Feedback bekommen das uns auf Projekte zum Thema Assistation die nicht von Graphinos sind inweist.

00:19:33: Da gibt es einige Sachen die wir spannend finden.

00:19:35: dass werden wir noch mal in einer späteren Folge ausführlich besprechen.

00:19:38: ich glaube das wird vielleicht keine ganze Folge werden aber ich werde denke schon dass es eine längere Geschichte werden wird.

00:19:44: dafür möchte irgendwie skizzieren können, was es für Lösungsmöglichkeiten gibt beziehungsweise.

00:19:52: Was gebraucht würde um das Thema so zu machen dass man tatsächlich auch auf Custom Rooms auf eine sichere Art und Weise Daten ausführen kann die zum Beispiel mit Ehrezepten oder mit der elektronischen Patientenaktor irgendwas in Berührung kommen.

00:20:05: also da würde ich gerne ein bisschen vertrösten.

00:20:07: Das haben wir aber auf dem Schirm und ich glaube dass das auch ein Thema ist gerade wenn's um die Alltagstauglichkeit von Custom Roams und von Graphino Es geht dass wir weiter bearbeiten werden.

00:20:19: Genau, das finde ich gut!

00:20:20: Also mal schauen vielleicht wird er sogar eine ganze Folge daraus, wenn wir schon hingehen mit... naja, das ist ne längere Geschichte dann ist es wahrscheinlich wieder was wo wir vollkommen über die Strenge schlagen.

00:20:29: Wir sind durch mit dem Grafino-S Feedback, man glaubt das kaum, aber nicht durch mit den Feedback.

00:20:34: Jörn hat uns geschrieben der hat, ich weiß nicht ob er jetzt dauerhaft gewechselt hat oder zumindest den Malecline Evolution ausprobiert hat sich den genauer angeguckt und hat festgestellt, dass der von einem Bug betroffen ist.

00:20:49: Sie kennt es sicher, ihr empfangt irgendeine html-Mail und dann zeigt der MailCline so an, hey da sind extra eine Inhalte drin.

00:20:55: soll ich die nachladen?

00:20:56: und jetzt sagt hoffentlich nein weil sonst darüber Tracking und allem wie ein anderer Blödsinn möglich ist.

00:21:03: Und bei Evolution ist aber so das es Fälle gibt wo eine Verbindung aufgebaut wird obwohl man diese Rückfrage abgelehnt hat Und das hat Jörn sehr konsterniert, nicht nur dass dieser Bug existiert sondern dass diese Bug auch schon länger existiert und halt sozusagen einfach ungepatcht da rumliegt.

00:21:21: Und dann wollte er unter anderem eben wissen was wir davon halten und ob das sozusagen... Ob das das Qualitätslevel ist, dass man von Open Source Software erwarten kann.

00:21:29: ne?

00:21:30: Und das zeige ich gleich mal, ich erkläre erstmal kurz den Bug.

00:21:34: Das ist nämlich wie meistens halt nicht gar so einfach.

00:21:37: der Bug ist nämlich gar nicht in Evolution sondern der steckt in WebKit GTK.

00:21:42: Das ist eine Komponente, die solche GTK-Apps zur Verfügung steht um Webseiten zu rendern oder halt HTMLs zu renden.

00:21:52: und diese Webkit GTK kann man sagen hey wenn du irgendeine HTTP Verbindung aufbauen willst dann sag mir mal Bescheid und ich blockier die dann?

00:22:00: Oder mach sonst was damit.

00:22:01: aber Evolution nutzt dieses Feature halt um diese HTTP Verbindungen zu blockieren wenn sie aufgebaut werden Und das funktioniert sozusagen im Prinzip auch.

00:22:11: Das Problem ist, dass WebKit GTK schon die TLS-Verbindung über die dann der HTTP Verkehr fließen soll aufgebaut hat wenn Evolution das mitkriegt.

00:22:22: Das heißt Evolution krieg ich da schon so rein wie vor gesehen kann aber halt nicht verhindern, dass so eine TLS Verbindung von WebKit GTTK aufgebaut wird.

00:22:29: und selbst wenn dieser Back in WebKitGTK nicht bestünde, so verstehe ich das zumindest wäre damit das Problem nicht vollständig gelöst, weil es ja solche Sachen gibt wie DNS Prefetch.

00:22:40: Also man kann in HTML-Code notieren dass irgendeine DNS Anfrage schon mal ausgelöst werden soll, damit dann wenn eine Ressource angefragt wird, man nicht noch auf die DNS Antwort warten muss und so.

00:22:53: Und notwendigerweise wird bei so einem DNS PreFetch grundsätzlich keine HTTP Verbindung aufgebrochen.

00:22:59: Das heißt ist etwas was Evolution einfach über dieses WebKit Interface gar nicht raus fangen kann, selbst wenn dieses Interface korrekt funktionieren würde weil da halt nur eine TLS-Verbindung zustande kommt.

00:23:12: Und die sind Verbindungen, die kann man hernehmen um Mailempfänger zu tracken.

00:23:16: Man muss das halt auf TLS Ebenem machen.

00:23:19: Das heißt ein Weg der mir einfällt ist man könnte für jeden Empfänger sozusagen eine separate Subdomain bei sich irgendwo registrieren und dann die entsprechend in der Email hinterlegen.

00:23:30: Wenn dann eine Verbindungsanfrage auf diese Subdomaine aufsteckt, dann weiß man auch diese Email geöffnet worden.

00:23:37: Jetzt war die Frage von Jürgen, ist das sozusagen der Normalzustand von Open Source Software?

00:23:41: und meine Antwort darauf wäre ja.

00:23:45: ich würde auch ehrlich gesagt davon ausgehen dass es auch den normalen Zustand von nicht Open Source software ist.

00:23:51: aber man kann sich natürlich mal anschauen wenn man in so Open Source Projekten im Großen wie Debian oder Bundo den Bug Checker flöhnt und sich guckt was liegt hier alles rum?

00:23:58: Was davon ist potenziell sicherheitsrelevante?

00:24:00: Wie alt ist das?

00:24:01: da findet man viel.

00:24:04: Der Unterschied zu Kommerzielles Software ist meiner Meinung nach, dass man bei der kommerziellen Software in ... oder nicht kommerziell, das ist falsch.

00:24:10: Bei der proprietären Software.

00:24:11: Man kann ja auch Open Source Software verkaufen aber bei der proprietaryen Software kriegt man halt den Buckchecker nicht zu sehen wo man dann auch sehen würde, ach guck an wie viel sicherheitsrelevante Bucks hier schon irgendwie seit Jahren schlummern ne?

00:24:24: Das war jedenfalls auch eine Reaktion in genau diesen wirklich GTK-Buck wo sich halt Leute gefragt haben so hey wird es irgendwann behoben, das doch ein Problem und dann hat er aufhört.

00:24:32: sein Herr, das hier ist noch ein Sourceprojekt Bugs beheben sich nicht selber.

00:24:36: Irgendjemand muss seine Freizeit dafür opfern, sie zu behebeln und wenn es halt niemanden ausreichend kümmert dann werden sie eben auch nicht beruhmt.

00:24:44: Dass das niemanden außerigend kümmern liegt glaube ich auch daran dass es halt nicht so schlimm ist wie man's vielleicht auf den ersten höheren meinen möchte.

00:24:53: weil man also ja damit kann man die Empfänger von solchen Maze trackern Wenn diese Empfänger halt einen Dinox Mail Klein hernehmen, der auf WebKit GTK setzt und es sind halt eine irgendwie im Promille Bereich verschwindende Menge an Nutzern.

00:25:12: Also man kann also im Wesentlichen tracken ob du die Mail geöffnet hast oder der Leser der uns geschrieben hat?

00:25:18: So ungefähr.

00:25:20: Es gibt eine Evolution noch zwei, drei andere Mail Clients die WebKit GTK einsetzen.

00:25:27: Vielleicht gibt es vielleicht insgesamt fünf Leute?

00:25:29: Nee, es gibt natürlich mehr und ich will das auch nicht jetzt irgendwie in der Community schlechtreden aber der Punkt ist wo für einen Tracking normalerweise hernimmt also was so die übliche Bedrohungsszenarien ist Werbetracking oder so.

00:25:42: da will ich halt von einem hohen Prozentsatz meiner Empfänger wissen ob sie das aufgemacht haben Und halt nicht von null, zero, drei vier Prozent der Linux Nerds.

00:25:52: Das heißt ich sehe das Problem hier schon.

00:25:57: Ich glaube es hat eine relativ geringe praktische Relevanz.

00:26:03: Ob das für euch dann trotzdem noch ein sozusagen zu großes Problem ist müsst ihr einfach entscheiden.

00:26:08: Ich finde das übrigens auch sehr lobenswert und cool dass sie die Backtracker und so von solchen Projekten anguckt wenn er sich überlegt, so eine Software einzusetzen.

00:26:20: Was kann man da jetzt tun?

00:26:21: Also das Eine ist wenn man programmierer ist und Zeit hat dann kann man natürlich diesen Back fixen.

00:26:25: Das ist ja Open Source Software.

00:26:27: Man kann es einfach beheben.

00:26:30: Du bist stumm Christopher.

00:26:33: Wenn man schon mal dabei ist Dann kann man auch Mal bei goodfirstissue.dev gucken Und Sich nochmal irgendein anderes kleines Problemchen raussuchen Und da seine Ja was zurückgeben an Open Source.

00:26:44: Da gibt's also extra eine lange Liste mit guten ersten kleinen Einstiegen in die Open Source Contribution packe ich noch an die Schaumotze.

00:26:52: Genau und wenn man halt kein Programmierer ist oder nicht die Zeit für sowas hat, dann sollte man aus diesem Fehler die gleiche Lehre ziehen wie aus vielen anderen solchen Fehlern.

00:27:02: lasst es mit den HTML-Mails bleiben.

00:27:04: das finde ich ein bürtisch schönes Beispiel dafür dass sie einfach die Angriffslöche vergrößern.

00:27:10: Html-Mail bedeutet, da musst du halt irgend so einen html Renderer eingespannt werden und der hat dann im Prinzip die Fähigkeit Sachen nachzuladen.

00:27:17: Und das kann man dann abfangen oder kann was schiefgehen.

00:27:19: Also den ganzen Summs und dieses ganze Problemfeld spart man sich indem man dem MailCline sagt zeig bitte immer nur den plaintext Teil an.

00:27:28: So habe ich meinen MailClinus auch eingestellt und das würde ich auch aus ganz allgemeinen Gründen sozusagen immer empfehlen.

00:27:34: diese Angreiffläche kann man sich sparen.

00:27:37: guckt einfach nur den Plain Text Teil an.

00:27:41: Und damit sind wir mit dem Feedback durch, oder?

00:27:46: Also ich habe noch ein Update.

00:27:47: Das ist aber ja nicht richtig ein Feedback.

00:27:49: Aber das ist ja so die gleiche Kategorie bei uns.

00:27:51: Das erzählen wir noch kurz und... ...das ist auch wirklich ganz schnell erzählt!

00:27:55: Wir hatten in einer der vergangenen Folgen wenn ich mich nicht vollkommen täusche über Archive Today geredet diesen Dienst, der es erlaubt Webseiten zu archivieren, aber auf eine andere Art als da die Way Back Machine das macht und sich dafür nutzen lässt.

00:28:11: paywalls zum gehen von Zeitschriften und von anderen Medien die eben Sachen hinter einer paywall haben.

00:28:18: Und der anonyme Betreiber, der ließ einen DDoS ausführen durch die Nutzer der Seite weil auf der Capture Vorschaltseite die so ähnlich aussieht wie diese seite von cloudflare wir müssen überprüfen ob du ein Bock bist oder so hatte er ein stück javascript genau in dem code versteckt der dafür da ist dieses capture zu rendern.

00:28:37: Und dieses Stück Javascript-Rief einfach random von einem Blog eines Menschen, der ihn kritisiert hat und der versucht hat rauszufinden.

00:28:43: Wer hinter archive.tv steckt?

00:28:44: Da wurden dann einfach random HTTP-Requests alle, ich weiß es nicht mehr, alle fünfhundert Millisekunden oder so ausgeführt.

00:28:51: Das gab so ein bisschen Blowback, da haben wir auch drüber geschrieben woraufhin uns der Betreiber von Archive Today mittlerweile auch Kram ist und anderen Medien die ihn ja verläumten und böse Sachen über hinschreiben.

00:29:02: Oder sie wissen nicht ob es einen Mann oder eine Frau ist.

00:29:04: ich mache jetzt einfach generisches Maskulinium.

00:29:06: man entschuldige das Wikipedia hat dann alle links aus Referenzen von Artikeln rausgespissen die auf Archive today zeigen weil dass nicht mehr als verlässliche Quelle oder verlässlich archivquelle für Wikipedia gilt.

00:29:19: is also da Nun eine Website Non-Gerater.

00:29:24: Weil, das war ja eine Riesendiskussion bei Wikipedia weil die in vielen Stellen sozusagen auf Archiv Today referenziert hatten als Archivierungsmaterial.

00:29:35: ich glaube was da dann sehr relevant noch den Ausschlag gegeben hat dass wohl auch im Raumstand nicht nur diese Detox Attacke oder DOS Attaque sondern dass der wohl Archivmaterial verändert hat Also irgendwelche Blockposts über ihn, die halt auch sich dann diesem Archiv-Fanden da irgendwie verändert worden sind oder über diesen Betreiber gegen diesen Blockbetreiber den er was hat.

00:29:57: Und das ist natürlich... also dann wird es als Archivsystem einfach wertlos wenn man sich nicht mehr verlassen kann dass die Sachen da genauso stehen wie sie halt im Internet waren.

00:30:06: Genau und das Ganze hat jetzt noch eine weitere Konsequenz und eine nur natürliche Konseqenzen denn laut Flair Betreibt ja einen ganzen Stapel DNS-Resolver mit verschiedenen Features, die

00:30:19: A.E.S.A.A.,

00:30:20: das ist wahrscheinlich die bekannteste Adresse, dass es deren normaler Resolver der einfach ungefiltert resolft und keine Filtermaßnahmen macht.

00:30:27: Es gibt aber auch A.I.S.-Ans.Ans II und A.

00:30:30: I.A.'s

00:30:30: A.N.C.U.,

00:30:31: wenn ich das in meinem Bruder oder auf meinem Gerät als Resolvereinstelle dann filterte, dass bekannte Malware und andere schädliche Seiten für mich schon auf Dns Ebene raus und schützt mich dann eben davor, da sich hier Selbst wenn meine Kiste kompromittiert wird, dass ich mit so einem Botnet Command und Kontroll aufnehme.

00:30:48: Und als genauer solcher ist Archive Today jetzt auch aufgenommen.

00:30:53: Das heißt, wenn ich die Domain Archive today resolven will dann kommt da nix raus.

00:30:59: also Null, Null und der Grund ist das Cloudflare diese Webseite jetzt als Botnet, Command und Control Dienst einstuft was sie so gesehen ja auch war.

00:31:12: Betreiber oder die betreiber haben jetzt auch dieses DDoS javascript mittlerweile rausgenommen.

00:31:20: Wäre mutig, oder sie haben es auf einem erheblich kleineren subset ihrer zugriffe weiter noch aktiv vielleicht zufällig oder auf basis der herkunft der ip adresse oder so.

00:31:30: denn Auch damals war das noch nicht weil das nicht auf hundert prozent dieser capture seiten sondern nur auf einer untermenge von der nicht ganz klar ist nach welchen kriterien sie sich festlegte und der die anonymen betreiber haben wir irgendwo ich weiß gar nicht mehr auf hecker news oder so auch dazu geschrieben.

00:31:48: ja also wenn wir wollten dann würden wir auf jeder seite von archive today diesen javascript kurd unterbringen und dann wäre das ja für den der totale didos aber wir wollten es einfach für ihn nur ein bisschen unangenehm machen.

00:31:59: also auch so mit einer ganz komischen begründung also dass nur als kurz weiter dreh Ob man jetzt Archive Today persönlich noch nutzen möchte oder nicht, wenn man da eben in der Gefahr ist dass man sich unwissentlich an einem DDoS beteiligt das es jedem und jeder selber überlassen.

00:32:17: Ich glaube die Betreiber haben sich einen echten Bärendienst erwiesen durch diese sehr kindische Aktion und ich glaube sie wissen auch dass das eine ziemlich kindische aktion ist.

00:32:28: deswegen reagierten sind nämlich auch immer so sehr angefasst darauf wenn darüber berichtet wurde.

00:32:34: Also muss man mit sich selber ausmachen, ob man das jetzt für den nützlichen Service, den ja noch war.

00:32:41: Das Risiko eingeht es sich mit Leuten ins Bett zu legen die wirklich so im Stil von Skriptidis der frühen zweitausender irgendwelche Angriffe auf missliebige Blogs fahren.

00:32:50: So!

00:32:52: Wird halt das Sandförmchen werfen?

00:32:55: Ja genau.

00:32:55: Das ist

00:32:56: echt ein bisschen...

00:32:58: Und Schutemessenger ist halt auch immer schwierig.

00:33:01: dafür anzugehen, aber gut.

00:33:05: Aber also das bedauerliche daran ist halt dass es ja im Wesentlichen in meiner Wahrnehmung zwei relevante Archivierungsdienste gab nämlich Archive for Day und natürlich noch sehr viel relevanter die Wayback-Maschinen vom Internet Archive.

00:33:18: Die gibt's natürlich noch zum Glück, die hat auch immer wieder mal Performance Probleme Und es zeigt glaube ich schon, dass hier einfach eine sehr ungute Lücke besteht.

00:33:29: Also auch die Wikipedia hat ja scheinbar keine, also bräuchte eine gute Archivierungslösung.

00:33:37: Insbesondere die Wayback-Maschinen mitunter auch Sachen, aus dem ich wieder rausnimm, wenn es da irgendwie Urheberrechtsproblematiken gibt und das ist natürlich was, worüber ein Lexikon oder auch im Presse vielleicht berichten will und halt sagen können will, guck mal!

00:33:53: Das wird zwar irgendwie gerade vor Gericht ausgefochten aber hier und hier war jenes Material verfügbar oder so.

00:33:57: wir müssen das belegen können.

00:33:59: Das ist alles ein bisschen unschön.

00:34:02: Aber gut, ich sehe das eigentlich ähnlich.

00:34:05: ARC of the Day hat sich offensichtlich für nicht seriös benutzt bei Erwiesen.

00:34:11: Jetzt müssen wir mal gucken wie wir weiterkommen.

00:34:14: Ja, das müssen wir und dass es für uns jetzt in der Redaktion auch tatsächlich aus meiner Sicht ein recht konkretes Problem denn wir haben immer wieder auch diese Fragestellung, wenn wir zu irgendwas recherchieren einmal einen eine Webseite mirroren müssen und zwar nicht so, dass wir nur einen einzelnen Screenshot haben sondern das wirklich komplett Abzug der Webseiter haben.

00:34:34: Der einigermaßen verlässlich ist und dem nach idealer Weise auch regelmäßig dann aktualisiert wird sodass die diese Point-and-Time Snapshots haben genau sagen können wann sich eine WebSeite verändert hat von der Inhalte gelöscht oder hinzugefügt wurden.

00:34:52: zum Beispiel wenn du jetzt noch was sagen willst Silvester sagt es jetzt weil jetzt kommt wieder eine elegante Überleitung.

00:34:57: Zum Beispiel, wenn ein Hersteller endlich Updates für eine Sicherheitslücke mit dem CVSS grad Zehn Komma Null auf seiner Webseite zu dieser Sicherheitslücke stellt.

00:35:10: Und momentan behelf ich mich in einem aktuellen Fall mit regelmäßigen Reloads jeden Morgen und jeden Nachmittag – das ist schon ein lustiges kleines Ritual geworden!

00:35:19: Ich will die Geschichte ganz kurz erzählen um wie es hier geht

00:35:23: Aber ich will applaudieren für diese Überleitung, die war ja magisch.

00:35:30: Vor allem die war nicht geplant und du findest sie nicht in den Notizen.

00:35:33: aber die Geschichte machen wir jetzt wirklich nur sehr schnell denn Die Geschichte ist zwar lang aber die können wir woanders erzählen oder haben es vielleicht auch schon.

00:35:42: Es geht um eine Sicherheitslücke In einer Software namens Winchill unter einem anderen Produkt namens Flex PLM der amerikanischen Firma PTC das is Product Life Cycle Management Software.

00:35:53: Ich habe ganz ehrlich und ironiefrei keine Ahnung was die genau macht, aber die ist sehr deutlich eine Enterprise Software, eine Branchen Software Die auch sehr deutlich irgendwie ein Webserver an Bord hatte und auf Java basiert.

00:36:06: und da sind wir bei der Lücke.

00:36:07: Es ist eine deserialisierungslücke aufgetaucht letztes Wochenende Und diese Deserialisierung deserielisierungslücke erlaubt.

00:36:15: Codausführung hat.

00:36:16: CVSS-Cen Ist also schon auch irgendwie severe und wurde von dem Hersteller mit einem Advisory bearbeitet, das auch an alle Kunden versandt wurde.

00:36:27: Aber nicht nur dass am Sonntagmorgen klopfte dann bei vielen der Deutschen oder bei einigen der deutschen Kunden die Polizei an.

00:36:33: also die haben da wirklich auf den Firmengelände teilweise gestanden, haben die Produktionsmitarbeiter gebeten mal den Admin oder den CTO aus dem Bett zu klingeln, teilweise den Geschäftsführer und haben denen mitgeteilt Achtung!

00:36:45: Da ist eine Sicherheitslücke.

00:36:47: hier ist eine Anleitung für einen Hotfix.

00:36:49: Der Saarhotfix ist im Wesentlichen eine ACL, im Apache oder IES.

00:36:54: Und ein Patch gibt es bis heute nicht.

00:36:56: Wir nehmen am siebenzwanzigsten März auf exakt eine Woche nachdem dieses Advisory herausgekommen ist.

00:37:02: Bis heute ist kein Patch also keine Updates erschienen weder für FlexPLM noch für Windschild.

00:37:09: Warum das BKA sich genötigt sei hier also tatsächlich Streifenpolizisten loszuschicken?

00:37:15: Ist unklar!

00:37:16: Die Geschichte.

00:37:19: Also ich will kurz sozusagen um die Absurdität, weil du hast Sonntagmorgen gesagt.

00:37:22: Ich meine, Sonntags ist schlimm genug aber Sonntagenmorgen heißt dir das war ja nachts um vier teilweise also wirklich zu absurden Zeiten wo man davon ausgeht.

00:37:31: naja jetzt kommt halt jeder Spezialkommando und macht irgendwie eine Haus suche um die Uhrzeit aber nicht.

00:37:36: Übrigens, wir sind die Polizei.

00:37:38: Sie haben möglicherweise eine Softell, also eine Sicherheitslücke in ein Produkt, das sie einsetzen.

00:37:45: Die Leute haben alle reflexartig die USB-Sticks mit ihren ganzen Walletsheats runtergeschluckt aber... So ist es wohl gewesen und das ist wie gesagt ne interessante Geschichte.

00:37:58: Aber was an dieser Geschichte leider total fehlt Und dass ist das was ich für diesen Podcast ein bisschen doof macht Ganz wenig Informationen zu dem tatsächlichen Security-Background.

00:38:08: Also wir wissen von der Lücke, es gibt IOCs Es gibt ein paar Sachen zu erzählen aber es ist immer noch vollkommen unklar warum das so eine schwere Lücke ist dass nur das deutsche BKA da vorwahnt.

00:38:19: Das gibt mittlerweile mit ach und krachen advisory von der CISA dazu Aber sie ist nicht in den CISA Kev also sei das noch ein bisschen seltsam.

00:38:25: Und da traf sich ganz gut das mich der Linus gefragt hat ob ich nicht Bock habe bei Lockbuch-Netzpolitik zu erzählen und darüber mit Linus und Tim zu sprechen.

00:38:36: Und das habe ich dann auch gemacht, auch vor dem Hintergrund dass wir beide Silvester ja uns relativ einig waren, dass uns eigentlich so ein bisschen der Security Teil dieser Geschichte noch fehlt.

00:38:45: Vielleicht ist er in der nächsten Folge ruchbar?

00:38:48: Wir können in den nächsten Folgen was dazu erzählen.

00:38:49: aber bis dahin würde ich euch dann verweisen.

00:38:52: Bört gerne mal in Lockbuch Netzpolitikfolge, zwahl fivehundert neunund vierzig rein Ausgekommen am siebenzwanzigsten März.

00:38:59: Da reden wir et längst über diese windshield flex blm-polizei Aktion und die nicht anders zu erwarten Haben sowohl linus als auch tim und ich da eine dezidierte meinung dazu.

00:39:14: aber hört euch selber an Und wir können dann dieses thema für hier erstmal begraben.

00:39:22: Ja, ich habe selber noch nicht gehört aber ich glaube man kann es blind empfehlen.

00:39:27: Auch Lochbuchnetzpolitik kann man ja auch ansonsten ganz allgemein empfehle.

00:39:32: Insofern wird das jetzt sozusagen.

00:39:33: nach dieser Aufnahme werde ich mir erst mal anhören was Christoph heute erzählt hat.

00:39:38: Ja ich hab's mir schon angelernt also ich habs aufgenommen.

00:39:40: Du warst dabei!

00:39:42: Right only, ich höre die Sachen dann an.

00:39:44: Gut, dann auch wieder nur ein kurzer Nachklapp den mache ich noch schnell.

00:39:48: dann darf Silvester auch mal etwas sagen.

00:39:51: wir haben Das wollte ich nur einmal sagen, um mal auch mal wieder eine positive Nachricht zu haben.

00:39:55: Übrigens hat Lockbruch-Netzpolitik dafür ein eigenes Jingle.

00:39:58: es gibt eine positive nachricht und dann macht da irgendwas bling.

00:40:01: Das haben wir noch nicht aber vielleicht brauchen wir das auch irgendwann mal.

00:40:03: manchmal gibt es Konsequenzen für Handlungen auch für Cyberkriminelle.

00:40:07: Es gibt einen oder es gab einen Infostila namens red line.

00:40:12: der war sehr populär für eine weile basiert auf dort net und konnte so die üblichen sachen klauen unter windows pc's cookies irgendwelche zugänge verwallets taub in zugangsdaten sodass was man halt zu macht wenn man infostila ist das ist hochgenommen worden inklusive der gesamten infrastruktur In einem bust im jahr two thousand beer und zwanzig.

00:40:31: Das waren internationale kooperation.

00:40:33: Und nun wurde ein Mann aus armenien als Teil dieser red Line gang nach texas wie sagt man ausgeliefert nach texxas ausgeliefert musste da vor einem us bundesgericht erscheinen und ihm wird eben dieser der gesamte betrieb dieses dieser info stieler infrastruktur und dieses sogenannten affiliate programs, vorgeworfen.

00:40:57: diese affiliate sind ja immer selbstständige vertriebspartner die dann so eine software ob das ne ransomware ist oder ein infostehler oder eine andere malware einkaufen.

00:41:05: Und die dann unter eigenem namen nutzen also eigene angriffe damit fahren Ein Prozentsatz der Einnahmen abdrücken an den jeweiligen Betreiber.

00:41:15: Gibt es auch im weißen Markt für allerlei Produkte, dass zum Beispiel diese Amazon Links.

00:41:21: wenn ich irgendwie ein großer YouTuber bin und dann Produkte empfehle, dann habe ich da so eine Affiliate link dran, dann kriege ich fünf Prozent oder drei Prozent Provision.

00:41:29: Dieser Armenia, der – wenn ich das richtig gerechnet habe muss jetzt rechnen mit bis zu dreißig Jahren Gefängnis Und wird eben für seine Beteiligung an dieser Red Line Malwehr vermutlich dann auch vor Gericht verurteilt werden.

00:41:47: Mal sehen was dabei rauskommt, nur um mal zu sagen, auch da gibt es möglicherweise schon mal Konsequenzen in anderen News die hier noch nicht mehr drinstehen weil es noch nicht einmal eine Zeile ist.

00:41:57: Auch der Betreiber des bekannten Darknet Zugangsdatenforums League Base ist verhaftet worden, interessanterweise in Russland.

00:42:08: Also der muss auch irgendwas gegen Russen getan haben, sonst wäre er nicht in Russlands Farbe geworden, irgendwo in Süden Russland ist der ins Netz gegangen und dann muss jetzt wahrscheinlich auch für den Betrieb von League Base mit Konsequenzen rechnen.

00:42:18: Der Typ hieß Chucky hatte immer eine ziemlich große... Naja, wie sagt man?

00:42:23: Ziemlich großmäulich doch kann ich so sagen.

00:42:25: Er war ziemlich grossmäulig und hat auch sehr gefeuert immer gegen die ganzen anderen Untergrundforen.

00:42:29: Ich könnte mir gut vorstellen dass er irgendwann mal einen dieser anderen Akteure zu sehr auf den Schlips getreten ist und der dann mal seine Kumpels vom SSB los geschickt hat.

00:42:37: aber das ist natürlich nur eine haltlose Verschwörungstheorie!

00:42:40: So jetzt haben wir alle Nachkleppel und Updates und jetzt geht es um ein ganz neuen Bug in nicht ganze neuer Software.

00:42:48: habe ich das richtig verstanden?

00:42:49: Ja, also wir brauchen jetzt eigentlich sozusagen ein anderes Jingle zu dieser guten Nachricht.

00:42:53: Wir brauchen irgendwie einen Defcon-I Alarm Schufe Rot.

00:42:58: Waren Ton.

00:43:00: Halt euch fest!

00:43:01: Es ist ein Bug entdeckt worden in Binn SU Also den UNIX Linux Utility mit dem man Routrechte erlangen kann.

00:43:11: Da steckt ja ein Pufferüberlauf drin.

00:43:14: Jetzt könnt ihr euch wieder hinlegen.

00:43:16: Es geht um BNSU aus UNIX Version vier von neunzehn dreiundsiebzig.

00:43:20: Ihr seid also aller Wahrscheinlichkeit nach nicht betroffen?

00:43:26: Das wäre insofern sehr absurd, wenn ihr betroffen werdet weil der Quellcode für UNIX Version Vier erst vergangenes Jahr im November aufgetaucht ist.

00:43:32: da hat irgendjemand irgendwo ausgemistet und ein altes Magnetband gefunden fürs Gestaltung.

00:43:38: Da ist der Quelle-Code für UNICS Version Vier drauf!

00:43:41: Und er war... Scheinbar bis dahin verschollen, da gab es einfach keine vollständige Kopie davon.

00:43:47: Und dann haben sich halt alle möglichen Computer Nerds und Nostalgiker darauf gestürzt.

00:43:52: unter anderem hat die Sigma Star GmbH sich diesen QR-Code angeguckt und einen Pufferüberlauf in bin SU gefunden.

00:44:01: der ist relativ offensichtlich weil das ganze Programm hat fünfzig Zeilen, keine fünfzigzeilen Und da muss man schon sagen, es sind schöne Zeiten.

00:44:12: Ich habe gestern auch mal geguckt mein BIN-SU das auf diesem Linux hier läuft hat wenn ich zumindest den Quellcode-Version richtig zugeordnet hab aktuell über twelvehundertsiebzig Zeichen erzeilen macht aber im Prinzip das gleiche.

00:44:27: Man kippt das gut Passwort ein und dann ist man rot.

00:44:30: Dieses alte BIN SU das hat das Problem dass der Passwort Puffer also der ist hundert Zeichen lang Wenn man das Passwort eingibt, nicht geprüft.

00:44:42: Das heißt, man kann einfach Passwörter eingeben die sind länger als hundert Zeichen und dann hat man einen Pufferüberlauf.

00:44:48: Ein witziges Detail aus altem Programmkort ist übrigens es gibt in ich weiß gar nicht mehr wo irgendwo auch im Original Unix Source Quotes gibt es einen Kommentar und da steht drin you are not expected to understand this.

00:45:01: Und der kommt aus diesem universitären Kontext weil das habe ich nämlich auch als Seminar gehabt Das teilweise Prüfungsteil, also dass die Leute den Quellcode lesen mussten und dann erklären können mussten.

00:45:11: Und dann hieß es eben das ist nicht prüfungsrelevant.

00:45:13: You are not expected to understand this.

00:45:17: Sich original UNIX-Quellcode anzugucken ist wirklich unterhaltsam.

00:45:19: Also es ist schon interessant.

00:45:21: Aber das hat ja die Sigma Star aus Österreich auch offensichtlich gemacht ne?

00:45:26: Ja ja!

00:45:26: Die haben auch wirklich einen sehr netten Blockpost übergeschrieben.

00:45:29: Die tun wir in die Show Notes.

00:45:33: Weisen das uns dann ganz richtig auch keine große schuld zu weil, äh neunzehn dreiundseitig war nicht nur schöne Zeichen weil kleine Programme halt auch wirklich kleine Programmen waren.

00:45:42: Sondern es waren doch einfach schöne Zeichnen was ich da niemand für sowas interessiert hat.

00:45:46: also die die relevante Fehler Behebung führe ich gebe ein Passort mit mehr als unter Zeichen ein und das Programm verreckt war gibt kein so langes Passwort ein.

00:45:57: Das hatten ein paar Jährchen gedauert, bis es die ersten Würmer gab und überhaupt so das Thema mehr.

00:46:02: Wer relevant geworden ist und man sich dann angefangen hat da Sorgendum zu machen damals war das einfach wurscht und insofern auch keine Sicherheitslücke in dem Sinne dass irgendjemand da gesagt hat, da hängt irgendwas dran was gesichert werden muss.

00:46:22: Heutzutage ist es natürlich deutlich anders und Sigma Star hat diesen Back nicht nur gefunden, sondern hat lobenswerterweise auch gleich einen Wix dafür veröffentlicht.

00:46:29: Da sagen Sie das ist sozusagen bemerkenswert wie schön einfach das war weil Junux damals eben zusammen mit dem Betriebssystem halt auch einfach den Quellcode ausgeliefert hat.

00:46:39: Das heißt da findet sich eben auch einfach der alles drin was sie brauchen.

00:46:44: also sie haben In diesem Unix Version vier, dass sie da guten konnten auf so einem Emulator und wo Sie halt diesen Back gefunden haben dann einfach in diesem System auch die Tor an die Quelle.

00:46:54: kurz und sonst hast vorgefunden.

00:46:55: Konnten halt eine neue Version von Binn SU bauen, die diesen Back behoben hat.

00:47:00: Haben da keine externen Software oder sonst irgendwas gebraucht.

00:47:04: das war einfach alles dabei.

00:47:05: C-Compiler liegt ja auch in dem System drin und so.

00:47:07: Das war einfach eine sehr in sich geschlossene Sache und wenn man einen viel erfindet kann man den direkt beheben.

00:47:13: So, das haben die halt einfach behoben und da gab es natürlich auch auf den entsprechenden Mailing-Listen längliche Diskussionen.

00:47:18: Ob sie das jetzt auf die elegantest mögliche Art in diesem Uralt Dialekt von C behoben haben oder ob das hätte eleganter beheben können ist letztendlich dann eine Diskussion.

00:47:29: Da ziehe ich mich dann raus.

00:47:31: Also das ist dann auch sehr schnell wieder abgedriftet.

00:47:33: Zum Glück haben wir heutzutage Rusts.

00:47:35: Und dann kommen natürlich die drei Leute aus der Ecke, die sagen Rust ist nicht das gelbe vom Ei und bla bla bla hat die üblichen Diskussionen.

00:47:41: Was ich lustig fand ist, dass dieser Bug jetzt, also der ist eben... Ich glaube sie haben am dreißigsten oder einunddreißigste zwölften.

00:47:46: letzten Jahres hat Sigmas da diesen Buck Report veröffentlicht.

00:47:51: Jetzt am zwanzigsten März hat er eine CFOE bekommen, nämlich CFOI-Zwanzig-Fünfundzwanzig Siebeneins zwei sechs drei und Der Back ist natürlich vollkommen irrelevant.

00:48:04: Also niemand hat dieses System im Einsatz und niemand würde sich darauf verlassen, dass dieses uralte System sozusagen nach heutigen Standards IT-Sicherheit bietet.

00:48:17: Jetzt habe ich hier leider gerade eine kurze Pause machen müssen weil mein Hund durchdreht.

00:48:21: Ja genau!

00:48:22: Niemand wird sich darauf verlassen das dieses Uraltsystem irgendwie moderne IT Sicherheit aufrechterhalten kann.

00:48:29: Aber darum geht es bei CVE Assignments ja auch nicht.

00:48:32: Also das ist ja so ein häufiges Missverständnis und das ist der maßgebliche Grund, warum ich diese Geschichte hier reinziehen wollte.

00:48:38: dass CVE sozusagen wie so einen Siegel für die Lücke ist wichtig.

00:48:43: Das ist ein großes Sicherheitsproblem, das muss jetzt behoben werden.

00:48:46: Dass es nicht wofür die Dinger da sind.

00:48:48: Die sollen einfach eine eindeutige Kenntzeichnung für Sicherheitslücken darstellen Vollkommen unerweckt davon, ob die Sicherheitslücke schwer wiegen oder nicht schwer wiegendwiegend ist.

00:48:58: Ob sie irre der Wand ist oder nicht.

00:48:59: Ob die in einem produktiven System ist oder im uralten, was schon lange nicht mehr produktiv ist und wenn man sie missversteht als Siegel für das es wichtig dann handelt man sich eigentlich nur sozusagen Folgeprobleme ein.

00:49:13: Insofern ist es nur konsequent dass die eine Uraldingen-CVU bekommen hat, dass da zwanzigfünfundzwanzig drin steht.

00:49:18: Das ist natürlich etwas älter führend.

00:49:23: Angeblich konnten die, also Kandidaten waren gar keine CVEs mit neunzehntreiundseipzig irgendwie zuweisen weil die Software das halt nicht hergibt.

00:49:32: Das CVE-System ist deutlich jünger und es werden sozusagen keine Lücken für Jahre vergeben bevor es das CVE System gab.

00:49:41: und so weiß ich nicht ob das stimmt Ich weiß auch nicht.

00:49:44: Also meines Wissens zeigt dieses Jahr eh nichts weiter an als in diesem Jahr wurde diese ID vergeben.

00:49:51: Ich sag nichts darüber aus, wann diese Lücke entdeckt worden ist.

00:49:54: Wann diese Lücke entstanden ist oder sonst irgendwas.

00:49:57: Insofern ist die twenty-fünfundzwanzig jetzt auch nicht irgendwie falsch.

00:50:02: Aber ich fand es halt eine lustige Geschichte.

00:50:03: Guckt euch gerne den Blockpost an wenn ihr mal wissen wollt wie sozusagen damals halt die Software aussah und wo man sich damals geschehrt hat und warum halt nicht?

00:50:12: Weil's irgendwie dieser Anforderung einfach nicht gab Und behaltet halt im Hinterkopf alles Mögliche kriegt eine CVE.

00:50:19: Eigentlich sollte wirklich jede Lücke in der CVE kriegen, dass manche keine kriegen.

00:50:22: Das ist wieder ein anderes Problem und nur weil irgendwo die CVE zugrunde dran steht heißt es noch lange nicht, dass das irgendwie besonders schwerwiegend ist.

00:50:29: Und nur weil's nicht dran steht heisst eben auch nicht ,dass die Lücke irgendwie irrelevant sind.

00:50:34: Was auch noch eine interessante Nebengeschichte ist, die packe ich euch auch in den Schornhauts, ist wie dieser Unix VIV Source Code entdeckt wurde und wieder auf GitHub gekommen ist denn da hat jemanden tape gefunden Beim aufräumen und dann wurde das aufwendig muss erst mal nochmal ein gerät finden, mit dem man dieses tape überhaupt noch einmal ja im runde digitalisieren kann wieder.

00:50:55: Und dann hat jemand aufgeräumt und den sourcecode dann auf github gepackt.

00:50:59: Das packe ich auch nochmal in die show notes.

00:51:00: wenn man dann noch mal so eine halbe stunde extra zeitheit und sich das noch mal anschauen will Dann könnt ihr das nachlesen.

00:51:10: So Die der hund ist beruhigt mein mikro ist an.

00:51:14: Ich glaube wir sollten weiter machen bevor wieder irgendwas kaputt geht.

00:51:18: Wir haben als nächstes eine alten Bekannte, mal wieder.

00:51:25: Auch das Wieder in den Dschingel aber ein Anderen?

00:51:28: Ja ich ach ist es die Cloud... Ich glaube wie heißt sie jetzt?

00:51:31: die Cloud Information Group oder sowas?

00:51:34: Das ist das was früher mal Citrix war.

00:51:36: Die sind ja auch infester Hand von Private Equity.

00:51:39: Ihr erinnert euch an meinen Rant zum Thema Private Equity hat Ivan Di kaputt gemacht.

00:51:43: Aber auch Citrix ist in der hand von so einem Private Equity Investor.

00:51:47: Und das gibt mal wieder ein Exploit für den Citrix Netscaler.

00:51:50: Wir erinnern uns dunkel an Citrix Bleed I, Citrix bleed II und Citrix bleeding III.

00:51:56: Gibt's glaube ich auch noch?

00:51:56: Ich weiß nicht ob wir jetzt bei Vier sind!

00:51:57: Ich bin so ein bisschen durcheinander gekommen... ...und dieses Advisory gließt sich innerhalb gleich zu Citrix Blitz II nämlich Insufficient Input Validation Leading to Memory Overread mit einem CVSS Score von neun Komma Drei.

00:52:11: Da denke ich mir erstmal auch Ja ist ja schon Critical aber Ist ja gar nicht so schlimm Haaa Trick.

00:52:16: Die nutzen CVSS, was ja auch eigentlich sinnvoll ist.

00:52:20: Der Standard ist schon länger draußen aber in der Regel wird oder häufig wird noch drei Punkt Eins genutzt und drei Punkt eins tendiert zu höheren Scores.

00:52:27: das ist auch hier so.

00:52:29: In CVSS drei Punkt Eins wäre das eine neun Komma acht.

00:52:33: wenn dieses Skope fällt also die dass der Angreifer durch den Angriff noch nicht nur im gleichen Bereich bleibt sondern sich auch noch ausweiten kann zum beispiel ein untersystem angreifen kann dann wäre scope changed Da wäre es über eine zehn kommer null.

00:52:49: also in der sehr schwere sicherheitslücke.

00:52:51: wir Haben bis jetzt noch keinen exploit dafür gesehen.

00:52:54: ich könnte mir aber vorstellen dass da bald einer kommt.

00:52:57: patches stehen anders als bei bestimmten plm systemen über die wir gerade gesprochen haben schon bereit.

00:53:03: Es gibt noch einen zweiten.

00:53:04: da bin ich sehr gespannt auf den pock.

00:53:05: vor allem bin Ich gespannt auf dem watchtower ride ab dazu denn Diese Lückenbeschreibung klingt interessant.

00:53:11: Das ist CVE-E, zwanzig, sechstenzwanzig vier drei sechs acht das ist CVSS.

00:53:15: four Punkt zero sieben Komma Sieben von zehn.

00:53:18: Race Condition Leading to User Session Mixup also eine wie nennen wir es an.

00:53:24: wenn die kanonische deutsche Übersetzung in der CT für race conditions Wettkondition Wettlauf Situation Wettlaufsituation

00:53:30: heißt es glaube ich ja

00:53:31: Eine Wette eine wettlauf situation.

00:53:33: Die führt dazu, dass die Appliants die Nutzer miteinander verwechselt und dann vermutlich kann man das so engenieren.

00:53:42: In der Verwechslung derjenige ist er profitiert indem man einen Atmenzugang kriegt.

00:53:46: Ich bin sehr gespannt ob und wie die Leute bei Watchtower das ausnutzen können und ob sie im Vorlauf zur Pronto-Own bei denen aber glaube ich die Citrix Geräte mit gutem Grund keine Rolle spielen da noch ein putzigen Blockpost zu machen.

00:54:03: Diese Geräte sind anders und ich komme nochmal zurück auf diese Flex PLM Geschichte.

00:54:07: Anders als so ein Product Lifecycle Management System in der Regel, weil sie ja Application Delivery Controller beziehungsweise sowas wie WAFS oder auch SSL VPN Gateways sind von außen also aus dem Internet erreichbar und da ist die Gefahr für einen Angriff erheblich höher als beim System das irgendwo im Laden einigermaßen vernagelt ist und nur für die interne Nutzung vorgesehen ist.

00:54:29: Also da frage ich mich dann auch wo Polizei?

00:54:33: Ja, vielleicht haben die sich nachdem die Dinger erreichbar sind per Hackback da schon drauf geschaltet und diese Lücken gefixt.

00:54:39: Das ist natürlich durchaus... Nein!

00:54:44: Ich glaube nicht so.

00:54:46: Dann ist Gesicht dann noch nicht stabil halten.

00:54:49: Ja aber also sozusagen was anderes, was mich hier wieder auffällt.

00:54:53: ich glaube wir müssen wirklich mal eine Folge zu CVSS machen.

00:54:56: Wir hatten ja ne Folge zu dem CVE-System, aber wir haben damals eben diese Bewertungsgeschichten weitgehend ausgeklammert Und das ist halt doch was, was immer wieder eine Rolle spielt.

00:55:05: Also einerseits diese Scope fällt über dass es ja andauernd Debatten gibt wie das jetzt genau zu bewerten ist und andererseits dass es halt verschiedene Versionen vom CVSS gibt mit unterschiedlichen Auswirkungen auf die den Werte dann rapportiert wird und meistens nicht mal irgendwie gescheit.

00:55:19: dabei steht was für eine Version hier gerade angewendet wird.

00:55:22: und so ich glaube... Schreibt uns mal, wenn ihr eine Folge zu hören wollt oder schreibt uns, wenn Ihr keine Folge dazu hören wollt und so.

00:55:29: Aber ich habe das Gefühl, wir stolpern immer wieder drüber.

00:55:31: Wir sollten das vielleicht mal aus dem Weg räumen.

00:55:34: Bis wir da eine eigene Folge zumachen?

00:55:36: Vielleicht müssen wir dann auch sowas wie CPE, EPSS und COCOD.

00:55:41: Es gibt noch CV CSV... Also es gibt noch so ein Kontext-sensitiver Risikometriken.

00:55:48: Das sollten wir dann vielleicht auch mit Räuern nehmen.

00:55:50: aber Bis wir das tun, habe ich euch einen sehr langen und guten Hintergrundartikel von der Kollegin Olivia von Westernhagen verlinkt.

00:55:58: Den ihr euch zu Gemüte führen könnt, der spezifisch die Neuerung- und Änderungen in CVSS vier Punkt Null behandelt.

00:56:04: also da könnt ihr euch schon mal aufschlauen.

00:56:07: Und wenn ihr das Gefühl habt dass ihr da trotzdem noch ein bisschen was drüber hören möchtet dann machen wir gerne mal eine Folge darüber und schauen dann auch mal so rund um den reinen CVE in die verschiedenen anderen Wertung, Einstufungsklassifikations- und Weiterverarbeitungsmöglichkeiten dieses Ökosystems.

00:56:26: Und wie sie momentan beschaffen sind?

00:56:28: Denn da passiert an vielen Stellen nicht so viel seitdem die CISA nicht mehr über eine arbeitende Mitteilbeiterschaft verfügt.

00:56:35: Die sind ja massiv zusammengestrichen gerade wegen des Haushalts... Wie heißt das?

00:56:41: Haushaltsstopp?

00:56:42: Nee, wie heißt denn das in den USA?

00:56:43: Doch ich glaube

00:56:45: es ist der Lockdown.

00:56:48: in den USA.

00:56:49: Ich habe den Artikel in die Show Notes gepackt und ich würde vorschlagen, wir haben jetzt hier so ein ganz langes Thema, wollen wir bevor wir das besprechen mal über PKI-Räden wieder?

00:57:03: Du wirst es ja live die Reihenfolge unserer Notizen ändern, dass er Vogel will.

00:57:08: Ja, ich dachte weil ich bin schon bisschen heiser und ich hab hier schon wieder zwei Sachen hintereinander.

00:57:13: Können wir machen?

00:57:16: Volles Risiko?

00:57:16: ne

00:57:18: Aber du hast doch keine Live-Theme, oder dann kann doch nicht viel passieren.

00:57:21: Ja genau!

00:57:22: Du musst trotzdem noch ganz kurz weiterreden, du wolltest nämlich noch uns was zu der Financia erzählen und dann...

00:57:28: Ja es ist alles nicht so schön.

00:57:30: also wir hatten die Financia Agenda Cisca eine CA aus Kroatien.

00:57:35: mal hier im Podcast und ich verfolge seit ich glaube das ist ein Jahr verfolgere ich einen Ticket in Baxilla vom CA Browser Forum.

00:57:45: Die haben sich allen möglichen Kram geleistet.

00:57:46: Die haben so Testzertifikate ausgestellt, die sie nicht hätten ausstellen dürfen und dann haben sie auch ganz mies kommuniziert mit den Leuten vom CI-Browser Forum.

00:57:56: Das hat für einige Verwerfungen gesorgt und Sie haben auch ständig auf die Bremse gedrückt und nicht geantwortet und so.

00:58:02: Und denen vertraut zum Glück nur Microsoft.

00:58:05: Also diese sind irgendwie in Microsoft im Truststore aber nicht in anderen Browsern und haben jetzt um viele dieser Missstände zu beseitigen, wohl einen Audit außer der Reihe gehabt.

00:58:19: Und haben auch verschiedene ihrer Dokumente angepasst im März also so ihre Certificate Practice Statement so diesen ganzen Kram.

00:58:26: Jetzt sind sie in der Meinung ist alles cremig.

00:58:28: wir können das Ticket doch jetzt eigentlich zumachen.

00:58:31: die Kommunikation dazu war aber trotzdem wieder so dass mehrere Leute nachgefragt haben hallo wieso redet ihr nicht mit uns?

00:58:37: Wieso meldet ihr euch nicht?

00:58:39: Und dann die Porente.

00:58:41: Sie haben offenbar direkt nach dem audit sich bei mozilla wieder beworben um eine inklusion in deren trust store haben also da ein neues ticket aufgemacht.

00:58:50: Ich habe den ben wilsen von mozilla noch gefragt kurz hier vor der aufzeichnung ob ich das richtig interpretiert.

00:58:56: aber ich finde, dass hat dann auch schon so eine gewisse chuspe.

00:58:58: wenn man dann sagt so ich hab die audio dokument jetzt hochgeladen aber jetzt nehme ich mal bitte in euren browser rein bin bisschen ich zweifel ein bisschen ob das klappen wird.

00:59:07: ja habe ich auch meine Bedenken.

00:59:12: Insbesondere weil Mozilla das ja schon nur deshalb verfolgt hat, weil die sich irgendwann früher mal über den beworben hatten

00:59:18: vor Jahren... Vor vier, fünf Jahren oder so.

00:59:21: Und das hat sozusagen also wo sie nicht im Justice von Mozilla drin sind, da hat es gereicht und dass Mozilla sich genau anschaut was die da so treiben.

00:59:28: und die haben jetzt insgesamt halt sich nicht mit rumbekleckert.

00:59:33: Also ich wäre auch überrascht wenn die da jetzt einkommen.

00:59:36: Aber man kann ja mal versuchen ne?

00:59:39: Aber vor TrustStores, das ist gar keine so schlechte Überleitung.

00:59:42: Es geht um einen neuen TrustStore und zwar also wir bleiben bei der PKI.

00:59:48: Google arbeitet mit zusammen mit den IETF an Miracle Tree Certificates im TCI.

00:59:55: Die EETF Arbeitsgruppe dazu heißt PLANTS weil man ja solche Sachen nicht ohne lustige Akonöme machen kann.

01:00:04: Plants steht für PKI LOCKS AND Treesignatures.

01:00:09: Das ohne das Wichtig, sonst kommt da irgendwie kein Wort raus.

01:00:14: Und diese...

01:00:16: Ach ich hasse die entsprechenden Akronüme.

01:00:20: Ich kenne das auch aus der ganzen Wissenschaft.

01:00:23: bei Papers wo dann alles so ein komisches Akronüm hat und also bei GNU fand ich es noch witzig.

01:00:30: Ich

01:00:32: bin noch ganz gut amüsiert von solchen Sachen.

01:00:36: Manchmal bist du ja auch leicht zu amüsieren, genau.

01:00:38: Und jetzt schauen wir uns an was die Pflanzen bei der ETF so treiben wenn sie nicht irgendwie wachsen.

01:00:44: Diese MTCs, na diese Säulen und das ist eigentlich ein ziemlich großes Ding, die sollen diese klassischen X-Fünfhundertneuen Zertifikate ablösen also das was heutzutage die Zertifikate im Browser sind.

01:00:54: Da ist es ja typischerweise so, der Server schickt eine ganze Zertifikatskette die ein Klein, also euer Browser zum Beispiel dann eben nutzen kann um sich da sozusagen entlang zu hangeln.

01:01:06: Also dieses Zertifikat signiert jenes Zertificat und jenes zertifikat signiert diese Zertifiakate und so haggelt man sich da hoch bis er halt bei einem Zertfikat ankommt das ihr in seinem Route of Trust hat oder einfach sagt ach des ist hier von der CIA oder so der vertraue ich Und damit kann ich halt die Kette validieren und auch die letztendlich ausgelieferte Webseite.

01:01:27: Das funktioniert so wie es ist, also offensichtlicherweise so sichern wir unseren WebTraffic aber es ist wenig pqc freundlich, also wenig freundliche gegenüber solchen alternativen Signaturesystemen die vor Quantencomputern schützen sollen können und die allmählich ausgeheult werden Denn die haben tendenziell deutlich größere Signaturen.

01:01:49: Und das heißt da immer so eine ganze Kette von solchen Signaturen mitzuschicken, schafft einfach ein gewisses Performance-Problem wenn diese Signaturen plötzlich deutlich größer werden.

01:01:58: Noch viel schlimmer ist es für die Certific Transparency, die wir ja auch schon mehrfach im Podcast hatten.

01:02:05: Das sind Locks, die alle ausgestellte Zertifikate beinhalten und dass man eben mitkriegen kann, wenn irgendwo auf der Welt irgendeine CA fälschlicherweise für die eigene Webseite einen Zertifikat auszählt oder wo sie gar nicht dürfte Und weil diese Logs eben all diese Zertifikate enthalten müssen, ist es für die noch ein sehr viel größeres Performance-Problem.

01:02:22: Wenn diese Zerfikate plötzlich in Umfang zulegen plus... Es gibt ja diese Tendenz, die wir auch schon immer wieder im Podcast hatten, die Zertifikatslaufzeiten kürzer zu machen und das ist sicher heisst technisch gut, weil wir keine gescheite Revocation also keinen gescheiten Widerruf haben.

01:02:40: aber es hat halt auch den Effekt Wenn alle Zertifikate kürzer laufen, dann braucht man mehr.

01:02:44: Die müssen eine Lock... Also das gibt nicht nur mehr Zertifikates sondern wenn es PQCZ-Figrate kommen werden die auch noch größer und die Locks haben so schon ab und zu Performance Probleme.

01:02:54: also Christoph und ich sitzen da ja auf der Mailingliste drauf und dann kriegt man das ab und zum Mitteln wieder irgendwo so ein Lock wackelt

01:03:00: weil halt

01:03:00: irgendwie einen VM Cluster voll gelaufen ist oder so.

01:03:05: Und diesen ganzen Problem zoo will Google eben angehen mit diesen MTCs.

01:03:12: die basieren auf Hash-Bäumen und die CAs beweisen dann sozusagen, dass sie einen gewissen Zertifikat in einen von ihnen verwalteten Hashbaum eingeschlossen haben.

01:03:24: Und das Schöne ist, dass dieser Beweis sehr leichtgewichtig ist.

01:03:27: der besteht nur aus einem Satz von Hashes und diese Leichtgewichtigkeit ist unabhängig von der Größe der eigentlichen Signatur weil er eben nur aus dem Satz vom Hashes besteht und die Hashes sind halt so groß wie sie sind.

01:03:41: Und das soll halt diese Performance Probleme in den Griff kriegen und jetzt irgendwie Hash-Bäume und DCA's beweisen, dass ein ZFK hat sich auch diesen Baum findet.

01:03:50: Wer sich da gut aufgepasst hat merkt es klingt nach Certificate Transparency.

01:03:57: Das ist genau so.

01:03:58: Also dieses MTC sollen nicht nur eben die X-Fünf oder neuen ZFkats Ketten ablösen, die der Server an euren Bausern schickt sondern sie sollen auch gleich Certificates Transpare Ersetzen beziehungsweise halt fest mit einbauen, also dass man gar nicht Zertifikate haben kann.

01:04:15: Die sozusagen nicht so einen Transparenz-Ding mitbringen.

01:04:17: das ist ursprünglich in der PKI die wir jetzt haben historisch gewachsen und es gab halt irgendwie erst Zertifikade und diese Ketten die da selber mitgeschickt hat.

01:04:24: und irgendwann später hat man dann gesagt ihr braucht eigentlich mehr Transparensen und hat dieses Zertifique Transparing sie erfunden und so um.

01:04:31: das soll jetzt einfach verheiratet werden.

01:04:34: Sie wollen diese MCTs bauen.

01:04:35: die CA's verwalten selber solche Haschbäume.

01:04:38: Es gibt dann so Monitors, die heißen anders.

01:04:41: Ich habe es schon wieder vergessen wie sie heißen.

01:04:42: Die heißen halt irgendwie so.

01:04:44: Es gibt halt so verifizierende Entitäten, die dann irgendwie gucken dass halt diese Heschbäume von der CA's auch genau so verwaltet werden wie sie sollen insbesondere das die halt sozusagen hohe Wachsen und da nie was rausgelöscht wird.

01:04:55: Das können die CAs eben dann küppelgrafisch beweisen und Sie können auch beweisen, dass sie ein Zertifikat in diesem Baum eingebettet haben langfristig diese ganze jetzt üblich x für den neuen struktur und eben auch certificate transparency ersetzen.

01:05:10: Und das ist natürlich ziemlich große sache unter anderem, weil man dann auch diese diese tretung also da hat man gar nicht mehr das problem irgendwie die ganze vermeiden zu müssen ob es vielleicht irgendwo ein zertifikat geben könnte was nicht in so einem transparenz lock drin ist.

01:05:26: wenn das eine dasselbe system ist dann ist halt einfach notwendigerweise jedes zertifikat in so einem auditierbaren Baum eingehängt.

01:05:35: Die sind, also dafür dass ich das jetzt gerade erst mitbekommen habe vielleicht bin ja auch hinterher und da schon überraschend weit fortgeschritten.

01:05:40: und zwar sagen sie Phase eins wo Sie das testen ist schon am laufenden ist underway.

01:05:47: Google teste das zusammen mit Cloudflare.

01:05:49: Also Cloudflere macht offenbar sozusagen die Serverseite der Chrome Browser macht die Kleinseite.

01:05:55: In den aktuellen Tests fahren sie das einfach strikt parallel zu dem bestehenden X-Fine von der neuen Zertifikaten, sodass da halt auch nichts schiefgehen kann wenn irgendwie Sie Fehler in Ihrer neuen CT-Infrastruktur haben.

01:06:08: Weil nach wie vor diese X-Form von Neunzertifikate mitgezogen werden.

01:06:12: und parallel dazu also jetzt aktuell bastelt Plans, Arbeitsgruppe an der EETF.

01:06:20: An dem Standard und formuliert ihn aus.

01:06:21: von den gibt es glaube ich jetzt ein oder zwei Versionen.

01:06:23: also das noch lange nicht verabschiedet ne?

01:06:25: Und er wird sich jetzt halt so wie das eben so ist so über die Zeit entwickelt werden.

01:06:31: Aber Google hat's da vergleichsweise eilig.

01:06:34: Also im ersten Quartal twenty sieben zwanzig.

01:06:36: nächstes Jahr wollen Sie dann in Phase Zwei gehen wo dann auch jetzige certificate transparency Log Betreiber Die ja oft auch CA sind ins Boot geholt werden und eben auch so eine MCT Infrastruktur schon mal aufsetzen können, nicht nur Cloudflare.

01:06:52: Und im dritten Quartal von zwanzig siebenundzwanzig wollen Sie dann final klären wie diese Quantum Resistant Root Store von Chrome genau aussehen soll was da reinkommen wird und sowas jetzt schon sagen ist der wird einfach parallel zu dem jetzigen herkömmlichen RootStore existieren Und vermutlich wird irgendwann sehr langfristig dann der herkömmliche jetzige Root Store rausfliegen oder zumindest sehr funktionell eingeschränkt werden.

01:07:17: Da sind aber noch lange nicht, was sie auch sagen.

01:07:20: Falls es bei irgendjemandem die Alarmglocken losgehen, jetzt braucht man irgendwie diesen komisches MCT-Krempel um halt quantenkopetersichere Kryptografie haben also einsetzen zu können.

01:07:33: Nicht unbedingt.

01:07:34: Sie beziehen das explizit auf die öffentliche PKI, die halt jetzt auch schon von Certificate Transparency und so betroffen ist.

01:07:42: Wenn man selber irgendwelche Wurzelzertifikate in irgendwelchen, also in den Justdoor von seinen eigenen Geräten hängt und die für irgendwelches Internet Services hernimmt oder so, da soll Chrome durchaus auch mit X-Fünf oder neun Zertifikaten umgehen können, die auf pqc Signatureverfahren setzen.

01:08:01: Das lässt sich ja durchaus zusammenbauen.

01:08:02: wie gesagt das Problem war nur dass halt diese Signaturen tendenziell groß sind und es schafft Probleme hierfür Systeme, die dann mit sehr vielen von diesen Signatoren arbeiten.

01:08:12: Aber wer sozusagen eine eigene PKI irgendwo hat und die auf X-Film oder Neuen lassen will aber da die Quanten sicher haben will das soll Chrome durchaus unterstützen.

01:08:23: Allgemein verspricht sich Google sehr viel von diesem Fundament dass sie sozusagen mit MCTs viel alt bewährt es über Wall alt bewährt ist, aber halt auch altes Bewort werfen und sowas Neues von Grund auf besser durchdacht es hinstellen.

01:08:39: Sie hoffen dass sie dann auch darauf aufbohrend endlich mal gut performende Zertifikate wiederrufe irgendwie etablieren können.

01:08:46: da steht nicht darin was das dann für eine Art von System sein sollen nur dass ja diese certificate revocation lists damit loswerten wollen.

01:08:54: Sie haben scheinbar reproduzierbare Domain Control validation im Auge also dass man auch im Nachhinein sozusagen noch prüfen kann dass eine CD-Art tatsächlich sich davon überzeugt hat, das man über einen Domain verfügt hat als sie so ein Zertifikat ausgegeben hat.

01:09:10: Sie erhoffen sich besseres Monitoring weil natürlich dann diese Trennung zwischen Transparency auf der einen Seite und dem grundsätzlichen X-Venon Picky hier auf der anderen Seite wegfällt und so na?

01:09:22: Also wir tun den Blog-Post dazu in die Show noch zu, wenn die Details interessieren.

01:09:25: aber wir werden da sicher auch im Podcast lernen bleiben.

01:09:27: Aber da planen Google sozusagen relativ große Umbauten.

01:09:32: Christopher guckt sehr kritisch.

01:09:34: Passt ihr das gar nicht?

01:09:39: Ich wundere mich die ganze Zeit und ich glaube, dass Wunder wird auch ein bisschen weitergehen warum jetzt alles plötzlich so viel schneller geht.

01:09:48: also du hast ja vorhin gesagt was hast du gesagt?

01:09:51: ich glaub du hast gesagt es ist ein großerwurf oder sowas.

01:09:53: na also so eine ähnliche formulierung steht doch hier in den notizen.

01:10:02: Jetzt geht es so wirklich hoppla-hop dafür, dass wir hier also ich bin ja aufgewachsen mit x-fünf durch neun.

01:10:07: Das war Teil meiner meiner masterarbeit und meine Dissertationen und diesen.

01:10:12: das ist so ein.

01:10:13: jetzt geht alles sehr schnell.

01:10:14: deswegen Ich bin ehrlich gesagt relativ froh oder sie sich nicht zu Fuß nochmal in den Obmessens implementieren muss.

01:10:20: aber das ist jetzt schon alle so.

01:10:23: Ja weiß ich nicht.

01:10:24: die drücken auf die tuber

01:10:26: Das Gefühl habe ich auch, ja.

01:10:27: Also vielleicht werden wir auch einfach nur alt und uns fällt halt auf wie viel von den früher war besser alles bessere Sachen langsamer Wort geworfen werden.

01:10:37: Christoph hat gerade eine sehr unflädige Gestik

01:10:39: gemacht.

01:10:41: Aber vollkommen zu recht, wie ich finde.

01:10:43: Ich hab gesagt, wir werden alt also... Wir werden

01:10:46: alt, wir wären interessant!

01:10:47: Achso okay Wie ein guter Wein und so bla bla bla.

01:10:51: Naja, also ich habe auch das Gefühl Spaß beiseite dass die auf Google drücken.

01:10:56: dazu passt auch ganz gut die zweite Post-Quantengeschichte die ich hier noch aufgeschrieben habe.

01:11:01: Und zwar hat Google sich eine neue Deadline für ihre Migration auf Quantencomputer sichere Kryptografie gesetzt oder hat ihr angepasst?

01:11:11: Und zwar haben sie die auf zwanzig neunzwanzig gesetzt und das ist ziemlich ziemlich sportlich.

01:11:20: Wir hatten das, glaube ich auch im Podcast.

01:11:21: Das BSI hat gerade erst vor relativ kurzer Zeit sozusagen verkündet was das BSI sich wünschen würde waren die Leute so umstellen.

01:11:31: und da haben sie gesagt naja für Schlüssel Aushandlung sollen die Leute bis bis zwanzig dreißig schrägstich einundreißig auf postkantensichere Verfahren umgestellt haben.

01:11:42: Die, die der Unterschied zwischen zwanzig dreißig und eindreißig um das nochmal mal kurz einzusortieren jeweils Ende des Jahres besteht darin dass Betreiber kritischer Infrastrukturen oder besonders schützenswerter Dienste Ende zwei tausend Dreißig fertig sein sollten.

01:11:55: Und alle anderen Empfehlungsweise Ende zweitausend Einwesen

01:12:00: genau.

01:12:02: Aber das bezieht sich eben nur auf die Schlüsselaushandlung.

01:12:04: Das ist auch sinnvoll, die zuerst anzugehen weil da droht die Gefahr.

01:12:08: Wegen diesen hatten wir auch schon mehrfach im Podcast store now decrypt later attacken also... Da habe ich halt das Problem jemand könnte jetzt schon traffic aufzeichnen und den dann halt irgendwann wenn er einen Connectbüter hat entschlüsseln sofern der Inhalt dann noch Revivalent sein könnte.

01:12:23: aber abhängig vom Traffic kann es halt der Fall sein für digitale Signaturen, wo ich dieses Problem so nicht habe.

01:12:29: Wo ich einfach nur wissen will ob ich jetzt gerade mit der richtigen Gegenstelle rede.

01:12:33: und wenn jemand das in fünf Jahren faken kann dann ist mir das egal weil ich muss ja jetzt die Verbindung verifizieren.

01:12:40: Will das BSI erst ab zwanzig sechsunddreißig gerne Quantencomputer sichere Kryptografie im Einsatz haben?

01:12:46: Und Google sagt halt jetzt nixzwanzigsechsunddreißig wir wollen zwanzigh neunundzwanzigg den Kram umgestellt haben und zwar inklusive den Signaturen.

01:12:55: Das ist schon hui.

01:12:59: Sie sagen nicht so richtig, also sie sagen nicht sehr detailliert warum?

01:13:02: Sie sagen sie sehen halt große Fortschritte in der Kondenkompilter Hardware bei der Fehlerkorrektur und auch bei Algorithmen.

01:13:09: das gab auch vor ein paar Monaten so ein Paper wo es argumentiert hat dass man um RSA mit dem Kondekompilte zu brechen weniger Kubits braucht als man eigentlich dachte.

01:13:19: Und es gibt eben auch in der Tat große Fortschritte bei der Fehler-Korrektur, da hat sich jetzt aber glaube ich sozusagen auch kein enormes Speed up ergeben seit wir mal Wilhelm und Sabrina hier im Podcast hatten.

01:13:29: Und darüber geredet haben?

01:13:30: Ich glaube die Folge tun wir in die Show notes.

01:13:32: ne Also ich finde es ein bisschen überraschend dass Google jetzt so Gas gibt.

01:13:40: Vielleicht basteln sie da schon länger dran und jetzt wird das halt publik.

01:13:44: vielleicht wissen die auch irgendwas Was wir noch nicht wissen, was Christopher angemerkt hat im Vorfeld ist völlig richtig.

01:13:53: Dass Google sich bei etwas Sorgen macht wegen Neutral Atom Quantum Computing also einen alternative Ansatz zu diesen Superleitenden Kugels die ich weiß ja den Neutral ATOM ist wahrscheinlich auch super leitend.

01:14:06: aber Google hat glaube ich solche Ionen fallen Sachen im Einsatz gehabt und jetzt machen sie irgendwie auch mit Neutral atmem Sachen.

01:14:14: was.

01:14:15: Also möglicherweise gibt es da einen Quantencomputing-Bereich, der gerade enorme Fortschritte erzielt die so groß sind dass sich jetzt auch die Verteidiger anfangen Sorgen zu machen.

01:14:26: Man muss aber glaube ich auch im Auge behalten das Google natürlich auf der anderen Seite dieses Wettlaufes steht.

01:14:33: Die machen sehr viel in der Quanten Computing Forschung und die haben also zumindest dieser Teil von Google hat halt ein Interesse daran da Fortschritte zu sehen und da möglichst große Besprünge verkünden können.

01:14:48: Und hatten ein gewisses PR-Interesse daran, sozusagen Quantencomputer und ihre gefährlichen Fähigkeiten möglichst hochzuhängen.

01:14:59: Die Folge hieß übrigens auch QuantenComputer und wie man sich vor ihnen schützt.

01:15:04: Folge thirty-two habe ich in die Shownutz gepackt.

01:15:06: Wunderbar!

01:15:09: Also... Bin mir nicht so richtig sicher, was ich davon halten soll.

01:15:13: Ich weiß nicht ob du ne Meinung davon hast, Christopher.

01:15:15: Ob Google hier sozusagen zu Recht irgendwie ein bisschen Panik schürt oder ob sie vielleicht einfach auch PR dabei ist?

01:15:24: Ähm...

01:15:26: Ich weiss es nicht!

01:15:27: Ich bin tatsächlich total unbeleckt, was die Theorie beim Quantencomputer angeht, bevor wir Sabrina haben.

01:15:35: Auch Dan Goodin bei Arstechnika hat da mal sehr schöner Artikel drüber geschrieben.

01:15:39: Das ist für mich wirklich, das sind für mich bürmische Dörfer.

01:15:43: Deswegen stütze ich mich da immer gerne auf die Schultern von Riesen wie man so schön sagt und ich glaube Google möchte tatsächlich auch gerne mal wieder News oder PR-Absalts dieser ganzen KI Geschichten haben, dass es vielleicht einen Punkt und auch zeigen, dass sie nicht nur eher so reaktiv jetzt hinter OpenAI und Co.

01:16:02: hinterherhecheln sondern dass sie an einer anderen Front, die ja nun auch eine echte Zukunftstechnologie ist So diesem Hype Train so stark hinterher läuft sondern auf mathematischen Grundlagen basiert und nicht nur auf Stochastik, dass sie da auch wieder ein bisschen vor die Welle kommen.

01:16:23: Ich habe aber eine Leidensgeschichte mit Stochastik, ich musste die Klausur vier oder fünfmal schreiben.

01:16:33: Das hab' ich auch in LNP gesagt, das mit meinem Informatikstudium war zwischendurch mal knapp und das hing tatsächlich an der Stochasti-Klausur.

01:16:39: Aber nach dem Gesetz der großen Zahlen irgendwann habe ich sie dann bestanden.

01:16:44: Anyway... ...ich bin da nicht ganz sicher, ich glaube nicht dass das ein reiner PR Gag ist und ich glaube auch, dass das zusammenhängt also die Geschwindigkeit jetzt an mehreren in an mehreren punkten aufgenommen wird die ja gleich wo wir gleich noch ein dritten punkt haben und diese diese neutral atoms.

01:17:03: ich habe auch mal bisschen rum gefragt bei leuten die ich so kenne und die sich mit kryptogen auch ein bisschen auskennen die auch in den diskussionen immer mal so ein bisschen Mit nicht vielleicht mitmischen aber zumindest die sich sehr genau anschauen und da hieß es auch nah also bei dieser bei der verteidiger seite der kryptologen könnte man schon eine gewisse Nervosität feststellen, hinsichtlich auch dieser Neutral Atoms und dass diese Geschwindigkeitsvorgabe von Google jetzt kommt.

01:17:33: Also wir wollen eigentlich im Jahr für das Jahr- und Zweifel sind fertig sein.

01:17:36: Das wird nicht als reiner PR Gag wahrgenommen sondern ich glaube es wird durchaus ernst genommen.

01:17:42: Und du hast ja auch noch ne weitere Bimme eingesammelt Von jemanden der auch mal hier im Podcast aufgetaucht ist Der sich dazu ausgelassen oder eingelassen hat.

01:17:53: Ja, genau.

01:17:54: Also weil, ich meine man muss Philippo Valsorda hat ja auch ganz viel mit sich für Transparency zu tun und so, hat mir glaube schon mehrfach ein Podcast.

01:18:02: Hat früher glaube ich auch bei Google gearbeitet.

01:18:05: insofern ist es vielleicht kein vollkommen ausschließlich stehender Beobacht oder so aber schon eine Stimme die ich glaube wir beide sehr schätzen und dem macht das scheinbar auch erheblich Bauchschmerzen der hat getutet letztes Jahr sei seine Position noch gewesen.

01:18:22: Naja, wir haben ja Zeit uns PostQuantum Authentication Systeme auszudenken.

01:18:28: Jetzt mit Blick auf den Fortschritt und eben insbesondere mit Blick Auf dieses Statement von Google glaubt er dass wir Den postquanten Schlüssel austauschen dem also das BSI für zwanzig dreißig zwanzigeinunddreißig terminiert am besten gestern erlegt haben sollten Dass wir jetzt anfangen müssen PostQuanto Authentication auszurollen Und dass man eigentlich keine Zeit mehr hat, um sich irgendwelche Mechanismen auch nur anzugucken die nicht bosquanten-sicher sind.

01:19:02: Das fand ich schon auch sehr... Also das ist halt auch einfach wie er ja sagt einen deutlich schneller oder deutlich steiler in seiner Risikobewertung.

01:19:15: Du hast es hier reingeschrieben und dass man eine gewisse Nervosität feststellen kann, das sehe ich auch so.

01:19:23: Wir werden sehen, wie das jetzt weitergeht.

01:19:25: Aber wer sozusagen ein Systeme hat die mittelfristig Quantengebüte sicher werden müssen der sollte sich da vielleicht auch mal mehr dahinter klemmen als vorher.

01:19:37: große Player passen ihre Roadmap an.

01:19:39: Wer weiß was da so im Busch ist.

01:19:43: Ich bin noch sehr gespannt wie jetzt die anderen großen Player.

01:19:47: sagen wir mal wie Apple jetzt auf das Thema reagieren wird.

01:19:49: oder also mein Microsoft Das ist mir jetzt egal, aber mal zu schauen was Apple macht.

01:19:55: Was auch der Beispiel so Spieler wie die das CR Browser Forum als Reaktion machen werden.

01:20:04: Denn das ganze Thema kommt ja nicht nur mit Macht in der Theorie an sondern ganz konkret auf Softwareplattformen und Hardware-Plattformen, wie wir festgestellt haben.

01:20:15: Auch hier hat man im Mountain View die Schlachtzeit vorgegeben.

01:20:21: Ja, also Google bastelt nicht nur an irgendwie seinem Browser und so sondern sie haben auch gesagt Android-septzen.

01:20:28: Also die kommende Version, die gerade so in Previews ist und so Die wird PostQuantum und Kriptografie Funktionen enthalten, die halt App-Entwickler hernehmen können um Apps irgendwie scheit abzusichern.

01:20:40: Die wird aber auch selber schon anfangen das System abzugraden.

01:20:45: Android-Seventeen wird dann noch nicht in allen belangen Postkanten sicher sein, aber sie fangen halt da an.

01:20:51: Insbesondere mit dem Verified Boot.

01:20:53: der bekommt MLDSSignaturen also eben Signaturen die auch von Konnexbüter nicht gebrochen werden können um den Bootprozess von Android abzusichern.

01:21:03: und das soll schon mit Android-seventeen einfach kommen und fertig sein.

01:21:09: Anfangen tun Sie mit Android Seventeen auch die Remote Attestation auf eine PQC Architektur umzustellen.

01:21:16: Aber das Thema Attestation hatten wir ganz oben, das schauen wir uns eh noch mal näher an.

01:21:21: Zu dem Zeitpunkt gucken wir uns dann vielleicht auch genauer an was es mit dieser PQC-Umstellung von Google auf sich hat?

01:21:30: Wir hatten auch ein bisschen Rätsel geraten, was Androidseptien angeht ob jetzt alle Geräte Androidseptionen bekommen werden weil diese ganze PQ Sache ist ja nicht trivial was den Compute angeht und die Speicher voraussetzen.

01:21:44: also das ist jetzt nicht etwas was ich So einem Club-Handy implementieren kann.

01:21:48: Ich hab noch so ein uraltes Mini-Smartphone von, ich glaub, Huawei oder ZTE rumliegen... ...ich glaube da würde das mit der Quantenrevolution nichts,

01:21:58: oder?

01:21:58: Genau!

01:21:59: Das war so'n Gedanke, der uns halt kam.

01:22:02: Da muss ja auch einfach Sachen in das TPM integriert werden und ich muss ehrlich sagen, ich kenne mich nicht ausreichend damit aus um das Bestiege beantworten zu können aber mein Verdacht wäre halt dass es da durchaus vielleicht TPMs gibt in irgendwelchen Jetzt nicht furchtbar alten Geräten, aber die halt da eigentlich mitmachen.

01:22:16: Weil sie zum Beispiel mit den Signaturgrößen von postquanten Verfahren einfach nicht umgehen können.

01:22:22: Insofern ja also das müssten wir uns genauer anschauen ob.

01:22:25: ich kann mir gut vorstellen dass es das auch sozusagen da einfach eine Grenze einziehen wird auf welche Geräte Android-seventeen kommen kann oder vielleicht halt auf welchen Geräts Android-Seventeen dann sagt na gut ich mach hier einen Fallback denen dann irgendwie Android-Altin oder Nineteen irgendwann nicht mehr mit gehen über so.

01:22:42: Es gibt seit gestern eine Beta und eine entsprechende How-To Seite auf der Android Webseite.

01:22:50: Und da ist das Mindestgerät ein Pixel sechs, dass Android siebzehn bekommen wird also wo man die Beta drauf installieren kann ob das dann final oder auch ausgerollt werden wir sehen.

01:23:00: ich könnte mir aber vorstellen dass es dann auch so ne Abstufung gibt das zum Beispiel dann nicht mehr attestierbare Quantensicherheit da rauskommt, sondern die kriegen dann zwar Android-Seventeen aber bestimmte Sachen sind dann nicht attestiert quantensicher und das spielt ja in diese ganze Attestationsgeschichte rein von der wir ja sowieso vorhin schon versprochen haben dass wir sie uns mal zu gegebener Zeit genauer anschauen werden.

01:23:23: Und vielleicht ist es auch eine Sache die man sich dann noch unter Android-seventeen beta genauer angucken kann.

01:23:29: ich hoffe sehr das Grafino ist schnell mit starken Statements auf den ganzen Zug aufspringt.

01:23:35: Aber die haben ja ihr eigenes Attestation-Projekt und wir wissen ja, dass per Definition nur das was von Graphino S...

01:23:42: Ne, haben die nicht oder?

01:23:45: Warte mal, attestation.app ist doch dieses Device Integrity Monitoring von Graphinos.

01:23:54: Das basiert aber meines Wissens einfach auf den normalen Attestations APIs, die Google ja

01:23:59: sowas

01:23:59: einbaut in Android.

01:24:02: Ich glaube, das ist keine eigene Entwicklung.

01:24:04: Aber ich bin dafür.

01:24:05: wir machen es jetzt nicht eine live Recherche im Podcast sondern wir machen weiter.

01:24:09: du bist nämlich zu spät.

01:24:11: Ja und damit kommen wir zum Ende.

01:24:15: schickt uns gerne ah nee warte mal!

01:24:18: Wir haben ja live umgestellt.

01:24:19: Genau wir haben noch einen für euch.

01:24:22: ihr dürft noch nicht abschalten oder ihr hört euch das in einem zweiten Setting an.

01:24:25: das könnt ihr auch gerne machen denn das ist ein schönes in sich abgeschlossenes Thema.

01:24:30: Disclosure, wir hatten noch ein sehr schönes Thema das aber weder in sich noch generell abgeschlossen war nämlich die vielfältigen Supply Chain Angriffe der letzten Wochen insbesondere auf so AI Tools wie Light LLM und so.

01:24:43: Das ist ein so breites Feld dass wir uns entschlossen haben das in dieser Folge nicht anzugehen.

01:24:49: Mein Gefühl ist, dass das einen großen Teil einer der nächsten Folgen füllen könnte.

01:24:54: Denn das es nicht nur unheimlich spannend auch auf technischer Ebene sondern Es ist auch ein unheimlicher komplexes Thema weil es da offensichtlich einen großen neuen Thread Actor gibt er mit einer unheimlichen Geschwindigkeit gerade Angriffe fährt.

01:25:07: Das schon mal so als Preview vielleicht nächste Folge Mal sehen wie sich die Geschichte in der nächsten Woche und in der übernächsten woche wir nehmen am siebenzwanzigsten März Aufentwickelt.

01:25:16: Wo wir schon so ein bisschen genauer drauf gucken können, sind zwei Exploit-Kits die in den letzten Wochen veröffentlicht wurden.

01:25:25: Also nein deren Analysen in den Letzten Wochen veröffentlich worden für iOS also für Apples mobiles Betriebssystem nicht für Ziskos Router Betrieb System und Die haben natürlich schöne Namen.

01:25:38: da geht's nämlich um Corona also Nicht das Virus sondern Corona mit einem U. Dann nenne ich lieber den Virus, weil das Bier...

01:25:54: So schlimm ist das Bier nicht, dass ich mir lieber den Virus einfange.

01:26:02: Der Virus ist mehr im Gedächtnis geblieben als das Bier.

01:26:04: Das mag sein!

01:26:11: Es geht wieder um das eine noch um das andere.

01:26:12: Wir müssen hier Contonance bewahren sondern es geht um Corona Und es geht um das zweite Exploit-Kit, d.h.

01:26:19: Darksword sowie Darksaber im Mandalorianer.

01:26:23: und so kommt ja... Ja, das kann aber auch ein generischer Fantasyfilm sein.

01:26:31: So wie The Dark Crystal war so ein Fantasyfilm aus den Achtzigern der in meiner Kindheit ganz blickt war.

01:26:39: Das Spannende an diesen Exploit Kits ist dass Ja, so readymade Sammlungen sind die nacheinander stapelweise exploits ausprobieren auf einem Gerät und die über eine im Grunde über webbasierte Angriffe geladen werden.

01:26:52: Und dann von verschiedenen Thread Actors genutzt wurden wohl, die die dann jeweils an ihre eigenen Bedürfnisse angepasst haben.

01:27:01: Auch hier haben wir uns auf externe Analysen verlassen.

01:27:06: Die Google Thread Intelligence Group hat da was weggefangen aber auch iVerify hat eine Analyse zu diesen Toolkits online gestellt und das sind sehr fortgeschrittene und ja so Waffenfähig gemacht.

01:27:21: Ich habe da ein bisschen Lack für gekriegt, ich weiß nicht mehr von wem aber ich glaube da ging es um die um irgendeine Meldung, die ich geschrieben hab.

01:27:26: Da habe ich weaponized übersetzt in waffenfähigt gemacht und das ist so dieser übliche Begriff.

01:27:30: man nimmt einen exploit und baut da Schadcode drum herum der dann auch dafür sorgt dass man irgendwas damit machen kann also eine Backdoor einbauen kann und hat mein exploit waffenfähig gemacht und professionell hier gemacht worden.

01:27:43: Es geht um erstmal, ich erzähle erst mal Corona dann DAXOR.

01:27:46: Corona ist eine Exploit-Kit für IOS.

01:27:49: Dreizehn bis siebzehntwoeins das umfasst also die Jahre Zwei tausend neunzehnten bis zwei Tausend dreiundzwanzig und offenkundig ist es so dass auch im Jahr zweitausend fünfund zwanzig immer noch Nennenswertgeräte mit diesen Betriebssystemen, die sind veralteten Betriebesystems, die Sicherheitslücken hatten online waren?

01:28:08: auch Apple pflegt ja mehrere Bäume gleichzeitig.

01:28:10: Also IOS-Achzehn wird, glaube ich gerade gepflegt, IOS ist sechsundzwanzig wird gepflegt und ich weiß nicht genau ob nicht sogar siebzehn und auch noch ne fünfzehn gepflegt wird für ganz alte Geräte.

01:28:19: Ich hab hier neben mir liegen an iPhone Fünf so von diesem üblichen das Lack noch im Schrank Park.

01:28:24: da muss ich mal gucken was da grade drauf is'.

01:28:27: Und diese Exploidsammlung die nicht nur öffentliche also bereits gefickste und veröffentlichte CVEs sondern bis dato unveröffentlichte exploids oder exploit varianten oder umgehungen von bestimmten speichert und anderen sicherheitsmechanismen beinhaltete wurde.

01:28:44: Von getig also der google threat intelligence group im jahr zwei tausend fünfundzwanzig erstmalig gefunden, wer mutlich nach einem einsatz durch so eine interception surveillance firma sowas wie intellexer oder irgendwie sowas also irgendein kommerzieller anbieter für exploids der dann Regierungen, Spion und irgendwelchen anderen, weiß ich nicht.

01:29:08: Nicht offenkundig kriminellen sondern möglicherweise mit Staatsräson kriminellen seine Dienstleistung zur Verfügung stellt das war in diesem fall

01:29:16: ja.

01:29:16: ich wollte dich nicht mit dem Satz abwürgen sorry Ich wollte nur kurz sich aufs nachgeguckt.

01:29:20: also ios-septien wird nicht mehr unterstützen.

01:29:23: das heißt es geht hier in der Tat um Geräte die halt mit offiziell veralteten IOS Personen unterwegs sind aber davon gibt's offensichtlich mehr als genug.

01:29:34: Das ist ein... Jetzt bin ich mitten im Satz unterbrochen worden.

01:29:37: Ja, wollte ich mich durchangehalten?

01:29:41: Ja, das war so eine Reflexreaktion.

01:29:45: Ich war aber auch eigentlich fertig.

01:29:47: In diesem Fall war es einen Webkit ACI und der war zu dem Zeitpunkt schon ein Jahr gefixt.

01:29:52: also hätte man vermeiden können diese Infektionen.

01:29:55: Und im Sommer, twenty-fünfzwanzig tauchte das Ganze auf mehreren kompromittierten Ukrainianischen Webseiten auf und das waren dann mehrere WebKit-RCEs, also jeweils auch End-Days.

01:30:09: Also welche die auch schon seit einer Weile gefixt waren.

01:30:11: Und Ende im Jahr ist es dann eine ganze Sammlung von Webseite in China, die geohnt worden wurden und wo dann Javascript eingebaut wurde.

01:30:20: Das war so Fake oder... vielleicht legitime und geohnte Kryptofinanzseiten, so irgendwas aus dem Financial Sektor steht da in diesem längeren Blogartikel von der GITIK.

01:30:30: Auch wieder dieselben älteren Exploits.

01:30:34: also das deutet auch auf so ein System hin.

01:30:37: die Idee ist immer als ganzes Kontroll... Also dass der einzige Eintrittspunkt ist, dass du irgendeine Webseite besuchst im Safari und diese Webseit hat einen Snippet-Javascript und dieses Snippets Javascript macht allerlei intelligente Dinge um herauszufinden, welcher Exploit möglicherweise auf deinen Browser passt den auszuführen und dann Schadcode nachzuladen.

01:31:00: Und da fiel eben den Leuten auf dass dieses Corona-Exploid-Kit sehr gut gebaut ist also einfach eine robusten Robo ihn für sich genommen diese das ganze Framework ein robustes Stück Software ist Das zum Beispiel als allererstes mal guckt.

01:31:16: Ist der Nutzer im Private Browsing Mode?

01:31:18: Also der Incognito-Modus, Pornomodus wie man manchmal ein bisschen flapsig sagt.

01:31:23: Oder hat das Gerät den Lockdown-Modus an?

01:31:27: Wie heißt er auf Deutsch?

01:31:28: Blockierungsmodus heißt er glaube ich bei iOS auf Deutsch.

01:31:30: Der schaltet allerlei Sicherheitsfeatures ab und allerlei Convenience Features aus so was wie Previews von Webseiten im Message Fenster usw.

01:31:39: Sachen die gerne mal für Zero oder One Click Explods genutzt wurden sind im Lockdown Modus aus.

01:31:45: Den kann man unter iOS aktivieren Ist dann surfdansicherer ist aber eigentlich eher gedacht für bedrohte Personengruppen, also Leute die aufgrund ihres Berufs ihrer politischen Engagements oder anderer gesellschaftlicher Parameter um ihre Person herum annehmen.

01:32:00: Dass sie ja das Ziel von organisierten Angriffen von datlichen Stellen oder Spion und so was sind?

01:32:09: Wenn das Corona das findet, dann macht er so ein Abort-Abortding und schaltet sich ab.

01:32:18: Es gibt allerlei Mechanismen zur Obfusscation also Verschleierung dieser UALs, sodass du dann sowas siehst wie cdn.irgendwas.net und dann ist da nur noch so ein base, ähm, Erst mal aussieht, sei das so eine Session ID.

01:32:35: Die hingen ja früher auch öfter und hängen heute noch oft hinten an der URL mit dran.

01:32:40: Die Exploits selber sind dann in einem Custom-Datei Format verpackt, dass sie die Autoren dieses Exploit Toolkits gebaut haben.

01:32:49: Chacha-Twanzig encrypted, das sieht man auch häufig bei so Exploids.

01:32:53: Die Chacha Twanzigs ist glaube ich extrem schneller Verschlüsselungsalgorithmus.

01:32:58: Dann LZW komprimiert Ganz putzigen Datei-Header, den die sich auch selber ausgedacht haben, der lautet nämlich Null X Food Beef.

01:33:08: Also F-Null, Null D Beef.

01:33:10: Scheinen keine Vegetarier zu sein, die dieses Exploit Toolkit gebaut haben!

01:33:15: Die Corona Macher bauen in ihr Toolkit dreiundzwanzig verschiedene Exploits ein wenn ich das richtig gezählt habe und die Hälfte davon hat noch nicht mal einen CVE vielleicht weil sie nicht als eigene Sicherheitslücken gehandelt wurden sondern nur eine weil sich nicht Bitflip-Variante von irgendeiner anderen Sicherheitsdrücke sind oder einer Umgehung eines Sicherheitsmechanismus.

01:33:40: Zwei von diesen Exploits sind allerdings schon mal aufgetaucht und zwar in der sogenannten Operation Triangulation, die Operation Tri Angulation war eine Angriffskampagne im Jahr Was darauf hindeutet, dass die russische Regierung wahrscheinlich nicht der Urheber war.

01:34:00: Es ist bis heute tatsächlich auch unklar wer der Ur Heber war.

01:34:04: Die Russische Regierung ist da dann auch on the record gegangen und hat die NSA und Apple Beschuldig diese Operation Gemeinsam durchgeführt zu haben.

01:34:12: kann man Wenn euch das interessiert könnt ihr das nochmal sich euch ein bisschen genauer anschauen auf zum Beispiel auf dem Wikipedia-Artikel oder Kaspersky hatte auch längere Artikel drüber in ihrem Blog Verlinken wir jetzt mal nicht, weil es auch so ein bisschen Nebenkriegs-Schauplatz ist und auch schon paar Jahre her ist.

01:34:28: Die letzte Phase also wenn dieser Exploit ausgeführt wurde dann habe ich ja im Grunde über irgendeinen Bug in dem WebKit die Möglichkeit eigenen Code auszuführen.

01:34:36: diesen eigenen Code den nutze ich als Malware Autor um meinen Loader aus zu führen.

01:34:41: Und dieser Loader der lädt dann den eigentlichen produktiven Schadcode nach Also typischerweise eine Backdoor oder in diesem Fall über Plasma Loader So heißt ihren Loader einen Steeler.

01:34:52: Und dieser Stealer, der spezialisiert sich bei Corona wohl hauptsächlich auf Krypto-Apps.

01:34:58: Also Kryptos in Shitcoin nicht Kryptas in Encryption um dann irgendwie Wallets Zugangsdaten zu clown und Wallets leerzumachen.

01:35:07: Es gibt zu Corona sehr detaillierte Analysen sowohl von der Google Thread Intelligence Group als auch von iVerify in den Show Notes.

01:35:15: Das ist das erste Beispiel von zwei für so ein Ja so ein readymade exploit framework wo du dann im Grunde als kunde denn die vermutung ist dass das kommerziell vermarktet wurde von seinen autoren, dass du als Kunde dieses Framework bekommst mit samt den exploits mehr oder weniger fertig sodass du das nur noch auf einer durch dir Die von dir betriebenen oder von dir gekrägten Webseite mit einem javascript snippet einbauen musst.

01:35:41: Du kannst aber trotzdem dein das in deiner eigenen bedürfnisse anpassen.

01:35:44: und das haben verschiedene threat actors auch gemacht sodass Sowohl Getig, also in diesem Fall nur Getig auch unterscheiden konnte dass mehrere verschiedene Angreifergruppen offenbar Corona und Dark Sword für ihre Zwecke leicht modifiziert.

01:35:58: Und dann in dieser Modifikation eingesetzt haben.

01:36:01: Also Takeaway bei Corona Fertig fertiges Exploit Framework mit über zwanzig verschiedenen iOS-Explods.

01:36:09: Takeaway aber auch wer iOS XX benutzt oder ich glaube auch eine der neusten iOS Achtzehn Versionen der ist dagegen gefeit und kann von der aktuellen oder der gefunden Variante von Corona nicht negativ beeinflusst werden.

01:36:25: Also ich finde das faszinierendste an der ganzen Geschichte eigentlich, dass diese Sachen bekannt geworden sind, also dass sie offensichtlich so weit gestreut werden, dass die dann halt irgendwo durchrutschen.

01:36:39: Wenn ich es richtig im Kopf habe besteht da auch die Vermutung, ursprünglich mal vielleicht irgendwie staatlich entwickelte exploits kit waren die dann halt irgendwann Irgendwie auf den freien markt gelandet sind oder so.

01:36:50: also ich glaube nicht dass sozusagen dieses wir nehmen das her um irgendwelche kryptowollets von irgendwelchen leuten aufzumachen sozusagen Das erste ziel dieses exploit kits war und da ist es da.

01:37:04: Also die frage ist natürlich wer das wofür vorher entwickelt hat.

01:37:08: Aber dass es überhaupt diesen Weg gibt, dass diese Sachen dann irgendwie auf den freien Schwarzmarkt rutschen oder zumindest semi-freien ist schon sehr bedenklich finde ich.

01:37:19: Oder ist das für dich total normal?

01:37:21: Also ich find's schon normal denn da gibts ja eine klare Hierarchie auch bei den Sicherheitslücken also bei Zero Days und Exploits für die Zero Days wenn die einmal Gepätscht sind also zu endes werden oder wenn sie anderweitig verbrannt sind, weil sie schon mal irgendwo aufgetaucht sind und jemand sie analysiert hat.

01:37:39: Dann sind Sie ja immer noch da, weil wie du gerade auch richtig gesagt hast ist es immer noch eine nennenswerte Population veralteter Geräte gibt.

01:37:45: aber die hochwertigen Ziele, also die Politiker, investiativen Journalisten, Dissidenten.

01:37:54: Ja diese werden ihre gerätet dann in aller Regel aktualisiert haben und sind dann für diese Explosions nicht mehr anfällig.

01:38:00: Das heißt, für die staatlichen Akteure, für so eine Predator oder diese Intellexer, diese ganzen anderen komischen Malware-Peddler mit autoritären Regierungszusammenarbeiten und dann möglicherweise sich sogar noch beschweren dass in Griechenland ungerecht behandelt werden wie es der Intellexersio ja jetzt gemacht hat.

01:38:19: Für dies wird's dann wertärmer und ist natürlich nur natürlich das es eine Zweitverwertung gibt sowie bei weiß ich nicht.

01:38:28: Filmen oder so, die dann auch irgendwann im Free TV landen nachdem sie erst mal irgendwo im PayTV gelaufen sind.

01:38:34: Das finde ich gar nicht so ungewöhnlich und ich finde auch dieses Exploit Toolkit dass das irgendwo auftaucht also dass Forscher das finden das ist natürlich in der Natur der Sache begründet denn das ist ja auf irgendwelchen Webseiten Deployed.

01:38:49: Das heißt wenn ich jetzt zum Beispiel immer wieder einen komischen Fishing Link kriege über hier Telegram Wie heißt das denn?

01:38:57: Mein Gott, Wortausstörung.

01:38:59: Ihr iMessage von wegen ihr Paket konnte nicht zugestellt werden oder so.

01:39:03: Dann ist ja eine Fifty-Fifty Chance, dass das Malwehr ist oder ein normales Fishing.

01:39:06: und wenn man dann draufklickt und mal schaut was hinter dem Javascript ist, dann kommt man relativ schnell zu solchen Exporturgits.

01:39:11: In diesem Fall ist eben dieses Corona da ins Netz gegangen und anhand des initialen Javaskrips kann man dann ja eine weitere Analyse machen und schauen mit einem Honeypot oder einem entsprechend präparierten Gerät Welche Exploits werden da versucht auszuführen?

01:39:25: und genau das hat die Google Thread Intelligence Group gemacht.

01:39:29: Und dass es für solche Exploid Frameworks einen großen Markt gibt, das finde ich auch nachvollziehbar denn je mehr Leute mit veralteten iPhones in der Gegend rumlaufen desto mehr werden dann auch für sowas anfällig.

01:39:42: und du kannst ja nicht nur Kryptobollets klauen sondern allen anderen Quatsch damit machen bis hin zu So ein iphone zu einem residential proxy umbauen und dann darüber irgendwelche crawling aktivitäten oder andere.

01:39:56: Ja also der wert dieses kits ist mir schon klar und natürlich dass es einen grau markt und auch schwarz markt für exploits gibt.

01:40:10: Aber das halt, dass das kit als solches, also das exploit kit dass es dafür scheinbar auch so ein zweiter wettungsmarkt gibt wo sie ja auch für die Firmen, die zumindest wenn sie so mit westlichen Staatengeschäfte machen sich ja sehr gerne als natürlich total above the law und so hinstellen oder würden das immer nur an die Guten verkaufen.

01:40:32: Für dies ist es schon ein bisschen PR-Problemen, wenn ihr Kid dann irgendwie drei Jahre später halt von irgendwelchen Typen hergenommen wird um Köptowolles auseinanderzubauen.

01:40:42: Das hat mich ein bisschen überrascht sozusagen dass es in der Richtung so durchlässig ist aber andersseits gut.

01:40:48: ist halt Geschäft, die können so sicher auch noch ein bisschen Geld machen.

01:40:52: Aber vielleicht bin

01:40:53: ich naiv!

01:40:55: Wir sehen jetzt auch gleich im nächsten Fall dass durchaus eben nicht nur dann eine strenge Hierarchie ist erst nur die staatlichen Akteure dann nur kommerzielle Cybercrime Gruppen sondern das durchaus auch sich durchmischt und dann vielleicht auch staatliche Akteuresachen nutzen die zu dem Zeitpunkt auch schon veraltet waren.

01:41:15: denn wir haben hier noch Die zweite Explorz-Sammlung, das ist Darksword.

01:41:22: Darkswords hat Explorze für IOS XIV bis IOS XVIII VII und ist das erste Mal aufgetaucht im November letzten Jahres, also in dem Jahr zwei Tausend Fünfundzwanzig, in Saudi Arabien.

01:41:34: Und Darkswort hatte ein paar wenige CVE's – also Vanuabilities dies ausnutzen nämlich sechs verschiedene – hat aber dafür drei verschiedene Malware Varianten, die es dann installiert werden.

01:41:46: So ein Exploit erfolgreich ausgeführt wurde und dieses Dark Sword wurde das hat zumindest Google rauszufinden geglaubt durch eine Gruppen namens UNC six-dreifünf-drei genutzt, die vermutlich Aus dem Spionage Kontext in Russland stammt.

01:42:05: Und da war der Modus operandi also für solche Angriffe mit Dark Sword unter anderem dass Opfer auf einer Bei dem ersten Angriff in Saudi Arabien auf einem Domain namens Snapshare.Chat gelockt werden sollten.

01:42:17: und das war so.

01:42:18: irgendwie sollte irgendein so ein Snapchat-Ding sein, oft ist ja der Hebel dass du eine Mail oder eine Nachricht trichst wo es drin steht.

01:42:26: Achtung mit dieser Webseite oder mit dieser App kannst du herausfinden wer auf deinem Profil war.

01:42:31: Das kenne ich zumindest noch aus Facebook und aus Instagramzeiten.

01:42:37: Wo das nicht möglich ist die Profile Besucher zu sehen Leute damit neugierig gemacht wurden und dann irgendwo hingeklickt haben, womöglich ihre Zugangsdaten noch eingegeben haben.

01:42:45: Weil sie glauben, dann ihre Profi-Besucher sehen zu können und dann entsprechend Fishing oder in diesem Fall Malware sich eingefangen haben.

01:42:52: Und das war ja auch wieder hier so dass auf Snapshare.chat über ein iFrame JavaScript nachgeladen wurde und die Exploits ausgeführt hat.

01:43:05: Da waren es hauptsächlich oder überwiegend Exploids Engine von Safari.

01:43:13: Chrome hatten sie wohl keinen Hebel oder keine Explorer, deswegen blieb das außen vor sondern da haben Sie sich auf Safari konzentriert.

01:43:20: ich weiß auch nicht so genau dass wäre vielleicht noch mal eine Betrachtung oder zumindest mal ein Google Wert wie hoch bei mobilen Betriebssystem der Anteil der Fremdbrowser ist.

01:43:29: also ich könnte mir vorstellen dass auf iOS praktisch jeder mit dem Safari unterwegs ist der da vorinstalliert ist Das aber unter Android die Situation vielleicht ein bisschen anders aussieht.

01:43:41: Das ist aber auch nur so'n Bauchgefühl, dass da vielleicht die Browser-Variabilität höher ist.

01:43:47: Also höher sicher?

01:43:49: Ich meine Apple erlaubt es ja erst seit einer Weile und erzwungenermaßen und ich glaube auch nicht überall auf der Welt das überhaupt eine andere Engine als die Safari Engine irgendwie ordentlich ins System eingebettet ist oder als default Browser hochkommt.

01:44:02: Früher war ja auch der Chrome auf iOS hat ja diese Safari Engine genutzt Und alle anderen Browser auch.

01:44:10: Das ist ja so eine EU-Gesetzgebung gewesen, dass Apple damit aufgeben muss.

01:44:15: Ich glaube aber trotzdem also das die große Mehrheit der Android Nutzer, die nutzen halt im vorhinselten Browser und es ist dann entweder halt Chrome oder irgendein Chromium-Dirivat wenn das halt jetzt Amazon mit Browser ist oder sonst irgendwas.

01:44:30: So und nach dem erfolgreichen Exploit kommen MyWare namens GhostBlade, GhostKnife und GhostSaber.

01:44:37: Das klingt jetzt schon eher so nach Cyberpunk Kram als nach... ob es jetzt Darksaber oder Darksword heißt, oder Ghost Saber ist eigentlich auch egal.

01:44:47: Und diese drei Malware-Strains sind in Javascript geschrieben und sind im wesentlichen Steeler.

01:44:53: Und die Steeler können also alles klauen was du an Daten auf so einem iPhone erhebst und verarbeitest.

01:45:03: Also unter anderem können sie Audio aufnehmen, sie können Screenshots machen Sie können Code aus dem Von einem von dem C zwei Server nachladen, was ich auch ganz spannend finde.

01:45:14: und einer von denen kann komplette apps hochladen also kann im Grunde hingehen.

01:45:22: Und die die ganze app weiß ich nicht die App von Revolut Banking oder so mit ihrem kompletten Unterverzeichnis in allen Daten an den C zwei server hochladen.

01:45:37: Das finde ich auch ganz interessant, weil die Funktion habe ich noch nicht so oft gesehen.

01:45:42: Aber ich denke sie will relativ einfach zu implementieren sein und diese Malbehr...

01:45:53: So wir hatten jetzt hier gerade einen kleinen Schnitt.

01:45:56: heute ist irgendwie der technische Wurm drin aber Christopher hat seine Notizen einigermaßen rekonstruiert und wir setzen wieder an

01:46:04: Genau, also die Malware kann Apps hochladen, Code von C-II nachladen.

01:46:10: Das ist Ghostknife gewesen und dann gab es noch Ghostsaber Und Ghostsabor ist eher in der Türkei und in Malaysia aufgetaucht.

01:46:19: auch JavaScript kann so was ähnliches wie Ghostknives sieht aber ein bisschen modularer aus.

01:46:24: da kann man sich in dem Artikel von Google sehr genau anschauen kann auch so Apps hochladen und also was.

01:46:32: Also die Funktionsumfänge von Ghostknife, Ghost Saber und der dritten Variante Ghostblade sind relativ ähnlich.

01:46:38: bei Ghostblade möchte ich noch mal ein bisschen genauer ansetzen weil es da ein paar Sachen gibt, die ich ganz interessant finde, weil sie...also das Ganze zeigt sehr schön dass die herangehensweise der Angreifer und die nutzen häufig sogenannte Watering Hole Angriffe.

01:47:01: Ich weiß nicht, ob wir die hier schon mal hatten in dieser Begriffsdefinition aber ich mach sie nochmal kurz.

01:47:06: Also ich glaube erwähnt haben wir das sicher schon mann, aber bis du schonmal wirklich ausführlich erklärt haben möchte ich bezweifeln ne?

01:47:11: Mach ma!

01:47:12: Genau.

01:47:12: also Watering hole Angriffs sind Angriffen gegen Wasserlöcher.

01:47:19: Das klingt so ein bisschen komisch Aber ein watering hole ist ein Ort an dem sich eine bestimmte community häufig auffällt.

01:47:26: Und wenn wir jetzt hier, weil wir ja über internetbasierte Angriffe reden eine Community meinen dann kann das zum Beispiel die Community der Exilti Beta sein oder es kann die Community, der IT-Sicherheitsexperten sein oder die Community Helfer der ukrainischen Armee also ein Zusammenschluss von einer Gruppe von Leuten die sich regelmäßig auf einer bestimmten Webseite trifft.

01:47:52: Ich hoffe, dass sich die IT-Security-Community regelmäßig auf heilses Security tummelt.

01:47:57: Aber für Exilti Beta wird es da entsprechende Foren geben wo sie sich organisieren, wo die sich miteinander besprechen und sich Neuigkeiten miteinander austauschen.

01:48:05: Und das gibt's natürlich für jede denkbare, jede beliebige Community.

01:48:09: und so ein Watering Hole kann natürlich auch ein Telegram Channel sein.

01:48:11: Das muss nicht unbedingt eine Website sein.

01:48:13: In diesem Fall ist es ne Webseite.

01:48:15: und diese Watering Holes suchen sich Angreifer gerne aus um eine Community on Block angreifen zu können und an möglichst vielen Stellen in dieser Community Zielgruppen genau ihre exploits und ihre Backdoors oder welche Angriffe auch immer sie fahren hinterlegen zu können.

01:48:32: Das hat den Vorteil, dass man weniger Streuverluste hat als wenn man zum Beispiel eine Google Wärmung schaltet.

01:48:36: das ist ja der häufige das häufige Vorgehen für generellen Cybercrime also so klick fix Angriffe um dann ein Infos die dazu installieren Zugangstarten abzugreifen und die auf einen Schwarzmarkt zu verkaufen.

01:48:46: Die werden über google anzeigen beworben oder irgendwelche anderen Methoden mit hohem Streuverlust, aber Warping-Roll Angriffe haben eben den Vorteil dass sie eine gewisse Zielgruppenorientierung schon immer mit sich bringen.

01:48:58: Und die Zielgruppe kann ja groß sein.

01:49:00: das kann ja sein wir wollen irgendwie in der Ukraine erwischen dann versuche ich ne ukrainische Tageszeitung zu own und da Javascript zu hinterlegen.

01:49:07: Im Fall von diesen Darksword Angriffen ist das Javaskript auch so fies maskiert oder versteckt dass man wirklich zwei drei mal hingucken muss Beim groben Überfliegen des Seitenquellcodes, den sich ja sowieso schon keine Sau anguckt.

01:49:21: Ich meine das ist ja fast eher pathologisch wenn man refleksartig immer den Quellcode von Webseiten anguckt wie man sie öffnet dass man da auch schon zwei drei mal hingucken muss denn die nutzen einfach Domains um den Javascript Code nachzuladen die auf dem ersten Blick total legitim aussehen.

01:49:35: Static.cdn counter.net.

01:49:38: Da würde ich sagen naja das is eins von diesen vielen JavaScript Snippets.

01:49:43: Etzwerber oder irgendeiner Werbe, Broke Ring, Butzel.

01:49:47: Einer von den eighthundert vierundneunzig Partnern, die ich im Cookie-Banner gerade wegklicken musste.

01:49:52: und das wird schon seine Richtigkeit haben weil wenn da hinten dran dann so irgendwie widgets.js Fragezeichen uhafeu irgendwas steht?

01:50:00: Dann können das ja irgendwelche Dinge sein, die zwei mal noch nicht haben will aber die jetzt zumindest nicht aktiv schädlich sind.

01:50:07: Im Fall von Darksword sind sie es immer!

01:50:11: Vor allem, wenn ich mir den Traffic von so einer Webseite ansehe.

01:50:14: Wahrscheinlich sieben oder acht solche Domains mit solchen Aufrufen sehe und sechs oder sieben davon sind halt irgendwie Werbekramen und sonst was der vielleicht nicht schön aber legitim ist.

01:50:25: Und die achte ist dann halt so eine geschickt getarnte Mehrwehr.

01:50:30: Genau!

01:50:30: Das sieht auch ... Der Javascript-Code sieht ansonsten unauffällig aus weil... Die Verbreitungsmechanismen von Malware und Werbeanzeigen sich oft auffallend ähneln, weil die dann irgendwelche html Elemente on the fly ins dom injizieren.

01:50:49: Da bauen sie einen iFrame ein und da wird dann irgendein html nachgeladen was die tatsächliche Werbeanzeige dann rendert.

01:50:55: Und da sind so ein paar Sachen dabei die sehen halt links-und rechts der Legalitätsgrenze relativ identisch aus.

01:51:02: insofern ist es auch kein großes Wunder und dieser diese Darksword mal wäre perfektioniert das auf eine Art dies handwerklich Schreiben die so ein bisschen schlechter also die Google Autor ein bisschen, bisschen schlechter gemacht als Corona aber kann eben trotzdem eine ganze Menge Sachen.

01:51:19: Also diese Ghostblade oder Backdoor Stila die da hinterher geladen wird.

01:51:27: Die kann eben auch Telegram Daten, WhatsApp-Daten abziehen und irgendwelche Fotos übertragen Aber zum Beispiel auch aus dem iPhone Die bekannten WLAN Access Points und WLAN Passwörter auslesen, was halt auch total witzig ist für so spätere physische Angriffe.

01:51:48: So sagen wir mal der FSB steckt hinter so einer Kampagne und hat dann in großen Mengen irgendwo im Gebiet der Front WLAN Access Points und Passwörter ausgelesen, dann kann man darüber eine Triangulation der Personen machen.

01:52:03: Weil ja die Position dieser Access Points in der Regel bekannt ist durch diese WLAN-Access Point Datenbanken.

01:52:10: aber wenn die WLAN access points noch existieren, wenn man da später einmarschiert, kann man halt auch dann diese Netzwerke übernehmen.

01:52:16: das ist halt auch nochmal so ne Sache.

01:52:18: oder wenn man einen Spion los schickt.

01:52:20: also es auf jeden Fall ist auf jeden fall eine spannende Sammlung von Exploits, die dann zusammengeknüttelt sind mit Malware und so ein Happy Go Lucky Set für Thread Actors ergeben.

01:52:33: Dass sie auf dem Schwarzmarkt kaufen, ein bisschen customisen und einsetzen können um möglichst genaue Zielgruppen genau die Leute zu kriegen, die ein veraltetes iPhone haben, die in ihre Zieldemografie passen und nicht im Lockdown-Modus oder mit Private Browsing surfen.

01:52:54: Ich finde die Artikel zu beiden, also zu Corona und zu Darksword bei Google Threat Intelligence Group ganz gut.

01:53:02: Die kann man sich mal gut durchlesen weil sie auch technisch sehr tief reingehen tiefer als wir das hier üblicherweise können.

01:53:08: Das ist auch ein Feedback dass wir ein bisschen vergessen haben.

01:53:10: Wir hatten einen Hörer der sich ein bisschen ich glaube auf Mast oder ein bisschen mehr technische Tiefe gewünscht hätte in manchen unserer Podcast Folgen.

01:53:19: Es ist Sonderin

01:53:20: der Graphinoes Folge.

01:53:23: Da hatten wir das Problem, dass hätte ja sonst ne Peter Jackson Graffino ist Folge gegeben.

01:53:27: Da haben wir ja schon lange geredet und ich hatte auch das Gefühl Ich hätte gerne manche Sachen technisch Detaillierter angeschnitten aber das wäre dann noch mal jeweils eine Folge gewesen.

01:53:37: also ich glaube Graffin OS unter der Haube es wäre schon so eine Sonderfolge.

01:53:44: Also mich würde das auch interessieren.

01:53:46: Sollen wir hier mal unsere üblichen zwei Stunden darüber reden, was irgendwie man in dem gehärteten Speicherallokator von Graphino S finden kann oder nicht finden kann?

01:53:59: Das finde ich selber einfach interessant mit es anzugucken.

01:54:02: Meine Einschätzung wäre aber dass ist halt schon nur eine relativ spitze Zielgruppe interessiert.

01:54:08: Die drei können sich dann ja bei uns melden.

01:54:13: Und vor allem das gute, unser großer Vorteil ist ja... Das ist eine Art Standort-Vorteile.

01:54:18: Wir sind ja ein Deutschland-Podcast,

01:54:21: d.h.,

01:54:21: selbst wenn wir total detaillierte, lange Folge über Grafinoes machen, wir kommen nicht in die Gefahr, dass Grafina es selber, also Daniel McKay oder das Grafinio Social Media Team hört was wir tun.

01:54:35: Oh doch!

01:54:36: Also mit anderen nicht englischsprachigen Publikationen ist schon passiert?

01:54:43: Das hauen die dann einfach durch Translate und regen sich trotzdem über die falsche Behauptung hinauf.

01:54:49: Wir müssen das dann einfach richtig machen, wenn wir das...

01:54:52: Okay, dann möchte ich das jetzt nicht mehr.

01:54:55: Jetzt habe ich ein bisschen Angst.

01:54:57: Also ... Wir sind ja immer noch bei diesen iOS-Explorced Kits und wir sind nicht bei Graphino S. aber das ist auch eine Frage, die ich so ein bisschen provokant und natürlich rhetorisch in die Show Notes geschrieben habe weil Das ist der Satz aus dem Heiseforum.

01:55:13: Früher war das immer mit Linux, wäre das nicht passiert?

01:55:16: Immer wenn irgendwas in den Windows kaputt war, hieß es Toppost...

01:55:18: Was heißt hier früher?

01:55:19: Es ist immer noch so.

01:55:22: Wenn man irgendwo einen Artikel schreibt, dass bei Linux ein Sack Reis umgefallen ist, dann ist sofort jemand im Forum, der sagt na siehst du mal Open Source, da fällt die ganze Zeit der Reichstag.

01:55:32: Und dann noch so mit Irgendwas ist in Demian kaputt und heißt es ja nimm halt Gentoo oder Arch Linux.

01:55:38: Egal!

01:55:39: Die Frage ist, wäre das mit Graphino-S nicht passiert?

01:55:42: Und diese Frage ist natürlich hauptsächlich rhetorisch und die Antwort ist wie immer es kommt darauf an.

01:55:50: Denn diese Sicherheitslücken, die da durch diese Exploitkits also durch Corona und Darksort verwendet wurden, die müsste man sich alle einzeln anschauen und dann müsste man sie neben dieser Härtungstabelle, die es auf der Graphino S Homepage zu Vanadium gibt halten und rausfinden.

01:56:07: sind das Sachen, die durch einen generischen Härtungsmechanismus automatisch und vollumfänglich weggefangen worden wären.

01:56:13: Oder sind es jeweils Lücken in zum Beispiel WebKit oder der JavaScript-Engine von WebKit,

01:56:17: die

01:56:18: auch im Vanadium zumindest theoretisch möglich werden?

01:56:22: Dass Vanadium dann im Einzelfall robuster gebaut ist und stärker gehärtet ist vielleicht auch unter Weglassen von bestimmten Features, die in anderen JavaScript Engines enthalten sind?

01:56:34: Das kann gut sein.

01:56:35: da habe ich mich nicht tief genug reingehängt, um das auch irgendwie beurteilen zu können.

01:56:40: Ich denke Daniel Mikkei würde an dieser Stelle sagen natürlich kann das mit Grafino S nicht passieren oder mit Vanadium aber...

01:56:47: Naja es gibt zumindest ja schon einen Hinweis darauf.

01:56:50: also was jetzt zum Beispiel in so einer Javascript Engine eine sehr beliebte Einfallstour ist weil es einfach große andere Fläche bietet ist der Just-in Time Compiler.

01:56:59: Das ist ja etwas was man rausdrehen kann.

01:57:02: ich weiß nicht was bei Vanadium automatisch ausgedreht ist und man kann das zumindest tun.

01:57:07: Und für mich deutet diese Tatsache, dass zumindest Corona, ja du hast es abortabort genannt aber halt da sofort den Griffel fallen lässt.

01:57:19: Wenn's feststellt ist ich is hier ein iPhone im Lockdown-Mode das werden die vermutlich deswegen tun weil sie da nicht zum Ziel kommen und man dann besser früher aussteigt bevor man noch irgendwie entdeckt wird.

01:57:31: und der Lockdown Mode macht er in Prinzip auch unter anderem das, dass er verschiedene anfällige Features abschaltet oder halt die Angesteiche versucht einzuschränken.

01:57:41: Also bei zum Glück gibt es ja dieses schöne Feature-Dokument von Graphino S, also ich jedem als Lektur auch oder als Referenz auch ans Herz lege.

01:57:49: und da steht was drin zu Just in Time Compilation.

01:57:52: Das ist in Android, also in Graphino s komplett abgeschaltet und mit Ahead of time compilation ersetzt außer In der V-AchGjavascript Engine, also da ist Just-in-Time Compilation nicht komplett ersetzt sondern nur in Anführungszeichen per Default disabled und man kann so ähnlich wie zum Beispiel der NoScript-Excension in populären Drowsern pro Website Ausnahmen setzen um JIT dann wieder zu aktivieren.

01:58:24: Also diese Lückenklasse wäre dann oder eine Lückenklasse, die diese Lücken in diesem Just-in-Time-Compiler ausnutzt wäre dann tatsächlich unter Graphino S nicht ausnutzbar.

01:58:36: Also ich wollte ja allgemein darauf raus sozusagen obso generische Härtungsmaßnahmen da helfen können und für mich deutet dieses wenn der Lockdown-Mode aktiv ist dann lasse ich es in diese Richtung.

01:58:48: Genau!

01:58:49: Es könnte auch sein dass es vielleicht einen später das sie dies ausmachen weil Sie wissen wenn sich der Lock Down Modus an ist dann geht vielleicht mein.

01:58:57: Also mein Eintrittsvektor ist noch da, aber ich kann die Malware dann nicht installieren.

01:59:03: Das

01:59:04: habe ich gemeint mit dann besser früh aussteigen weil dann hat man nur das Risiko entdeckt zu werden ohne zum Ziel kommen zu können.

01:59:12: Genau.

01:59:13: Und subsumierend muss man aber sagen Browser Bugs können und werden jede Plattform erwischen.

01:59:23: Davor ist glaube ich keine Plattform gefeilt.

01:59:27: Custom Rooms wie Graphino S ziehen natürlich im Moment auch noch einen großen Sicherheitsvorteil daraus, dass sie eine relativ spitze Zielgruppe haben und möglicherweise für Cybercrime Akteure gar nicht so interessant sind.

01:59:44: Weil Sie nicht genutzt werden dürfen von Regierungsmitarbeitenden und weil Sie nicht benutzt werden vom Gro der anderen Angriffsziele also insbesondere vielleicht sowas wie Leute in der Zivilverteidigung, in der Ukraine oder Dissidenten oder so die dann einfach aus Gründen der generellen Marktanteile und der relativ geringen Bekanntheit von Grafino ist das nicht nutzen.

02:00:10: Und da ist natürlich diese Obscurität hilft ein bisschen dabei außerhalb des Radars Designreifer zu fliegen.

02:00:19: So!

02:00:21: Ist ja auch so ein Thema was immer wieder aufkommt wenn es um die Frage nach der Sicherheit von Linux gibt.

02:00:27: nicht so ganz einfach zu vergleichen ist, weil sich Linus auf dem Desktop sozusagen eine relativ wenig Lohnenswertdes Ziel ist und insofern es nicht den gleichen Angriffen ausgesetzt ist wie MacOS oder Windows auf dem desktop.

02:00:41: Und selbst bei macOS hat sich das ja auch in den letzten Jahren erst gewandelt dass das für Malware-Betreiber zu einem ernsthaften Feature wurde auch macOS Support mitzuliefern.

02:00:52: im Zuge dieser großen ClickFix-Kampagnen sieht man, dass da auch immer Mac OS mitgedacht wird zumindest.

02:01:00: Deswegen bin ich ja nicht bei macOS.

02:01:01: muhaha Wenn irgendwann mal Linus auf die Dester populär wird muss ich mir was noch nie schickere suchen.

02:01:07: Du machst dann alles nur noch in e-macs oder mit so einem TI-Sächsich?

02:01:11: Ja oder wir machen... Die

02:01:13: next Version Vier ist doch jetzt entdeckt worden.

02:01:15: Das

02:01:15: hat aber auch sicherlich

02:01:16: das nicht gehabt wird Hat sich als... Nadies gedickst worden.

02:01:19: Die eine Sicherheitssicherheit gibt es, aber ich glaube...

02:01:21: Da gab's nur eine.

02:01:23: Die Erfahrung

02:01:23: sagt wo einer ist da sind mehrere.

02:01:26: Ich hab auch irgendwo noch den Quellcode rumliegen Aber von V-Sex in diesem Buch von Koenig und Richie irgendwie Unix Compiler oder sowas.

02:01:36: Also wenn Linux und macOS so stark durch gemailwert sind Und Windows dann machen wir vielleicht doch einfach was mit Holz.

02:01:47: Das ist auch ne Option

02:01:48: Aufm Land.

02:01:49: Ich glaube, das ist ein guter Abschluss der Folge.

02:01:52: Ich würde auch sagen wir kommen damit jetzt wirklich zum Ende.

02:01:57: Schickt uns gerne euer Feedback an password-podcastatheiser.de bis zum nächsten Mal und denkt dran

02:02:08: dieser Podcast ist das einzige Passwort dass ihr teilen solltet.

02:02:11: tschau tschaus.