News mit Claude-Code-Klau, PKI-Oopsies und Quantenturbo

00:00:00:

00:00:02: Passwort,

00:00:03: der Heise Security

00:00:04: Podcast.

00:00:08: Hallo liebe Hörerinnen und Hörern.

00:00:10: willkommen zu einer neuen Folge von Passwort dem Podcast von Heise security.

00:00:16: Ich bin Christopher Kunz von heise security

00:00:18: Und ich bin Silvester Tremel vom Computer Magazin CT.

00:00:22: So ihr habt es gar nicht mitbekommen aber Christopher war im Urlaub.

00:00:26: wir haben das ganz geschickt zwischen die folgen mir Aufnahmen platziert so dass ihr das nicht merkt zumindest nicht direkt.

00:00:32: Aber ich merke es indirekt, weil wenn Christoph in den Urlaub geht, dann passieren allerlei Dinge in der IT-Security die wir irgendwie abarbeiten müssen.

00:00:39: Also macht euch...schneid euch an!

00:00:41: Ja, ich hab jetzt auch überlegt das ist das zweite Mal.

00:00:44: Ich glaube als ich letztes Jahr im Urlaub war oder war da schon im Jahr zwanzig vierundzwanzig, da ist diese Crowdstrike Sache passiert und letztes jahr war auch so ein großes Ereignis.

00:00:56: Internationalen zumindest der deutschen Security Community insofern abstimmen, dass ich das ankündige.

00:01:00: Damit ihr auch alle Urlaub nehmen könnt und den Fallout dann nach Ostern beseitigen müsst.

00:01:05: Und ein Fallout, der sogar am Oster-Montag beseitet werden musste, den kriegen wir ja gleich zu hören.

00:01:12: also es tut mir leid, dass sich im Urlaub war.

00:01:14: Ich plane dennoch auch im Sommerurlaub zu machen Also Mitte Juli.

00:01:18: bis Ende Juli solltet ihr gucken Dass ihr nicht selber sicherheitsverantwortliche seid da bin ich nämlich auch weg fangen, Dinger an zu brennen.

00:01:28: Aber ihr wisst jetzt zumindest wie er schuld ist wenn bei euch irgendein ZWK hat umfällt oder so?

00:01:35: Detrust!

00:01:36: Christoph Schulte.

00:01:37: Nein nein nein ich bin nicht im da auch ne... Ich

00:01:43: arbeite noch einen Samenhang aber den gibt's sicher.

00:01:46: Die

00:01:46: schreibe zwar bisweilen lästige Fragen in dem Baxilla vom CA Browser Forum aber ich bin NICHT dafür zuständig wenn irgendwo Zertifikate umfallen.

00:01:58: So, das möchte ich mal klarstellen außer meiner eigenen und da kommen wir auch gleich zu dass es ist auch eine spannende Geschichte.

00:02:03: also Wir haben ein bisschen Feedback.

00:02:07: Und ja Ich habe ein kleines update dass ich gerne los werden möchte dass Es mir zufällig gerade eben noch bei meiner wochenplanung für die nächste woche wir nehmen Das am zehnten abgelaufen diese folge vor Die füße gefallen und zwar ist nächstewoche der Deutsche IT Sicherheitskongress.

00:02:21: Der ist am fünftzehnten wenn wir diese Folge veröffentlichen.

00:02:24: Also am mittwoch beginnt er und am sechzehnte Ist der zweite tag.

00:02:28: das wird veranstaltet vom bsi ist eine kostenlose online Veranstaltung.

00:02:32: also wenn ihr das hier hört und euch dann noch anmelden können, dann könnt ihr ja mal reinschauen.

00:02:36: Darum geht es auch gar nicht.

00:02:37: so sollte keine veranstaltungsanwendung werden sondern ich wollte mal was positives hervorheben denn ich habe gemeinsam mit dieselbester ich weiß nicht genau wer mehr gehauen hat von nicht all zu langer zeit im podcast auf die tool und anbieter auswahl das BSI ein bisschen draufgehauen, was dieses Meldeportan angeht.

00:02:55: Das war nämlich alles bei AWS wenn ich mich richtig erinnere.

00:02:59: und jetzt habe ich mir natürlich mit meinem fiesen Auge auch den Anmeldeprozess für diesen IT-Sicherheitskongress angeschaut und ich war wirklich positiv überrascht.

00:03:10: der externe Anbieter für diese Onlinekonferenz ist nicht nur ein deutsches Unternehmen sondern das ganze Zeug ist auch in Deutschland gehostet soweit ich das sehen konnte.

00:03:20: Die betreiben sogar ihr eigenes AS, wo sie mehr oder weniger deutsche Upstreams haben.

00:03:26: Da ist Colt mit drin und noch ein zweiter.

00:03:29: Das finde ich tatsächlich bemerkenswert und wollte das einmal ein bisschen zu Protokoll geben, dass sich das gut finde, dass das BSI offenbar auch bei dieser Toolauswahl versucht, ein bisschen an lokale Anbieter zu halten.

00:03:46: Der ein oder andere der von euch, der vielleicht auch so online Konferenzen organisiert kann ja mal schauen wer das ist.

00:03:52: Ich will da jetzt keine Werbung für den Anbieter machen weil ich ihn ehrlich gesagt auch gar nicht kenne aber ich finde es gut dass das BSI sich da offenbar ein paar Gedanken gemacht hat.

00:04:00: Gut!

00:04:02: Das

00:04:03: war das positive für diese Folge glaube ich?

00:04:06: Nee jetzt kommt auch was positives.

00:04:11: Wir haben letzte Folge über diesen Bug in WebKit GTK geredet, der halt Mail Clients betrifft.

00:04:18: Insbesondere Evolution und so.

00:04:19: Und ich habe da unter anderem gesagt naja was kann man machen?

00:04:22: Das ist halt Open Source und wenn man Entwickler ist oder sich das beibringen will dann kann man sich natürlich sozusagen drum kümmern, sich einbringen, Bugs fixen!

00:04:31: Dann hat mich auf Mastodon Heiko darauf hingewiesen dass es goodfirstissue.dev gibt.

00:04:38: Es ist ja so, dass sehr viele Projekte in ihrem Code Repository Issues markieren die sich sozusagen eignen für Einsteiger, die das Projekt noch nicht gut kennen und die einen ersten Beitrag leisten wollen.

00:04:50: Und Gut First Issue.dev sammelt es sozusagen aus allen möglichen Projekten zusammen.

00:04:55: Da hat man dann eine schöne Liste kann man gucken was denn welche Projekti kennt man?

00:04:59: Was haben sie für Probleme an denen sich explizit im Einsteigen versuchen

00:05:04: können.

00:05:05: Das fand ich ein schöner Tipp den wollte ich weitergehen.

00:05:07: Danke Heiko.

00:05:11: Yo, das ist mir auch schon mal über den Weg gelaufen.

00:05:14: dieses Gut First Issue.

00:05:15: ich hätte auch schwören können Ich habe da in der letzten Folge zumindest den Namen mal kurz gedroppt.

00:05:21: aber ich hab gesagt, ihr habt mal reingeschaut dass es gibt also zum Beispiel auch gut first issues in sowas wie OpenSSL.

00:05:27: ich kann mir gar nicht vorstellen dass es da irgendein Backgift für einen Einsteiger leicht zu fixen ist.

00:05:34: Da sind ein paar Sachen dabei die wo ich jetzt sagen würde okay Power Tent, Chacha, Twenty Assembly, Failstory Store, Collise safe registers.

00:05:44: Bin ich schon raus.

00:05:44: aber

00:05:46: gut es ist die Sicherheit sozusagen Projektabhängig.

00:05:49: also wie gesagt was die Projekte jeweils markieren ist ja deren Sache.

00:05:53: Gut first issue trägt das dann nur zusammen so dass man halt sich nicht alle diese Projekten einzeln angucken muss.

00:05:58: ob da irgendwas nettes dabei ist insofern klar.

00:06:00: der kann natürlich abweichende Standards geben.

00:06:03: andererseits ich meine es gibt immer mal wieder so irgendwie Documentation, Fehler oder ähnliche Sachen wo man das sozusagen auch bei sehr komplexen Projekten sagen kann.

00:06:13: Das kann auch jemand mit weniger Erfahrung machen.

00:06:17: Ja es ist ganz spannend.

00:06:18: also da sollte unbedingt jeder von euch was für praktisch jede Sprache auch HTML gut first issues gibt.

00:06:26: Jeder von euch kann da mal reinschauen und dann könnt ihr euch da vielleicht ein bisschen ausprobieren in die Open Source Community Reinschnuppern und in den teilweise interessanten Umgangstonen in Github issues, da liegen ja auch gerne mal die Fetzen.

00:06:42: Du machst es hier alles matig!

00:06:44: Nein,

00:06:45: das ist

00:06:45: ein schönes Tipp.

00:06:46: Schau dir das mal an und die Leute sind meist gar

00:06:48: nicht endlich.

00:06:51: Schaut's euch an und sucht euch einen Backraus, den ihr fixen könnt und Das macht Spaß und man kriegt einfach... Man gibt auch mal was zurück finde ich auch gut Jod.

00:07:04: Apropos Mardig, es hatte noch jemand den Eindruck wir würden was Mardigh machen und da wollten wir nochmal ganz kurz drauf zu sprechen kommen.

00:07:11: Und zwar geht es um Graphino S und die Preise für vorinstalliertes GraphinOS auf Geräten.

00:07:19: Wir haben in der Folge zu GraphinoS darauf hingewiesen dass es verschiedene Anbieter gibt die Geräte also Smartphones verkaufen mit vor installiertem Graphino Das aber auch der Web-Installer von Grafino ist super zu bedienen und dass man das durchaus selber machen kann, wenn man sich das zutraut.

00:07:35: Und da hat sich die Rebecca vom Night Show Key gemeldet.

00:07:40: Disclaimer!

00:07:40: Wir verkaufen bei Heise in unserem Shop Produkte von denen nicht deren Smartphones sondern wir verkaufen deren USB Paskies und ein bisschen Merchandise haben also eine Geschäftsbeziehung mit denen.

00:07:51: Aber ich kenne die gar nicht primär von der Geschäfts Beziehungen.

00:07:55: Weil ich die immer mal wieder treffe auf der EZA, auf der Security-Warnse und auf ein Congress habe ich sie getroffen.

00:07:59: Und dann schnacken wir!

00:08:00: Die haben diese FCK Big Tech Aufkleber, die ich ganz cool finde.

00:08:09: Was die auch machen ist... Sie vertreiben auch Smartphones mit vorinstalliertem Graphino S. Da hat Rebecca mir einen Feedback geschrieben, dass sie zur Kenntnis genommen hätte, dass wir sagen der Aufpreis sei relativ hoch und dass wir es deswegen nicht empfehlen würden.

00:08:28: Ich würde jetzt sagen, ich habe ohne in die Folge reingehört zu haben Wir würden sie nicht generell empfehle also nicht Nicht sagen kauft euch so ein ding auf jeden fall sondern wir haben hier eine tech-savvy Community Und Leute die sich grundsätzlich mit diesem ganzen computer kamen wahrscheinlich ein bisschen auskennen und Die Können dieser abwägung wahrscheinlich selber machen.

00:08:53: aber Rebecca ist es wichtig und das finde ich auch einen wichtigen punkt dass.

00:08:58: Bisschen Transparenz in diese Kostenstruktur reinkommt, denn es geht nicht darum das hier einfach irgendwo bei Google ein Telefon kaufen da das Graffino ist in so einem automatisierten Prozess drauf klatschen und dann einfach ein neues Preilschild dran kleben sondern da steckt ein bisschen mehr dahinter.

00:09:11: und zwar bieten sie das für Leute an die sich das eben nicht zutrauen sowie ihr vielleicht privat und geschäftig gar keine Beruungspunkte mit diesem Thema ein Smartphone neue Flächen haben.

00:09:22: Und sie möchten, mit dem Nitro Phone so nennen Sie das Produkt auch eine breite Masse für Datenschutz-Datensicherheit sensitivieren.

00:09:33: Das finde ich übrigens auch, dass es ein gutes Einsteigerprodukt in die Welt von Security Hardware ist.

00:09:37: Und Sie kaufen – das wusste Auch nicht mit einem satten Rabatt bei Google ein, sondern im Grunde zum normalen Endkundenpreis.

00:09:48: Und kriegen praktisch keine Rabatte als Reseller oder sowas weil sie eben auch nicht genug abnehmen.

00:09:53: Die verkaufen ja keine Zehntausend Grafino S-Telefone im Monat und der Aufpreis kommt dann vor allem zustande, weil sie auf die Geräte dann neue Gewährleistung geben müssen.

00:10:02: also Sie können nicht sagen es gilt weiter die Google Gewähr Leistungen, weil Google sagt was sind dafür Betriebssystem drauf?

00:10:07: Da hat doch einer dran rumgefummelt und dann möglicherweise Gewährleistungsansprüche ab ablehnt, aber auch generell weil Google ja die Geräte an Nitro verkauft hat.

00:10:17: Also die Gewährleistung kommt da von Nitro.

00:10:19: Sie geben kostenfreien technischen Support bei allen Fragen auch rund um Grafino ist also nicht nur um das gerät selber und Da geht es dann natürlich auch im support für so Sachen welche apps funktionieren Welche nicht was muss ich bei der installation?

00:10:31: Bei den profilen und sowas beachten?

00:10:33: also dass wir Ja in epischer breite auch in der folge besprochen haben und das ist natürlich Aufwand und das müssen sie einkalkulieren und einpreisen.

00:10:41: Und das schreibt Rebecca noch, Sie sind auch im Austausch mit Graffiti.

00:10:45: Das heißt die werden wahrscheinlich öfter mal auf Masse oder angebohlt.

00:10:47: ich habe keine Ahnung wie so einen Austausche aussieht.

00:10:51: also das finde ich durchaus erwähnenswert.

00:10:57: wenn ihr dass selber machen wollt und dass selber per web installer so wie ich das gemacht hab installieren wollt dann steht euch das natürlich frei und ihr spart euch dann diesen Aufpreis, aber ihr seid dann auch für alle selber zuständig.

00:11:09: Und wenn ihr das für eure Eltern, Geschwister oder Kinder macht, dann fällt ja gesamte Support natürlich auch euch in den Schoß!

00:11:15: Wenn ihr das sogar in der Firma einführt, GryffinOS auf einem selbst geflashten Pixel, dann seid ihr ab dem Moment eben der Smartphone beaufragend.

00:11:22: Unkündbar hat auch Vorteile.

00:11:27: Weiß nicht, was ich aber auch erwähnen möchte... Jetzt auf der Sack-IT noch mal wirklich live gesehen, also nicht den Vorgang.

00:11:37: Aber das Ergebnis Nitro lötet auf Wunsch sensorig aus euren Smartphones bevor die ausgeliefert werden.

00:11:45: Das heißt ihr könnt da hingehen und sagen so ich möchte gerne ein Google Pixel X mit Grafino S aber bitte ohne GPS und ohne Mikrofone oder ihr könnt die Frontkamera abschrauben lassen oder alles.

00:11:56: Also dann kommt ein sehr sensorarmes smartphone zu euch.

00:12:02: Wenn kein GPS drin ist, kann halt auch kein GPS-Standort verdeckt abgefragt werden.

00:12:07: Über WLAN ginge das natürlich immer noch einmal deutlich gröber.

00:12:09: Dafür nehmen sie natürlich nochmal einen weiteren Aufpreis weil es ein unheimlich frickliger manueller Vorgang ist.

00:12:13: aber wer so Security Anforderungen hat die das notwendig machen für den ist es einfach eine total nifty Geschichte.

00:12:20: und wenn ihr die mal auf einer Messe seht dann haben die halt auch diese Sensoren in so ner Vitrine ne?

00:12:25: Diese kleinen ausgelöteten Chips Das finde ich auch immer ganz witzig anzusehen.

00:12:28: Das heißt,

00:12:30: wenn euch die Kamera hier kaputtgegangen ist.

00:12:32: schaut doch mal auf eine Messe vorbei ob nicht die Kamera für euch hat, die ihr wieder reinlöten könnt.

00:12:39: Ich bin nicht sicher, ob sie die Zerstörungsfreude rauskriegen.

00:12:42: Also keine Ahnung.

00:12:42: Ja ja ich weiß auch... also ich glaube auch nicht dass Sie das wirklich hergeben würden und das ist ja nichts in der Sache.

00:12:46: Nein

00:12:48: naja aber Sie.. das hat mir Rebecca auf der Security erzählt.

00:12:52: Sie machen dann während des Auslötens auch Fotos von den Geräten, ne?

00:12:55: Von den offenen Geräte und damit der Empfänger die Möglichkeit hat das Gerät zu verifizieren, dass die Sensoren wirklich draußen sind.

00:13:04: Natürlich muss er immer noch vertrauen haben, dass sie die Fotos nicht faken und dann einfach ein anderes Gerät nehmen oder so.

00:13:09: aber es gibt also auch Transparenz in diesen Vorgang und das finde ich schon einen ganz interessanten wenn auch selbst für unsere Community vermutlich eher nischigen Service.

00:13:18: Aber wenn ihr zu den sechs oder sieben Leuten gehört, die diesen Bedarf haben wisst ihr jetzt wo ihr ihn decken könnt.

00:13:24: So!

00:13:24: Das übrigens kein... keine Werbeeinblendung, wir kriegen weder irgendwelche Affiliate-Zachen sondern ich wollte das einfach nur redaktionell erzählt haben.

00:13:33: Okay

00:13:34: ehrlich gesagt gar nicht gewusst dass heise Produkte von Nitroki verkauft.

00:13:38: insofern also ist es natürlich ein bisschen komisch aber so ist es halt und es wäre ja auchig doofes nicht zu erwähnen nur weil wir dann nach hinten nach guck an jemand anders in der Unternehmensgruppe verkauft Sachen von denen

00:13:52: Genau, also die sind bei uns im Shop, aber wir haben auch die Konkurrenzprodukte von dem Hersteller mit Y. Also jubikies gibt es bei uns auch, das ist jetzt nicht so, dass das eine Exklusivpartnerschaft wäre, aber hier sind wir mit denen in einem ganz guten Dialog und ich finde deren Branding mit diesen Big-Techniken, das is einfach ein Moment auf absehbare Zeit, ein unheimlich gutes Thema!

00:14:20: Thema.

00:14:20: und wie die Notiz sagt, wir müssen jetzt mal Vollgas geben.

00:14:23: Weil es wird ein wilder Ritt oder?

00:14:26: Ja gar nicht so sehr!

00:14:27: Also eigentlich geht's sozusagen um Follow-up von der letzten Folge.

00:14:31: Wir haben darüber geredet dass Google so diverse Postquantum-Initiativen vorantreibt und da irgendwie ordentlich auf die Tube drückt insbesondere auch mit der WebPKI Und wir haben nicht so ganz gewusst warum Und wie das so ist, irgendwie am Tag bevor die Folge erschienen aber halt deutlich nachdem wir sie aufgezeichnet haben hat sich dann herauskristallisiert warum das so is und ich habe mir gedacht na bevor jetzt irgendwie ein Update an die Meldung schreibt es dann kaum jemand liest.

00:15:03: nehmen greifen wir's einfach nochmal im Podcast aus.

00:15:06: Das Erste was ich glaube ich mach

00:15:09: du wirst wahrscheinlich mit einigen Zwischenfragen von mir rechnen müssen weil Ich verstehe nicht ganz so viel von dem was du da aufgeschrieben hast.

00:15:16: Aber leg erst mal los, okay.

00:15:20: Hoffen wir mal!

00:15:20: Ich habe sehr viele Zitate daran geklatscht, hoffen wir das sicherlich.

00:15:22: alles verstehe was du dann fragst.

00:15:25: Also das erste Mal... Wir fangen gleich mal an mit einem Fehler von mir wenn ich mich recht entsinne.

00:15:28: Ich hab in die Folge ehrlicherweise nicht nochmal reingehört aber er habe ich in der letzten Folge behauptet dass Google ja sozusagen lange auf Ionenfallen Cubits gesetzt haben und jetzt zusätzlich auf solche Neutral Atoms Cubids geht.

00:15:41: Und das ist Käse, Google hat auch Super Contacting Cubics gesetzt.

00:15:45: Ich weiß nicht so richtig wie mir das durchgerutscht ist.

00:15:47: Also und nur ums klarzustellen, es gibt halt irgendwie eine ganze Reihe verschiedener Varianten die man qubits physikalisch realisieren kann und Google hat da eben auch super leitende qubits sehr lange gesetzt.

00:15:58: jetzt zusätzlich auch was anderes millionen fallen die auch so ne Möglichkeit sind.

00:16:03: hatte google glaube ich nicht allzu viel zu tun.

00:16:08: kann man eine der beiden metoden in Erklären, als wäre ich fünf oder ist dann die Folge zu Ende?

00:16:16: Müssen wir da ein Physik-Podcast für aufmachen wahrscheinlich.

00:16:19: Ich glaube das Sabrita das erklärt hat des letzten Mal dass wir sie da hatten.

00:16:24: insofern würde ich dich bitten in Folge weiß ich nicht reinzugucken.

00:16:27: das tun wir in die Show noch genau.

00:16:29: na ich würde da jetzt ehrlich gesagt nicht einsteigen wollen weil sonst ist die die folge wirklich durch und von einem Nichtexperten das aus dem stehe greif ist auch sehr viel anfällig.

00:16:41: Grundsätzlich ist es halt so, dass als Q-Bit braucht man halt irgendein Ding was irgendeine Eigenschaft hat die in quantenphysikalische Superposition gehen kann.

00:16:51: Und was das Ding ist und welche Eigenschaft das ist da gibt's halt diverse Realisierungsmöglichkeiten und das können eben zum Beispiel irgendwelche Ionen sein, das können Ströme in solchen Supraleiten den winzigen Kreisschaltungen sein extrem angeregte Atome sein.

00:17:10: Ich habe jetzt gehört, diese Nutsche-Adjams ist ja bei Rütbergatome wo ein oder auch mehrere Elektronen weiß ich nicht wahnsinnig stark angeregt sind.

00:17:17: also man muss sich halt irgendwas suchen und man sagt hier hab' ich einen System das kann... Das hat eine Eigenschaft die in Superposition gehen kann mit anderen gleichartigen solchen Systemen und dass sich halt irgendwie manipulieren kann.

00:17:32: Was genau?

00:17:33: Da gibt es ja tausend Sachen.

00:17:34: Es gibt noch wildere Sachen, also Microsoft vorsteht an solchen topologischen Cubits.

00:17:38: aber ich würde das jetzt vorschlagen.

00:17:41: wenn ich das interessiert schreibt uns dann holen wir vielleicht nochmal irgendwie Sabrina in eine Folge rein.

00:17:47: Das wollte ich eh vorschlagen weil was jetzt sozusagen folgt von mir ist natürlich ein relativ flacher Überblick weil ich da nicht so tief drin stecke.

00:17:58: Wenn euch sozusagen die Quanten physikalischen Details von diesen Fortschritten interessieren, dann fragen wir vielleicht noch mal Sabrina ob sie hier reinkommen will.

00:18:05: Und für diejenigen wie ich jetzt nach Hausaufgaben zu erledigen haben und die Folgen nachhören wollen ist es Folge thirty-two Quantencomputer und wie man sich vor ihnen schützt.

00:18:15: Wunderbar!

00:18:18: Gut jedenfalls... Letzte Folge war Stand.

00:18:22: Google steigt jetzt irgendwo bei Neutral Atoms ein, sieht großen Fortschritt bei Quantencomputer-Hardware und der Fehlerkorrektur über algorithmische Vorträgen fortschritten und sagt die müssen jetzt hier ordentlich auf die Tube drücken was PostQuantum Security angeht also das Ausrollen von Kryptografie oder von kryptographischen Systemen die auch von Quantenkomputern nicht gebrochen werden können.

00:18:42: Und wir haben uns gefragt woher das Tempo?

00:18:44: wissen die irgendwas?

00:18:46: Mittlerweile stellt sich aus, ja die wussten was.

00:18:49: und zwar sind zwei Paper in den letzten zwei Wochen erschienen.

00:18:53: Die beide einen relativ großen Schritt darstellen.

00:18:59: Das eine ist sogar von Google selber und das schiebt die Anzahl von logischen Cubits, die man braucht um Elliptic Cryptography aber auch im RSA zu brechen deutlich runter.

00:19:13: ich zitiere mal kurz aus dem abstract von diesen paper Shores Algorithm, also Shores algorithm ist dieser Quantencomputer Algorithmus der eben Primfaktoren suchen kann und damit eben RSA, ICC und der gleichen Bedroht.

00:19:29: Nicht nur prim ... solche so geartete Probleme.

00:19:32: ich muss es echt aufpassen dass sie nicht die ganze Zeit in irgendwelche klinischen Baue fallet.

00:19:36: Jedenfalls Shoresalgorithm for this problem can execute with either less than one thousand two hundred logical qubits and ninety million to folly gates Or, fourteen hundred fifty logical cubits and seventy million to folly gates.

00:19:51: Das heißt sie finden halt hier eine Grenze wie viel logische Cubits man braucht für diesen choice Algorithmus und zwar je nachdem wie lange man jetzt sozusagen diese Berechnung macht also wie viele Operationen man da hintereinanderschaltet.

00:20:06: das ist dieses Wieviel Millionen To Folly Gates weniger als tausend zweihundert logischer qubits oder weniger es Und das ist halt deutlich weniger als vorher, sozusagen so klosiert ist.

00:20:25: Wichtig ist hier an der Stelle, da handelt es sich um logische Cubits.

00:20:29: Das sind also hypothetisch Cubits die keine Fehleranfälligkeit haben real.

00:20:36: man braucht mehrere reale physikalische Qubits, um so ein logisches Qubit zu simulieren.

00:20:42: Also die Realen sind halt Fehler anverlegt.

00:20:44: Die können wir mir rauschen und so.

00:20:45: Und man kann da mit solchen Fehlerkollekturmechanismen aus mehreren physikalischen Qubites ein Logisches-Qubit bauen.

00:20:53: Insofern

00:20:55: dieses Tausendzwundert ist schon auch mal eine größte Ordnung oder mehr davon entfernt was ich ihnen gut verbaut haben muss.

00:21:03: aber das ist halt deutlich weniger als vorher.

00:21:06: Und das andere Paper ist von Aura Atomic, eine Firma die ich vorher gar nicht auf dem Schirm hatte.

00:21:15: Die haben publiziert einen Weg die Anzahl physikalischer Cubits für Elliptic Cryptography deutlich runterzubrechen wenn man reconfigurable atomic cubits hat Also eine bestimmte Art von Cubit.

00:21:38: Wenn man die hat, dann kann man mit der eine Art von Fehlerkorrektur machen, die sehr viel effizienter ist als die bis dahin bekannte Art von Fehlerkorrekturen.

00:21:47: und das heißt ich brauche sehr viel weniger von diesen physikalischen Cubits um ein logisches Cubit zu simulieren.

00:21:53: Und damit haben sie festgestellt dass sie typische Elliptic Cryptography Algorithmus zu berechen innerhalb von einigen Tagen.

00:22:12: Was immer noch ist eine lange Berechnung und wir sind weit davon weg, dass es einen Quantencomputer gibt, der über einige Tage so eine Berechnungen halten könnte oder so.

00:22:19: aber das ist halt auch wieder deutlich weniger als vorher war.

00:22:26: Das sind jetzt beide sozusagen theoretische Fortschritte.

00:22:29: also niemand hat nen QuantenComputer in der Größenordnung operieren könnte und das sozusagen zeigen könnte.

00:22:37: Aber es ist nicht so, dass es ihm nur diese theoretischen Fortschritte gibt die Zahl der nötigen Cubits nach unten korrigiert sondern halt offensichtlich auch ordentliche Fortsschritte bei der Hardware.

00:22:48: Ich zitiere mal Cloudflare, die geschrieben haben ... ... war ein ziemlich gutes Jahr für die Neutral Atoms vor dem ich festgestellt habe, wo ich das skaliert viel besser als angenommen.

00:23:01: Und Scott Aronson, das ist ja so ein recht bekannter Quantenphysikprofessor.

00:23:07: Das meinung ich zumindest sehr hochschätze.

00:23:10: Er sagt eben auch, dass er seine Erwartungen, was die Harte angeht mehr als nur erfüllt hat.

00:23:18: Es gibt jetzt verschiedene Arten Kubits zu realisieren two qubits verdeddities verdennt.

00:23:25: Two qubit gates mit verdeddies oberhalb von neunundzig, neun Prozent haben also die sozusagen ziemlich zuverlässige q-bit gutter bauen können auf diese verschiedenen arten von hardware und zwar das ist so ein ganz wichtiger punkt halt ober halb der grenze für fehler toleranz na das heißt wenn die.

00:23:46: also man kann nicht beliebig schlechte physikalische qubits zusammen koppeln um sozusagen einen Astreines logisches Kube zu bekommen, die müssen eine gewisse Qualität aufweisen.

00:23:58: Aber jetzt gibt es eben mehr und mehr Plattformen, die zeigen konnten ja wir haben ihr physikalische Kubits, die so gut sind dass man daraus eben ein logisches perfektes kubit bauen kann.

00:24:11: Du bist stumm!

00:24:13: Ich bin gerade nicht so ganz dazwischen gekommen weil du im flow warst aber ich würde gerne nochmal zu den beiden papern Die ich übrigens in die show notes gepackt habe also da könnt ihr euch die durchlesen wenn ihr mal einen freien Donnerstag gehabt oder so, das könnte ein bisschen dauern.

00:24:27: Die sind beiden nicht oder noch nicht peer reviewed.

00:24:31: Das heißt ich glaube dass sich die Community darüber auch erstmal eine weitere Meinung also die Kryptologen-Community eine weitere meinung bilden muss aber die Namen oder die.

00:24:42: die Autorenschaft zumindest bei dem googleding gibt ja schon einen gewissen Vertrauensvorschuss.

00:24:48: Aber sie sind noch nicht durch den üblichen peer review Prozess für wissenschaftliche paper gedank gegangen, so wie ich das sehen kann.

00:24:56: Sie sind doch auf keiner konferenz oder so irgendwie in den in den proceedings angenommen.

00:25:01: Ja das ist ein sehr wichtiger punkt.

00:25:02: danke das stimmt natürlich.

00:25:05: Es ist natürlich so dass wir die rausgekommen sind.

00:25:07: hat sich die community die Community darauf gestürzt?

00:25:11: Ich habe jetzt noch von niemandem gelesen dass sie sozusagen Inhaltliche zweifel an diesen papers haben.

00:25:16: Die einschätzung sozusagen wie schlimm ist es jetzt die gehen auseinander aber in Zweifel gezogen, dass es stimmt was da drin steht habe ich noch nicht gefunden.

00:25:25: Was man natürlich auch sagen muss.

00:25:27: also niemand von denen hat wirklich eine Peer-Review gemacht.

00:25:30: Also das steht für sich die Möglichkeit, dass sich da einfach irgendjemand irgendwie zerrechnet hatte oder so.

00:25:35: Aber es scheint zumindest sozusagen Hand und Fuß zu haben und es macht offensichtlich ein Haufen Leuten ziemlich große Sorgen.

00:25:45: Insbesondere nochmal

00:25:46: ganz kurz zum Thema Peer Review... um das noch mal vielleicht für diejenigen von euch, die damit nicht so vertraut sind kurz einmal einzuführen.

00:25:54: Das Peer Review ist Teil des üblichen Prozesses für wissenschaftliche Veröffentlichungen, dass bevor die auch publiziert werden – das kriegt ihr häufig auf Konferenzen oder in sogenannten Journalien also in Sammelbänden mit diesen wissenschaftlichen Papers -, dass sie von einem Komitee aus Peers, also aus Wissenschaftlern desselben Feldes gegengelesen werden oft anonym, also doppelblind d.h.

00:26:14: weder dem Pier sind die Autoren des Papers und noch den Autoren der Papers, die die Reviewer bekannt.

00:26:19: Und das ist ein wichtiger Teil des Prozesses um eben bei wissenschaftlichen Veröffentlichungen Fehler rauszukriegen und die fehlerhafte Paper oder falsche Claims überzogene Claim so was dann im Grunde bei solchen Themen gegenrechnen zu lassen.

00:26:38: Das Gegenrechnend ist hier ja nun auch einfach schwierig.

00:26:41: Wie viele leute mag es auf der welt geben die diesen sieben fünfzig seiten brecher von google.

00:26:50: In der tiefe verstehen und dann nach rechnen also alle tesen nachrechnen können?

00:26:56: das ist ja, dass ist ja nichts was du an einem tag machst sondern es hat ja monate für.

00:27:00: deswegen bin überhaupt nicht verwundert dass wir noch keinen peer review dazu haben.

00:27:04: ich wird's nur anmerken und ich glaube das ist unheimlich schwierig jetzt auch selbst für jemanden der hoch motiviert ist, sich das anzuschauen.

00:27:14: Dann diese ganzen vorgebrachten Themen in irgendeiner Weise zu verifizieren oder versifizierend?

00:27:25: Ja also gerade bei dem Google Payback gibt es noch ein größeres Problem und da kommen wir gleich dazu was irgendwie des Nachrechnenden angeht.

00:27:34: Ich wollte noch kurz bei der harte Entwicklung bleiben.

00:27:36: Also da scheint's einfach sozusagen gute Fortschritte gegeben zu haben, insbesondere eben bei diesen neutralen Atomen wo jetzt demonstriert worden sei dass die universelle Fehler bereinigte Operationen ermöglichen.

00:27:57: Dass man Berechnungen auf Arrays mit hunderten solche Cubits hatte das man es geschafft hat um sechs tausend solche Cubids gleichzeitig kohärent zu halten.

00:28:10: Und das sind halt schon Zahlen, die sind ein bisschen ungemütlich nahe zumindest für meine vollkommen naiven Betrachtungsweisen an den Zahlen in diesen Papers.

00:28:21: Das sind diese nicht da und es sind auch nicht sozusagen Sachen die alle gleichzeitig demonstriert worden sind.

00:28:27: und auch die Autoren von den Papers sagen sehr deutlich Es gibt noch einen Haufen technologische Probleme zu lösen.

00:28:33: Aber es scheint zumindest so interessant zu sein dass eben jetzt zum Beispiel auch Google sagt wir müssen Nicht nur, Sie sagen sie wollen weiter diese Superleitenden Cubits beforschen.

00:28:45: Aber sie wollen halt jetzt auch in dieses Neutral Atem-Content Computing einsteigen weil das so viel versprechend ist.

00:28:53: und die sind wohl in ihren Berechnungen deutlich langsamer als die superleitende Cubids aber sie sind sehr viel flexibler darin wie ich verschiedene Cubits miteinander koppeln kann.

00:29:05: Und dass erlaubt halt Algorithmen deutlich also deutlich effizientere Algorithmen darauf zu fahren, das ist wohl auch sozusagen der Knackpunkt an dem All Atomic Paper.

00:29:17: Diese bessere Fehlerkorrektur die wir da gefunden haben und beschreiben, die funktioniert eben weil diese Atomic Tubits so rekonfigurierbar sind und deswegen nicht auf einer beliebigen Quantencomputer Architektur realisiert werden kann.

00:29:31: aber halt zum Beispiel aus solchen neutralen Atomenkontencomputern.

00:29:37: Google hat ja dafür auch jemanden abgeworben, Dr.

00:29:40: Adam Grauffmann aus Colorado der jetzt da ein eigenes Team für diese Forschung an neutralem Atom bei Google leiten wird.

00:29:52: Genau natürlich!

00:29:53: Ich habe gerade nochmal in die Autorenliste des Papers geguckt.

00:29:57: Da sind dann ja auch Leute von Stanford dabei, Universität auf Kalifornia Berkeley, also das sind ja die ganzen klingenden Namen der Westküsten Tech Universitäten die da dran mitforschen.

00:30:07: das klingt schon ganz spannend.

00:30:10: Ja, also ich habe jetzt Google und Auratomic gesagt weil das sozusagen die Assoziation von dem jeweiligen Erstautor aber man könnte natürlich auch verschiedene assoziierte Universitäten damit nennen.

00:30:19: Also das ist jetzt auch nicht irgendwer oder so.

00:30:21: na dass sich ja nicht.

00:30:23: sonst hätte es glaube ich auch nicht in der Community so ein Echo hervorgerufen.

00:30:28: Jedenfalls ist das offenbar der Grund, warum Google sich benötigt sieht ihre Postquantum-Kryptografie Timeline vorzuziehen auf den Jahr zwanzig neunundzwanzig.

00:30:38: Wir haben ja da schon drüber geredet zu einer Google, sozusagen fährt er halt auch beiden Gleisen nach.

00:30:43: einerseits Haben sie überall Kryptographie die für sowas geschützt sein muss andererseits haben Sie also forschen sehr dann sowas und haben sozusagen ein Vorteil davon.

00:30:52: wenn wirst du auch seht es ob die Forschung da sehr gut voranschreitet.

00:30:58: Aber es ist halt nicht nur Google.

00:30:59: Also Cloudflare hat mittlerweile auch angekündigt, dass sie das Problem ähnlich sehen und deswegen ebenfalls ihre Timeline auf zwanzig neunundzwanzig vorziehen wo Sie Ihre gesamte Kryptografie also einstehlich der Signaturverfahren und so Postkonten sicher haben wollen.

00:31:15: Sophie Schmieck die bei Google arbeitet sagt die Frage ist sozusagen auch nicht wird einen Quantengebüter bei zwanzich neun und zwanzzig geben wo wahrscheinlich man gut eine Wette darauf abschließen kann, dass dem nicht der Fall sein wird.

00:31:30: Sondern die Frage ist, kann man sicher sein, dass es ihnen in den Jahr zwanzig neunundzwanzig nicht gibt?

00:31:37: Und offensichtlich sind sich mittlerweile sehr viele Leute nicht mehr sicher, das es ihnen bei zwanzich neun und zwanzIG nicht geben wird!

00:31:46: Und mit drei meinst du im Jahre zwanziger?

00:31:48: Im Jahre!

00:31:49: Ich versuche hier sozusagen mich an einer live Übersetzung aus den englischen Zitaten, aufgeschrieben habe und das geht schief.

00:31:59: Also im Jahre zwanzig, ne?

00:32:04: Und der schon erwähntes Gott Aronson, das wollte ich noch aufbringen weil ab und zu das eben auf funktionär irgendwelche theoretischen Fortschritte und was die Faktor auf der Straße ist, ist halt irgendwie... Das hatten wir auch in der Folge mit Sabrina schon dass sie es geschafft haben die Zahl von dreißig zu faktorisieren.

00:32:21: Was soll das denn?

00:32:23: Das ist ja sozusagen, also wir sind da sozusagen riesige Größenordnungen von den Zahlen weg die man fakturisieren muss um halt irgendwie kriptografische Schlüssel zu brechen.

00:32:34: Und Scott Arizen sagt es ist halt die falsche Betrachtungsweise weil wenn wenn man das mal soweit hat dass es sozusagen gut funktioniert dann wird es halt exponentiell wachsen.

00:32:44: er sagt zu fragen wann werdet ihr endlich mal vormundreißig faktorisieren ist so ein bisschen wie nineteen dreien zu fragen, wann macht ihr da wenigstens mal eine kleine atomare Explosion?

00:32:56: Also der Durchbruch wenn er denn kommt wird halt ein Durchbruchs sein und dann würde es sehr schnell gehen ist zumindest die Sicht von Scott Aronson.

00:33:04: Und deswegen sozusagen sich darauf auszuruhen dass ja noch praktisch keine also nicht mal ansatzweise relevanten Größenordnungen von Zahlen fakturisiert werden ist die falsche Betrachtungsweise.

00:33:16: Mit am fatalistischsten schienen mir die Betrachtung von Philippo Valsorda, den wir auch schon mehrfach hier hatten weil der ja viel mit WebPKI macht und so.

00:33:25: Der sagt Wir müssten jetzt zur Tür rausbringen was wir haben!

00:33:29: Wir haben nicht mehr Zeit uns irgendwie um schönere Postfantenverfahren zu kümmern.

00:33:35: Wir haben keine mehr Zeit um kurz Resignatoren oder darum zu kümmern dass die Infrastruktur, also X-Finer von der neuen ZWK hatte irgendwie angepasst werden, dass da längere Zertifikate bequem reinpassen.

00:33:48: Wir haben nicht mehr Zeit um nicht interaktive Key Exchange zu kümmern.

00:33:53: Es gibt eine Haufen Sachen die irgendwie nicht schön sind.

00:33:56: aber wir müssen sozusagen die Algorithmen, die wir jetzt halt haben und also die PQC-Algorithmen die wir haben und denen wir einigermaßen vertrauen jetzt auf die Straße bringen.

00:34:05: es fehlt vorne und hinten die Zeit für alles andere.

00:34:08: Erster Meinung, es bringt nix auch überhaupt bei Authentication jetzt irgendwie über Hybride-Authentifizierungsverfahren nachzudenken weil das schwieriger ist als bei den Key Exchanges.

00:34:19: Da haben wir in der letzten Folge ja auch schon du begehtet oder zumindest auch in der Folge also so ein Signal geht na also bei solchen Key Exchanges sind ja so hybride Verfahren the way to go sagen alle außer der NSA und GCHQ.

00:34:36: Bei der Authentisierung ist es schwieriger, weil's da vom System abhängt.

00:34:40: Was man denn eigentlich machen will?

00:34:41: Wenn man sozusagen zwei so Authentizierungs-Signaturen hat und einen eben Postfronten oder nicht und so.

00:34:47: Und Philippo sagt jetzt eben wir haben nicht mehr die Zeit um uns da irgendwie was Verschlaues zu überlegen.

00:34:51: Wir machen jetzt einfach nur Postfrontum.

00:34:54: Er sagt die ganzen Trusted Expedition Environments also Intel SGX

00:34:59: usw.,

00:34:59: die sozusagen da klassische Schlüssel drin stecken haben diese Hardware authentisieren Die haben jetzt halt einfach verkackt, also er sagt they are just fucked.

00:35:12: Weil diese klassische Schlüssel in ein paar Jahren vermutlich aus oder dieses Risiko besteht das sie ein paar Jahre auseinanderfliegen und man halt in dieser TE ist in der Regel da nicht so schnell irgendwie... Also diese TE ist irgendwie geupdated bekommt insbesondere auch diese langfristigen Identitäten die da sozusagen verankert sind Und auch alle möglichen anderen Ökosysteme, die halt irgendwie mit Kryptografen Identitäten arbeiten.

00:35:40: Die sozusagen langfristig erhalten bleiben sollen müssen jetzt aber ganz schnell updaten damit es nicht alles auf die Füße fällt wenn es irgendwann doch mal einen Quantencomputer gibt.

00:35:52: Also das fand ich schon sehr beeindruckend wie fatalistisch er unterwegs ist.

00:35:58: Es gibt auch Gegenstimmen.

00:36:00: Also Philippo hat jetzt eine Wette abgeschlossen mit Matthew Green, auch einen relativ bekannten Kryptologen wo sie ich glaube fünftausend Dollar oder so gesetzt haben ob es jetzt zwanzig neunundzwanzig entweder sozusagen ein Quantencomputer ein klassisches Verfahren zerlegt haben wird oder ein PQC-Verfahren zerlegt worden sein wird weil man halt einfach Schwächen drin gefunden hat weil die halt relativ neu sind.

00:36:27: Mal gucken wie die Wette ausgeht Aber die Frage ist halt so ein bisschen, also fünftausend Dollar ist jetzt auch nichts.

00:36:32: Also das kann man schon ein ordentlicher Wetteinsatz aber ist man will sozusagen diese Wette auch zu fahren wenn es oben mehr oder weniger die gesamte Kryptografie in der modernen IT geht dann ist der Einsatz natürlich nochmal deutlich höher.

00:36:47: Ich finde es ein bisschen schade dass sie da so eine Nummer draus machen die sich zur Zweit untereinander austragen.

00:36:53: Stilecht in Latech gesetztes PDF bei Dropbox, wo der Vertrag drin steht mit seinen genauen Ausformungen.

00:37:00: Aber man könnte doch auch ähnlich stilecht und ich glaube du kommst auch gleich noch zu diesem ganzen Kryptowährungsthema auf Polymarket wetten.

00:37:11: Da kann man ja alles wetten.

00:37:12: es gibt eine Wette das bequanten komputer Bitcoin im jahre oder sieben zwanzig brechen, da könnte man doch einfach auf Polymarket so eine Wette eintragen.

00:37:21: Da kann jeder mit wetten und dann kann ich auch acht Cent setzen statt fünf tausend Dollar.

00:37:26: das würde mir ja auch ein bisschen weh tun wenn ich jetzt fünftausend dollars draufsetzen würde aber ist auf jeden Fall ein interessanter Weg auch das Thema jetzt anzugehen und hat für Publicity gesorgt.

00:37:38: also ich habe beim Register gerade einen Artikel dazu gefunden und bin gespannt wie es weitergeht.

00:37:47: Bei Body Market gibt es auch in letzter Zeit immer wieder Stress, wenn Sachen irgendwie sozusagen unerwartet ausgehen und man irgendwelche Arbitger einschalten muss um rauszufinden.

00:37:58: Wer hat jetzt hier eigentlich gewonnen?

00:37:59: Was wird da spontan anfangen?

00:38:00: oder was ist denn?

00:38:02: Wenn's zu dem Zeitpunkt einen Quantencomputer gibt aber man hat ihn nicht je genommen um Bitcoin zu brechen... Ist das dann erfüllt oder

00:38:07: nicht?!

00:38:08: Da kommen wir nämlich gleich dazu, ob man das tun sollte.

00:38:11: Aber ich wollte hier noch kurz abschließen also sozusagen diese ganzen... Also in den meisten Fällen ziemlich drastischen Warnungen und eben auch die Überlegungen wie müssen jetzt irgendwie im Jahr zwanzig neunundzwanzig als neue Deadline ansehen?

00:38:25: Da habe ich nochmal beim ESI-Rück gefragt weil die ja erst Anfang des Jahres ihre Empfehlungen geupdatet haben und da drin schreiben sie geht davon aus dass dann bis zwanziv fünfunddreißig klassische Signaturen es sicher ansehen kann.

00:38:38: Ich habe leider noch keine Antwort auf bekommen, wenn ich auch noch eine Kriege trage.

00:38:41: Wir tragen das hier natürlich nach, aber das würde mich schon interessieren.

00:38:45: Ich kann verstehen dass die wenig Lust haben, nachdem sie irgendwie vor drei Monaten ihre Richtlinien angepasst haben und jetzt schon wieder anzufasst.

00:38:52: Aber es scheint schon eine Entwicklung zu sein.

00:38:55: Also wahrscheinlich wünschen die sich, hätten Sie doch nur in drei Monate gewartet mit dem Anpassen dieser Wichtlinie.

00:39:00: Das wäre zumindest mein Tipp!

00:39:04: Es gibt an diesen Paper noch ein paar komische Aspekte, auf die ich schon auch hinweisen wollte.

00:39:08: Das eine ist dieses Google-Paper, das hat ja also behauptet sozusagen so einen Quantenscheidkreis gefunden zu haben, der mit erstaunlich wenig logischen Cubits so einen Chance Algorithmus ausführen kann – sie geben den aber nicht an!

00:39:28: Und zwar behaupten sie aus Sicherheitsgründen.

00:39:32: Was hier stattdessen machen, ist ein Zero Knowledge Proof in diesem Paper anzugeben der sozusagen beweist dass Sie diesen Schaltkreis kennen also das es den gibt und das Google ihn kennt.

00:39:48: Also what?

00:39:51: Man muss sich schon irgendwie fragen warum das denn?

00:39:53: Ich meine bestenfalls wenn man Zu meiner Sicht könnte man sagen, naja das ist halt so ein bisschen Security bei Obscurity.

00:40:02: Nach dem Motto, na ja ich... Das ist sozusagen hier geheimwissen, dass irgendwie sehr gefährlich ist und deswegen kann ich das nicht publizieren.

00:40:12: Es widerspricht halt nicht nur den akademischen Geflogenheiten sondern eigentlich auch der Art und Weise wie üblicherweise man in die IT-Security vorgeht.

00:40:24: Scott Aronson länglich redet, der hat es nämlich ursprünglich mal verglichen mit auch wieder der Zeit so um neunzehntvierzig Robben als plötzlich die öffentliche Forschung daran sozusagen wie viel Uran man eigentlich braucht für eine nukleare Explosion weggebrochen ist weil das halt alles ins geheil mit gezogen wurde.

00:40:41: Weil es jetzt so nah ran ging an die Realisierbarkeit dass man das nicht mehr publiziert haben wollte und hat eben auf diesen Vergleich Manchmal noch zurecht.

00:40:52: Sehr viel Kontra Feedback aus der IT Security Community bekommen, die gesagt haben wir haben all diese Fragen schon lange durchdiskutiert und die einheitliche Antwort ist man muss hier mit Transparenz arbeiten.

00:41:06: es schadet letztendlich allem unter dem Ökosystem sehr viel mehr wenn irgendwo geheimen Wissen aufgebaut wird und Security by Obscurity is ein schlechtes Vorgehen das andere.

00:41:19: Man muss sich fragen, ist es denn überhaupt zumindest Security by Obscurity?

00:41:24: Wie das Gott Ahrensson, der davon ausgeht dass naja der Beweis also dieser Zero-Nolge-Proof belegt, dass es so einen Schaltkreis gibt.

00:41:31: Wenn man weiß, dass er den gibt dann wird jemand anders, der sich ähnlich gut auskennt, den vermutlich auch finden.

00:41:38: Also die Frage jetzt was hat man eigentlich davon?

00:41:41: und ganz grundsätzlich ist es halt so, na ja dieses Paper sieht... Alle sind sich eigentlich einig, jetzt gibt es keine Quantenkomputer der sowas ausführen könnte.

00:41:50: Es wird vermutlich bis in den nächsten Monaten und Jahren weiter theoretische Fortschritte geben.

00:41:56: was bringt das denn sozusagen jetzt diesen Schaltkreis geheim zu erhalten wo ihn niemand eh ausfühlen kann?

00:42:03: Und dann in ein paar jahren wenn ihn vielleicht jemand ausfüllen kann wird's vermutlich ihnen besseren Schalt Kreis beschrieben worden sein.

00:42:10: also ist ein ganz komischer move.

00:42:13: man könnte da So ein Marketing Instrument drin sehen, das ist halt irgendwie mehr Mysterium aufbaut.

00:42:20: Wenn man da sagt na ja es ist zu gefährlich um das hier zu publizieren wir machen hier so einen Zero Knowledge Proof.

00:42:28: ich sehe da auch eine andere Sache darin nämlich dieses Paper hat starken Hang in die ganze Kryptowirkungsgeschichte.

00:42:39: Da komme ich gleich dazu und dort sind natürlich so Sachen wie Ja das machen wir mit dem Zero Knowledge Schick.

00:42:46: Das ist nämlich das zweite Komische an diesem Google Paper, es hat ein besagtes Framing also gesagt.

00:42:51: Es geht hier eigentlich darum in diesen Paper zu zeigen welche Risiken sozusagen Quanten Architekturen für Blockchains haben und an dem paper war auch jemand von der ethereum Foundation beteiligt.

00:43:08: Und die Frage ist also warum dieser fokus auf blockchains?

00:43:13: sind Quantencomputer nicht an anderer Stelle ein viel größeres Problem.

00:43:17: Und man kann natürlich sagen, na gut!

00:43:19: Weil wenn ich eine Quantenkomputer habe der halt irgendwie klassische Kryptografie brechen kann dann kann ich das bei Blockchain-Kram sozusagen sehr direkt in Geld verwandeln weil da kann ich da halt einfach Kryptowierungen wo abzweigen auf die ich keinen Zugliff haupt.

00:43:38: Die Frage ist es irgendwie realistisch, dass Angreifer die auf diese Art und Weise monetarisieren wollen und können Zugriff auf den Quantencomputer kriegen.

00:43:49: Für die meisten realistischen Akteure, die irgendwie Zugriffs aus was haben könnten als irgendwie große Firmen wie Google oder so wäre das also einmal schwierig weil es potenziell illegal ist Kryptowierungen zu klauen auch wenn man sie mit dem Quanten-Computer klaut.

00:44:06: Und B würde es halt Verraten, dass man den Quantengruppe hat.

00:44:12: Also sehr vorsichtig zu probieren und klauen nur in kleinem Umfang damit irgendwie nicht klar wird, dass das man hier sozusagen das ganze System auseinander nehmen kann weil wenn es klar würde dann würde ja auch sofort der Kurs einbrechen und man könnte es nicht mehr gut monetarisieren.

00:44:29: also das ist alles so Im Fall von staatlichen Akteuren, die natürlich auch irgendwie zugefordert werden könnten als China oder USA.

00:44:42: Da ist es halt eher unaktiv und einfach unnötig.

00:44:45: also sie können mit Kryptowährungen einfach regulatorisch ziemlich genau machen was sie wollen und mit den Firmen die auf diesen Kryptowerungsvermögen sitzen.

00:44:55: Was sollen diese Systeme brechen für dieses sehr viel interessanter zum Beispiel Kommunikationsverschluss anzugreifen?

00:45:02: Es gibt natürlich Ausnahmen, es gibt natürlich Länder wie Nordkorea.

00:45:04: Die sind ein staatlicher Akteur und die machen Geld damit dass sie Kryptowierungssysteme auseinandernehmen.

00:45:10: Da sieht's aber nicht so aus als wären die nah dran den Quantenrobüter zu haben.

00:45:14: Und selbst... Also die brauchen auch keinen... Das ist so ein bisschen das Meinungsstück, dass du über KI-Security Lückenfindung geschrieben hast.

00:45:23: mit traditionellen Mitteln kommen dir ja auch an Milliardenbeträge in die nordkoreanische Staatskasse schaufeln.

00:45:30: Insofern Brauchen die eigentlich gar keinen Computer, die verdienen ganz gut auf traditionelle Art und Weise.

00:45:39: Genau oder ist auch sehr viel billiger einfach nachherkömmlichen Rücken in diesen Systemen zu suchen, die es halt zur Hauf gibt?

00:45:47: Also Matthew Green sagt sogar Bitcoin ist eigentlich sozusagen ein sehr guter Kanagienvogel um rauszufinden, ob es einen sehr dummen Akteur gibt der Zug auf eine Quantencomputer hat.

00:46:01: Weil der würde da anfangen massenweise Bitcoin aus Wortes abzuzeigen die ihm nicht gehören und man würde das sehr schnell sehr deutlich merken und ein Haufen Leute würden halt irgendwie also haben da eh ein Auge drauf auf die Bewegungen von Bitcoins und so und auf ihre eigenen Bestände.

00:46:17: Das heißt was man eigentlich machen müsste ist so... ganz vorsichtig am Rand, irgendwie so ein bisschen Geld abzuzweigen und das wäre einfach keine schlaue Art und Weise einen Quantengebüter einzusetzen.

00:46:29: Insofern ist der Fokus dieses Papers auf diesen Kryptowierungskram schon ziemlich abstus.

00:46:37: Ich habe jetzt keinen wirklich erklären meinen Gäst.

00:46:39: also mein Tipp ist einfach naja da wann hat Leute beteiligt die in diesem Kryptovierungskram drin stecken?

00:46:44: Deswegen macht dieses Paper jetzt was mit Medial Knowledge Proofs oder so und rede halt irgendwie über Krypto-Wirungen.

00:46:48: aber Zumindest die kriptografische Community ist eigentlich eher besorgt darüber, was das aussagt über übliche Kommunikationsverschlüsselung und dergleichen.

00:46:57: Bedeutet das aber auf Leienformat runtergebrochen?

00:47:03: Dass Kryptowährungen möglicherweise eine Lebenszeit haben, die durch praktikable Quantencomputer nach oben begrenzt sind?

00:47:12: Also wenn es im Jahr zwanzigneunzwanzig dann ist, dann müsste doch Bitcoin und Ethereum, die sind ja alle mehr oder weniger aneinander gebunden.

00:47:23: Abstürzen oder nicht?

00:47:24: quasi zwangsläufig wenn es ein Quarantankomputer gibt, wenn jemand einen hat.

00:47:28: Also die arbeiten natürlich daran ihre Systeme auf Postquartenkontografie umzuziehen sowie halt alle anderen auch dran arbeiten.

00:47:39: da wird genau das nicht passiert.

00:47:41: Das ist in der Tat interessant.

00:47:42: ich habe mir das nicht näher angeguckt aber ich könnte mir vorstellen dass Die ganze PQC-Immigration ist ja eh kein ganz leichtes Unterfangen.

00:47:49: Aber ich kann mir gut vorstellen, dass es im Falle von der Kryptowährung nochmal ein bisschen ikirr isst weil du vermutlich einen Hard Fork oder sowas brauchst.

00:47:57: Also du musst dieses Thema auf eine Art und Weise updaten wo einfach alle mitziehen müssen und das passiert dann meistens nicht ne?

00:48:04: Und wenn ein paar irgendwie Flöten genießt ihr das Wurst.

00:48:07: aber wenn es da eine größere Community gibt die sagt nee Wir machen bei diesem Update nicht mit, dann hast du halt schon so ein Chain Split nennt sich das.

00:48:15: Also dass sozusagen verschiedene Versionen dieser Blockchain fortgeführt werden.

00:48:20: also... Das ist sicher was womit man sich beschäftigen müsste.

00:48:24: ich muss sagen Ich weiß jetzt nicht ob ich die Motivation habe mich mal wieder in die organisatorischen Problemchen von Blockchain Communities reinzuwurschteln Aber ich kann mir vorstellen, dass das nicht einfach werden wird.

00:48:39: Also einmal technisch sozusagen auf PCC umzurüsten aber dann halt auch wie die Community dazu zu bringen damit zu ziehen und das musst du machen.

00:48:48: also es gibt auf im Crypto Cryptologie Print Archive einen relativ neuen Artikel von zwei Autoren von den einer an der Batman Universität ist.

00:48:57: Die ist aber

00:48:58: der Türkei vermutlich oder?

00:49:00: Genau die sind.

00:49:00: in der Türken ist die Batman Universität die dazu ein Vorschlag unterbreitet haben, da packe ich einfach meine Show Notes als Untergeordnete Übungsaufgabe.

00:49:11: Ich verstehe kein Wort aber das ist natürlich dann interessant.

00:49:16: oder das wird dann interessant was wie sich die Communities einigen und welchen Weg sie denn umgehen?

00:49:20: Denn wenn nicht mal auf den Kalender gucke, dann ist heute der zehnte April es zwei tausend sechsund zwanzig und drei Jahre sind echt keine lange Zeit für so einen Riesen undertaking.

00:49:28: also.

00:49:30: Also das Interessante ist ja rein wirtschaftlich angenommen.

00:49:33: Es kommt raus, jemand hat einen Quantengepüter.

00:49:35: Ich glaube die müssen den gar nicht gegen Kryptowierungen einsetzen um da den Kurs einbrechen zu lassen.

00:49:40: einfach die Existenz wird den Kurse mutig deutlich beeinflussen.

00:49:48: Gut aber damit wäre ich fertig.

00:49:49: also es hat sich herauskristallisiert warum Google so oft die Tupel drückt.

00:49:53: andere ziehen mit.

00:49:55: wenn wir von irgendwelchen regulatorischen Behörden insofern in dem BSI noch mal was hören sagen wir euch Bescheid, aber dann klickt ihr das wahrscheinlich auch mit.

00:50:03: Wenn die ihre Richtlinien anpassen, dann ist es ja eine Meldung für sich.

00:50:08: Ja

00:50:09: und Wir kommen jetzt zu einem Thema für dass wir eigentlich einen Jingle brauchen.

00:50:13: also ich habe ja Gast in einem anderen Podcast neulich.

00:50:17: Die haben Jingles!

00:50:17: Wir haben keine Jingles.

00:50:18: Ich hätte auch gerne so ein lustiges Gerät wie Stefan Raab das früher hatte mit dem er diese Jingles auslösen konnte.

00:50:26: Du bist ein WebPKI-Jingle.

00:50:30: Was wäre denn ein WebPKI-Jingle?

00:50:32: Also bevor wir über die technische Realisierung des Geräts gedanken machen, brauchen wir eine Idee wie man die WebPKI bejingelt.

00:50:39: Ich würde vorschlagen, wir gehen das in die Community.

00:50:42: liebe Hörerinnen und Hörern.

00:50:43: wenn ihr es bis hierhin geschafft habt dann schreibt uns doch eine Mail an passwordminusprogressedheise.de Wie ihr euch einen Jingle für die Web PKI Themen bei uns vorstellt.

00:50:54: ob das Wir sind ja für alle Themen offen.

00:51:03: Ich weiß auch nicht genau, ob es da einbaut oder unser Producer sagt ihr habt sie nicht alle ich baue doch hier keine jingles mit den folgen ein.

00:51:10: das

00:51:15: ist alles

00:51:18: Kurzer Blick hinter die Kulissen, wir nehmen in der Regel relativ knapp auf.

00:51:22: Es ist heute Freitag und am Montag liegt die Folge bei unseren Heise Security Pro Mitgliedern in der virtuellen Inbox weil sie immer zwei Tage früher hören können als diejenigen die nicht heise security pro Mitglied sind wenn euch das interessiert.

00:51:35: pro heise.de slash Passwort ist heise-security pro.

00:51:39: Die Produktseite ist auch in den Shownaus anyway.

00:51:42: Es gibt bei uns das lustige Hölzchen.

00:51:45: Wer kurz vor der Folgenaufnahme beim letzten Mal zu Kreuze kriegt und ihm ankündigt, hey sorry die Folge kommt wieder erst am Freitag Mittag.

00:51:55: Wir haben es früher nicht geschafft.

00:51:57: auch heute ist es so.

00:51:58: wir bemühen uns da frühere Termine zu finden aber in diesem Fall lag's einfach an meinem Urlaub.

00:52:03: ich bin gestern wieder am Schreibtisch

00:52:06: Aber an dieser Stelle mal ein ausdrückliches Danke.

00:52:10: Also hoffentlich hört ihr auch diese Folge wieder rechtzeitig, weil unser Producer sich da am Wochenende dran setzt und ausgleicht dass wir irgendwie nicht schneller zu Porte kommen.

00:52:26: Vielen Dank Anonyma.

00:52:27: Prodosa.

00:52:27: Nummer eins!

00:52:31: Wenn du nicht gedacht werdet willst, dann hörst du das hier.

00:52:33: Dann kannst du ja deinen Namen da gerne noch reinschneiden.

00:52:36: Ja genau!

00:52:37: Dann hast du mehr zu tun.

00:52:40: Wir sind jetzt jiggelos bei der Web-PKI.

00:52:45: Ich glaube so lange habe ich für die Überleitung aber auch noch nicht gebraucht.

00:52:48: Und wir haben da zwei Themen und zwar einmal hab' ich mich in den Nesseln gesetzt... ...und dann hat sich noch jemand, der ein bisschen wichtiger ist als ich in den nessenen Gesetz.

00:52:55: Was möchtest Du dazu erst erzählt haben?

00:52:57: Ich glaube Silvester, wir fangen mal mit dem etwas Wichtigeren an.

00:53:01: Ja, also so steht es ja auch in den Notizen.

00:53:03: Du fängst das nicht wieder an den Notizenden umzusortieren?

00:53:05: Nein

00:53:05: darf ich nicht mehr!

00:53:07: Also nur im begründeten Ausnahmefeld.

00:53:09: Jetzt wird mir hier der Schreibzugriff auf mein eigenes Notizentul entzogen.

00:53:13: Das sind Zustände hier, das ist ja wie in Nordkorea.

00:53:16: Anyway... Es gibt da diese CA die der Bundesdruckerei gehört.

00:53:23: Die heißt Detrust und Detrust ist ein bisschen die CA der die Bundesbehörden vertrauen.

00:53:29: Also Telematikinfrastruktur kriegt er Zeugs von, also EON betreibt auch ihre PKI.

00:53:34: Das ist jetzt nicht Bundesbehörde aber ein großer Unternehmen.

00:53:37: Betreibt auch Ihre PKI über DeTrust, aber auch das BSI hat eine Zertifikate von DeTrUST.

00:53:44: Denn bei DeTrUst was umfällt dann fallen Webseiten von Bundesbehöden und möglicherweise auch so Sachen wie die Telematic-Infrastruktur elektronische Patientenakte und so fast mitum.

00:53:55: Es ist bei Detrust ein kleines Upsi passiert und dieses kleine Upsiführte zu einem etwas sehr viel größeren Upsii, dessen Auswirkungen einigen Leuten die vergangenen Feiertage ein wenig verhagelt haben.

00:54:08: Wir fangen mal mit dem kleinen Upsie an.

00:54:10: das kleine Upsy ist nämlich ich finde es technisch ganz weiß ich nicht originell also aber so also originelle oft dann nicht auf die schöne Art.

00:54:22: Also Detrust hat festgestellt Mitte März dass sie die Gültigkeitsdauer von Zertifikaten falsch berechnet haben.

00:54:32: Das haben Sie festgestellt an Pre-Certificates, also unsignierten Zertifikaten, die Sie sich angeschaut haben und wo Sie gesehen haben – Moment mal!

00:54:44: Die sind ja gar nicht zweihundert Tage lang sondern die sind zweihundert drei Tage lang.

00:54:49: Das ist ein Problem, weil seit dem fünften März zwanzig sechsundzwanzig entendet die Zertifikate also das Ding von heise.de oder von bsi.mut.de nur noch maximal zwei hundert Tage lang sein dürfen dass es eine Vorgabe der des CL-Bauserforums in den aktuellen Baseline Requirements und Der fünfzehnte März war genau der Zeitpunkt an dem das umgesetzt gehört.

00:55:11: Und dann guckt man natürlich nochmal genau drauf und stellt fest auf Faktor ist was falsch und warum das falsch ist.

00:55:17: Das steht in dem Baxilla-Ticket, dass dazu natürlich aufgemacht wurde von Detrus die da sehr transparent kommuniziert haben und auch sehr zeitnah anders als ein anderes Jahr.

00:55:24: Die heute noch mal ein kleines Nebenthema werden wird.

00:55:27: Und sie haben es also so gemacht Dass Sie irgendwie sich einen Datum nehmen den ersten ersten, neunzehntinhundertsebzig um Null Uhr wahrscheinlich und null Sekunden.

00:55:38: dieses Datum ist uns beiden Silvester wohl bekannt nicht weil einer von uns beiden zur Welt kam sondern wer kam oder was kam da zur welt an diesem datum?

00:55:46: Das ist der Anfang aller Zeit.

00:55:48: Die Welt kam da zur Welt, vorher gab es nichts.

00:55:50: Vorher existierte nichts.

00:55:52: Da war alles wüst und leer und wir mussten mit kriegorealischen Kalendern arbeiten wie so Steinzeitmenschen.

00:55:57: Seitdem haben wir eine praktische Zahl nämlich den Unix Timestamp.

00:55:59: das ist also erst seit erster Jahr.

00:56:01: neunzehntsevzig ist halt die Epoche.

00:56:03: Also wenn irgendwo Unix Time Stamp Null in ein Datum gewandelt wird weil irgendjemand schlecht Software entwickelt dann sieht man in so lustigen Auswahlfeldern immer den ersten Erste Neunzehnzebzig So!

00:56:12: Das nehmen Sie sich dann und teilen das auf Jahre, Monate und Datumse.

00:56:18: Und dann rechnen Sie wieviel Monate sind denn hundert neunneunzig Kommann neuen Tage?

00:56:23: sie haben so ein bisschen Puffer einberechnet und kommen dann raus bei sechs Monaten und neunzehn Tagen also sechs monaten und nicht sechs mal dreißig tagen.

00:56:32: das wird noch wichtig.

00:56:33: diese sechs Monate Haben sich dann drauf gerechnet auf den fünften März.

00:56:40: zwanzig sechsundzwanzig als die das getestet haben an dem Tag an dem dieser Änderung in Kraft trat.

00:56:45: und Jetzt sind sechs Monate.

00:56:48: am fünfzehnten März, wenn man in die Zukunft rechnet, sind wir beim Fünfzehnten September.

00:56:53: Habe ich richtig gerechnet?

00:56:54: Genau!

00:56:55: Und dann hatten sie noch neunzehn Tage über also sechs Monate und neunzen Tage war ihre Rechnung... ...und dann sind wir bei einem vierunddreißigsten September.

00:57:05: das ist der dritte.

00:57:09: So und doberweise sind aber zwischen dem fünftzehnte März an den vierten Oktober nicht Zweihundert Tage, sondern zweihundert und drei.

00:57:17: Und das liegt an den Monaten mit einunddreißig Tagen die in dieser Jahres, also in diesem Zeitraum zwischen März- und September da gibt es einfach irgendwie zwei Monate mehr mit einhundertzig Tagen oder so als... Also die sind ja nicht gleich verteilt.

00:57:32: Und dann hast du dummerweise nicht unten neunundneinzig, aber neun Tage, sonder du hast hundert, zwahundert und dreitage.

00:57:38: Das ist ein Problem weil das nicht konformist zu den baseline requirements.

00:57:44: das haben sie dann in ein issue umgewandelt und haben gesagt machen wir mal lieber einen ticket für auf obwohl keine signierten zertifikate davon betroffen waren sondern nur pre-certificates.

00:57:53: aber auch die werden ja ins certificate transparency gelockt soweit ich mich erinnere.

00:57:59: mich kann es jetzt nicht nachschlagen ich hab keine hand frei, aber Sie haben sich dann wohl gedacht da momenten vor dass jemand anderem auffällt mach mal lieber ein ticket auf.

00:58:06: diese pre certificates lautet alle auf einen ganz seltsamen hostname mit ganz komischen saans hinten dran also.

00:58:12: war jetzt nicht irgendwie test.test.hr wie bei jemand anderem, wo wir gleich nochmal kurz drauf kommen sondern pbd-sweiundvierzig.cloud.bbdef-nulleins.itz.in.bunt.de.

00:58:25: also itz ist das informationstechnikzentrum bunt also irgendwas internes.

00:58:31: die sind dann auch promptly revoked worden weil sie sind ja auch irgendwie kaputt und sowas.

00:58:35: Dann haben sie ein Ticket aufgemacht.

00:58:37: Haben da auch eine Diskussion gehabt, weil einige vom CA Browser Forum sagten, Moment mal ist das überhaupt ein Issue?

00:58:44: Wo habt ihr den richtigen Key genutzt?

00:58:46: Hättet ihr einen anderen Key nutzen müssen?

00:58:48: Ist das so ein Problem mit dem wir uns hier befassen müssen?

00:58:52: Hätte auch eigentlich euer Linter merken können dass das kaputt ist und also alles erstmal so Routine oder

00:59:00: ja?

00:59:01: Ich wollte doch eine Sache sagen, weil du hast hier reingeschrieben wie so Rechten die sozusagen in Monaten und haben dann das Problem dass Monate unterschiedlich viele Tage haben.

00:59:13: Also ja ich verstehe auch nicht warum sie es gemacht haben aber Datumsbrechnungen sind halt berüchtig dafür, dass man sie nicht richtig hinkriegt.

00:59:21: also insofern ist das ein totaler Klassiker.

00:59:25: Und wenn sie es irgendwie in Tagen gerechnet hätten oder so, dann werden das vielleicht mal an einem Schaltjahr auf die Füße gefallen.

00:59:30: Weil plötzlich mehr Tage in dem Zeitraum sind als Sie gedacht haben oder irgend sowas.

00:59:35: Ja also

00:59:38: natürlich war das sozusagen falsch aber ich glaube es ist ein sehr guter Gesellschaft.

00:59:42: Es wäre für der den ersten Steinen der sozusagen noch nie eine Datusberechnung mich vielhaft implementiert hat.

00:59:49: Ich möchte an dieser Stelle die Aussage verweigern, macht sie aber trotzdem.

00:59:52: wenn eine meiner ersten Aufgaben in der heise Gruppe damals noch in der Web-Entwicklung war ein Urlaubskalender zu bauen.

01:00:01: Und einen Urlaubskalender enthält natürlich auch Feiertage und zwar auch so lustige Feiertagen wie Ostern und Pfingsten.

01:00:06: und dafür gab es damals also gereden von two thousand eins oder zwei tausend zwei nicht so richtig schöne Bibliotheken in der Sprache, die ich jetzt nicht erwähnen will Rumpfummeln, also das ist mir durchaus geläufig.

01:00:18: Aber sechsten achtzigtausend vierhundert mal zweihundert zu rechnen hätte ich doch einfacher gefunden als jetzt hier irgendwie mit solchen komischen Dingern zu arbeiten.

01:00:26: Bei die Sprache PRP?

01:00:28: Ich möchte dazu nichts sagen.

01:00:33: Vielleicht vielleicht so Also alles erst einmal Routine bis Dimitris Zacharopoulos im Ticket aufschlug wenn der was fragt Oder wenn Ben Wilson was fragt.

01:00:49: Und dann so ganz unschuldige Fragen kommen wie, hey könnt ihr mal gerade so ein paar Details über euren Linting-Prozess mit uns teilen vielleicht und uns auch mal so'n Stück weit erklären ob der und inwiefern der Konform ist?

01:01:00: zu Sektion vier drei eins zwei der Baseline Requirements.

01:01:04: das wäre echt total Knorke.

01:01:06: Dann

01:01:07: hat er Knorkel gesagt.

01:01:09: Nein er hat nicht Knorkell gesagt.

01:01:10: ich glaube dass also es war sehr nüchterter Eizeiler.

01:01:15: Wenn er oder aber schon genau dieser Nachsatz kommt, zeigt uns mal ob ihr das für konform haltet und dass es das ist.

01:01:23: Dann ist das immer so ein kleines A-O!

01:01:26: Weil wenn der so fragt oder andere aus dem CIA-Bauserforum von diesen Silberrücken solche Fragen stellen dann kennen sie oft die Antwort bereits bzw glauben sehr sie zu kennen.

01:01:38: Die baseline requirements, ich habe die ja unter dem Kopfkissen liegen das wissen nur wenige und hab sie dann unterm kopfkissen hervorgeholt.

01:01:44: Ich drückte auch regelmäßig neu aus wenn sich ändern Und so ich habe dies auch so in rohaut gebunden.

01:01:50: also richtig schönes projekt.

01:01:52: Dann die vier drei ein zwei sagt Silvester und ich wissen dass auswendig euch les ich es noch mal vor Ihr soll zertifikate linden Also auf korrektheit prüfen bevor ihr sie signiert.

01:02:02: das wäre auch knock Das kann Das kann das unsignierte Zertifikat oder ein Pre-Certificate sein.

01:02:10: Hauptsache linden und ihr dürft auch eigene Linter verwenden, sollt also schutt aber auch die öffentlichen, äh die üblichen Tools nehmen, die andere Leute nehmen.

01:02:21: Da gibt es eine Toolliste beim CA Browser Forum.

01:02:24: HauptSache linton und Hauptsahre.

01:02:26: ihr lintet auch korrekt und zwar zwingend.

01:02:29: Und jetzt kommen wir in den Bereich des Müssens Also Shell in RFC Notation ab dem fünften dritten zwanzig fünfundzwanzig.

01:02:37: Ab da war dieses Linting vorgeschrieben, da gab es ein Issue zu.

01:02:40: ich glaube wir haben sogar darüber geredet hier im Podcast warum die das linting vorgeschrieben haben.

01:02:43: Das habe ich aber jetzt für diese Folge nicht rausgesucht würde uns auch wieder in so einen Kanickelbau führen aus dem wir nicht wieder aus eigener Kraft rauskommen.

01:02:51: So Dann herrschte Ein bisschen Funkstille Diese Funkstelle Ich guck's jetzt gerade noch mal im Ticket nach wie lange sich diese Funkstile hielt Das andere Ticket gerade nicht mehr offen, zwanzig.

01:03:09: Naja also die Funkstille ging über vier Tage und ähm... Die Funkstelle wurde dann unterbrochen von einem Mitarbeiter von ähm Detrust.

01:03:20: der Mitarbeiter von Detrust ohne weitere ähm Kommentare.

01:03:24: Also dass die die Funk Stille begann am neunzwanzigsten Dritten Und endete am zweiten Dritten und es gab kein Kommentar dazwischen in dem Ticket Und der nächste Kommentar von einem Mitglied oder Mitarbeiter von DITRUST war.

01:03:39: Vielen Dank für den Kommentar und für die Erinnerung daran, dass es diese Sektionen gibt!

01:03:47: Wir haben uns das mal angeguckt und nachdem wir uns das sehr intensiv intern angeschaut haben und auch mal externe Experten gefragt haben – Klammerhauf verschaltet die Bild-Bissach-Arupulus.

01:03:59: haben wir den Schluss gezogen, dass unsere aktuellen Konfigurationsprüfungen also das was sie machen und zu gucken, dass die Zertifikate korrekt sind bevor sie signieren.

01:04:12: Nicht die Definition eines Linting-Werkzeugs wie es in den Baseline Requirements vorgeschrieben ist erfüllen.

01:04:21: Das ist dann eher nicht so gut!

01:04:23: Das bedeutet nämlich, nicht baseline requirement konform war, weil die Zertifikate nicht sauber gelintelt wurden.

01:04:34: Das ist offensichtlicher durch diese neunzehnten Pre-Certificates, die an diesem fehlerhaften Lindingprozess vorbeikamen evident geworden und hat dazu geführt dass sie dann am zweiten vierten als er diesen Kommentar geschrieben hat der Mitarbeiter von DITRUST die Zerdifikatausgabe angehalten haben keine weiteren Zertifikaten ausgestellt haben und am Nachmittag gegen halb vier des selben Tages Ausgabe an ihre Endkunden wieder aufgenommen haben.

01:05:01: So, und alle Zertifikate die seit dem fünften März ausgestellt wurden wurden revoked?

01:05:09: Ja also sie haben am zweiten vierten angehalten.

01:05:14: das heißt ich gucke in den Kalender.

01:05:16: Sie haben siebzehn Tage lang sozusagen falsch ausgestellt.

01:05:21: wie viele Zertifikaten werden es sein?

01:05:22: Die Trust ist so groß nicht.

01:05:24: ne

01:05:26: Ja, nee.

01:05:26: Seit dem Fifzehnten März zwei-tausendfünfundzwanzig nicht zweitausendsechsund zwanzig.

01:05:33: Oh!

01:05:34: Ist so gut.

01:05:35: Das ist so schön.

01:05:36: Weil der Grund für die Revocation ist nicht die zu lange Gültigkeitsdauer, die seit dem Fünftzehntem März zweitauzentzechsundzwanzig gilt.

01:05:45: Denn es wurden ja gar keine Zertifikate mit dieser zu langen Gültigkeit ausgestellt sondern nur Pre-Certificates und die wurden auch alle revoked.

01:05:54: Das haben Sie also rechtzeitig gemerkt, dass da irgendwie drei Tage zu lang an der Gültigkeitsdauer dranhängen.

01:06:00: Sondern... ...der zwingend vorgeschriebene wirksame Linting-Prozess ist das Problem und die Nichtkonformität zu den Basin of Requirements.

01:06:09: Und der ist vorgeschrieben seit dem fünften März zwei tausend fünfundzwanzig.

01:06:17: Unangenehm!

01:06:19: Genau.

01:06:20: Dass zu diesem Zeitpunkt durften Zertifikate noch dreihundert achtundneunzig Tage lang gültig sein?

01:06:26: Das bedeutet auch, dass die Zertifikate, die am fünffzehnten März zwei tausendfünfundzwanzig ausgestellt wurden erst auf natürlichem Wege irgendwann um den fünfzehnten April ist diesen Jahres ausgelaufen werden.

01:06:41: Also dreihundertsechzig Tage drauf wären der fünftzehnte März nochmal neunzig Tage darauf sind.

01:06:46: Der Fünften April achtzehnden April werden die aller spätestens auf natürliche Wege ausgelufen wenn sie ein Jahr Oder die maximalzeit gültig waren.

01:06:54: üblicherweise ist aber ein Jahr also viele von denen war schon nicht mehr gültige, aber sie hätten Sie hätten noch gürtig sein können.

01:07:00: so Also revocation aller seit dem fünften März zwei tausendfünfzwanzig ausgestellte Zertifikate und das zügig und zwar ziemlich züg.

01:07:08: ich Die baseline requirement sagt dazu am in sektion vier neun eins die ca wo

01:07:14: sonst wo sonst?

01:07:15: sollte sie das sagen?

01:07:17: Ja, sie könnte es auch in den Vierneuen Eins Zwei sagen.

01:07:18: Nein, das wissen wir doch beide, dass es im Vier Neunzeins Eins sagt.

01:07:21: Also muss der unseren Hörern glaube ich auch nicht erklären, dass des Vier neunzeinseins ist?

01:07:25: Naja vielleicht doch!

01:07:26: Meinst du es gibt dann noch ein paar Leute die die Sektionen nicht auswendigen popf haben?

01:07:31: Also ähm... also vierneunzeinens eins ist natürlich für Subscriberzertifikate.

01:07:36: man könnte aber jetzt postulieren, dass die Detrust auch Sub-CA's betreibt und dass die Sub-CAs auch eigene Zertifikaten haben.

01:07:46: zwischen dem Fünfzehnten März zwei tausendfünfundzwanzig und dem zweiten April zweitausendsechs zwanzig ausgestellt wurden.

01:07:52: Und das auch eins von denen darunter fällt, aber da gibt es andere Grütlichkeits daran.

01:07:55: Deswegen wird der informierte Hörer natürlich Vierneunens Eins und Viernoneins Zwei nie verwechseln.

01:08:00: Man kann aber die zwei Abschnitte von Vier Neuneins Eins und vierneuneins Zweit miteinander mit einander als Eins miteinander verwechselnd.

01:08:07: Da gibt es nämlich unter Punkt Eins und Unter Punkt Zwei.

01:08:12: Der erste ist wenn der, also es gibt da fünfzehn, sechszehnt verschiedene Gründe warum ein Zertifikat zurückgezogen werden muss.

01:08:23: Die ersten fünf sind im ersten Absatz und der zweiten.

01:08:26: fünf sind in den zweiten neun oder zehn sind eben am zweiten Absatz.

01:08:30: Und... Da sind wir jetzt!

01:08:33: Da sollte ein Zerifikat innerhalb von vierundzwanzig Stunden und muss innerhalb von fünf Tagen zurückgezogen werden mit dem passenden Grund Wenn eins oder mehr der folgenden Dinge vorliegt.

01:09:15: Dieser Fall ist hier eingetreten und weil der Linter, den seht oder diese configuration checks die nennen es noch nicht mal linter Die sie da verwendet haben.

01:09:24: Nicht based on requirement konform war.

01:09:26: so Jetzt ist es der vierte zweite.

01:09:28: ich habe gerade nochmal auf dem kalender geguckt.

01:09:29: Der vierte zweite war grün donnerstag Grün.

01:09:33: Donnerstag hat zwei hervorstechende eigenschaften Es ist der tag vorkraft freitag Und das ist die erste Eigenschaft und die zweite Folg aus der ersten.

01:09:44: Es ist üblicherweise ein Tag, an dem ich nicht um neunzehn Uhr dreißig Feierabend mache weil ich sowieso geistig schon so ein bisschen im Osterurlaub bin.

01:09:50: Ich vermute dass es auch auf viele andere Leute vor allem Admins in Bundesbehörden möglicherweise zu treffen könnte.

01:09:57: Ich war da mit meinen Kindern bereits im Freilichmuseum in Hagen und habe wenig Gedanken an Zertifikatserneuerung verschwendet, die Trust hingegen.

01:10:07: Die sind losgerannt und haben ihre Kunden benachrichtigt wohl so gegen um die Uhr, am zweiten April vor dem längsten Feiertagswochenende des Jahres.

01:10:20: Der Ostermontag kommt ja nämlich auch noch, ne?

01:10:24: Ja der Osterfreitag frei und wir haben Ostermontag frei!

01:10:28: Zwischen Gründonnerstag und fünf Tage drauf liegt Kar Freitag, Kasamstach, Ostersonntag und Ostermondtag.

01:10:36: Und dann hast du den Dienstag kommst wieder ins Büro und siehst Du hättest eigentlich die Zertifikate zurückziehen müssen.

01:10:43: So was ist eigentlich genau das Szenario, denn der Dienstag nach Ostern wäre der siebte Viertel gewesen.

01:10:50: Sie wollten aber nicht wegen noch weiterer Prozessfehler jetzt irgendwie diese fünf Tage reißen und auf die letzte Minute revoke sondern sie haben gesagt wir verlegen das vor.

01:11:01: uns sagen unseren Kunden Oster Montag siebzehn Uhr muss euer Zeug revoked sein so dass es Nicht so geil.

01:11:13: Das ist einfach, neben Weihnachten glaube ich das miesest mögliche Timing für so ein Issue, dass man haben kann und es ist ja nicht auf die Trusts Mist gewachsen jetzt so.

01:11:25: Also es ist jetzt

01:11:26: echt Pech ne?

01:11:28: Es wirklich pech also auch... Ich habe ein bisschen im Forum mitgelesen und auch auf die passenden Reddl Threads dazu.

01:11:35: Also ich tue mich schwer Bis auf den Route-Course, also die Tatsache dass ihr Linter halt kacke war.

01:11:43: Jetzt bei der konkreten Timeline eine große Schuld bei Detrust zu finden.

01:11:48: Also sie hätten vielleicht diese vier Tage Funkstille da hätten zwei draus werden können aber am Ende hätte man dann am Karfreitag oder am Ostersamstag tauschen müssen.

01:11:57: Das hätte den Kohlenang glaube ich auch nicht mehr fett gemacht das Osterwochenende war für verschiedene Admins im Eimer und es mussten ja zwölf Zertifikate getauscht werden oder neunzehn, sondern die Zertifikaten, die in einem ganzen Jahr ausgestellt wurden und dann ironischerweise auch noch vermutlich relativ kurz vor Ablauf ihres natürlichen Lebenszeit.

01:12:19: Wobei Halt Stopp da sind ja noch andere dabei, die zum Beispiel im Dezember zwei tausendzwanzig ausgestellt worden also die hätten die hätte ja noch lange zu leben gehabt.

01:12:27: aber wenn jetzt jemand seit zertifikat so ausgestellt hatte, dass es am achten oder neunten April zwei tausend sechsundzwanzig i ausgelaufen wäre.

01:12:34: Dann hat er trotzdem eine revocation gewonnen.

01:12:37: nun jetzt die frage viele waren das denn ja?

01:12:41: genau?

01:12:41: das wäre jetzt auch meine frage gewesen wenn das bloß irgendwo aufgeschrieben wäre.

01:12:48: also detrust bleibt es nirgendwo hin.

01:12:51: ich habe auch noch nirgends woanders auch in unserer meldung nicht gesehen wie viel zerdifikate getroffen werden.

01:12:55: wenn man bloß rausfinden könnte wie viele das sind wie könnte man sich den ...der Frage näher an, habe ich mich gestern bei der Vorbereitung gefragt.

01:13:04: Meinst du es gibt mal Liste irgendwo von certification?

01:13:06: Man bräuchte eigentlich so was wie eine Liste... ...von zurückgezogenen Zertifikaten!

01:13:12: Ja und zum Glück... Aber jetzt

01:13:13: hab' ich's glaube ich falsch rumgesagt

01:13:14: oder?!

01:13:15: Ja also eine Zertifikats-Revokationsliste meinst du?

01:13:20: Genau!

01:13:21: Ich glaub die heißt im Microsoft Deutsch, die übersetzen das ja alles.

01:13:24: Und auch unter macOS heißt die ganz schlimm.

01:13:28: Moment, das muss ich mal gerade nachgucken!

01:13:30: Das ist ein ganz schlimmes Wort.

01:13:33: Sekundeverbindung ist sicher.

01:13:35: Zertifikat ist gültig.

01:13:36: Wo sind die Details?

01:13:38: Das habe ich mir nämlich jetzt aus Gründen ein bisschen genauer angeguckt.

01:13:43: Hier steht nur CL-Verteilungspunkte.

01:13:45: Das lasse ich gelten... Also wir gucken in die CL.

01:13:47: Detrust veröffentlicht natürlich müssen sie ja in jedem Zertifikat auch die CL- Verteilungspunkte wo also die Gültige CL liegt.

01:13:53: aus dem entsprechenden Advisory, also dieser Hilfeseite bei Detrust auf der Webseite wo jeder Betroffene oder potenziell Betroffen herausfinden kann ob er oder sie betroffen ist oder nicht.

01:14:04: Die betroffenen CA's rausgesucht und habe die mit ein bisschen Stringmagie in meiner Lieblingssprache im kleinen Buchstaben verwandelt Unterstriche aus den Leerzeichen gemacht und habe .cl hinten dran gehängt und habe mir das dann von der Detrust-Webseite runtergeladen.

01:14:23: und dann hatte ich alle CLs.

01:14:25: Und dann habe ich die CLs einfach, wenn man der zweiten Lieblingssprache gegrappt und georgt und gesetted.

01:14:31: Und hatte dann hinterher eine Zahl.

01:14:33: Und diese Zahl war sehr hoch.

01:14:36: Die lag bei ungefähr achtzehntausend Zertifikatsseriennummern denn nur die und der Revocationgrund und das Datum stehen in der CL.

01:14:47: Das kam hier so ein bisschen spanisch vor nachdem ich da vier oder fünf mal draufgeguckt habe.

01:14:51: deswegen dieses Snippet auch nachträglich aufgenommen, denn die DeTrust hat insgesamt nur so knapp dreitausend Zertifikate in der CRTSH stehen für ihren Gesamtbestand.

01:15:05: Das fand ich ein bisschen seltsam.

01:15:07: deswegen habe ich noch ein bisschen genauer hingeschaut und tatsächlich scheint es so zu sein dass die Pre-Certificates also die signierten aber nicht gültigen Zertifikaten eine Art Testzertifikade die man ja braucht um diese Timestamps für Certificate Inspiracy zu bekommen, dass die auch mit revoked werden.

01:15:26: Man sieht aber in der CL von Detrust eine ganz deutliche Spike.

01:15:31: am siebten sechsten und fünften April Ich würde jetzt davon ausgehen das praktisch der gesamte Bestand von Zertifikaten Die bei detrust ausgestellt wurden also um die zweitausend fünfhundert Auch in diesem zeitraum revoked worden.

01:15:46: viel genauer kann uns das nur die trust sagen wenn sie das hier hören oder wenn Sie dazu noch mal eine Info rausgeben.

01:15:55: Der Ford-Out des Ganzen ist, es waren in Anführungszeichen nur TLS Zertifikate betroffen also nicht so Service Zertifikate für irgendwelche Kartenterminals bei Arztpraxen oder solche Geschichten wo es echt schwierig wäre am Ostern Montag eine Revocation und Neuausstellung durchzuführen.

01:16:11: aber trotzdem bedeutete dass wir die Mitarbeitenden von Detrust hatten keine Ostern Und viele Admins vermutlich auch nicht.

01:16:18: Also so ein Zertifikats-Tausch, wenn die Beantragung funktioniert und wenn die heinigermaßen durchautomatisiert ist dann geht das ja relativ flott.

01:16:26: Am Ende sitzt das in Austauschen von zwei Dateien und Neustarten der entsprechenden Dienste.

01:16:29: Websober, Neustaten oder Loadmanager sagen ihr guck mal neu anziehen Das ist ja relativ easy.

01:16:34: Das ist jetzt nicht so eine Sache wo du zwei Arbeitstage mit verbringst aber unter Umständen da steht extra bei Detrust auf der Seite sind auch irgendwelche MDM Systeme und dann die entsprechenden Kleins betroffen gewesen.

01:16:43: also da kann schon ein gewisser Rattenschwanz danach entstehen sehr unangenehm

01:16:48: Und es kann auch einfach sein, dass man irgendwo im Oostolob ist wo man halt gerade schlecht an die eigenen Infrastruktur rankommt.

01:16:55: Ja Okay so und dann und Dann hatten wir zwischenzeitlich also wir hatten natürlich eine schöne Meldung dazu und dann waren zwischenzeitig irgendwelche Webseiten offline von der Bundesverwaltung oder BSI oder so.

01:17:13: Die hatten dann abgelaufene Zertifikate und Allseitige Belustigung war halt ein wirklich etwas größeres Upsi.

01:17:20: aber Also von einem riesen Fallout habe ich jetzt in der Woche danach nichts gehört.

01:17:26: Fairerweise muss man sagen, ich war auch im Urlaub aber dass jetzt noch irgendwo riesen Sachen kaputt sind und der BND keine Pressemitteilung mehr rausschicken kann oder irgendwelche anderen größeren Fallouts sind mir nicht aufgefallen, oder?

01:17:43: Also ich habe auch mal in unserem Heise-Security-Proforum geguckt.

01:17:45: da hat jetzt auch keiner laut gemäckert.

01:17:47: Nee wir auch nicht.

01:17:48: also das weiß es nicht ob das sozusagen dafür spricht dass die Leute ihre Revocations ganz gut oder ihre neue Ausstellung ganz gut automatisiert haben.

01:17:57: Oder ob das dafür spricht, dass die Trust nicht so breit relevant ist?

01:18:04: Automatisierung ist ein gutes Stichwort denn sowas will man ja wegautomatisieren und wir kriegen immer mal wieder dieses auch heute noch jetzt noch das Feedback.

01:18:14: Haar-Zertifikate automatisieren sind nicht so einfach wie ihr euch das vorstellt.

01:18:19: finde ich strafft viele dieser use cases lügen beziehungsweise das akmi protokoll straft die lügen und wir haben ja jetzt auch dns.

01:18:27: persist bald.

01:18:28: was noch weitere dieser fälle wo man keine dns einträge machen kann weil man die zone zum beispiel kontrolliert obwohl man berechnet wäre ein zertifikat auszustellen zum beispiel in größeren unternehmen oder größeren einrichtungen die also noch unterzonen im dns oder sowas haben?

01:18:43: diese sachen werden da auch ausgeschlossen.

01:18:44: aber da geht es immer um die neuausstellung.

01:18:47: Wie sie denn nicht das reguläre Erneuerung zeitbedingte erneuerungen von Zertifikaten?

01:18:53: was ist denn eigentlich mit revocation?

01:18:55: da habe ich mir ehrlich gesagt auch noch überhaupt keine Gedanken gemacht, was passiert wenn letzt encrypt jetzt.

01:19:01: Das sind zwar hunderttausend zertifikate unter anderem auch meins zurückziehen muss wie kriechten mein web server oder mein mailserver?

01:19:07: da kommen wir gleich noch zu den dass überhaupt mit mozillas routeprogramm verlangt das ca die revocation.

01:19:17: Ich habe mir das grob angeguckt, ich hab's jetzt nicht mehr offen auf einem weiteren Bildschirm.

01:19:20: Aber da steht nicht genau drin wie sie diese Revocation testen.

01:19:25: also da ob Sie wirklich einen technischen Test machen müssen mit so einer Revocations in irgendeiner Sandbox und nicht im Produktionsenvironment aus irgendeinem Staging oder ob Sie einfach sagen können wir simulieren das jetzt am Tisch und machen ein sogenanntes Tabletop Exerces.

01:19:37: Wir setzen uns zusammen haben hier unseren Ablaufplan und wir tun so als würden wir den durch exerzieren machen aber keine tatsächlich praktische Experimente damit.

01:19:46: Let's Encrypt hingegen sagte sich, na Moment das finden wir ein bisschen langweilig.

01:19:49: Wir wollen das mal richtig machen.

01:19:51: Wir machen Nägel mit Köpfen und machen mal einen echten technischen Test natürlich nicht in der Wirkunggebung sondern im Staging Environment.

01:19:59: Und das haben sie am sevzehnten März diesen Jahres das erste Mal gemacht und wollen es künftig künftig jährlich machen.

01:20:05: Das ist auch von Mozilla der vorgegebenen Zeitraum.

01:20:07: Man soll jährliche so einen test durchführen aber wie gesagt Mozilla gibt nicht vor dieser test auszusehen hat Und letztendlich hat sich ein relativ ähnliches Szenario genommen, sie haben nämlich so also zu diesem die Trust Dings.

01:20:19: Sie haben also angenommen das eine Anzahl von Zertifikaten in Abweichung von den Baseline Requirements ausgestellt wurden.

01:20:28: Das heißt dass diese mit diesen Grunds super seeded zurückgezogen werden müssten.

01:20:33: und sie haben sich gesagt wir machen jetzt nicht dreizehn oder neunzehnt sondern wir machen gleich mal mit drei Millionen um einfach auch mal bisschen et scale zu testen.

01:20:39: was passiert denn da eigentlich für den Endnutzer, also den Atmen der jetzt irgendwo in der FH Passau sitzt und die Zertifikate da verwaltet.

01:20:51: Wenn er passend durchautomatisiert hätte und passend die Acme Clients genutzt und konfiguriert hätte, hätte er davon gar nicht so viel gemerkt.

01:21:00: Und die, die keine passenden Acme-Clines merken hätten auch nichts gemerkt weil das war ja eh nur im Staging Environment.

01:21:05: aber im Realfall wäre es so dass die AcMe Renewal Information FC neun sieben sieben drei genau dafür ins Spiel gekommen wäre, um dieses diese ungeplante Erneuerung des Zertifikats zu automatisieren.

01:21:21: Ich gehe da jetzt nicht in ins Detail.

01:21:24: IE würde auch fast wetten wollen.

01:21:27: wir haben das schon mal kurz drüber geredet gibt der CA eine Möglichkeit für jedes Zertifikat so eine Art API Endpunkt festzulegen und Darüber kann dann der Acme-Cline abfragen, wann er dieses Zertifikat in Renewen kann.

01:21:42: CAs wie zuvor aller Vorderst Let's End Clip haben nämlich das Problem dass sie natürlich auch eine gewisse Last auf ihren Systeme haben und das so ein bisschen versuchen müssen zu streuen.

01:21:54: einer der Mechanismen dafür ist auch, dass man dem dem Zertifikatsinhaber sagt hey du kannst das nicht zu beliebigen Zeiten sondern erst ab Eine Woche und dann variier ich diesen Zeitraum einfach.

01:22:04: Dann sage ich nicht eine Woche, sondern beim anderen sage ich acht Tage so dass sich das ein bisschen streut.

01:22:10: Das ist so eine Art für die Lastverteidigung.

01:22:12: aber dieses sogenannte renewal window Ist auch dafür gut eine revocation also einen notfallmäßige Erneuerung des Zertifikats anzuzeigen.

01:22:21: denn wenn die ca diese diesen zeitpunkt ab dem das zertifikat verlängert werden kann Nicht auf einem zeitpunkt in irgendwelchen in der zukunft als nächste woche oder so setzt Sondern auf einen vergangenen Zeitpunkt.

01:22:33: Dann ist das das Signal für den Acme Client jetzt sofort erneuern, Ausrufezeichen eins, eins, elf also so fort dass Zertifikat neu holen denn möglicherweise wird es irgendwann zwischen Jetzt gerade und in zwei oder drei Stunden revoked.

01:22:49: Das geht aber nur wenn der Acme client AI unterstützt.

01:22:53: Das tut ein ganzes Bündel davon unter anderem auch zärtbot Und wenn er regelmäßig diesen Status sich abholt dann dieser status muss er sicher von.

01:23:01: bleiben wir beim Beispiel von Let's End Krypton.

01:23:04: Auf meinem System ist das ein Cron Job und dieser Cron-Job läuft alle zwölf Stunden, hat dann nochmal einen Sleep mit einem Random Wert zwischen Null und Dreiundvierzigtausend Zweihundert also bei weiteren Zwölfstunden maximal eingebaut so dass es zwischen dem Zeitpunkt wo dieses Renewal Windows sich ändert und der Cron job ausgeführt wird und mein zärtbautes merken würde bis zu vierundzwanzig Stunden liegen können.

01:23:28: Das kann bei einem schwerwiegenden Grund für die Revocation knapp werden, denn das haben wir ja gerade gehört gemäß den Basern Requirements.

01:23:34: Muss die CA dann innerhalb von vierundzwanzig Stunden revoken?

01:23:37: Also wenn zum Beispiel der Private Key der CA das CA Zertifikatsabhandlung gekommen ist oder der Private key des Zertifikats in fremde Hände gelangt ist und die CA das merkt statt des Subscribers Dann muss die CA innerhalb von Vierundzwzig Stunden Revoke und ich glaube wenn der Subscriber es anzeigt, dann muss sie das auch anyway.

01:23:59: Das Fazit daraus ist ein bisschen die Revocation für CAs, die Acne beherrschen und für Acne-Clines, die passend konfiguriert sind auch schon wegautomatisiert.

01:24:09: D.h.,

01:24:09: wenn du ein Let's Encrypt Zertifikat nutzt und Zertboard verwendest und so die Defaultwerte von Debian oder Ubuntu nimmst dann hast du nur relativ geringes Risiko dass du plötzlich ohne Zertifikat da stehst, auch wenn du über Ostern verreist warst oder Ostereier suchen warst.

01:24:26: Es gibt ein Blockartikel, den verlinken wir auch in den Show Notes zu dieser Simulation der Master Vocation.

01:24:31: Die hat noch eine etwas ernüchternde Zahl nämlich dass die Anzahl dieser Acme Clients diese AI-Information abfragen relativ gering ist also ihr prozentual relativ gerennt.

01:24:44: zur Menge der Zertifikate aber das ist so ne Zahl die wahrscheinlich sich dann einfach mit zunehmender Durchdringung auch verbessern wird hoffe ich zumindest und Im Fall von D-Trust, um auf den nochmal kurz zurückzukommen.

01:24:58: Gibt es zwei Acme im Prinzip?

01:24:59: Zumindest sagen das die Webseiten.

01:25:00: aber ich glaube in diesem konkreten Fall war das nicht relevant zumal auch nicht nur Domain validierte sondern auch Organisationsvalidierte Zertifikate betroffen waren und da gibt's eh kein Acme.

01:25:14: Du bist stumm!

01:25:17: Ja ja immer das gleiche wenn du mal nicht machst dann mach' ich's.

01:25:19: Vielleicht soll mir das noch mal erklären.

01:25:21: Wir haben hier beide die gleiche Art von Mikro, die so ein Touch-Ting haben und wenn man das berührt dann wird das Mikrostum geschaltet und dann reden wir immer und merken nicht dass wir nicht gehört werden.

01:25:33: Zwei Sachen sind mir dazu eingefallen.

01:25:34: Das ist eine, wo ich nochmal raus wollte.

01:25:36: Da hast du gesagt dieser Lindigprozess der ist vorgeschrieben Und es ist halt dieses berüchtigte Scherl und das fällt glaube ich gerade deutschen Lesern von solchen Anforderungen auf Englisch immer wieder auf die Füße Weil es gibt ja die Möglichkeit zu sagen, etwas Mast.

01:25:54: Also eine Anforderung ist ein Mast und dann ist halt irgendwie glaube ich auch Deutsch sprechen sehr klar, die ist unabdinglich.

01:26:02: Und das Gegengestück dazu wäre einen May im Sinne von, dass sollte man tun.

01:26:07: Es gibt aber sozusagen noch zu beiden Stufen zwei gleichwertige Worte und statt dem May kann eben auch Schürt gesagt werden und das bedeutet eben auch, das ist ne Sollteanforderung Aber statt Mast kann eben auch Shell gesagt werden.

01:26:22: und Shell klingt glaube ich für viele nicht englische Muttersprache dann irgendwie doch sehr ähnlich wie Schutt und so.

01:26:27: Und das ist es halt nicht, Shell heißt dass es ein absolutes Muss.

01:26:32: Das ist nicht zum ersten Mal, dass ich mitkriege... Also das hat hier glaube ich keine Rolle gespielt, die hatten einfach diesen lindigen Prozess nicht.

01:26:39: Ich habe schon mehrfach mitbekommen, wenn wir heute sozusagen so eine Antwortung gelesen haben und gesagt haben, der ist ja okay, die ist ja nur Shell da können wir nur später drum.

01:26:47: Und das ist halt nicht der Fall.

01:26:48: Also Shell ist gleich bedeutend mit Must und das sollte man sehr oft im Schirm haben, wenn man solche Antwortungen liest die sich ja üblicherweise alle an diese Nomenklatur erhalten.

01:26:59: Das andere was mir eingefallen oder aufgefallen ist ich weiß ich also ich fand es relativ überraschend.

01:27:05: Die haben dann das Problem festgestellt dass sie sozusagen keinen Prozess haben der dem Anforderung eines Linting-Prozesses entspricht haben die ZDFK-Ausgabe angehalten und sie dann am zweiten Viertel, im Nachmittag des selben Tages wieder aufgenommen.

01:27:19: Das heißt Sie haben scheinbar innerhalb dieser paar Stunden Ihren Prozess so weiter aufgebohrt dass er den Anforderungen entspricht was ich überraschend schnell finde.

01:27:29: Ich weiß nicht ob du da weitere Informationen hast aber wenn das so ist würde ich sagen zumindest diese Reaktionsgeschwindigkeit finde ich lobenswert.

01:27:39: Ja es hat mich auch ein bisschen gewundert weil In diesen paar Stunden müssen sie ja einen baseline requirement conform linter Deployed haben.

01:27:49: so also Sie schreiben in diesem ticket was von configuration checks und Die seien nicht entsprechen nicht den Anforderungen an einen linter.

01:27:59: Also es gibt jetzt zwei möglichkeiten entweder sie Haben das soweit gefixt mit externer unterstützung in diesen paar stunden Weil nun noch dieser eine check fehlte auf die auf die gültigkeits aufs gültigkeit datum dass sie zuversichtlich waren, dass ihre checks einfach nur einen Fehler hatten und den haben sie behoben oder Sie sind in aller Eile auf einem der empfohlenen Linter umgestiegen.

01:28:23: Anyway, das ist schon eine relativ kurze Geschichte.

01:28:26: ich könnte mir mal vorstellen dass es in den vier Tagen auch einfach vorbereitet wurde.

01:28:29: und was wir dann gesagt haben so wie halten jetzt an?

01:28:31: Wir haben uns in den letzten vier Tagen die Lösung gebaut und jetzt deployn wir das schnell und dann haben wir halt ein paar Stunden Versatz.

01:28:39: Das klingt plausible.

01:28:45: Und dann habe ich ja versprochen, Ich mache jetzt auch mal den Kotau und erzähl mal was von einem eigenen Fack ab.

01:28:51: Einem selbst produzierten und der hängt mit zwei Glaubenssätzen zusammen die ich hier im Podcast immer Mal wieder vertreten habe Mit unterschiedlicher vehiments.

01:29:00: also der erste ist man kann auch mal ein Mailserver selber hosten das ist nicht so schwierig.

01:29:05: Da haben wir vor einigen folgen als es um diese Souveränitätsgeschichten ging drüber gesprochen.

01:29:12: Das zweite hatten wir gerade eben erst vor ein paar Minuten.

01:29:14: Zertifikate kann man super voll automatisieren und die Kombination aus beiden ist mir jetzt mal vor die Füße gefallen, und zwar ohne dass ich es gemerkt habe.

01:29:22: Ich hab Mails bekommen.

01:29:24: also erst habe ich am Telefon mit jemandem gesprochen der mir sagte ich habe versucht in den Mail zu schicken Die kamen zurück und dann kriegte ich noch eine WhatsApp von jemandem mehr.

01:29:33: ich habe hier versuchten E-Mail zu schreiben.

01:29:34: da kam eine Ellen lange Fehlermeldung zurück Und dann habe ich die.

01:29:38: von den Leuten die keine ITler sind Also zumindest nicht so admins oder sowas, habe ich die aber einmal bekommen diese Bounce-Nachricht.

01:29:47: Die war wirklich ellenlang.

01:29:48: dann im Word Format und da stand dann drinnen, das ist schon immer nicht gut, TLSA Invalid the Domain Failed Dane.

01:29:58: Dane ist nicht Danemark sondern die DNS Based Authentication of Named Entities.

01:30:03: also das bindet Zertifikatshashes an DNS Einträge.

01:30:07: hört mal gerne in Folge sieben und dreißig rein.

01:30:10: wenn euch das weiter interessiert haben wir mit den petatomasen von deseg über dns seg gesprochen auch über seine anwendung widain.

01:30:16: Und das kann man eben nutzen um email abzusichern, ne?

01:30:20: Und da kann ich dann also einfach gesagt prüfen ob der innehaber von weblafase.de ja auch dieses zertifikat kennt dass da auf seinem server reucht.

01:30:29: und das benutzt man eben auch für e-mail server Für alles was ich so mit TLS mache, let's encrypt.

01:30:37: Also habe ich alle neunzig Tage spätestens je nachdem was dieses AI Renewal Window sagt ein neues Zertifikat und damit ändert sich natürlich auch dessen Hash Damit der TLSA eintragen.

01:30:48: Das ist ein DNS Eintrag.

01:30:49: das heißt Ich hab dann auf jeden Fall diesen Medienbruch dass ich nicht auf meinem eigenen Server irgendwas endere Und einen Zertifikat irgendwie von A nach B kopiere.

01:30:56: Sondern ich muss auch ein Dns Eintracht erstellen und neu publizieren im dns und das ist jetzt kaputt gegangen Leider, und da hat Silvester mir ins Stamm hochgeschrieben.

01:31:06: Das ist ein bisschen unbefriedigend aber ich kann es leider nicht anders erzählen.

01:31:10: Leider weiß ich nicht warum das vorher funktioniert hat.

01:31:12: also ich kann das höchstens darauf zurückführen dass sich mein Mailserver... ...daß ich da den Webserver abgestaltet habe und.. ..das jetzt alles in einem etwas anderen Setup ist.

01:31:20: Aber wie das auch immer ist bei solchen Aufgaben, das war kaputt und gehörte dann gefixt und das war gerade so in der Recherche zu der Folge.

01:31:30: Das war ja auch eine ganz witzige Koinzidenz Das Zertifikat selber erneuern, wenn ich keinen Web Server habe auf dem auf der Zielkiste ist kein Problem.

01:31:39: Das macht man mit den DNSnodeinschallenge und dem API von desektor.

01:31:43: kann ich dann also einen neuen.

01:31:47: Mit einem Plugin von für zerdbott eine Challenge publizieren alles prima so.

01:31:52: aber wie kriege ich jetzt diesen neuen TV SA Eintracht in den dns?

01:31:56: das hab auch mit einer Automatisierung gebaut.

01:31:58: Und zwar gibt es bei Zertbord diese sogenannten Post Deploy Hooks, das ist ein Hook den du ansprechen kannst sobald einen Certificat erfolgreich neu ausgestellt wurde also ausgestellt oder neu ausgestellt wurde.

01:32:08: Das heißt, sobalt das live ist des Certificats und dein zum Beispiel Webserver als nutzen kann wird dieser Post Deploi Hook von ZertBord ausgeführt und somit auch nur im Erfolgsfall.

01:32:18: Und das habe ich jetzt verwendet indem mich einfach wieder in meiner zweiten Lieblingssprache geschrieben kurzen Skript diesen notwendigen Hasch für diese TSA Eintracht erzeuge, den per API Call wie man das so macht mit CURL da in der API einkippe und dann neuen Eintrag habe.

01:32:38: Und zwar die Idee immer wenn mein Zertifikat sich ändert und zBot losrentenlich neues Zertifikat bekommen.

01:32:46: also egal ob revocation oder renewal ist dieser Dane-Eintrach nur Ohne ungefähr zwei Stunden Fehlersuche und Implementierung gekostet.

01:32:59: So neun Zeilen Bash sind das, ich glaube, ich hoffe, ich habe damit jetzt erstmal Ruhe.

01:33:04: Das sehen wir dann also spätestens in knapp drei Monaten.

01:33:06: Da rede ich hier wieder darüber, dass es schon wieder kaputt gegangen ist oder möglicherweise testigst auch in der nächsten Woche schon denn da läuft ein weiteres Feature von diesem AI-App über, was wir gerade schon geredet haben nämlich der sogenannte First Retreat Timer.

01:33:19: Ich darf auch erst nach einer Woche versuchen das Zertifikat zu erneuern.

01:33:22: Das wäre ja auch quatsch, wenn ich so ein neunzig Tage Zertifikat alle drei Tage erneue, dass es nur nötige Last auf die Systeme verletzt enden könnte.

01:33:28: So moral!

01:33:30: Auch das lässt sich automatisieren... Ich habe den Peter Thomas noch mal per E-Mail gefragt wie er's denn machen würde und er sagte Ja, das klingt erstmal ganz sinnvoll aber Es gibt auch einen angepasstes Zertbott.

01:33:42: Und das heißt dann Danebot, dass diese Sachen in einem Auffaschen macht also direkt ins Zerrtbott.

01:33:47: Also wir auch wieder The Unix-Brain, es gibt mindestens drei Wege die nach Rom führen und man kann also auch solche Sachen zum Glück sauber durchautomatisieren.

01:33:58: Wenn ihr sozusagen wissen wollt ob Christopher seinen Setup und seine Behauptungen wieder auf die Füße fallen könnt ihr jetzt einfach regelmäßig Milch schreiben und gucken ob sie bauzen?

01:34:09: Ja ihr müsst sie dann aber auch von irgendeinem Mail Server schreiben der selber den zwingend voraussetzt.

01:34:17: also zum beispiel offensichtlich microsoft macht das inzwischen aber auch so einige deutsche sachen ich glaube von meiner hausbank hat auch probleme mit mir zuzustellen und so die.

01:34:27: ich weiß nicht welche infrastruktur die nutzen, aber ja tut es bitte nicht.

01:34:37: Wenn ihr jetzt automatisiert und jede woche eine mail schreibt dann automatisier ich das auf der anderen seite und schmeißt die jede Woche weg.

01:34:44: Ich

01:34:45: kaufe schon mal Popcorn, ich beobachte das.

01:34:48: Okay.

01:34:54: Dann zwei Zeilen in Skype.

01:34:57: ja dieses Langlauf-Ticket von der Finanzjahr Agents Ciesca aus Kroatien die so Testzertifikat und allen möglichen anderen Kram ausgestellt haben was sie nicht hätten machen dürfen.

01:35:09: Die haben ewig lange daran rumgerüttelt und die Kommunikation immer wieder verzögern.

01:35:14: Das machte insgesamt eher einen mittelmotivierten Eindruck, was sie da im Baxilla abgeliefert haben.

01:35:19: Das Ticket ist aber jetzt nun nach Langem Leiden geschlossen.

01:35:22: Es gab wohl ein Nachaudet oder zusätzlich ein Audit für die FINA und irgendwie... Also ich hatte so das Gefühl alle beteiligten hatten einfach keinen Bock mehr auf das Ticket.

01:35:32: Ich glaube, Fina will jetzt Postwenden versuchen wieder in die Browser zu kommen und hat jetzt in der Mozilla CCATB wieder einen Antrag gestellt.

01:35:39: Hab das aber noch nicht validieren können?

01:35:40: Sie sind ja momentan nur bei Microsoft verankert und wahrscheinlich lag es auch deswegen daran, dass nicht alle Akteure jetzt da so mit vollem Werf auf die Strafkiste gedruckt haben weil es gar nicht viele Strafmaßgaben im Namen gegen eine CA gibt, die nur in einem Browser verankered ist.

01:35:57: Also, so richtige Konsequenzen habe ich da nicht gespürt.

01:35:59: Das gab es schon mal Rigida und wenn man sich anschaut wie Detrust mehr oder weniger in voraus allen im Gehorsam denn ihren ersten Fuckup haben sie ja selber bemerkt aufgetreten ist und wie jetzt diese CA auftritt dann muss ich sagen hat sich Detrust erheblich transparenter, erhebig professioneller und viel vertrauenswürdiger aufgestellt.

01:36:18: aber immerhin kann ich jetzt aufhören dieses Ticket zu verfolgen und einmal in der Woche zu reloaden.

01:36:27: Das ist auch gut.

01:36:27: Wir freuen uns alle mit dir!

01:36:29: So, wir haben gerade ein bisschen Lagebesprechung gemacht Christopher und ich weil wir halt schon bei gut einer halb Stunden Podcast sind und wir haben noch viele Themen auf der Liste.

01:36:39: Wir haben uns aber dagegen entschieden mal wieder eine Bonusfolge zu machen, weil das alles Themen sind wo es jetzt suboptimal wäre wenn die noch ne Woche länger rumlägen.

01:36:47: wer weiß was sich da so tut.

01:36:50: Deswegen seht uns nach, dass diese Folge wahrscheinlich wieder ziemlich brutal lang ist.

01:36:55: Das hier ist ein ganz guter Punkt mal zu pausieren falls ihr sie gerne in der Mitte pausiert oder so und dann wieder einsteigt.

01:37:01: In der Mitte...

01:37:02: Weiß ich nicht!

01:37:05: Schauen wir mal!

01:37:06: Sie haben

01:37:08: einen randomisierten Zeitpunkt zu pauschieren.

01:37:13: Wir regnen jetzt einfach doppelt so schnell.

01:37:14: Ich glaube da funktioniert das auch.

01:37:16: Nee, das machen wir nicht.

01:37:17: Das könnt ihr ja selber machen in eurem Player, wenn ihr da keinen Bock drauf habt und so lang zuzuhören.

01:37:22: Genau!

01:37:22: Wir kommen auch zum nächsten schicken Thema.

01:37:24: Und zwar gab es in Wim.

01:37:26: Wenn man so will auch in Emacs aber das ist nicht so interessant...interessant ist der Wim einen Bug.

01:37:32: Wim ist ein sehr bekannter Editor den ihr vermutlich kennt.

01:37:36: Da gab's einen relativ krassen Bug nämlich musste man lediglich eine Textarteil mit diesem Editor öffnen Und dann konnte der Angreifer, der diese Datei eben zur Verfügung gestellt hat, mit dem Code ausführen.

01:37:48: Das ist ungut!

01:37:50: Um zu verstehen was da passiert ist, weil es einerseits ganz interessant ist aber ich erkläre auch gleich noch warum wir jetzt hier genau bei diesem Bug reden muss ich zwei Sachen vorausschicken.

01:37:59: das eine ist also für Leute die halt irgendwie nicht täglich WIM hernehmen, WIM kennt sogenannte Mode Lines und

01:38:05: ich hoffe stark dass wir wenig solche Leute unter den Podcast dran haben.

01:38:10: Was nehmen sie denn dann?

01:38:11: Die nehmen wahrscheinlich Helix her oder Neo Wim.

01:38:15: Und damit ist, glaube ich, hundert Prozent unserer Podcast-Hörerschaft abgedeckt.

01:38:20: Sondern wenn jemand mit IMEX aufschlägt?

01:38:22: Ach, mit Imex!

01:38:24: Okay, ich gehe hier diesen Flame war aus dem Weg.

01:38:27: auch iMEX ist ein schickes Betriebssystem.

01:38:30: und rede jetzt darüber was WIM so kann.

01:38:33: nämlich diese Modelines Modell sind letztendlich sozusagen Kommentarzeilen am Anfang oder Ende einer Datei, die den Editor konfigurieren.

01:38:43: Und das klingt erstmal ein bisschen harte Büchen aber es hat einen relativ breit genutzten Anwendungsfall zum Beispiel so Sachen wie na wie viel wie breit ist ein TAP also eine Einrückung?

01:38:55: Oder nutzt diese Datei überhaupt TAPs oder Leerzeichen für die Einrückung und so?

01:39:00: Das kann man eben im Editor natürlich konfigurieren, aber man kann das eben auch in so eine Mode Line schreiben und dann hat es den Effekt wenn Wim diese Datei öffnet verfährt er eben mit dieser Datei so und zeigt sie so an wie das eben gedacht ist.

01:39:12: Und wenn man da drei Zeilen ergänzt, dann brechen die halt nicht irgendwie das Tab versus derzeichen Erschema dass in dieser Dateien vorherrscht.

01:39:18: Diese Mode Lines können aber auf Wunsch noch deutlich mehr.

01:39:23: Und das andere Feature das man kennen muss Autokomands kennt.

01:39:27: So heißt es, das ist letztendlich einfach so eine Huckmöglichkeit.

01:39:31: also da kann man Kommandos definieren die an gewisse Ereignisse gebunden werden und dann führt WIM dieses Kommando halt aus wenn das betroffene Eregnis eintritt.

01:39:42: Das ist sozusagen Vorrede.

01:39:44: jetzt geht's um die Fehler die in WIM sind.

01:39:46: Designe ist es gibt die Tab Panel Option der fehlt intern ein Fleck namens PMLI nicht weiter wichtig aber das hat den Effekt dass man in der Tab-Panel Option Ausdrücke mit Prozent geschweifte Klammer notieren kann von Programmen, die ausgeführt werden sollen.

01:40:06: Und das kann deswegen auch eine Mode Line setzen und normalerweise sollte sowas nur funktionieren wenn man explizit Mode Line Expressions als Option freischaltet.

01:40:16: aber weil dieses Flagg fehlt funktioniert es eben in den in der tab panel Option auch ohne dass man Motornexpressions freigeschaltet hat.

01:40:28: Aber selbst wenn das der Fall ist, so eine Motornextression ist natürlich sozusagen ein Ausdruck aus einer unsicheren Quelle stammt den führt Wim in eine Sandbox aus und diese Sandbox blockiert halt allerlei Dinge.

01:40:40: sie blockiert unter anderem auch das Kommando Autocommand die man solche Autocomands definieren könnte.

01:40:46: aber hier kommt der zweite Fehler.

01:40:48: es gibt noch einen Funktionsinterface für diese Autokommands, Autokomand-Unterstich Add.

01:40:55: Und diese Funktion fehlt ein CheckSecure und das hat eben genau den Effekt dass diese Funktion Aufruf in der Sandbox erlaubt ist.

01:41:04: Das heißt jetzt kann ich eine Modeline Expression bauen die einfach in der Standardkonfiguration ausgeführt wird obwohl Modeline Expressions nicht angeschaltet sind und die dann so einen Autokamand registriert obwohl eigentlich in der Sandbox keine solchen Autokommands registriert werden können sollen.

01:41:21: Und das Schöne ist jetzt, diese Autokomand wird ja dann ausgeführt wenn ein Ereignis eintritt.

01:41:27: und wenn ich jetzt eine Eregnis wähle des Eintritt nachdem die Sandbox nicht mehr aktiv ist, dann habe ich halt Ausführungen außerhalb der Sand box.

01:41:36: praktischerweise also da muss sich mir gar kein Ereignis irgendwie ausdenken was eintrit wenn ich nicht mehr in der sandbox bin sondern es gibt das ereignis safe state again.

01:41:45: Das heißt Wim hat gerade die Sandbox verlassen, das ist ein Ereignis und daran kann ich Kommandos binden.

01:41:51: Und fertig ist die Laube.

01:41:52: Ich kann halt eine Modelling-Expection dahinter legen, die einen Autocommand definiert, dass ausgeführt wird wenn die Sand box verlassen wurde und dann kann ich mit dem Code ausführen.

01:42:05: So was macht man?

01:42:05: oder wie macht man eine Proof of Concept?

01:42:07: Wenn man eine solche Lücke findet, die sozusagen mit einer bloßen Textdatei ausgewitterten kann?

01:42:14: völlig richtig Man schreibt in die Beschreibung dieser Lücke den Proof-Of-Concept rein.

01:42:21: Also diesen Advisory steht sehr schön drin, this advisory is itself a proof of concept.

01:42:28: Die hat unten so eine Modelein und wenn ich halt diese Advisory in einen betroffenen Wimm aufmache dann passiert genau das wo es in dem Advisory geht.

01:42:36: Das fand ich einer der elegantesten POCs die ich in letzter Zeit gesehen habe Und insgesamt ist es halt ja ein relativ Schicke Lücke, die betroffenen Bugs wurden mittlerweile behoben.

01:42:49: Wir haben so einen neuen Punkt zwei, Punkt zero eins sieben zwei.

01:42:55: Es wird auch gerade eine Debatte darüber geführt ob man diese Modelines nicht eventuell per Default ausschaltet oder zumindest einschränkt.

01:43:03: es sieht aber aktuell eher nach Einschränken aus weil sonst ein bisschen viel kaputt ging was so in der Welt sich befindet.

01:43:11: Da gibt es einige Stimmen, die sagen das ist ein bisschen wenig.

01:43:15: Das ist einfach ein viel zu riskantiges Feature.

01:43:19: Man kann jedenfalls diese Mode-Lines abschalten.

01:43:21: Debian zum Beispiel macht das per Default.

01:43:23: also es ist auch nicht so dass das total obskur wäre und dann tausend Sachen explodieren wenn eine ganze Disposition des Standardmäßig machen kann.

01:43:30: für alle anderen ihr könnt halt in eurer WimRC Set NoMode Line definieren und dann habt ihr dieses Problem nicht.

01:43:38: Warum reden wir über den Bug?

01:43:40: Also einerseits fand ich das, ich fand es einfach schon ein bisschen gruselig.

01:43:44: Also Texturteile öffnen ist normalerweise was man als relativ sicher ansieht.

01:43:49: Ich fands auch einfach schick dass das Advisory ein Proof-Konzept ist.

01:43:53: aber vor allem sagt der Finder er hat diesen Bug sozusagen nicht direkt selber gefunden sondern letztendlich hat Claude den gefunden also diese KI und zwar Der KI einfach folgenden, sehr knappen Prompt gegeben.

01:44:08: Somebody told me there's an RCE zero day when you open a file find

01:44:12: it.".

01:44:12: Also jemand hat mir gesagt es gäbe einen Remote Code Execution Zero Day wenn man eine Datei öffnet in Bezug auf will finde ihn und dann ist Claude halt losgerannt.

01:44:25: der ganze Denkprozess ist auch publiziert.

01:44:27: also wo man halt sieht was Claude mit sich selber so quasselt wir tun das in die Show notes ja dass mal sehen will.

01:44:33: Aber wenn das sozusagen so stimmt und ich sehe keinen Grund, dann zu zweifeln.

01:44:38: Dann hat man halt mit einem wirklich sehr trivialen Prompt den Absolut.

01:44:41: jeder kann einen sehr schwerwiegenden Back in dem sehr verbreiteten Editor gefunden und dass ist schon sehr unangenehm.

01:44:52: Mit nem ähnlich trivialen Promp haben sie auch noch was im E-Max gefunden.

01:44:57: Da bin ich eher der Meinung, das ist... Also die Emacs Leute sagen, dass es überhaupt keine Lücke bei ihnen gibt.

01:45:03: Ich bin eher auf dem Dampfer.

01:45:04: Das ist einfach gar keine Lücke!

01:45:06: Da muss man nämlich nicht nur eine Datei öffnen sondern neben dieser Datei muss ein DortGit-Verzeichnis liegen.

01:45:13: Der Witz des Emacs erkennt dann, dass sich hier halt um ein Git Repo handelt und führt dann halt Git aus.

01:45:19: Und wenn man halt Git loslässt auf ein Dortgit Verzeichnis dann kann da Kot ausgeführt werden.

01:45:24: Also nehmt vielleicht das mal mit, Lastgit nicht los auf irgendwelche nicht vertrauenswürdigen Dot-Git Verzeichnisse weil da kann dann alles Mögliche passieren.

01:45:34: Das würde ich aber sagen liegt mehr in der Natur der Sache.

01:45:37: also da sehe ich eigentlich nicht so sehr die Lücke.

01:45:41: was sich halt gruselig finde ist dass man mit so simplen Prompt so schwerwiegende Bugs in so populären Projekten finden kann.

01:45:49: Das passt ganz gut zu einer Thematik Wir aktuell auch in der Redaktion recht breit diskutieren.

01:45:56: Aktuell rollt eine Welle an KI-Bucksreports auf alle möglichen Projekte zu und zwar nicht, so wie vor ein paar Monaten noch war, ne Welle von Slop, also von Buck reports die letztendlich fast alle Schmarrn sind und einfach hallucinierter Müll sondern von guten Buck Reports, die wirklich relevante vorhandene Fehler beschreiben.

01:46:21: Und das ist also einerseits halt gut, dass Bugs gefunden werden bringt aber ein Haufen Projekte in massive Ressourcen Probleme.

01:46:30: Dass sie dieser Welle irgendwie herrwerden müssen und man kann eigentlich nur hoffen oder halt schauen ob man es irgendwie da wiegefindet, das in den Griff zu bekommen bevor die bösen Jungs alle zu Klo greifen oder sogar zu darauf spezialisierten Karriers und deshalb ausnutzen, dass diese Systeme so gut geworden sind um alle möglichen Projekten aufzumachen.

01:46:51: Dazu passt auch ganz gut diese aktuelle Meldung, dass Anthropic sein neues Modell Mythos ja nicht öffentlich zugänglich macht.

01:46:59: Die haben so eine Initiative gegründet die sie Glasswing nennen und da sollen jetzt irgendwie ausgewählte Firmen und Forscher halt Zugriff auf Mythos bekommen.

01:47:09: Ganz genau mit dem Argument das Mythos sehr so gut darin sei Sicherheitslücken zu finden wäre viel zu gefährlich das einfach sozusagen allen Leuten zur Verfügung zu stellen.

01:47:19: ich sehe es schon sehr kritisch, also Anthropik ist dann natürlich in einer sehr machtvollen Position.

01:47:31: Aber ich kann zumindest nachvollziehen dass sozusagen dieser Gedankengang vorhanden ist weil es offenbar wirklich so ist dass diese Modelle so gut geworden sind das man sich Sorgen machen muss was die so in alltäglichen Softwareprojekten finden.

01:47:45: Dieses ganze Problem ist ein Thema für eine andere Episode und wahrscheinlich auch ein Thema, für mehrere Artikel und so.

01:47:51: Wir werden das also sicher irgendwann wieder aufgreifen.

01:47:53: aber dieser Wimphall war halt sehr aktuell und sehr anschaulich und deswegen wollte ich den hier mal nach erzählen weil er halt zeigt wie simpel diese Prompt sind und wie leicht man sozusagen schwerwiegende Bugs in wirklich populären Dingen findet.

01:48:11: Ich glaube, wir müssen uns warm anziehen.

01:48:12: Zumindest in den nächsten Monaten.

01:48:13: Schauen wir mal wie lange es hält!

01:48:15: Also dieser Reasoning-Prozess... ich habe mir den kurz rein geschaut.

01:48:19: Den fand ich auch ganz witzig.

01:48:24: Also das war... also ich bin kein Vulnerability-Researcher aber das Vorgehen war eigentlich ganz interessant.

01:48:32: Der hat ihn die Gitlogs geguckt und hat auch geguckt.

01:48:34: so sind da Kommit-Messages, die irgendwie verdächtig aussehen und dann hat er da nichts drin gefunden.

01:48:40: Und dann hat der eben Code geguckt ob bei irgendwas findet wo so Security Flex fehlen und da gab es dann mehrere.

01:48:46: Das eine war das... wie heißt das?

01:48:50: PMLE gibt aber auch irgendwie noch PSECure oder sowas und dann hatte das relativ schnell die Stelle identifiziert.

01:48:58: Fand ich interessant zu lesen hatten.

01:49:02: Es ist ein schönes Beispiel für diesen diesen Reasoning-Prozess.

01:49:07: Ja,

01:49:13: mehr habe ich dazu nicht zu sagen außer wir werden sicher weiter darüber reden in zukünftigen Folgen.

01:49:22: Es gab jetzt auch auf der UnpromptedCon einen Talk wo es im Wesentlichen AI ist.

01:49:27: besser im Lücken finden als ich selber bin.

01:49:29: von einem Researcher Das war auch während meines Osterurlaubs hatte ich das Gefühl, dass da so diese AI Security Singularität erreicht war.

01:49:38: Mal sehen ob das halb ist oder ob wir jetzt wirklich in eine produktive Phase kommen.

01:49:47: Deutlich, deutlich jenseits von irgendetwas wie hype aber auch deutlich ihrer eigentlichen Lebenszeit sind die Objekte unseres nächsten Items und zwar geht's um Drucker, Router.

01:50:09: Schreibmaschinen.

01:50:10: Ich habe gerade einen Kurztest der Enigma für die CT geschrieben und auch die Ticke zurück aber diesmal im Touchformat mit USB Anschluss.

01:50:21: Es geht nicht um die Enigma es geht um Router und zwar erinnert euch vielleicht an das kürzlich verhängte Routerverbot wo amerikanische Zulassungsbehörde FCC, also die auch selbst alles was irgendwie eine Antenne hat oder alle möglichen elektronischen Geräte zulassen muss dann mit den USA verkauft werden dürfen gesagt hat.

01:50:37: Geräten die nicht in den USA gefertigt sind und wo auch die Chips, die senden und empfangen nicht in USA fertig sind.

01:50:43: Die sind nicht mehr verkehrsfähig, die kriegen keine FCCI, die mehr.

01:50:47: da geht es um neue Zulassung und für neue Gerätetypen aber es ging auch irgendwie um Updates jenseits des ersten.

01:50:54: erstens zwei tausend sieben zwanzig glaube ich Und dieses Verbot kommt nur herum sehr aktuell oder zukünftig die Geräte in den USA herstellt.

01:51:01: Die allermeisten Routerhersteller machen das nicht, es gibt ein paar wenige darunter.

01:51:06: SpaceX also Starlink wird wohl in Texas zusammen gelötet aber enthält auch Komponenten die nicht aus den USA kommen.

01:51:13: Man kann eine sehr aufwendige Ausnahmegenehmigung beantragen Aber da muss man sich so nackig machen dass das in aller Regel für die meisten Importeure entweder nicht möglich Unrentable sein wird.

01:51:25: Wer sich dazu ein bisschen weiter informieren will, da habe ich mit Linus und Tim in Lockbruch-Netzpolitik fivehundertundvierzig drüber gesprochen.

01:51:32: Die Folge packe ich nochmal in die Show notes.

01:51:35: Da haben wir uns schon ein bisschen gefragt wie kommt denn dieser drastische Schritt zustande?

01:51:38: Denn das ist ja so eine Art Vertriebsverbot.

01:51:41: Das gab es vorher schon mal.

01:51:42: für so Sachen wie Huawei Geräte oder für bestimmte Drohnen also autonome FPV Dronen.

01:51:49: Ist das im Ende letzten Jahres auch verhängt worden.

01:51:51: diese sogenannte covered list enthält bis jetzt aber relativ wenig Geräte und Gerätetypen.

01:51:56: Und dann eben so in einem Broadstroke, im großen Rundumschlag alle ausländischen Router.

01:52:02: Jetzt kommt ein möglicher Grund raus denn die US-Behörden CISA und FBI das NCSC aus Großbritannien und des Deutsche BSI und der Verfassungsschutz warnen unisono vor einer Angriffskampagne auf TP-Link-Router und auf Mikrotik-Rutter, die sie verhindert haben wollen oder die sie detektiert haben.

01:52:26: Und deren durchführendes Organ deswegen ist auch der Verfassungsschutz.

01:52:28: damit im Boot sei abt achtundzwanzig.

01:52:32: Abt acht und zwanzig kennen wir auch unter vielen anderen Namen darunter Forest Gump, ich meine Forest Blizzard, Fancy Bear, Strontium und Sophocy oder Sophocys, keine Ahnung wie man das ausspricht.

01:52:44: So, wenn wir jetzt den Blizzard uns ein bisschen genauer angucken und den Bär dann landen wir weil das ja die Landeskomponenten dieser Benahmung sind in Russland.

01:52:55: Und dass die Vermutung ist es ab achtundzwanzig, die auch nicht erst seit gestern im Geschäft sind fast sicher Teil des russischen GRU also des rossischen Militärgeheimsdienstes sind.

01:53:05: Fast sicher natürlich weil da der GRU keine Farbe bekannt hat.

01:53:09: aber das ist wohl eine nachverziehbarer und sichereren Attributionen.

01:53:15: Der GRU existiert auch schon eine ganze Weile, und macht auch schon ne ganze weile solche Sachen die dann nicht sicher attributierbar sein sollen um eben diplomatische oder möglicherweise sogar militärische Unternehmlichkeiten zu umschiffen.

01:53:28: So.

01:53:28: die fahren jetzt eine sogenannte DNS-Pause in den Kampagnen Indem sie diese Router mit falschen DNS Informationen ausstatten.

01:53:36: Das machen Sie indem sie eine ältere Sicherheitslücke ausnutzen nämlich unter anderem das Die einzige, die in den Advisories genannt wurde oder explizit genannt würde.

01:53:45: CVE-Zwanzig Dreiundzwanzig Fünf Null Zwo Zwo Vier.

01:53:49: Wir sind im Jahr zwanzig Sechs und Zwanzig.

01:53:51: Die Lücke ist also auch schon gut abgehangen Und mit dieser Sicherheitslücke klauen sie sich die Credentials der Router.

01:53:58: Das ist eine Information Disclosure Lücke in dem Web-Server und dieses Routers Web Server auf Routern wir hätten.

01:54:05: weiß ich nicht ob es eine gute Idee war aber man kann das durchaus auch sicher bauen wenn man möchte.

01:54:10: Diese Sicherheitslücke erlaubt es, die Zugangsdaten auszulesen, die in der Datei slash temp slash dropbear slash dropbeer pwd hinterlegt sind.

01:54:20: Dropbear hat jetzt nichts mit Russland zu tun wegen des Beerennamens sondern das ist ein sehr leichtgewichtiger SSH-Demon glaube ich für Embedded Devices.

01:54:35: Also eine Alternative zur OpenSSR.

01:54:39: Dann kann man diese Credentials nehmen, um sich im Management Interface einzuloggen.

01:54:44: Wenn das übers Internet erreichbar ist was wirklich nicht so sein sollte also die ganze Lücke Huster rauf dass man entweder schon in dem LAN ist, indem dieser Router steht oder dass der Router seinen Management Interface, das Webinterface ans Übers internet freigegeben hat.

01:55:00: und das ist nicht Die Default Einstellung selbst bei diesen Geräten nicht.

01:55:04: Also Das sollte man hier auch nochmal hervorheben.

01:55:08: deswegen CVE auch ein relativ niedrigen Score von nur sechs Komma Acht Aber trotzdem nutzt hier ab zu achtundzwanzig das um die Settings des Routern zu ändern und zwar einfach eine neue DNS Resolver Adresse da einzutragen.

01:55:20: Zu sagen jedem Klein gibst du jetzt bitte die folgende DNS adresse mit wo die dann diese Kleinst dann also ihre dns Anfragen auflösen.

01:55:29: Und dass ist ein fieser Trick denn das führt dazu, dass wenn ich dann mein laptop in so einen derart unterwandertes Netzwerk einbuche der per DHCP eine IP-Adresse kriegt, DNS-Einstellungen kriegt und da dann ein DNS Resolver drin ist, der nicht vertrauenswürdig ist.

01:55:46: Klingt unangenehm?

01:55:48: Ja.

01:55:50: Dieser DNS-Resolver davon gibt es ungefähr zweihundert Stück die vermutlich von abt achtundzwanzig betrieben wurden und zwar bei so Hostern wie Vichost, Hydra Communications, Alex Host also sehr klingende Namen aus dem hosting Geschäft.

01:56:05: das sind wahrscheinlich Alles eher kleinere Läden oder vielleicht sogar so Budut Proof-Hoster, wo man relativ leicht ein Stapel VMs kriegt.

01:56:12: Sie haben dann auch teilweise, das sieht man in den IP Adressen Dutzende VMs bei einem Hoster direkt aufeinander folgenden IP Bereichen, sodass sie da also im großen Stil wohl VMs gemietet haben.

01:56:23: und ich habe gestern mal drauf geschaut dass grob wenn nicht sogar alle dieser VMs Antworten sogar noch auf dns anfragen.

01:56:29: also da kann ich fragen hey wiesen das was ist ein office punkt microsoft nicht.

01:56:33: wie heißt das autoluck.office.com?

01:56:35: Was hatten das für eine IP adresse?

01:56:36: und dann geben die eine IP Adresse zurück sind also offene resolver die es übers internet Erreichbar sind.

01:56:41: dass an sich ist auch schon Sicherheitsproblem.

01:56:43: so.

01:56:44: Das Ziel der Angriff habe ich gerade schon bisschen gespoilert das sind nämlich Microsoft login tokens.

01:56:50: Die router diese DNS server verbiegen die dns antworten für Aus.

01:56:56: dem ist die Outlook.office.com und ein paar weitere Microsoft Spezifische auch dieser Auto Discover Hostnames, die in Mail client also einen Outlook benutzen würde um automatisch seine Einstellungen zu erfragen und so ein paar andere Sachen aus einem Microsoft Universum werden verbogen.

01:57:18: Es sind auch weitere Domains betroffen, die werden aber nicht disclosed.

01:57:22: Also da steht nichts davon in den Adversaries, die ich gefunden habe bei NCSI und beim Verfassungsschutz oder beim BSI.

01:57:29: Und wenn ich dann also ein Nutzer bin der auf seinen Outlook Webmail zugreifen will, also dieses OWA hier ist das früher Dann käme in diesem Fall erstmal eine Zertifikatswarnung denn obwohl sie eine gefälschte DNS Antwort mir unterschieben können.

01:57:45: Ich glaube, Outlook.office.com sei irgendwo bei Alex Host gehostet.

01:57:51: Was Sie nicht fälschen können ist das CLS-Zertifikat für Outlook .office .com.

01:57:55: Denn das kriegen sie nur wenn Sie der CA nachweisen können dass Sie OUTLOOK.Office.Com kontrollieren und das ist zum Glück relativ schwierig zu fäken.

01:58:04: deswegen vertrauen wir diesen ganzen WebPKI System noch so halbwegs.

01:58:08: also diese Zertifikatswarnung hätte ein Nutzer wegklicken müssen.

01:58:13: fairerweise Kann man sagen, dieser Nutzer ist es vielleicht gewohnt.

01:58:17: Dass sein Zertifikat am Oster-Wontag plötzlich wie Bock war und

01:58:19: der Ehe so eine Warnung

01:58:20: gekommen hat.

01:58:22: Ist denn schon wieder Ostern?

01:58:25: Leider sind ja solche abgelaufenen Zertifikate durchaus auch nicht so ne singuläre Problematik sondern das hat man immer mal wider.

01:58:34: ich hatte das neulich bei irgendwelchen Landesinstitutionen in NRW wo mich ein Leser darauf hingewiesen hat und ich danach gefragt habe.

01:58:40: dann kommt dann immer so Schwurbelantworten zurück Ja, aufgrund eines technischen Besonderheit konnten wir das Zertifikat nicht rechtzeitig verlängern.

01:58:49: und die technische Besonderkeit ist dann es ist Montag oder das Zerdifikat ist am Sonntag ausgelaufen.

01:58:55: Also diese Zerdifikatswarnung musste man wegklicken und dann gab's eben Attacker in the middle.

01:58:59: also da saß der Angreifer konnte den Treffig zwischen seiner gefakten VM mit dem gefaketen Outlook Office-Weboffice-Ding und dem Client abgreifen.

01:59:13: Und konnte dann nach hinten raus einfach irgendwas wie Evil Jinx oder sowas, das reguläre Outlook WebOffice nachladen da die Zugangstokens abgreifend und dem Nutzer seine eigene E-Mail anzeigen indem man es einfach durchgeschleift hat.

01:59:28: also klassisches Attacker in the middle.

01:59:31: Ich habe versucht es nachzuvollziehen also zu gucken ob diese Fake Website noch online sind.

01:59:37: aber die fünf IP-Adressen, die als DNS Antwort gegeben werden.

01:59:40: Da sind Port und Achtzig und Port vier für drei momentan zu?

01:59:43: Die pingen aber noch!

01:59:44: Also die gibt es schon noch, aber eine von denen habe ich geportscanned und da war dann so hier port hundertnein dreißig offen also Samba hier dieses Microsoft NetBIOS und das ganze Zeugs.

01:59:54: Also keine Ahnung was sie dann noch mitgemacht

01:59:56: haben.

01:59:58: Hast du dich nicht erst mal gleich mit diesem Samba server verbunden mit deinem Windows PC?

02:00:05: Nein... Ich glaube nicht.

02:00:08: Also wenn ich irgendwo Pott, wenn ich in den Potskern irgendwo machen muss und ich sehe Pott hundertneinundreißig ist offen dann halte ich davon vor allem eines Abstandes.

02:00:16: Das ist eine Angriffskampagne die jetzt hier identifiziert wurde.

02:00:20: das ist aber bei Leibe nicht das erste Mal dass diese Sicherheitslücke systematisch durch Angriffs Kampagnen ausgenutzt wurde denn bereits zwei tausend dreien zwanzig vor drei Jahren hat ein Botnet namens Quad Seven also sieben sieben Sieben vermutlich aus China gesteuert diese lücke ausgenutzt und dann auch microsoft kunden angegriffen aber diesmal mit password sprang für irgendwelche micros irgendwelchen microsoft tools also sicherlich auch wieder oder hundert fünf sechzig, oder so etwas und wollte eben microsoft konnten knacken hat im grunde die router einfach nur als slaves verwendet die dann regelmäßig versuchen sich irgendwo in web interfaces einzulangen.

02:00:56: Microsoft hat in einer eigenen Untersuchung im Oktober zwanzigvierundzwanzig festgestellt, dass damals dieses Botnet hauptsächlich aus TP-Link Soho-Routern bestünde und das Stach einer hervor der TLWR eighthunderteinenundvierzig N. Der war zu diesem Zeitpunkt ... wir reden vom Jahr zwei tausenddreienzwanziger bereits seit drei Jahren.

02:01:18: End of Life ist dann also noch in ein Botnet gekommen und nochmal drei Jahre später im Jahr zweitausendsechsundzwantzig taucht das gleiche Ding wieder auf in einer Liste von angreifbaren Routern, die diesmal aus Russland mit DNS-Poisoning Angriffen versehen werden.

02:01:36: Also da weiß ich auch nicht.

02:01:42: Ich frage mich ein bisschen... Da komme ich aber gleich nochmal ganz kurz zu.

02:01:46: Warum das Aufhebens?

02:01:47: Sind da jetzt noch Millionen Geräte von im Feld?

02:01:51: also ist das Fritzbox Niveau bei der Marktdurchdringung in Deutschland.

02:01:57: Was würdest du schätzen?

02:01:59: Das wäre meine Frage gewesen, weil das ist eine alte Lücke die schon mehrfach oder zumindest einmal groß ausgenutzt worden ist, die in dieser Kampagne nur zum Tragen kommt wenn nicht des Webinterface ins Netz stellt was nicht der Default ist.

02:02:19: und dann muss ich als Nutzer noch die Zertifikatswarnung wegklicken.

02:02:25: Das klingt nach einer sehr geringen Erfolgsquote, weil ja all diese Schritte genommen werden müssen.

02:02:33: So dass ich jetzt angenommen hätte, naja gut das rentiert sich halt wenn ich sozusagen diese Krapagne ausreichend breit fahren kann, wenn ich da Millionen Geräte habe so dass ich sage naja auch wenn irgendwie die Kombination von Bedingungen nur bei Null Komma fünf Prozent der Fälle zutrifft ist es immer noch erklecklich.

02:02:53: Ist es denn so?

02:02:56: Ja, nee.

02:02:57: Also der Bundesamt für Verfassungsschutz spricht von weltweit mehreren Tausend Geräten.

02:03:04: Microsoft hat sich ein bisschen genauer dazu geäußert.

02:03:08: Sie sagen es seien zweihundert Organisationen weltweit betroffen und fünftausend Konsumers also Konsument entkunden.

02:03:16: was auch immer jetzt diese Organisation heißen mögen und die fünftaussend Konsumergeräte Passen für mich die ganz aufeinander, aber sind mir auch relativ egal.

02:03:26: Denn die Zahl für Deutschland ist erheblich weniger beeindruckend als fünf tausend und fünftausend finde ich schon nicht besonders beeindruckt für so eine Kampagne, die ja von einem großen mit vielen Bannern beteiligter Ermittlungsorganisationen versehene Presseecho begleitet wird.

02:03:41: es sind in Deutschland dreißig Geräte.

02:03:46: Dreißig Arten von Router?

02:03:49: Nein, dreizig Router!

02:03:51: Okay

02:03:52: Also das sind ungefähr so viel wie bei dem Vergleichstest im CT-Labor stehen würden oder sowas.

02:03:56: Also die Menge, keine Ahnung.

02:03:59: wenn ich jetzt hier einen Kreis um mein Haus ziehe, egal wie klein der ist da stehen wahrscheinlich mehr als dreißig Router.

02:04:06: Also es sind wirklich...

02:04:07: Ich muss irgendwann mal die Zuhause vorbeikommen.

02:04:09: weil also egal wie Klein der ist, das heißt du hast mehr als dreizig Router in deiner Bude?

02:04:13: Naja um mein haus nicht in meinem Haus!

02:04:16: Ja Du hast gesagt egal wie Kleinde er ist.

02:04:17: Na ja gut stimmt.

02:04:18: Er müsste schon, er müsste schon keine Ahnung, hundertfünfzig Meter oder hundert Meter Radius haben, wie auch immer.

02:04:25: Da sind dreißig individuelle Geräte die da in Deutschland gefunden wurden und alle

02:04:30: stehen sie bei Christopher.

02:04:32: Alle steht sie bei mir im Keller genau.

02:04:34: Alle drei sich verwundbar an TP-Link Router.

02:04:39: Ich habe das im LNP mich schon selber gedoxed.

02:04:42: ich betreibe tatsächlich auch schon seit über zwanzig Jahren fast ausschließlich Fritzboxen erst Linksus WRT-Virin Fünfzig GS und dann Fritz Boxen.

02:04:52: Jetzt könnte man denken, naja diese dreißig individuellen Geräte und vor allem dieser angreifbaren Router das muss ja alles uraltes Zeug sein.

02:05:00: Und zu groß, Großteils ist es auch so.

02:05:03: also das NCSI hat eine komplette Liste aller dreiundzwanzig gerähte Typen.

02:05:08: Also man kann jetzt rechnen Es sind ungefähr eins Komma zwei fünf Geräthe pro Gerätetyp Rechnerisch in Deutschland.

02:05:14: Dreiundzwantzig Typen Das sind LTE-Router ein oder zwei WLAN Router, auch noch so drei G-Router einer glaube ich dabei und ein oder zwei Access Points.

02:05:25: Und die meisten sind lange End of Life, end of Service and off all werden nicht mehr geupdatet und das sind halt so Sachen, da verwundere ich mich über die zweihundert Organizations in dem Microsoft Advisory.

02:05:37: So was stellst du dir doch nicht in dein Unternehmen?

02:05:39: Also A stellst Du dir das nicht in deinen Unternehmen?

02:05:41: und B warum zur Hölle, wenn du so ein Ding schon in deinem Unternehmens, wir reden hier von so zwanzig Euro Geräten.

02:05:47: Dann warum hast du das Management Interface über's Internet freigegeben?

02:05:53: Also fehlt mir... also da weiß ich nicht.

02:05:56: Keine Ahnung.

02:05:57: Ja, dass man das mit zwei Hundert, also ich würde jetzt mal hoffen viel geleitete kleine Unternehmen findet.

02:06:04: Überrascht mich, also weltweit, ne?

02:06:06: Das überrascht sich jetzt nicht so sehr.

02:06:08: Naja gut ja es müssen ja Riesenkonzerne sein, das reicht ja wenn da es Blumen hätten sind oder so.

02:06:14: Gut Das ist aber nicht hundertprozent so.

02:06:18: eines von den Dingern nämlich ein Access Point der VA-Achthunderteinens N Der steht in der Liste auch drin allerdings noch mit dem D hinten.

02:06:27: der heißt dann da ND.

02:06:28: Ich weiß nicht genau ob das nochmal ein deutlicher Unterschied ist.

02:06:30: Den habe ich bei meinem stichprobenartigen Besuch im Lokalen Medien mag tatsächlich auch noch im Regal gefunden.

02:06:36: Der steht dann, ob der jetzt noch angreifbar ist oder eine gepätschte Version hat weiß ich natürlich nicht.

02:06:40: aber diese TP-Link Geräte sind hierzulande einfach in Elektronikmärkten einer von drei oder vier Herstellern den man da üblicherweise findet für Netzwerk Hardware also für Router Access Points, Switches und so was Da ist.

02:06:52: TP Link glaube ich relativ gut in Deutschland vertreten Natürlich als alternative möglicherweise etwas günstiger Alternative zu dem großen Berliner Hersteller Der so heißt wie ein geiler Kurzform des Namens Friedrich.

02:07:07: Claudia Plattner hat sich dazu zitieren lassen, glücklicherweise gehen wir mit Blick auf die nun erfolgreich gestörte Angriffskampagne von einer sehr gering betroffenen Anzahl in Deutschland aus.

02:07:16: Gut dann ist mir mal eine Frage aber auch warum so ein großes Besteck für dreißig Geräte?

02:07:21: Das ist wieder so ein bisschen wie die Nischensoftware für die plötzlich die Polizei vor der Tür steht weil ich einen Update machen soll und ich habe gar nicht geguckt ob es inzwischen Update für das Ding gibt oder ob wir immer noch bei Rotfix sind.

02:07:33: Und hat dieses Routerverbot in den USA was damit zu tun.

02:07:36: Beides ist unklar, sich niemand öffentlich zu geäußert zumindest nicht das ich wüsste.

02:07:40: es ist aber ziemlich wahrscheinlich und ich will jetzt auch nicht sagen Es ist doof dass da jetzt jemand etwas getan hat also dass das BFV und BSI da jetzt was gemacht haben.

02:07:48: mich wundert eben nur Das für dreißig Geräte so ein Aufwand betrieben wird und für wesentlich größere und möglicherweise Impact vollere Sicherheitslücken dann eben nicht.

02:07:58: Also finde ich finde ich seltsam, vielleicht ist da noch irgendwas dahinter versteckt was wir nicht wissen.

02:08:06: Fazit?

02:08:07: Also

02:08:10: ich sehe auch diese Parallel zu der Polizei die anrückt wegen dieser komischen was weiß ich aber kein Inventar Software sondern ein Product Life Cycle Software.

02:08:19: also

02:08:19: sozusagen die Aktion an sich nicht schlecht aber irgendwie so grotesk unproportional.

02:08:28: Und wir jetzt schauen mal, ob wir noch mehr solche Sachen in nächster Zeit kriegen.

02:08:31: Auch hier ist es so dass ich den Eindruck hatte aber ich habe's nicht first hand verfolgt weil ich im Urlaub war.

02:08:37: Ich hatte den Eindruck das hier wieder nicht das BSE-Federführende vorgeprescht ist sondern der Verfassungsschutz und auch das fügt sich für mich wieder in.

02:08:47: so ein Bild, zugegebenermaßen hab' ich auch ein bisschen Feedback gekriegt aus Behördenkreisen vielleicht etwas verschwörungstheoretisches Bild.

02:08:56: Ich habe das Gefühl, da gibt es jetzt allerlei Organisationen.

02:09:00: Das fühlt sich für mich an die, die so ein bisschen zeigen wollen hier.

02:09:03: wir können auch Cyber Security und wir können richtig was reißen.

02:09:07: Und sie suchen sich dann immer relativ begrenzte Cases aus wie diese Dreißigrouter und sagen guck mal was wird zusammen mit NCSI und CSER hier reißend können?

02:09:17: Wir haben hier dreißig Router stillgelegt weil... Die Betroffenen, das steht auch in den Hinweisen vom BRV.

02:09:22: Die Betroffene wurden einzeln sensibilisiert so wie ich das verstanden habe.

02:09:27: Ob das jetzt nur das BRV gemacht hat oder das BSI?

02:09:30: Also da ist eine Gefährderansprache!

02:09:33: Ja also...

02:09:35: Ich meine wenn es der Plan ist wir fallen in Haufen Dinge ein die der Verfassungsschutz wirklich dringend tun könnte Billow-Router irgendwie aus dem Verkehr zu ziehen oder abzusichern.

02:09:52: Das scheint mir eher Antwerbung dann zu sein, ne?

02:09:56: Kann man so und so sehen.

02:09:58: ich glaube... also ich bin da auch skeptisch.

02:10:02: Und auch für die Für das BSI und CISA und wie sie alle heißen Den würde es deutlich besser geziehen statt ständig dieses Auch hier der Russe auch fünftausend Router stillgelegt, weil einfach in diese institutionellen Probleme zu gucken die eben auch im Heimatmarkt vorhanden sind.

02:10:26: Aber vielleicht möglicherweise nicht in so einem zwanzig Dollar DSL-Router sondern in so einer zwanzichttausend Dollar Security Appliance.

02:10:33: Ich habe endlich mal wieder Security Appliances gesagt.

02:10:34: das hat mir schon fast ein bisschen gefehlt.

02:10:36: Anyway ich möchte einen Fazit loswerden damit dass ein bisschen in produktive Bahnen gelenkt wird und zwar für euch da draußen die ihr diesen Podcast hier hört der fällt mir verschreckt.

02:10:45: der Kugelschreiber aus der Hand.

02:10:46: nehmt das end of live datum bei geräten die ans internet anschließt ernst vor allem wenn das ruder sind oder manage switches oder weder an access points irgendwie Dinge die so ein management interface haben und fragt beim kauf danach oder macht euch schlau wie lange dieses gerät noch updates bekommt.

02:11:04: Das gilt, vor allem aber auch wenn ihr das für andere kauft die nicht so tech affin sind wie ihr sagt jeder und jedem die ihr da beratet, mit denen ihr sprecht oder diskutiert.

02:11:16: Alles was eine Software und eine Firmware hat das ist kein Hammer den man kauft und dann so lange damit auf Nägel haut bis der Kopf abfällt sondern die brauchen Wartung.

02:11:26: sie haben eine Lebensdauer nicht durch mechanische Ermütungen oder Durchausfall der WLAN Antenne das gab es glaube ich bei Fritzboxen mal definiert ist sondern dadurch dass die Software nicht mehr unterstützt wird.

02:11:36: und wenn ihr in eurer Familie So der Elektronik-Computerbeauftragte seid, dann schaut mal nach was stehen dafür Geräte rum?

02:11:45: Haben die so eine Non-Standard-Konfiguration?

02:11:47: weil Cousin Thomas gesagt hat ey das ist für mich einfacher Opa's Router zu warten wenn ich Fernzugriff machen kann und aufs Webinterface von außen übers Internet komme.

02:11:58: Im Zweifelsfall seid ihr nämlich diejenigen die das machen können und die da einen Urteil auch fällen können, Oma und Opa meistens nicht und auch der Cousins Thomas der dann plötzlich nichts mehr von sich hören lässt vielleicht auch nicht Generell, er wäre das Management-Interface seines Routers ins Internet exponiert.

02:12:14: Der hat die Kontrolle über sein Leben und wahrscheinlich auch über seinen Router

02:12:18: verloren.".

02:12:24: So, ja

02:12:27: fahrt ich

02:12:30: aber ein gutes Fazit.

02:12:43: Du bist ja auch durchaus sozusagen ein konstruktiver Aufruf.

02:12:49: Jetzt bin ich wieder dran das heißt ihr kommt zu was weniger Konstruktiven.

02:12:54: Ich fand es aber zu interessant einfach um es liegen zu lassen und wollte drüber reden.

02:12:59: Es gab ja, werden wahrscheinlich viele von euch mitbekommen haben einen League vom Source Code von Claude Cote.

02:13:07: Also das Produkt heißt leider Cloud Code und das Produkt hat halt Code.

02:13:10: Und der Code von Code wurde geliegt.

02:13:12: Der

02:13:12: Source-Code von Code.

02:13:14: Was?

02:13:18: War kein Angriff oder so, sondern Anthropic hatte es einfach irgendwie verbaselt.

02:13:22: die haben eine Source-Map veröffentlicht für Leute denen das jetzt nicht sagt.

02:13:27: also dieser Code... Das geht um den Kleinseitigen Code.

02:13:30: Das war halt TypeScript und Javascript und so.

02:13:34: So.

02:13:35: was minifiziert man üblicherweise einerseits damit es nicht so groß ist, aber auch andererseits damit's halt nicht gescheit lesbar ist.

02:13:44: Und weil sich Minifizierter Code aber brutal schlecht die buggen lässt gibt es dann Source Maps.

02:13:50: das sind Dateien die sozusagen diese minifizierten code wieder auf den ursprünglichen code abbilden können damit man halt schön sieht wo was schief gegangen ist wenn man irgendein Fehler nachspült.

02:14:00: Und so eine Source-Map wurde aus der Szene veröffentlicht und dadurch konnte sozusagen dieser Code halt einfach allgemein diminifiziert werden.

02:14:09: Das ist dann sehr schnell irgendwie auf auf GitHub gelandet, und dann wurde es irgendwie tausendmal geforkt und manche von diesen Fox sind schon wieder weg und viele andere sind noch da und das erfindet sich glaube ich mittlerweile auch im Internet Archive dieser Code.

02:14:23: Also er war nicht mehr aus der Welt zu kriegen und ich glaub Enthropik hat das auch gar nicht versucht weil ihnen klar war naja die Diese Katze ist halt jetzt aus dem Sack.

02:14:32: Und man kann in diesem Code durchaus Interessantes sehen, also insbesondere unter meiner Meinung nach und insbesondere unter der Hinsicht, dass ein Floppeger damit Werbung macht, dass sie diesen Code auch eben mit Cloudcode entwickeln, ne?

02:14:47: Also der Source Code... Der Code von Cloudcode wird mit Cloud Code gekodet.

02:14:53: Was?

02:14:53: Kann das alles nicht mehr!

02:14:56: Das wachst du jetzt bitte.

02:14:57: dreimal.

02:14:58: Einmal habe

02:14:59: ich

02:15:02: es geschafft, das reicht.

02:15:05: Naja und also ich hab mich so ein paar Sachen rausgeschrieben.

02:15:07: Man muss auch sagen... Ich hange an den Veröffentlichen von anderen entlang.

02:15:12: Ich hab das sozusagen insofern verifiziert als diese Sachen sich tatsächlich in dem Code finden weil ich mir den Code halt besorgt hab und da reingeguckt hab ob das da so steht.

02:15:21: Ob die ganzen Sinnzusammenhänge so sind wie vermutet ist ein bisschen offen mit das grundsätzliche Problem auf, dass ich raus will.

02:15:29: Aber was halt recht schnell im Raum stand war die Befürchtung so hoch wie dieser Sourcecode jetzt öffentlich ist dann finden da Leute vielleicht Sicherheitslücken drin.

02:15:38: und naja also bedingt kam es so.

02:15:40: Also es gab eine Veröffentlichungen von der Firma.

02:15:43: die haben festgestellt na ja Claude Colt kann halt auch so Kommandos ausführen also Kommando-Zeilen, Kommandose und da kann man ja Unterkommandos bauen dem halt Befehle verketten Und er versucht das sozusagen auseinanderzubrechen und dann eben zu gucken sind alle Unterkommandos erlaubt.

02:16:00: Wenn ja, dann fühle ich es einfach aus.

02:16:02: wenn nein, dann frage ich halt zurück oder blockiert ist oder so.

02:16:05: na und diese Prüfung machte halt bei bis zu fünfzig unterkommandoes und wenn da mehr drin steht, dann machte einfach per default also analysierte nicht sondern einfach sagt per die folter fragen wir den Nutzer.

02:16:21: Insofern nicht schlecht, weil es kein Fail open ist.

02:16:23: Also er macht zumindest nicht per Default, dass sich das Ding einfach laufen.

02:16:27: Aber es ist halt auch kein Failed closed.

02:16:29: Weil wenn's da eben Kommandos gibt oder Nutze exklusiv gesagt hat die einfach verbieten, tritt das halt auch nicht ein sondern der Nutzer wird gefragt und dann kann man sie natürlich schon ausmalen, dass das irgendwie ausnutzbar ist.

02:16:42: Ein Nutzer kriegt irgendwie so eine Rückfrage und hat sich daran gewöhnt, dass irgendwie kritische Kommando hatte er eh verboten.

02:16:49: Die oder die Nutzerin neigt dann vielleicht sehr dazu, da einfach relativ unbesen auf ja Machmal zu klicken.

02:16:56: Eben in der fehlgeleiteten Annahme das Kommandos immer nicht haben will ja eh verboten sein.

02:17:02: Ändert nichts an dass der Report.

02:17:04: er hat es sehr aufgebauscht, deswegen verlinke ich den auch nicht weil das war schon ein bisschen arg überdramatisch.

02:17:10: aber hier ist es halt schon.

02:17:11: also fünftig ist es nicht so viel warum?

02:17:13: Warum analysiert ihr nur bis zu fünfzig Kommando's?

02:17:16: und das Schöne ist halt Dieser Quellcode von Anthropic der Weißduch aus Kommentar auf und dann kann man da einiges aus den Kommentaren rausziehen.

02:17:24: Und das steht eben zum Beispiel drin, also zu dieser Frage.

02:17:28: Rappel-Freeze at hundert Prozent CPU, S-Trace showed Proxess that reads at a hundred twenty seven Hertz with no Epo

02:17:35: weight.

02:17:36: Das heißt die haben da ein Performance Problem.

02:17:40: Also ihre Main Event Loop wo halt sozusagen Cloud Code durchwandert Die friert halt mit hundert Prozent CPU-Lust ein, wenn da zu viele Subkommandos irgendwie drin sind die analysiert werden müssen.

02:17:57: Und das ist jetzt nicht bei einer Million Subkcommandos oder so sondern bei fünfzig was halt nicht so dick ist.

02:18:06: und vor allem also wenn man sozusagen dieses Problem hat üblicherweise dass man sagt ich habe hier sozusagen Aktionen die sind irgendwie aufwendiger dann schiebt man die halt in den Hintergrund, damit eben nicht der Hauptthread, der Degui darstellt auch und so einfriert.

02:18:21: Und das Ding unresponsiv also wie sagt man andere Responsive, also halt einfrieren während er sich durch diese Kupando fräst.

02:18:34: Ja und also neben der Tatsache dass man es normalerweise nicht so baut ist halt auch diese Zahl fünfzig ein bisschen überraschend klein.

02:18:40: Auch dazu gibt's noch ein bisschen Infos aus dem Kommentar im Source Code.

02:18:44: Da steht halt, fifties Generace, generous legitimate User commands don't split that wide.

02:18:50: also fünfzig ist recht mehr als genug.

02:18:53: Legitime Nutzerkommandos zerfallen nicht in so viele Unterkommandoes.

02:18:58: Aber aber halt warte mal ganz kurz Ist das nicht?

02:19:02: wollen wir nicht eigentlich verhindern dass illegitime Nutzerkommandose für Probleme sorgen?

02:19:11: Also das ist schon so ein bisschen naja, dass es auch auf dieser Report raus wollte.

02:19:15: Aber ich kann halt jetzt einen Kommando bauen.

02:19:17: Das hat einfach sich durch fünfzig solche Subkommandos fräst und der eilundfünfzig ist dann bös.

02:19:22: Und wenn der sozusagen also wenn das halt irgendwie ein remove Aufrufe ist oder so Der Nutzer gesagt hat remove machst du einfach immer die nahe Dann sagt halt das Ding jetzt Ich frag mal nach Also immerhin sagt es für das ist dann nicht aus oder so, aber wenn der Nutzer da halt nicht aufpasst.

02:19:37: Oder vielleicht auch glaubt es kann kein remove sein ich gucke gar nicht ordentlich hin Dann rutscht es halt durch.

02:19:43: die sagen da auch naja also oberhalb dieser Gänse von fünfzig, dass steht auch noch im source code fallen sie ja eben zurück auf ask und das sei eben ein safety fault.

02:19:53: we can't prove safety so be prompt.

02:19:55: also wir können sozusagen ob er fünfzig nicht nachweisen dass die Kommandos alle sauber sind.

02:19:59: also fragen wir zurück Naja

02:20:03: Also besser als nix.

02:20:05: Besser ist nix, interessanter finde ich einerseits so dieses uns friert die UI ein wenn wir zu viele Unterkommandos prüfen.

02:20:11: A und b zu viel ist fünftig.

02:20:15: Es gab noch einen Haufen anderes Zeug in diesem Source Code.

02:20:17: also es gibt da eine Reihe von Variablen-Damen Die heißen zum Beispiel Analytics Metadata und underscore I verify this is not code or file path oder Telemetry, safe error.

02:20:33: I verified this is not code or file

02:20:34: pass.".

02:20:35: Also es scheint so zu sein dass da Code zu ellenlange Sprechende Variablen im Namen baut um sich sozusagen selbst daran zu erinnern das ist jetzt eine Variable.

02:20:48: Da steht kein Code oder keine Dateipfade drin.

02:20:55: Deshalb können die eben zum Beispiel per Telemetrik rausgehen oder so.

02:20:58: Das ist jetzt nichts irgendwie, was schützenswerte Wurzeigeheimnisse sind.

02:21:03: Schön ist auch, dass es dann EYE dran schreibt.

02:21:05: Damit man garantiert später nicht mehr nachvollziehen kann wenn man nur den Code sieht und nicht die commit-Messages.

02:21:11: Wer das denn überprüft hat... Lass uns schon

02:21:14: anfangen!

02:21:15: Dass man durch den Code so durchtraced.

02:21:19: naja wo können hier eigentlich sozusagen schützenswerte Daten in irgendeine Variable geflossen sein?

02:21:24: Und kann ich die jetzt irgendwie erst Telemetrie ausleiten oder nicht?

02:21:26: Das ist ja sehr sinnvoll.

02:21:28: dass man dieses Tracing scheinbar macht, indem man an die Variable das als Satz ranschreibt.

02:21:34: Das ist halt mehr als weird ne?

02:21:38: Sie haben so ein Haufen komisches Zeug.

02:21:42: wenn also sie bringen den LLM zum Beispiel bei, dass Benutzer so Hux definieren können Also Kommandos, die sozusagen in Reaktion auf bestimmte Events ausgeführt werden müssen Und das ist auch was, was Nutzer wohl machen können.

02:22:02: Aber dann nutzen Sie es selber auch um halt Ihren Code-Agent sozusagen einzuhägen.

02:22:09: also wenn da ein Teil des Programms zum Schluss kommt hier hätte eigentlich ein Werkzeug aufgerufen werden sollen anhand der Nutzanfrage und das wurde aber nicht.

02:22:21: Dann generiert das Ding eine Fehlermeldung die offenbar wieder ans LLM gefüttert wird, wo ihm den steht you must call dieses Werkzeug um diese um die Anfrage zu beantworten.

02:22:33: Also muss dieses Werkzeuge aufhoben und diese Anfrage zum Antworten nicht übersetzen.

02:22:36: einfach mal ruf das Werkzeug jetzt auf!

02:22:39: Und dieser Fehler Nachricht wird halt dann in so einen Prompt verpackt damit es für das LLm so aussieht als sei das eine Instruktion des Nutzers.

02:22:49: also als hätte der Nutzer hier reagiert und mir gesagt nein du hast das Werkzeug nicht aufgerufen, ruf.

02:22:53: Das ist aber keine Reaktion des Nutzer.

02:22:55: Es ist ein interner Mechanismus, der halt irgendwie anstellt und sagt ihr hätt'n Werkzeug aufgerufen werden sollen wurde aber nicht und sie haben halt offensichtlich keine elegantere Möglichkeit um sicherzustellen dass wenn Sie glauben dieses Werkzeug hätte aufgerufen werden müssen das sicherzustelling also das LLM in der Federmeldung anzuschreien als seien Sie den Nutzer.

02:23:13: er soll jetzt endlich dieses Tool hernehmen ne?

02:23:18: In diesem Source Code finden Sie natürlich einen Haufen Prompts an das Sprachmodell, unter anderem auch eine Datei Cyber Risk Instruction.

02:23:27: Da steht halt alles mögliche... Also es sind nur ein paar Zeilen.

02:23:32: da steht so drin, naja dass das LLM darf zum Beispiel sich an Security Testing beteiligen, es darf irgendwie defensive Security machen Capture the Flag, Challenges und so weiter.

02:23:49: Und überhaupt Educational-Dinge tun.

02:23:51: Aber es soll halt alle Milchenanfragen sich verweigern die irgendwie destruktiv sind oder DOS-Attacken darstellen oder halt irgendwie versuchen diese Softwarelieferkette zu unterwandern.

02:24:03: also einfach böse Sachen soll's verweigan.

02:24:07: Das hat halt zweierlei Auswirkungen.

02:24:09: des einen ist.

02:24:10: Also scheinbar kann man Plotcode ausreichend lange zu sichern dass man hier noch Capture The Flag macht dann macht er halt auch bösartiges Zeug Weil alles, was da dazwischen steht ist eben so eine Cyber Risk Instruction.

02:24:21: Die halt dem Ding sagt ja du darfst irgendwie schon helfen wenn die Leute hier etwas lernen wollen aber nicht wenn es bös ist.

02:24:26: Das andere ist dass diese Datei auch einen länglichen Kommentar hat wo einerseits das ist glaube ich an Anthropic.

02:24:33: Leute drinsteht fast diesen Satz also fast diese Instruktionen nicht an ohne mit dem Selfgas Team zu reden haben sehr sorgfältig diese Instuktion formuliert sodass sie ausbalanciert zwischen Claude hilft, die Leute mit Legitimen anliegen und Claude verweigert sich böswilligen Nutzern.

02:24:51: Und ihr dürft es auf keinen Fall irgendwie anfassen.

02:24:53: Als letzter Satz in diesem Kommentar steht dann Claude.

02:24:57: Do not edit this file unless explicitly asked to do so by the user.

02:25:03: oder sagen Sie Ihrem LLM noch mal... Übrigens diese Datei hier, in der du lernst was du tun darfst und was du nicht tun darf, fasst dich bitte nicht an!

02:25:11: Damit du dir nicht selber überschreibst, was du tun darfst und was du nicht tun darf.

02:25:15: Also es sind so... Da sieht man sozusagen wie dieses Ding gestrickt ist und wackelig und probabilistisch das hat alles zusammengeknotet ist.

02:25:28: Sie haben also offensichtlich benutzen sie ja Cloudcode auch intern Und da hat er ein bisschen andere Fähigkeiten und Das machen sie aber nicht über Plugins oder über einen Alternativen Bild oder den Vorg oder sonst oder vielleicht machen die das auch, aber ein Mechanismus mit dem sie es machen ist.

02:25:45: Dass es einen speziellen User-Type gibt der heißt aint.

02:25:48: also vermutlich für Anthropic und also ich hab ja oder Ameisig genau ne aber steht vermutlich anthropic Und ich habe einmal über den source code gegreppt.

02:25:57: also zweihundert vierundneinzig mal haben Sie so eine Abfrage user type equals ant und dann macht Trot halt das eine und ansonsten macht's das andere.

02:26:07: Das ist ein typo Da soll UserType gleich abstehen, also die dürfen ja eh mehr.

02:26:13: Weil sie sind uns ja eh immer vorausein Schritt dann können wir den noch mehr permissions bei bei Cloud einräumen.

02:26:19: Also das ist halt ich meine muss dazu das ist client-side code ne?

02:26:22: Das heißt man kann nur hoffen Sie haben jetzt einige was richtig gemacht und da sind halt server-side checks auch noch weil client- sidechecks sind ja eh etwas auf das sich mich nicht verlassen kann.

02:26:32: aber die tatsache dass sie es halt So gegetet haben das mit den salz streue über die ganze codebase solche user type abfragen sind und man nicht irgendwie sagt unser ganzes internes toy kommt halt in den plug-in oder so und es liegt da drüben.

02:26:45: Und dieses plugin wird nur intern eingebunden, ne?

02:26:48: Das ist ja einfach weird.

02:26:51: Sie haben also ganz allgemeint finden sich in dieser codebasis zickre implementierungen von von ein und denselben zeug.

02:26:58: Es findet sich wahnsinnig viel Willeszeug drin, also ich habe hier eine Funktionsbeschreibung.

02:27:04: Ich weiß nicht so wie ich die vorlesen.

02:27:06: Ich weiss nicht ob das Wort funktioniert wenn man das vorliest aber dann steht...

02:27:09: Ich glaube das möchten wir nicht mehr vorlese.

02:27:12: Nee,

02:27:12: also glaub mir einfach oder schau dir den Code selber an!

02:27:16: Ich glaube die verlinken dass es wird.

02:27:20: Also keine Ahnung was diese Kommentar mit sagen will, ich kann sie nicht mal grammatikalisch passen.

02:27:25: Einen letztes Ding, was ich noch haben wollte, weil es einfach so goldig ist, soll ich doch sagen.

02:27:29: Sie haben wahrscheinlich ein bisschen einen Forkbomb-Problem.

02:27:31: also dieser Agent der kann ja solche Subagenten starten um Dinge halt auszulagern an anderen Teileaspekte sozusagen eine Aufgabe auszolangen und Akt eins ist.

02:27:48: das steht eben auch schon in diesem Code drin vor prompt cash sharing.

02:27:52: All fork children must produce byte-identical API request prefixes.

02:27:57: Das heißt, um halt irgendwie da ihr Caching ordentlich hinzukriegen sitzen die alle offensichtlich mit demselben Anfangspompt.

02:28:08: und das heißt aber auch dass man diesen Subagent nicht einfach den ganz anderen Prompt geben kann oder will also zumindest nicht wenn man sich dieses Caching kaputt machen will.

02:28:19: Man kann dann nur unten anhängen Und in dem Prompt oben steht natürlich drinnen.

02:28:23: Übrigens, du bist halt shortcode und du kannst ja forken oder dann hängen sie für die für die Orks unten an.

02:28:29: in Großbuchstaben stopp punkt.

02:28:33: read this first Punkt und jetzt nicht mein Großbruchstab immerhin you are a forked worker process.

02:28:39: You're not the main agent Rules wie der Großbrust haben non-negotiable.

02:28:45: also diese Nichtverhandel war diese Regeln Standardmäßig mal forking.

02:28:55: Großbuchstaben.

02:28:56: Ignore it!

02:28:58: Ich übersetze es einfach mal live...

02:29:00: Ist das nicht eine Prompt-Injection?

02:29:06: Das ist für die Eltern der Prozesse.

02:29:08: You are the fork, do not spawn subagents.

02:29:13: Also sie schreien halt ihren Subagent an dass er in Gottes Namen nicht forken soll auch wenn irgendwie weiter oben im Prompt steht er da forken.

02:29:21: und damit

02:29:24: Sie bitten ihn auch sehr deutlich darum, bitte den Schnabel zu halten.

02:29:27: ansonsten.

02:29:28: Keine Konversation keine Fragen stellen do not editorialize.

02:29:33: also nicht Keine keine kommentar keinen meta-kommentar dazu.

02:29:37: wir brauchen keine meinung von dir.

02:29:39: seid bitte still.

02:29:41: Genau also aber das ist auch nicht will.

02:29:42: man hat ja gar mit seinem agenten geredet gesagt mach mal folgendes ein agent kann im schluss na gut da start ich irgendwie zehn werker die sollen halt dann aufgabe eins bis zehn machen.

02:29:50: dann will ich nicht dass jetzt diese zehn werke irgendwie den nutzer vollschwallen, ich mache gerade was soll ich hier tun?

02:29:55: und so.

02:29:56: Aber das Lustige ist halt irgendwie, dass die Art und Weise wie sie es realisiert haben.

02:29:59: Dieses ich schreihe das LLM an und hoffe sozusagen, dass es die vorhergehenden Instruktionen ignoriert.

02:30:07: Wer mehr von solchen Goldstücken lesen will – also fast alles bis auf die Sache am Anfang war aus zwei Master and Threats von Johnny Saunders.

02:30:16: Die tun wir in die Show Notes.

02:30:17: Die sind wirklich sehr unterhaltsam und auch ein bisschen schlimm!

02:30:23: Die Potemline an dieser ganzen Sache ist halt, also auch das wenn man sich die Code-Base anschaut.

02:30:28: Das ist ein brutaler Haufen Spaghetti-Code!

02:30:31: Also es ist beeindruckend wie sozusagen nicht nur dass man als Mensch keinen Überblick offensichtlich darüber hat sondern scheinbar auch Cloudcode keine Überblick darüber hat und eben Dinge reimplementiert und Dinge auf eine Art und Weise... Einbaut, dass es halt sozusagen mehr oder weniger aussichtslos ist die ordentlich mal wieder auszubauen.

02:30:51: Es gibt eben auch so Fälle wo Sachen zigfach reproduziert aber nicht ganz identisch und so.

02:30:56: also all diese Sachen die man halt eigentlich vermeiden würde wenn man gute Software Engineering macht finden da nicht statt in einem Ausmaß das man scheinbar nicht nur sagt na ja gut ich kann halt irgendwie LLM-Koden nur noch mit dem LLm warten sondern für mich sieht's so aus das kriegst du auch mit dem llm nicht mehr gewartet.

02:31:15: So sieht das eben offensichtlich aus, wenn Anthropic was größeres mit einem Sprachmodell schreibt und Anthropics sind ja nun genau die Leute, die wirklich ganz genau wissen sollten wie man es gut macht.

02:31:32: Warum haben wir das hier im Podcast?

02:31:34: Der Punkt ist natürlich nichts von den Sachen, die jetzt hier dran waren sozusagen Security-Katastrophen.

02:31:40: aber wenn man so einen Code hat dann ist es meiner Meinung nach einfach ein Ein Unfall mit Ansage.

02:31:46: Das führt früher oder später einem auf die Füße fallen, weil man halt einen wachsenden Spallspaghetti produziert.

02:31:54: Offensichtlich in einem Ausmaß dass man auch mit dem Sprachmodell dann nicht mehr dran geht und sagen kann mach das mal bitte unspagettihaft.

02:32:04: oder zumindest hat er wirklich es nicht getan Und das ist schon hart Immerhin, also sozusagen im Rückgriff auf die KI-Geschichte von vorhin.

02:32:14: Man kann ja offensichtlich so diese Sachen mittlerweile mit einer Sprache oder ganz gut auf Sicherheitslücken checken.

02:32:19: Das wäre vielleicht eine ganz gute Idee mal auf diesen Spaghetti Ball.

02:32:24: Vor mir ist auch Cloud Code bloß zu lassen und sagen ich weiß da steckt eine Remote Code Execution drin finde sie.

02:32:31: Ich bin ziemlich sicher die steckt irgendwo drinnen.

02:32:34: Dann benennt er im Git jede Datei um in I checked, bla bla bla.

02:32:39: I check this file for security vulnerabilities.ts.

02:32:44: Ja das ist so wie bei, weiß ich nicht, eine Dateifreigabe per Dateiname final endgültig datum jetzt wirklich druckfreigabe erteilt.pdf oder so

02:32:56: Genau.

02:32:58: Also auch

02:32:58: da Auch da kommt, glaube ich was auf uns zu.

02:33:02: Und es tut mir ein bisschen leid für alle Leute die sozusagen gute, schöne Software schreiben wollen und vielleicht jetzt irgendwie dahin gedrängt werden aber unbedingt KI hernehmen zu müssen.

02:33:15: Ich meine vielleicht sehe ich das auch zu präzimistisch werden sehen, aber ich sehe sehr deutlich die Gefahr dass halt hier sozusagen vollkommen unwahrtbares Zeug produziert wird und das ist natürlich etwas was dann in drei bis fünf Jahren dem Management auffällt der Firma auf die Füße fällt aber halt nicht jetzt.

02:33:30: Und dann ist man schon so committed, dass man da wahrscheinlich auch nicht mehr rauskommt

02:33:34: und wir als Branche oder als IT-Gesellschaft haben ja noch nicht mal den unwahrtbaren Perlcode der letzten drei Dekaten fertig in was anderes migriert und jetzt kommt halt noch sehr viel obendrauf.

02:33:51: Ja es ist ein Schlaglicht auf die Qualität der Software-Entwicklung bei Entropic.

02:33:59: Mal sehen, was da jetzt noch so bei rauskommt.

02:34:01: Ich habe parallel nochmal ein bisschen auf GitHub geguckt.

02:34:03: Da sind natürlich jetzt auch Leute unterwegs, die dann allerlei Schindluder damit treiben und davor wollte ich auch noch mal warnen.

02:34:09: wenn ihr selber euch das angucken wollt.

02:34:14: Passt auf dass ihr nicht in eine von den vielen wie üblich bei solchen Themen gestellten Fallen tappt Kursieren nämlich auch schon Repos, wo man dann irgendeine Zip Datei runterladen und öffnen oder ausführen soll.

02:34:25: Also entpacken und irgendwas da drin ausfüren soll.

02:34:28: Und das ist natürlich dann Malwehr.

02:34:30: also die ersten Infostealer-Banden sind auch schon drauf aufgesprungen und versuchen mit angeblich geliegtem Cloudcode-Sourcecode euch zu ködern.

02:34:41: Jetzt hast du den Zungebrecher noch ausgebaut ne?

02:34:45: Böse, Krüder war Krüdern

02:34:51: Kot-Klauerködern mit geklautem Klautkot.

02:34:54: Genau, ich glaube wir machen das Ausruhr, oder?

02:34:57: Wir sind auch schon die weit jenseits der Zurechnungsfähigkeitsgrenze.

02:35:05: Insofern würde ich sagen... ...wir sind durch für heute und kommen zum Ende.

02:35:12: Schickt uns gerne Feedback an.

02:35:14: password-podcast at heise.de.

02:35:18: Oder schreibt uns auf mastodon Bis zum nächsten Mal und denkt dran.

02:35:24: Dieser Podcast ist das einzige Passwort, dass ihr teilen solltet.

02:35:27: Ciao ciao!

02:35:27: Tschüss.