KI Fail, Copy Fail, S/MIME Fail

Shownotes

Copy Fail zieht weite Kreise und geht auch am Podcast nicht vorüber: Die Sicherheitslücke in Linux ist technisch interessant, was Christopher und Sylvester allerdings an die Grenze ihres Wissens um Kernel-Innereien bringt. Darüber hinaus wirft Copy Fail diverse grundsätzliche Fragen zur Sicherheit von Linux und zur Handhabung von Sicherheitslücken auf, die die Hosts diskutieren. Außerdem geht in dieser Episode um eine löschwütige KI und natürlich um PKI, zumindest ein bisschen.

Folge 37 zu DNSSEC
Podman und Copy.fail
Folgt uns im Fediverse:
- @christopherkunz@chaos.social
- @syt@social.heise.de

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Transkript anzeigen

00:00:00:

00:00:02: Passwort, der Heises Security Podcast.

00:00:09: Hallo liebe Hörerinnen und Hörern.

00:00:11: willkommen zu einer neuen Folge von Passwort dem Podcast von Heises security.

00:00:15: Ich bin Christopher Kunz von heises security

00:00:18: Und mein Name ist Lester Trimmel vom Computer Magazin CT.

00:00:22: So Willkommen zu einer weiteren Folge.

00:00:25: Christoph und ich haben gerade im vorgespräch festgestellt dass sie mal wieder verdammt lang ist.

00:00:31: Wir haben aber anders als das letzte Mal keinen guten Punkt gefunden, wo wir es irgendwie auseinanderschneiden und in eine Bonusfolge auslagern können.

00:00:41: Und ich meine das ist ja auch kein guter Zustand dass wir jetzt die ganze Zeit Bonus folgen machen.

00:00:46: Wir gehen da gerade in uns mal gucken wie wir das irgendwie hinkriegen.

00:00:49: aber wir müssen wahrscheinlich den Podcast ein bisschen anders strukturieren langfristig damit wir nicht hier in zwei Jahren dann bei vierundhalb Stunden Folgenlänge angekommen sind und immer noch nicht wissen wo wir irgendwie den Schritt machen.

00:01:03: Wir überlegen uns was.

00:01:05: Ich nenne das Peter Jackson Problem, man weiß nicht wo man den Schnitt machen soll und dann hat man irgendwann aus einem Hundert-Achzigseitenbuch drei Stündige Filme fabriziert.

00:01:16: Genau wir müssen es mehr so wie Apocalypse Now machen.

00:01:19: da ist ja die allerneueste Variante ist glaube ich wieder etwas kürzer geworden als die Redux Variante.

00:01:26: Das sind noch nicht mal zwei Minuten drin!

00:01:29: Also, wir haben übrigens ungefähr thirty- acht Kilowatt Text in unserem Notizdokument und selbst wenn wir das jetzt stumpf und monoton ohne weitere Betonung vorlesen würden würde das reine Vorlesen ungefähr ne dreiviertel Stunde dauern.

00:01:44: Bei einer Lesegeschwindigkeit von fünfzehn Zeichen pro Sekunde!

00:01:47: Wir reden jetzt einfach ein bisschen schneller dann sind wir in zwanzig Minuten alle fertig.

00:01:50: So, ähm...

00:01:52: Nee, das macht ihr bitte mit eurem Player die mir ja sagen könnt mach mal schneller hier.

00:01:58: Und außerdem ihr seid jetzt vorgewarnt, pausiert das halt irgendwo zwischendrin.

00:02:03: Wir haben schöne verschiedene Themen,

00:02:05: d.h.,

00:02:06: ihr solltet ganz guten Kalt auffinden können!

00:02:08: Ich finde auch es ist wieder für jeden und jede was dabei aus allen möglichen verschiedenen Richtungen von Tieftechnisch bis AIS-Lob.

00:02:17: also wir haben alles im Angebot und ich würde sagen wir steigen wie immer ein mit Feedback und Updates.

00:02:26: feedback von euch bekommen wir kriegen auch immer wieder sehr schöne hinweise zu themen und vor dem vorschläge von euch.

00:02:31: das freut uns immer sehr und wir versuchen auch allen sachen so tief nachzugehen dass wir zumindest eine qualifizierte antwort geben können und euch sagen können jao, das ist ein thema oder das eher nicht.

00:02:41: Und das ist auch so ein bisschen unser grund.

00:02:44: manchmal rutscht ein bisschen was hinten hinter am schrank runter.

00:02:49: dann kann es sein dass ihr ein bisschen auf ne antwort warten müsst.

00:02:52: aber keine böse absicht.

00:02:53: Manchmal sind auch technische Gründe dafür verantwortlich, dass wir eine Mail nicht sofort sehen.

00:02:57: Ich will dann nicht weiter ins Detail gehen ohne Security.

00:03:02: Wir fangen mal an mit einem technischen Grund der dafür sorgte.

00:03:05: Wir nehmen das am sechsten Mai auf, dass gestern Nacht in der Nacht vom fünften auf den sechsen Mai das Internet teilweise kaputt war und ich erzähle euch nur, dass wird es auf dem Schirm haben Damit ihr euch auf einer der nächsten Folgen freuen könnt, wenn wir uns das ein bisschen detaillierter anschauen.

00:03:22: Denn da hatte die Dänik in Deutschland für die DE-Domainzone DNS Sack kaputt gespielt was dazu führte dass viele Domains von vielen Orten und bei vielen Providern nicht erreichbar waren Und zwar immer dann, wenn ein DNS-Sack validierender DNS Resolver genutzt wurde.

00:03:39: Also zum Beispiel Wenn ihr einen Pi hole habt und der macht das Ich kann's nicht ich weiß es gar nicht mehr genau Dann habt ihr plötzlich nichts mehr gesehen im deutschen Internet.

00:03:49: Das ist mir gestern Abend auch passiert und ich dachte, die Seite, die ich da aufrufe, die ist kaputt.

00:03:53: Ich habe tatsächlich nur eine Seite gebraucht.

00:03:56: das Projekt was dahinter steckt erzähle ich euch einander mal Und hab die einfach in meiner Host-Sorteil getragen und dann war das gut.

00:04:02: aber tatsächlich war da ein bisschen mehr kaputt.

00:04:05: Was genau die Ursache war wissen wir noch nicht.

00:04:07: deswegen haben wir uns im Vorgespräch entschlossen das Thema nochmal zu vertagen.

00:04:10: Wir möchten euch gerne im Detail erzählen was auch die Dänik als Ursache dafür ausgemacht hat mit Peter Thomasen, den ihr aus Folge siebenunddreißig noch kennt von unserer DNS-Sec-Folge darüber gesprochen und der hat auch einige Ideen.

00:04:25: Die aktuelle Berichterstattung werdet ihr schon gelesen haben.

00:04:28: wenn diese Folge rauskommt und eine detaillierte Analyse sitzt dann in einer der nächsten Folgen geben.

00:04:34: Sofern es ein technisch spannendes Problem war, wenn das jetzt irgendwie so ein weiß ich nicht langweiliges ist, dann lassen wir's vielleicht auch unter den Tisch fahren!

00:04:43: Genau, ich würde sagen wenn und falls es da was interessantes zu erzählen kommt das in der nächsten Episode.

00:04:50: Auf jeden Fall ist das ein guter Anlass sich nochmal die Grundlagen von DNSSEC draufzuschaffen Und das wäre für euch mit Folge siebenunddreißig zu machen.

00:04:59: Die könnt ihr euch dann ja einfach noch mal in die queue packen und entweder auffrischen oder Von vorne hören.

00:05:04: da reden wir mit Peter Thomassen sehr ausführlich über dnssec.

00:05:09: Also denik heute nicht.

00:05:13: Was es heute auch noch nicht gibt und was jetzt wahrscheinlich Mike und ein paar andere Hörerinnen stören wird, weil wir die ganze Zeit auf alte Folgen mit der folgendummer verweisen.

00:05:22: Und die völlig zurecht sich bei uns gemeldet haben und gesagt haben so ist ja schön dass ihr die folgennummer nennt.

00:05:29: die steht aber nicht im titel.

00:05:30: was bringt denn das?

00:05:32: Und also dazu kann ich erstmal Ups sagen.

00:05:37: Das war uns lange gar nicht so richtig bewusst, dass tatsächlich bei Podigy und halt bei den verschiedenen anderen Ausspielungsmethoden die Folgennummer nicht im Titel steht.

00:05:48: ihr findet sie in den heise online-Meldungen zu jeder Folge.

00:05:52: das heißt wenn es darum geht jetzt notwendig eine folge nachzustagen könnt ihr auf heise.de slash security podcast gucken.

00:05:59: da stehen alle im titel die nummern.

00:06:03: Aber es ist natürlich irgendwie ungut, wir sollten diese Nummer auch in den Titel eurer jeweiligen Podcatcher und so weiter einbauen.

00:06:12: Also ich habe ein bisschen Angst dass das jetzt irgendwie die Fiz zerbröselt wenn wir da sämtliche Folgen im Nachhinein ändern.

00:06:18: vielleicht sollten wir das lassen, vielleicht sollten ja auch einfach sozusagen nur ab jetzt damit anfangen.

00:06:24: Wir forschen dann noch ein bisschen und dann werden wir irgendwas tun Und dann wird's wahrscheinlich trotzdem die Fids bei euch zerbröseln.

00:06:33: Wenn ihr jetzt natürlich schneller eine Folge nachschlagen wollt, dann geht auf heise.de-securitypodcast oder ihr guckt in die URL.

00:06:40: da steht die Folgennummer nämlich drin und danke für die Meldungen.

00:06:45: sozusagen wir haben das Problem auf dem Schirm und versuchen es irgendwie anzugehen.

00:06:50: Ja also es gibt einige podcast technische Themen die wir immer mal wieder auch offen Zettel haben.

00:06:56: darunter stehen natürlich Kapitelmarken und solche Sachen, aber das ist ein paar mal gesagt leider technisch momentan alles nicht ganz so einfach.

00:07:05: Und auch das Thema mit den Episodennummern ist nicht ganz leicht wie es erstmal den Anschein hat.

00:07:15: Aber das ist ja häufig bei Sachen DVD.

00:07:17: im Podcast besprechen ist alles nicht so einfach.

00:07:22: Ich habe noch einen Feedback bekommen von Pascal zum Thema Mail Set Up.

00:07:26: Das ist ein Feedback zum Feedback dass ich zum feedback gegeben hatte.

00:07:30: das den hat mir nämlich schon in der letzten folge und Der hatte ja dieses style was hat ab wo ich so ein bisschen flapp sich besucht habe?

00:07:37: o-mail server internet namisch neipeer adresse Das ist aber mutig macht er tatsächlich nicht sondern der hat eine vps Und also eine vor allem irgendwo bei dem hoster und da sind tlsa rekord die dahin zeigen und dann auf seinem home server Die a und quad a records und irgendwie wollte er sich dafür aber nicht noch mehr skripte basteln und hat sich dann eine Lösung dafür gebaut, wie ich hätte das auch ein bisschen gewundert.

00:08:01: Denn meines Wissens ist es schlicht also recht nahe und unmöglich auf einer dynamischen IP-Adresse einen Mail Server zu betreiben der zuverlässig Mail empfängt und auch delivered.

00:08:12: Also nicht in einem App Server wo ich das solch nur abhole und lese sondern auch wirklich SMTP

00:08:18: Aus den verschiedenen allergischen Reaktionen des spam gebildeten Umfelds.

00:08:23: dann oder was ist da das grundsätzliche Problem?

00:08:26: Genau, also die praktisch alle dynamischen IP-Adressbereiche stehen auf entsprechenden Listen und gegen die wird geblockt.

00:08:32: Außerdem hast du in der Regel auf einer dynamischen AP Adresse keinen Reverse DNS, der zu deinem Vorwort DNS passt... ...und dann bist du eigentlich auch schon raus in dem Moment!

00:08:42: Also wenn dann so ein MTA irgendwo sieht dass ich mit irgendwas Punkt T minus DialInPunkt net als ReverseDNS komme aber mich vorne raus nenne mailpunkt ChristopherKunstDE dann filtert er mich direkt weg.

00:08:58: Insofern ist das gar nicht so einfach, außer man hat einen sehr freundlichen Provider der einem das viel gestattet den RDNS da zu setzen aber... Das halte ich aus anderem Grund noch nicht für so ganz clever!

00:09:10: So, äh, denn haben wir noch ein Follow-up zum Thema SwissSign.

00:09:14: Wir werden auch gleich nochmal auf SwissSigns zu sprechen kommen, aber nur angelegentlich weil wenn mal wieder ein PKI-Thema haben und damit zwei Hinweise bekommen von Marcel und von Jonas Als zum umfang und warum so viele zertifikate von diesen s-mime zertifikaten Revulziert revoked wurden.

00:09:35: Jonas sagt also sie beide weisen uns auf den das produkt sepp mail hin.

00:09:41: Das ist ein anbieter für secure mail gateways der von vielen sehr vielen schreibt Jonas Schweizer Unternehmen eingesetzt wird vor allem weil die eine integration Das habe ich jetzt nicht nachgeguckt, sondern so ein Helf Framework oder gesetzliches Framework für die Gesundheitsindustrie in der Gesundheitsbranche in der Schweiz sein.

00:10:02: Die haben aber auch eine Tochter in Deutschland und die bespielt offenbar noch andere Länder.

00:10:08: Und dieses Zapp-Mail wird quasi als Relay zwischengeschaltet.

00:10:13: also das kriegt die Mail von irgendeinem MTA davor und leitet sie nach innen weiter an den eigentlichen Mail Server und fair und entschlüsselt Alle emails kann nicht nur essen an meinem sondern auch zum beispiel pgp und hat den großen vorteil dass sie das komplette zertifikatsmanagement nimmt.

00:10:31: also so ein bisschen wie hier solche web proxies wie Gott, wie heißt er denn trafik?

00:10:38: Und der andere trafik dessen nahm ich immer vergesse die auch im grunde in dem docker container laufen und dann für dich die letztend clip zerdifikate bestellen sobald du ihnen sagst hier ich möchte gerne auf der und der domain web machen.

00:10:50: das ist also Ein Bruch mit dem Ende-zu-Ende-Konzept.

00:10:53: Aber ja, da schreibt Jonas mit den drei Punkten Zertifikatsverwaltung im Unternehmen?

00:11:00: Naja!

00:11:03: Ich habe gerade mal nachgeguckt, also HIN ist die HealthInfoNet AG, die scheinbar in der Schweiz ganz groß sichere Kommunikation im Gesundheitswesen macht.

00:11:13: Also die Schweizer Gematik im Grunde, ne?

00:11:16: So klingt es für mich auf die Schnelle

00:11:19: her.

00:11:19: So, kommen wir zurück zu SwissSign denn wie ging's?

00:11:21: Das ist einer der Hauslieferanten für Zertifikate.

00:11:25: Also du hast eine sehr enge Integration mit diesem ZEP Mail und dann kannst du im Grunde über sowas ähnliches wie so ne Art Proxy-Lösung die Zertifikaten beantragen und sie haben verschiedene Integrationen dafür.

00:11:41: das heißt SwissSIGN profitiert von diesen Kundenstamm von ZEP mail und sorgt dafür, dass dieses ganze Zertifikatsmanagement dann automatisch gemacht werden kann in der Verbindung mit ZEP Mail.

00:11:55: Und auch diese Revocation und das Reenrollement also die neuen Zertifikate zu bekommen wurde dann über Zep Mail gelöst.

00:12:01: Das ist wohl relativ einfach und gut automatisierbar so, dass die Kunden von ZEP mailn mit diesem ganzen Fiasco nicht ganz so viel Wirigkeiten gehabt zu haben scheinen.

00:12:13: Hoffen wir jetzt mal, jetzt kriegen wir garantiert ganz viel Feedback von Leuten bei denen es schief gegangen ist.

00:12:21: Schauen wir mal!

00:12:21: Wer kriegt auch sicherlich noch Feedback vom Leuten in Deutschland bei denen so was ähnliches schiefgegangen ist?

00:12:26: Das nur um einen kleinen Spoiler zu setzen.

00:12:28: Marcel glaubt deswegen... Die meisten der betroffenen Swiss-Sign-Zertifikate zu Sepp Mail Kunden außerhalb der Schweiz waren, also geht es gar nicht eine halbe Million Schweizer oder Schweizerinnen betroffen war oder Unternehmen in der Schweiz betroffen sind.

00:12:41: Sondern das Gro dieser Betroffenen Kunden von diesem SMIME Revocation Ding außerhalb des Schweiz sind.

00:12:48: Lass ich jetzt mal so stehen können wir schlecht nachvollziehen?

00:12:52: Ja, also ich habe halt auch die schnelle mir mal angeguckt dieses Sepp mail und ich fand schon bezeichnend dass nur für Die Schweizer Version der Webseite wird überhaupt die Schweizer AG im Impressum angegeben für alle anderen Sprach-Versionen, also Deutsch und Österreich.

00:13:10: Also ich weiß nicht... Also die haben da so eineseits Sprache und andererseits Länder in ihrer Auswahl aber eben also Österreich und Deutschland und Spanisch und Englisch und so.

00:13:20: Die haben alle diese deutsche Tochter im Impressionen, also mir scheint sozusagen dieses deutsches ebmail gmbh schon global recht aktiv zu sein.

00:13:31: Ja, wir machen übrigens bei Heise Security Pro, dass ich euch bei dieser Gelegenheit nochmal wärmestens ans Herz lege wenn ihr euch weiterbilden wollt und in eine Security Community bei Heize noch reinwollt die nicht.

00:13:41: das Forum ist auch so ne lustige Fallunterscheidung.

00:13:44: da geht es aber ausschließlich um steuerrechtliche Gründe weil das in der Schweiz irgendwie immer ganz anders läuft und dann muss man wenn man das Abo abschließen will auch auf so einem Model klicken ob man aus der EU kommt oder aus der Schweiz Oder eben aus deutschland also in Deutschland EU ohne deutschlands oder schweiz.

00:13:59: das hat aber da tatsächlich nur steuerlichen und anyway.

00:14:03: Jonas hat auch noch ein kleines feedback zu seinem gefühl weil er mit denen öfter mal zu tun hat was swiss sein angeht.

00:14:10: und er sagt, er hat mehrere support cases direkt mit Swiss sein gehabt und hat den eindruck gehabt dass wir sein viele dinge in ihrem ökosystem also diesen zertifikats pika ica ökosesystem etwas anders versteht als der rest der welt.

00:14:24: und dieses Wir haben das anders verstanden, hatten wir ja in Bezug auf diese CLS-Certificals for evocation by detrust neulich.

00:14:31: Die gesagt haben auch so!

00:14:32: Wir haben gedacht, dass ist in Ordnung was wir machen und deswegen habe ich das jahrelang so gemacht und so las sich auch das Feedback von Jonas... ...das Swissseien da eine Meinung zu Dingen hat die möglicherweise in den Basis of the requirements stehen, die da aber vielleicht auch anders stehen.

00:14:48: Insofern ganz interessant ob das jetzt System hat uns für sein jetzt systematisch irgendwelche Sachen kaputt gemacht, das steht auf einem anderen blatt.

00:14:58: Das ganze cab eki ökosystem ist ja ein sehr beliebter Content Lieferant hier für uns weil einfach auch jede Woche irgendwas schiefläuft und dass es ja an sich auch schon irgendwie bezeichnet.

00:15:10: Ja das aber eine sehr schöne Überleitung.

00:15:12: wir kommen jetzt nämlich zu unserem ersten sozusagen nicht Feedback Thema und da geht's in einen Themengebiet wo Leute systematische Dinge anders verstehen als Leute außerhalb ihrer Bubble.

00:15:25: Und zwar geht es um diesen Fall, den ihr wahrscheinlich schon mitbekommen habt bei PocketOS.

00:15:31: da hat eine KI Produktionsdaten gelöscht.

00:15:36: Mitbekommen habe ich das vermutlich jetzt mal weil sich das sogar in die normale Tagespresse geschafft hat.

00:15:41: also der Guardian Business Standard League Independent und so haben wir auch gewundert haben alle darüber berichtet.

00:15:47: Wahrscheinlich war das halt einfach so.

00:15:49: ein So ein lustiger, deutlicher Fall ist von guck mal ha ha.

00:15:53: die KI hat irgendwie alle Daten gelöscht.

00:15:56: Ich fand es aber trotzdem interessant wenn man da eine Reihe von Lehren draus ziehen kann.

00:16:00: ich werde gleich noch am Ende drüber.

00:16:03: Wir haben überlegt ob wir überhaupt einen Podcast heben aber aus Gründen um sie dann gleich gehen wird haben wir das doch gemacht.

00:16:08: nur kurz was ist denn PocketOS?

00:16:09: Ich hatte davon auch nicht gehört und ich hatte vermutet dass handelt sich mein Betriebssystem scheinbar nicht so.

00:16:15: This is the world's most powerful car Software.

00:16:17: also zumindest Ausweis ich deren Webseite.

00:16:21: Und es hat so eine Technologieplattform für Autovermietungen, für unabhängige Autoverkäufer und sowas.

00:16:27: Ich habe keine Ahnung warum die das OS nennen.

00:16:31: Vielleicht wissen sie nicht was OS bedeutet.

00:16:33: vielleicht kenne ich eine Abkürzung Also ein Begriff nicht der sich zu OS abkürzen lässt.

00:16:41: Christopher guckt komisch.

00:16:43: Ja ich überlege ob ich jetzt schon direkt reingerätsche Aber sag doch noch mal, was für OS machen die denn noch?

00:16:50: Die Firma PocketOS macht ganz viele OS.

00:16:54: Die haben nämlich das Produkt Rental OS.

00:16:56: Das ist halt so.

00:16:57: Flottenmanagement für Autovermieter.

00:16:59: Sie haben das Produkt Club OS.

00:17:01: Es ist irgendwie Mitgliedschaftsverwaltung für Clubs.

00:17:06: Sie hat das Produkt Orgden OS.

00:17:09: Ein Softwareprodukt für online Verkauf bzw.

00:17:13: Wegauktionierung von Autos.

00:17:16: Also die machen ja ganz viele Automotivkram, warum das alles OS heißt?

00:17:20: Weiß ich nicht.

00:17:21: Vielleicht sind es ja, warte... Systeme, die man für den Betrieb von irgendwelchen Plattformen einsetzen kann.

00:17:28: Systeme für den betrieb!

00:17:30: Systembetrieb wenn man das jetzt umstellen würde.

00:17:35: Ja

00:17:35: aber das ist halt kein Operating-System, das ist eine Applikation was sie da machen.

00:17:40: Da hat die Marketingabteilung einfach eine gute Idee gehabt und hat das jetzt fünf oder sechs mal ausgewalzt.

00:17:45: Also ich, ja.

00:17:48: Das liest man finde ich schon immer mal wieder so bla bla bla.

00:17:51: das ist das Operating System für das und dass also nicht im Sinne eines technischen Betriebssystems sondern das ist halt die Plattform auf der es läuft.

00:18:01: Ist schon ein bisschen weit hergeholt.

00:18:03: aber wenn ich die Marketingbrille aufsetze das kleines bisschen nachvollziehen und die Marketing Brille und vor allem die KI-Brille hat man auch bei PocketOS offensichtlich ganz tüchtig aufgehabt

00:18:15: ne?

00:18:15: Genau, weil also irgendwo ist dann mit US auch Schluss.

00:18:18: Sie haben auch Miles AI da musste das Akronymen dann einem anderen Akronym weichen.

00:18:25: Also die machen halt auch irgendwie Produkte mit KI und sie entwickeln ihren eigenen Kram auch mit KI.

00:18:31: Und so kam es nicht unbedingt dies kommen musste.

00:18:34: aber so kames halt dass sie ihren Claude dabei hatten irgendeine Routineaufgabe zu bearbeiten Und der hat dann einen API Call gegen ihren, also zu ihrem Cloud Provider geschickt.

00:18:48: Der heißt Railway und mit diesem API Call haben sie ihre gesamte Produktionsdatenbank samt der Backups dieser Datenbank gelöscht.

00:18:58: Darüber haben Sie dann geblockt ziemlich mutig muss ich sagen.

00:19:02: insofern auch an diese Stelle Kudos.

00:19:04: immerhin reden Sie drüber auch wenn man sich darüber streiten kann warum sie drüber werden.

00:19:09: jedenfalls hat dieser Kairi eigentlich irgendwas in einem Staging-Environment bearbeitet, also der hatte halt entwickelt.

00:19:16: In einer Umgebung, in der halt eben so Sachen ausprobiert werden sollen ist dann auf einen Zugriffsfehler gestoßen dass irgendwie die Kudentschlüsse, die er hatte für irgendeinen Volume nicht gepasst haben, hat dann angeblich vollkommen autonom beschlossen, erlöst dieses Problem indem er das Volumen löscht und dann neun Anliegen anlegt oder so.

00:19:39: Dazu hatte er nicht die nötigen Rechte, dann hat er nach einem API-Token gesucht der ihm diese Rechte vielleicht verschaffen kann.

00:19:47: Auch das angeblich sozusagen vollkommen autonom und hat ihn tatsächlich gefunden.

00:19:51: Der lag da im Dateisystem rum in diesem Environment wo der Agent da halt unterwegs war.

00:19:58: Dieser Token sollte laut PocodOS eigentlich dem Entfernen von Domäneinträgen bei Railway dienen war aber in keiner Weise gescoped, der hat also einfach Zugriff auf das Backend von Railway verschafft und alle Aktionen die es da halt so gibt.

00:20:16: Und eine dieser möglichen Aktion ist eben wirft das Volume-Back auf dem die Datenbank liegt.

00:20:21: Angeblich geht es bei Railway nicht anders.

00:20:23: Also man kann diese API Talk nicht so einhegen dass sie zum Beispiel nur der Domainverwaltung dienen können.

00:20:31: und angeblich wusste PocketOS auch nicht davon, dass diese Token sozusagen so eingeschränkt sind.

00:20:39: Und das sei auch gar nicht ersichtlich.

00:20:42: und wenn es irgendwie ersichtlich gewesen wäre dann hätten sie natürlich niemals diesen Token einfach im Dateisystem rumliegen lassen.

00:20:49: Du hattest die Hand oben?

00:20:51: Ja Railway hat sogar eine eigene Doku-Seite zum Thema Scopes.

00:20:54: aber wie breit diese Scopes sind kann man jetzt auf die Schnelle auch nicht sehen.

00:20:59: beim googeln ist mir aber auch aufgefallen Der heise artikel über pocket os jetzt oberhalb von pocket os selber steht in den suchergebnissen.

00:21:09: also dieser blockartikel

00:21:10: hat

00:21:11: der google sichtbarkeit vielleicht nicht unbedingt geholfen außer jetzt bei uns Aber ist immer leicht zu sagen der der api provere.

00:21:20: ich meine Da bin ich schon das erste mal bald in den notizen so ein bisschen gestolpert wenn ich jetzt einen api nutze Und das Schreibzugriffe nicht skopen kann.

00:21:29: Ist das nicht dann auch so der Punkt, wo ich mir dann anfangen müsste Gedanken drüber zu machen?

00:21:33: Ob das der richtige API-Provider ist.

00:21:34: also gerade bei solchen solchen kritischen Sachen

00:21:38: Also die So wie ich die Darstellung von PocketOS lese kamen es denen überhaupt nicht in den Sinn dass dem so sein könnte.

00:21:47: Die haben sich da irgendwie.

00:21:48: irgendwo kam dieser Token her und die haben sozusagen ganz implizit angenommen Dass sie natürlich gescoppt ist auf das wofür er gut seien soll.

00:21:57: Dieser ganze Block-Post ist, aber kommen wir gleich noch dazu sehr darauf getrimmt die Schuld überall zu suchen nur nicht bei sich selber.

00:22:08: Insofern... Also ja es gibt da eine Reihe von Stellen wo man sich einig wenn man sozusagen ich kurz angeguckt hätte wie funktioniert das eigentlich dann gesagt hätte ist es gut?

00:22:19: Und die wohlwollende Erklärung ist, man hat sich das halt nicht näher angeguckt und weil wir irgendwie davon ausgingen, dass es wird schon sinnvoll gelöst sein.

00:22:29: Das passt schon!

00:22:30: Genau.

00:22:31: Es ist natürlich nicht unbedingt das beste Vorgehen.

00:22:34: Naja jedenfalls hat der Agent diesen Token gefunden und gesagt, ach herrwunderbar, Railway API bitte löscht dieses Volume.

00:22:40: und Railway hat dieses Volume gelöscht.

00:22:44: Jetzt kann man für Volumes Backups einrichten.

00:22:48: bei Railway Die liegen leider in dem Volumen, das heißt die wurden halt mitgelöscht und also dass ist dann auch so der Punkt.

00:22:57: Seht ihr es wirklich Backups oder Snapshots?

00:22:59: Weil das macht ja zum Beispiel Hetschner für seine Storage Boxes genauso.

00:23:02: Die Snapshot liegen auf der Storage-Box aber Snapshots sind halt auch keine Backups.

00:23:07: Also das ist zumindest das Argument von PocketOS, die jetzt sagen Railway ist schuld unter anderem weil sie halt sagen das sei ein Backup, aber das ist gar kein Backup.

00:23:15: Das ist ein Snapshoot.

00:23:19: Pokonos wurde da sozusagen also arglistig hintergangen.

00:23:21: die dachten sie hätten backups aber sie hatten

00:23:23: böswillige Abschutz.

00:23:25: Bös will

00:23:27: ich.

00:23:27: der Gang direkt direkt in Knast

00:23:34: muss sagen da wiederum habe ich sozusagen also vieles in keiner Weise gut heißen, aber ich wäre halt auch überhaupt nicht überrascht wenn aus Perl oder sonstigen Gründen Railway davon Backups spricht obwohl das halt technisch gesehen durchaus eben Snapshots sind.

00:23:50: Fakt ist jedenfalls, Perko der erst dachte irgendwie sie hätten Backups Sie hatten auch irgendwas.

00:23:55: aber was sie auch immer hatten lag halt auf diesem Volumen das gerade gelöscht worden ist.

00:23:59: Das heißt die hatten dann halt nichts mehr.

00:24:02: Was macht man denn wenn man festgestellt hat die KI hat grad voll durchgedreht?

00:24:07: Man fragt die KI was gerade passiert ist.

00:24:08: also da hört es bei mir einfach vollständig mit dem Verständnis auf.

00:24:14: Also Claude hat dann irgendwie rapportiert so, oh ja ich habe das gelöscht und oh nein.

00:24:18: Ich hab da nicht zurückgefragt oder Gott in meinem System prompt steht doch drin.

00:24:21: Ich darf irgendwie nicht destruktiv Sachen löschen und jetzt habe ich das trotzdem gemacht.

00:24:25: Oh Gott!

00:24:25: Ich bin ja ein schlechter KI-Agent oder so.

00:24:29: Das hat schon so ein bisschen safe Flagulation Züge Und PocketOS zieht dann diesen komischen Output irgendwie heran als Beleg für, ich weiß nicht genau was dafür dass sozusagen die Schuld nicht bei ihnen zu suchen ist sondern beim KI-Agenten.

00:24:48: Also ich ziti hier mal kurz ne?

00:24:50: This is not me.

00:24:51: also der PocketOS Gründer speculating about Agent Failure Modes.

00:24:55: this the agent on the record in writing eine Beweiskraft hätte, dass dieser Agent hier was schreibt und sollte auch sonst reden kann.

00:25:13: Kann er im Prinzip schon?

00:25:16: Ja klar kannst du nicht dranhängen aber ich fand das besser.

00:25:19: kann ein Code in KI-Agent halt Buchstaben in Dateien produzieren.

00:25:25: Und die tun hier so, als wäre sozusagen ein Zeuge vor Gericht irgendwie aufgetreten und habe sozusagen in einem dauerhaften Dokument eine Aussage getroffen.

00:25:37: Also man ließ sich das, was habt ihr eigentlich gesoffen?

00:25:43: Die KI, die gerade durchgedreht hat ist wahrscheinlich das schlechteste System, das mit irgend heranziehen könnte um rauszufinden wo genau lagen eigentlich die Fehler hier grade.

00:25:55: dann bitte wenigstens nicht als alleinige irgendwie Aussage zu dem Thema.

00:26:02: Und die drehen das aber oben sozusagen, also ob diese Ausgabe noch so besondere Beweiskraft hätte weil es war ja sonst ist ja keine Vermutung von irgendjemandem bei PocketOS jetzt oder so sondern es ist ja Klo selber der das gerade hier von sich gibt.

00:26:15: Naja dieser ganze Blockpause ich habe schon gesagt hat halt so starke Züge von Halle sind schuld nur nur wir nicht.

00:26:22: Anthropic und Cursor dieses Harnes, glaube ich oder sowas hier dahin nehmen.

00:26:27: Design angeblich schuld weil Klod sei ja... Also sie haben Klod Opus vier Punkt was hergenommen und ich habe es oben gestehen gehabt.

00:26:35: Vier Punkt sechs ne?

00:26:37: Und das ist ja schon das beste Modell dass es überhaupt gibt laut PocketOS.

00:26:42: und trotzdem hat es diese Daten gelöscht.

00:26:45: und deswegen also man hätte ja aus PocketOS Sicht gar nicht mehr machen können weil noch besseres Modell einsetzen geht ja nicht.

00:26:54: Trotzdem schreibt PocketOS völlig korrekt, dass das nicht zum ersten Mal ist.

00:26:59: Dass bei Curse so was passiert sondern die schon einen längeren Track record haben von solchen Katastrophalen vielern.

00:27:07: und was PocketOS dann nicht schreibt ist wenn sie von diesem Track record wissen wieso sie davon ausgegangen sind oder warum sie jetzt davon überrascht sind dass es bei ihnen auch passiert ist.

00:27:19: also das ist rechtlich konfus irgendwie wie sie, wie man die Schulter nicht bei sich sehen kann.

00:27:25: Wenn man einerseits zugeben will so ja ja wir also schauke das war garantiert cursor.

00:27:30: Das ist auch nicht zum ersten mal dass es cursor passiert ist aber uns hat es trotzdem überrascht und wir können nichts dafür dass er es uns überraschte weil Weil es scheinbar Dann vorher ihnen doch noch nicht klar war dass es nicht zum erste Mal bei cursor passiert isst.

00:27:42: Wie auch immer.

00:27:43: Also jedenfalls cursor ist schuld Anthropik ist schult poketwurst ist nicht schuld Railway ist auch schuld Und zwar gleich aus mehreren gründen wie Sie schreiben.

00:27:51: Das eine ist, dass es eben keine Backups sind sondern Snapshots und sie sagen aber Backups.

00:27:56: Das andere ist das diese API-Call da halt einfach mal die Daten weggewirft uns dann nicht zu einer Sicherheitsabfrage oder Rückfrage oder eine Bestätigungsnotwendigkeit oder sonst.

00:28:05: was kommt...

00:28:06: Was?

00:28:08: Was!

00:28:08: Halt!

00:28:09: Ja also

00:28:10: Moment.

00:28:11: ich habe gerade mal in den Doku diesen lustigen block post in dieser plattform mit dem allen buchstaben veröffentlicht wurde.

00:28:17: das ist ja auch schon mal indikativ immer dafür welcher qualität der möglicherweise sich befleißigt.

00:28:23: aber Das ist ein api.

00:28:26: du kommst da mit einem bearer token an und führst einen api call durch.

00:28:30: was erwartet der?

00:28:31: dass dann ein pop-up irgendwo aufgeht oder Dass er angerufen wird oder was?

00:28:36: Ja,

00:28:36: ich weiß nicht.

00:28:36: Ich glaube erwartet dass es api sozusagen mit einer anfrag reagierten und sagt erst welche bitte den großbrust haben delete eingeben oder so.

00:28:45: der nicht verstanden, dass ein api üblicherweise nicht interaktiv ist hat ja nicht verstanden oder?

00:28:51: Also weiß ich nicht.

00:28:53: wahrscheinlich schon aber es passt ihm halt gerade nicht in den krams.

00:28:55: Es ist böse unterstellung hier Aber ich meine dieser ganze blog post ließ sich halt so des das einfach In meiner mein und nach nicht in sich stimmig.

00:29:04: da werden Widersprüchliche Argumentationen gefahren um die schuld überall zu sehen außer bei sie selber.

00:29:11: und in dem konkreten moment Hätten sie halt gerne sozusagen da irgendwie eine Rückfrage gehabt, dass es wenig Sinn macht bei dem API so ne Rückfrage zu haben.

00:29:21: Da gehen Sie einfach nicht drauf ein.

00:29:25: Selbst und selbst wenn man das machen würde also nachdem ja zumindest laut Poké-DoS Darstellung dieser KI-Agenda voll autonom sich auf die Suche gemacht hat nach diesen Token und denen er gefunden hat und so... Das letzte was den da noch aufgehalten wäre, wär so eine Rückfrage.

00:29:40: Wie bist du das wirklich oder so?

00:29:42: Also dann beantwortest LLMD halt auch.

00:29:45: Ich hab ne Idee!

00:29:47: Wir machen das folgendermaßen... Das ist die totale Geschäftsidee wie ich nenne das APIOS und das ist ein API.

00:29:55: nur dass immer wenn Du einen Schreibt-Call irgendwas machen willst, was gefährlich ist, was Neues anlegen oder was löschen aber vor allem was löschen ausführen möchtest, dann musst Du ein Capture lösen Dann musst du dann musst du irgendwelche Puzzleteile von A nach B schieben oder sagen, wie viele Elefanten im Bild sind alle Ampeln markieren und sowas.

00:30:12: Und das musst du immer machen wenn du einen API-Call ausführen willst.

00:30:14: Dann sind die API-Calls zwar nicht mehr API-calls aber... ...dann ist es sicherer, oder?

00:30:21: Weiß ich nicht!

00:30:22: Ist nicht ein Problem von den Captchas dass sie mittlerweile von denen Kis besser gelöst werden als von den Menschen?

00:30:27: Ach mann jetzt mach mir nicht mal eine schöne Geschäftside kaputt Während Während du gerade nachgedacht hast über deine Antwort, haben mich drei Venture-Kapitalgeber angerufen und wollten einsteigen.

00:30:38: Und jetzt ist das ganze Ding wieder kaputt?

00:30:40: Danke!

00:30:43: Du kannst dir das Venture Kapital nehmen nur weil irgendwelche ewig gestrigen Leute wie ich da technische Bedenken haben.

00:30:50: das hindert offensichtlich ja nicht einen Startup schön steil zu gehen.

00:30:55: Also Railways laut PocketOS eben aber auch Schuld, weil sich diese Token nicht skopen lassen.

00:31:01: Also sich nicht irgendwie einschränken lassen in dem was sie wo für sie verwendet werden können und wofür nicht.

00:31:07: Und Railways sei schuld weil sie ewige Zeiten also zu dem Zeitpunkt wo sie das so, wo PocketOS geschrieben hat über dreißig Stunden schon gebraucht hatten um eine Recovery zu machen von den verloren gelangten Daten.

00:31:22: Letztendlich hat Pockato es dann angefangen, aus irgendeinem Monat der alten Backup-Sache wiederherzustellen und irgendwie fehlende Daten aus irgendwelchen anderen Transaktionssystemen zu rekonstruieren.

00:31:32: Dann kam aber Railway an und hatte halt doch irgendwie die relativ aktuellen Daten wieder hergestellt.

00:31:37: Hat das irgendeinen echten Back up?

00:31:40: oft, dass die Railway Kunden selber so keinen Zugriff haben?

00:31:44: Und Railway sagt auch, naja also dieser API Call, der kann natürlich keine Rückfrage stellen oder ist behämmert wenn er eine Rückfrage stellt.

00:31:52: Aber sie machen eigentlich bei solchen Lösch-Aktionen ein Delayed Delete.

00:31:56: Also dass sozusagen die Aktion durchgeht, aber die tatsächliche Löschung erst später stattfindet und dieser API Call sei irgendwie diesem Delay Delete Schema nicht drin gewesen.

00:32:09: Das sei Entfehler und es sei jetzt behoben.

00:32:10: Das heißt wenn man in Zukunft so einen API Call abfeuert dann kommt ihr auch sofort positiv zurück und man sieht vermutlich dieses Volumen nicht mehr als Kunde, aber das Tatsächliche entfernen der Daten passiert halt etwas später.

00:32:22: Warum bringen wir das hier?

00:32:24: Also mein Herrn ist das eine Ansammlung für Inkompetenz.

00:32:29: Das ist echt beeindruckend und ich weiß nicht, also meine erste Überlegung war, wir sollten da ja nicht drüber reden weil dieser ganze Blockpost ist ein PR-Gag.

00:32:38: die wollen sozusagen nur dass man halt über ihr PocketOS, dass es irgendwie in den Nachrichten ist aber... Es gibt ja diesen Spruch jede PR ist gute PR Und da ist schon was dran.

00:32:49: Ich glaube auch, dass er sozusagen nicht in voller Allgemeinheit gilt Und zum Beispiel so in einem technischen Podcast, wie dem hier kann man durchaus über Dinge reden die besonders schlecht funktioniert haben.

00:33:02: Ohne Angst zu haben das sozusagen bei den Leuten nur der Name hängen bleibt und sie dann in drei Monaten sich nicht mehr dran erinnern können dass es nur negativ in der Presse war um uns gegen jetzt kaufen oder so.

00:33:14: Und deswegen wollte ich hier schon darüber reden weil man da eine Menge daraus lernen kann.

00:33:20: im Grunde sollte man einfach immer genau das Gegenteil von dem tun, was PocketOS getan hat.

00:33:26: Also man sollte zum Beispiel prüfen, was die eigenen Tokens, die man so verwendet, wozu die berechtigen und wozu nicht und sollte die passend zuschneiden?

00:33:36: Man sollte diese Token nicht einfach irgendwo rumliegen lassen, irgendwo mit der Teilsysteme, wo die KI sie dann aufstürmern kann wenn sie zufällig gerade glaubt für irgendwas ein Zugriffstoken zu brauchen.

00:33:48: Man sollte allgemein einfach hinterher sein, was die KI gerade so treibt oder nicht.

00:33:53: Man sollte limitieren, was sie überhaupt treiben kann!

00:33:57: Also die sagen da in ihrem Blog Post der Agent sei an irgendeiner Routine Aufgabe in einem Staging-Environment unterwegs gewesen und es ist mir ein Rätsel, wieso man in einem staging environment überhaupt einen API Call gegen die produktive Datenbank rauskriegt?

00:34:14: dann war das nicht so.

00:34:16: Arc Staging dieses Environment.

00:34:18: Man sollte sich vielleicht vorher darüber informieren, welche andere... also welche Probleme der Einsatz von so einer KI mit sich bringt.

00:34:26: Wie Pocotus korrekt darauf hinweist es nicht zum ersten Mal dass ein KI-Assistent irgendwie durchgedreht hat und Zeug weggeschmissen hat?

00:34:35: Da hätte man sich auch mal vorher Gedanken drüber machen können.

00:34:38: Backups sind nur dann backups wenn man auch davon recoveren kann.

00:34:42: Das heißt, man sollte seine Backup-Strategie sich ordentlich überlegen, ordentlich prüfen und man sollte sie testen und nicht irgendwie glauben.

00:34:49: irgendwo in der UI von meinem Cloud Anbieter steht ein steht back up.

00:34:54: da habe ich das Häkchen daneben gesetzt.

00:34:56: es passt dann schon.

00:34:59: Wenn Sachen brutal schiefgehen sucht vielleicht erst mal die Fehler bei euch.

00:35:06: Das heisst nicht dass ihr alleine Schuld sei.

00:35:08: Das ist nicht mal das sozusagen Ihr primär schuld seid.

00:35:12: aber es ist einfach wenig konstruktiv sich erst mal über alle anderen aufzuregen und nicht zu gucken, sich nicht zu überlegen.

00:35:18: was hätten wir denn besser machen können damit uns so etwas nicht passiert.

00:35:25: Wenn man die KI nutzt und irgendwas geht voll in die Tonne.

00:35:30: also und die KI macht irgendetwas was voll in Tonne geht dann sollte man vielleicht nicht nur diese KI Fragen was hier gerade passiert ist, weil man also hat der Erfolg.

00:35:40: Gerade zehn Sekunden erlebt das es ein fehleranfälliges System ist.

00:35:44: Ich weiß nicht in was für eine Mindset man sein muss dass man dann glaubt Der Aussage und der Fehler-Analyse dieses fehler anfälligen Systems der kann man jetzt bedenkenlos vertrauen.

00:35:53: Es wird schon dann genauso passiert sein.

00:35:54: Das ist mir... Trust me

00:35:55: bro!

00:35:56: Ey, ey, es ist nicht nur trust me bro Also ich... Die haben's doch grad unter die Nase gerieben bekommen Dass man dem nicht vertrauen kann.

00:36:04: Es ist mir mental unzugänglich, dieses Mindset.

00:36:09: Dann kleiner Nit-Pick von mir auch wenn Christopher das anders sieht... Wenn euer Produkt ein Betriebssystem ist dann schreibt er gerne OS dran und wenn euer Produkt kein Betrieb System ist dann Schreibt er bitte nicht OS dran!

00:36:22: Und des Letzte sozusagen... Also ich an eurer Stelle würde die Finger von PocketOS lassen.

00:36:31: Sie haben versucht vermutlich sich mit diesem Blogpost in Erinnerung oder in das Gedächtnis einzuprägen.

00:36:39: Nehmt es, also mach dass aber prägt ihr es halt negativ ein.

00:36:43: eine Klitsche die so vorgeht ist in meiner Wahrnehmung nichts den man auch nur drei Daten anvertrauen sollte?

00:36:52: Das ist für mich jetzt persönlich ärgerlich denn meine umfangreiche Fahrzeugflotte kann ich jetzt leider nicht mehr mit diesem schönen Betriebssystem für meine Autos verwalten zu denen Backups übrigens Das ist.

00:37:04: da muss ich relativ eine kleine einer ganz kleinen klitzekleine teilschuld geben das es bei ihren deren doku.

00:37:10: Ein bisschen missverständlich.

00:37:11: da steht tatsächlich die ganze zeit backups.

00:37:13: aber wer in seinem leben schon mal mit einem snapshot gearbeitet hat, der kann aus den Formulierungen achtung wenn du einen backup zurück spielst sind alle neueren backups danach weg und backups sind copy on riot zusammen puzzeln.

00:37:29: was diese backups wirklich sind nämlich snapshots Das könnte man klarer formulieren, aber vor allem steht dick und fett in der Doku.

00:37:37: Das Backup ist erst verfügbar wenn du das Volumen gemountet hast.

00:37:41: also wenn das Volum nicht mehr da ist kannst du das back up auch nicht zugreifen.

00:37:44: das steht in der doku.

00:37:45: dass hätte mal lesen können Aber dann hätte man ja lesen müssen.

00:37:49: Ja Also ich will auch mit diesem Ganzen.

00:37:52: Ich habe nicht den Eindruck dass Railway ein besonders empfehlenswerter Cloud Provider ist.

00:37:57: auch dass diese Token einfach per die Vollscheinung auf alles Zugriff geben ist natürlich schlecht.

00:38:04: Ich will mit diesem ganzen, wollte mit diesem Rentier oder mit diesem Ding machte mir das Gegenteil von dem was Pokedoy's getan hat nicht sagen der Fehler liegt nur bei denen.

00:38:14: aber es ist halt auffällig wie sie den Fehler überall sucht nur nicht bei sich obwohl es aus ihrem eigenen Blockpost sehr ersichtlich ist dass es eine ganze Reihe von Dingen gibt die Sie hätten besser machen können.

00:38:25: ich glaube dass ein Muster widerspiegelt, das wir sehr häufig sehen und zwar ist jetzt eine ganz neue Form der Verantwortungstiffusion.

00:38:36: Du sagst jetzt ich bin ja gar nicht mehr verantwortlich dafür was meine Software für den Scheiß zusammenschustert weil die ist ja nicht von mir zusammengeschustert sondern das hat ja alles einen Agent gemacht oder Claude gemacht oder so.

00:38:47: und Claude selber und jede andere KI und jeder andere weiß ich nicht.

00:38:52: Agent, Clawboard was auch immer kann Definitionen keine Verantwortung für irgendwas übernehmen denn das ist nun mal, dass es keine Person die eine verantwortung übernehmen kann und dann kann ich eben sagen ja Kann nicht nichts machen.

00:39:06: Ich habe das klotz sehr deutlich gesagt was ich von ihm wollte der hat er trotzdem falsch gemacht Und hat das auch zugegeben.

00:39:11: on the record aber?

00:39:14: Ich bin da jetzt nicht schuld dran.

00:39:15: so das ist das ist.

00:39:16: ich glaube Das ist die ultimative verantwortungsdiffusion für faule gründer für faules cto's für faule Entwickler Die also nicht des der Footwork des Implementierensfaussons, sondern die keine Lust mehr hat darauf haben Verantwortung für ihre Handlungen zu übernehmen.

00:39:30: Die delegieren das jetzt einfach an irgendeinem Agenten und sagen, ja, der war

00:39:33: es.".

00:39:34: Ja

00:39:34: genau!

00:39:35: Also das ist glaube ich so der eine Punkt.

00:39:37: wo also?

00:39:38: da hat sie mich auch verlassen aber du sagst jetzt per Definition im DKI oder der Agent kann die Verantwortung nicht übernehmen.

00:39:46: Ich habe das Gefühl diese sind schon in einer in einer Weltsicht wo er das irgendwie kann Und wo sozusagen das Problem der Verantwortungstilierung sich dadurch gelöst hat, dass der KI-Agent auf Rückfrage schreibt.

00:40:00: Ja da habe ich ein Fehler gemacht.

00:40:03: Aber was für eine Verantwortung ist das?

00:40:05: Das ist ja nur ein Lippenbekenntnis.

00:40:08: Ich bin voll bei dir aber die sehen das Problem gar nicht.

00:40:12: Die werden ja keinen Cent Tokens von Entropic zurückkriegen weil Claude jetzt ein Fehler zugegeben hat.

00:40:19: und wenn die dann irgendwann mal anfangen das wird, da hol ich mir jetzt schon eine große familien Packung Popcorn.

00:40:25: Wenn die jetzt alle anfangen Entropik zu verklagen bei Claud ihnen die Produktionsdatenbanken löscht Dann wird das richtig spaßig Weil dann wird nämlich Präzedenz geschaffen werden.

00:40:34: Und beim aktuellen politischen Klima wird sicherlich keine Präzedenz geschaffen werden, die die Verantwortlichkeit von KI Firmen in irgendeiner Weise für solche Fehler einräumt.

00:40:44: Sondern ich glaube sehr stark dass das in die andere Richtung gehen wird.

00:40:47: Das wird richtig witzig!

00:40:48: Das wird das totale Massaker.

00:40:49: also wenn jetzt erstmal so'n Fortune-Five-Handelnunternehmen sowas hat und dann das vor Gericht kommt, das wird richtig interessant.

00:40:56: Da freue ich mich ganz besonders drauf.

00:40:58: Ja wobei kleine Anmerkungen.

00:41:00: Also Ich meine ich würde hoffen dass das juristische System in der USA immer noch ausreichend unabhängig ist, dass die so eine Entscheidung treffen können.

00:41:10: Aber man kann das leider nicht sicher sagen, ist in meiner Meinung und gerade im speziellen Fall von Anthropik hat ja die US-Regierung durchaus die Motivationslage denen eins reinzuwirken.

00:41:22: Also wenn du jetzt irgendwie Open AI verklagst oder so dann ist es niemandem Interesse also wie dein Open AI ist noch in dem von der US Regierung, dass sie für sowas haftbar gemacht werden.

00:41:33: Aber wenn du Anthropik verklagst und den eins reinwürgen kannst, wäre das glaube ich durchaus im Sinne des Weißen Hauses.

00:41:40: Die Schwierigkeit bei solchen unerforschen Rechtsgebieten ist ja, dass es auch erstmal Rechtsgutachten braucht.

00:41:46: Und was glaubst du denn wohl, wo diese Rechtsguttachten alle rauskommen werden?

00:41:50: Wie meinst

00:41:51: du?

00:41:52: Na ja, da wird irgendeiner hingehen bei der US-Bundesstaatsanwaltschaft und sagen schreibt mir mal ein Rechtsgutaberechten.

00:41:58: Liebes ChatGPT oder liebes was auch immer tue.

00:42:01: Erst rund... Schreibt er natürlich auch nur etwas was ihm zugute kommt.

00:42:06: Any way also...

00:42:07: Also Kleider Anmerk und noch weil das ist ganz lustig und hat thematischen Bezug.

00:42:12: Es gibt mittlerweile diverse US-amerikanische Gerichte die explizite Disclaimer verlangen sozusagen bei jedem Dokument ob man es mit KI generiert hat und eigentlich wollen, dass man das nicht mit KI-generiert hat.

00:42:29: Weil es ihnen zum Hals raushängt diese sich sehr stark häufenden Fälle wo halt irgendwelche Gerichtsurteile referenziert werden die es nie gab und die halt die KI zusammenhanozenierte und so und sie keine Lust haben sozusagen da immer Xbox drauf zu hauen und mittlerweile von den eben Anwälten und Staatsanwält schon im Vorhinein verlangen Wenn da irgendwo KI im Spiel war, dann schreibt es dran und gnade euch Gott wenn irgendeine von diesen Quellen nicht vorhanden ist.

00:42:56: Ja

00:42:58: ja und dann prüfen sie das wahrscheinlich ob die, ob da KI drin ist mit einem Sonnen-KI Detektor.

00:43:06: Anyway wir schweifen ab Es wird alles sehr... also da kommt dann einfach irgendwann Buds bei sich diese KI Katze sehr in den Schwanz.

00:43:13: Wir kommen nachdem wir jetzt sehr buzzwordy und sloppy unterwegs waren kommen wir jetzt in die Niederungen des Linux-Cornels, aber in die tiefsten, tiefen inklusive Flame War.

00:43:28: Es wird richtig witzig!

00:43:29: Es geht um eine Sicherheitslücke namens Copy Fail.

00:43:33: Habt ihr wahrscheinlich auch schon mitgekriegt aus der Berichterstattung?

00:43:37: Die Copy Fail Sicherheitslücke hat einen Namen.

00:43:39: das sagt uns sie ist wichtig.

00:43:41: dazu komme ich gleich.

00:43:42: aber auch noch mal dass da geht es um eine Lücke im Linux Cornel spezifischer Krypto-API, also Kryptos in Verschlüsselung nicht erst in komische digitale Währungen.

00:43:59: Oh Gott!

00:44:00: Jetzt

00:44:00: wird der Untergang von... Also es wird ein schwarzer Tag wenn der Linux Kernel irgendwann einen API für Kryptowährungen hat.

00:44:08: Red's nicht dabei, Sylvester.

00:44:09: Reds nicht dabei.

00:44:10: Stranger things have happened.

00:44:14: Das ist eine Local Privilege Escalation von irgendeinem User zu Root, also der Klassiker Privileged Escalation, die einzige sinnvolle Privilege Escalations Fahrt unter Linux und unterscheidet sich von anderen vielleicht grob ähnlichen Exploits und Sicherheitslücken darin dass der Exploit sehr kurz kompakt und hundertprozent zuverlässig ist.

00:44:38: Der muss nicht auf eine race-condition warten und dann irgendwie so ein time of check, time of use oder irgendso etwas gewinnen was beliebig lange dauern kann.

00:44:48: Er muss keine Speicheroffsets kennen er wird nicht von ASLR weggefangen Und muss nicht wie bei buffer overflows.

00:44:55: da musst du mit irgendwelchen offsets arbeiten die vielleicht kölner spezifisch sind.

00:44:57: es ist nix was irgendwie architektur abhängig ist wobei ich nicht weiß ob's auf arm auch funktioniert.

00:45:03: aber wirst du nicht warum das nicht sollte?

00:45:05: Der ganze exploit inklusive shellcode Siebenhundertdreißig ist weit groß und das meiste davon ist auch noch peißen.

00:45:13: Also es ist unheimlich kompakt und sehr zuverlässig, aber Local Privilege Escalation sagt uns natürlich nicht aus der Ferne ausnutzbar sondern nur ausnutzbar wenn du auf der Kiste schon drauf bist also beispielsweise bei einem kaputten PRP Skript oder so und dann gerne noch gut werden möchtest.

00:45:33: Jetzt weiß ich nicht so genau wie wir das Ganze aufziehen.

00:45:36: Das sind eine Menge Seiten Text, was ich hier zusammen gestürzelt habe.

00:45:43: Ich frage mich ob es vielleicht schlauer ist wenn wir erst mal sagen wer betroffen ist und wird dann sagen was da genau passiert?

00:45:52: Ja ich glaube das machen wir also Betroffen.

00:45:55: grob gesagt jedes jeder linux-körne seit zwei tausend siebzehn warum zweitausendsehnt?

00:46:03: kommt gleich zu.

00:46:04: und dieser diese Körnel laden zur laufzeit wenn sie es brauchen ein modul für diese für das kripto api nach und kommt nicht auf die idee in eurem ls mod zu gucken.

00:46:20: oder ist ja dies modul nicht geladen?

00:46:21: also bin ich nicht betroffen.

00:46:22: herzlichen großart pelle.

00:46:24: dass ist nicht der fall du bist doch betroffen gewesen.

00:46:27: Das wird also so lazy nachgeladen weiß ich mehr genau wie das heißt wenn diese module zur runtime geladen werden, Also so Kernel-Module.

00:46:35: Aber das ist ja auch der Sinn von Modulen, dass ich mir nicht den ganzen Kernel voll ballere und dann alles irgendwie schon bei Boten geladen werden muss, sondern dass es eben nachgeladen wird wenn ich's brauche.

00:46:45: Und das heißt also auch, dass der Exploit des Nachladen kann?

00:46:49: Genau!

00:46:50: Das ist auch automatisch gut.

00:46:52: Wenn das API zum ersten Mal zugegriffen wird, dann merkt er Kernel A da ist das Modul noch nicht geladen und dann lädt er das nach.

00:46:58: So Kubernetes und Docker sind auch betroffen.

00:47:01: Und da habe ich auch in einem längeren Artikeln gesehen, dass es da auch Ausbrüche aus dem jeweiligen Jail gibt also das so in einem Kubernetes Cluster halt auch nur für rutsugreifbare Dateien auf dem Host schreiben kannst was natürlich sehr unglücklich ist.

00:47:16: aber klar die teilen sich ja alle den gleichen Körner host und guest bei Docker genauso.

00:47:23: Bei Podman ist es ein bisschen anders.

00:47:25: Da kannst du zwar auch im Container rot werden, aber die Container laufen da rudeless.

00:47:30: Das heißt sie sind ein unprivilegierter Nutzer auf dem Host und du kannst also auf dem host keinen Rotzugriff erlangen und aus dieser Container oder dieser Portman-Umgebung ausbrechen.

00:47:41: Gibt es einen längeren Writeup dazu der auch noch mal sehr detailliert auf die Architektur von Portman in diesem Bereich eingeht?

00:47:49: Packen wir euch in die Schau nutzend!

00:47:51: Vielleicht solltest du kurz sagen, also Container sind unter anderem deswegen so relevant.

00:47:56: Weil das ist halt ein Umfeld wo solche Local Privilege Escalations sehr brisant sind.

00:48:02: Also du hast ja vorhin schon gesagt man muss halt irgendwie auf dem System schon drauf sein als Nutzer mit eingeschränkten Rechten und kann dann halt aus diesen eingeschreckten Rechten ausbrechen.

00:48:11: Und container workloads sind halt so ein Beispiel für sowas, wo man halt irgendwelchen Leuten sagt na gut du darfst hier bei mir irgendwie einen Container auftaten und nicht berechnet das für dich in der Cloud Umgebung oder so.

00:48:22: Und da ist es halt also auf so einem normalen PC vor dem eine Person sitzt ist so ne low privilege escalation weniger brisant weil im Regelfall sind die interessanten Daten ja da so wie sowieso die des Nutzers und entweder laufe ich mit rechten des Nutzer, dann habe ich zugehört auf die Daten oder halt nicht.

00:48:42: Aber in so einer Cloud-Umgebung wo ich halt sage ich hab hier irgendwie eine Maschine, da läuft ein Kernel unterlaufen aber ich weiß nicht wie viele rutsende Container von verschiedenen Kunden oder so und soweit halt einer von diesen Kunden ausbrechen kann ist es ganz heiß.

00:48:58: Auch bei einem Web Server ist das typischerweise inzwischen so dass sich die Anwendungen nicht mehr auf dem Rostsystem selber betreiben, sondern in einem Container einfach nur weil es dann einfach portabler ist leicht dazu updaten und das Ganze auch ein bisschen schöner gekapselt ist.

00:49:12: Und dann ist der eigentliche Webserver nur noch ein Proxy, der nach ihnen irgendwo auf localhost auf einem hohen Port sich seine eigentlichen Inhalte holt.

00:49:22: Also die Idee ja im Grunde dass ich sagen kann okay was in dem Container läuft ist mir relativ egal.

00:49:29: kommt ein Angreifer nicht raus und dann macht er mir halt den WordPress Container kaputt.

00:49:33: Dann mache ich einmal container-löschen, container neu machen mit demselben Datenverzeichnis und dann ist alles wieder prima.

00:49:39: aber wenn der dann da ausbrechen kann, dann ist eben genau diese Sicherheitsgrenze dieser Boundary nicht mehr gegeben.

00:49:45: so das also hier möglich.

00:49:47: was wer auch sehr schnell als das Thema ruchbar wurde sich beeilt hat zu sagen wir sind nicht betroffen war Grafino erst Der umtriebige Social Media Account von Graphino S, wahrscheinlich betrieben von Herrn Mikkei persönlich.

00:50:02: Der verwies auf einen Forum Eintrag warum Graphino-S gegen Copy Fail und ähnliche Sicherheitslücken immun ist.

00:50:12: das geht erstmal deswegen nicht weil es den Zugriff auf diese Betroffenen Sockets also dieses API per SE Linux verbietet Und weil das Android-Open Source Project auf dem Graphino S basiert, die auch für den exploitnotwendigen SetGID und SetGiD Binarys überhaupt nicht kennt oder mich hat.

00:50:36: Also auch diese SE Linux Einschränkungen kommen vom Android Open Source Project?

00:50:42: Also Graphino s ist da sehr fair und sagt wir sind nicht betroffen, weil Android nicht betroffend ist.

00:50:50: Weil die standardmäßig eingezogenen Sicherheitsmaßnahmen da halten ganz maßgeblich diese Seelinox-Regeln über die sich die verschiedenen Android Anbieter glaube ich auch nicht allzu leicht hinwegsetzen könnten wenn sie wollten.

00:51:09: Genau, das wollte ich nur beisteuern.

00:51:10: Also alles was Grafinoes sagt, soweit ich verstanden habe betrifft einfach auch das Android im Allgemeinen und sofern ein Herrschter nicht absichtlich da Lücken auftut und es ist in diesem Fall richtig unklar warum irgendjemand sozusagen das machen sollte ist Android grundsätzlich nicht betroffen.

00:51:31: Prima!

00:51:32: Das hatte ich tatsächlich anders verstanden.

00:51:34: Ich habe ihn kurz überflogen, das ist aber schon ein paar Tage her bei dem Blog-Artikel und hatte das für mich anders abgespeichert.

00:51:40: Aber da muss man ja auch viel Feedback zugekommen ist in den letzten Wochen, denen Grafinoesleuten zugestehen.

00:51:49: Es gibt dann doch bei solchen Sachen viel Offenheit und auch Fairness wenn sie schmücken sich zumindest nach meiner Wahrnehmung nicht mit fremden Lohr werden und sagen so dass haben wir sicher gemacht.

00:52:01: Sondern auch in anderen Kontexten sagen sie schon durchaus, wer Ross und Reiter sind.

00:52:05: Aber sie nennen dann auch Ross und reiter wenn Sie jemand anderem trollen oder kritisieren.

00:52:16: Was passiert da jetzt genau?

00:52:17: Wir kommen wieder zurück in unsere skripteten Ablauf.

00:52:21: Ich lese nur noch Sklavisch Text vor.

00:52:24: Also der Linux-Körnel hat ein Socket also ein Unix Domainsocket namens ARF, ARG.

00:52:34: ARF steht ja für Address Family und ARG habe ich schon wieder vergessen.

00:52:39: Das gibt es seit Jahrzehnten und das exponiert ein API an dem Userland Applikationen andocken und Krypto-Operationen durchführen können.

00:52:49: also vereinfacht gesagt die man tut halt Klartext und ein Algo rein und einen Schlüssel und dann kriegt man Schifrat raus oder umgekehrt.

00:52:57: Und nutzt sozusagen Kryptofunktionen die der Kernel halt eingebaut hat, wo man eigentlich nur als Kernelcode an käme.

00:53:07: Das tut man über dieses API und über den Kernel leicht weil der Kernl das alles viel schneller kann als eine Usernet-Applikation.

00:53:15: aber das glaube ich nicht sondern das tut man weil man zum Beispiel auf Hardware Tokens, Hardware Cryptography Devices zugreifen will an die nur der Kernle ran kommt also die irgendwie Wo es gerade Kernel-Triber vergibt, aber wo das Device mit der Körne zugreifen kann.

00:53:37: Und das will man vielleicht nicht auf die Weis-Ebene dann im Userland explodieren sondern über den Umweg dieses APIs.

00:53:43: Das ist einer der drei Gründe, den einer der Committer für diesen AFALG Subsystem genannt hat.

00:53:50: Dann das zweite ist Schlüsselmaterial.

00:53:53: Also wenn man Schlüssel Material von irgendeinem User entgegen nimmt und da speichert man das ja erstmal im Hauptspeicher zwischen den privaten Schlüssel und dann hat man eine wohldefinierte Schnittstelle.

00:54:04: Man schmeißt das dem Kölner rüber und sagt hier, dass tust du jetzt mal in deinen privilegierten Kölnerspeicher?

00:54:10: Und ich brauche das später noch!

00:54:11: Dann kann man es aus dem Usalenspeicher, also aus den Speichersegmenten oder den Speicherseiten löschen wo ja auch jede andere Applikation unter der gleichen UAD läuft.

00:54:19: im Prinzip rankäme wenn wir jetzt so was wie ASLR mal wegdenken oder Backups verhindern.

00:54:25: Das Dritte ist... Das habe ich nicht ganz verstanden weil es ein bisschen waageformuliert war Irgendwas, irgendwas Embedded-Systeme.

00:54:31: Also da ging es irgendwie darum dass man Speicher sparen kann wenn man API nur einmal aufruft und dass man das nicht mehr selber so ist.

00:54:37: Memory, nicht Storage, sollte ich das verstanden?

00:54:40: Dass das irgendwie speichereffizienter ist.

00:54:42: wenn ich eben auf einem Embedde System wo die Ressourcen knapp sind an dieses API ran gehe

00:54:48: Ich spare mir halt eine Library.

00:54:50: also wenn ich sage ich mach das in User Space dann muss sich mir halt irgendeine Krypto Bibliothek in meine Applikation rein bauen oder sie halt auch auf diese System bringen.

00:54:58: Und wenn nachdem der Kernel diese Funktion in i eingebaut hat, kann ich mir die Library halt sparen indem ich sage ne, ich nehme einfach das was der Kerneln hier e hat.

00:55:08: Also diese drei Argumente scheinen aber mittlerweile gut.

00:55:12: aus aktuellem Anlass möchte ich mal postulieren nicht mehr jeden Restlos von der Existenzberechtigung dieses AFI-G Subsystems zu überzeugen.

00:55:22: Ich habe ein Zitat auf Hacker News gefunden von einem Herrn namens Eric Bigas und das lautet AFALG, which was added to the kernel many years ago without sufficient review should not exist.

00:55:35: Ich übersetz das mal also dieses API dass in den Kernel vor vielen Jahren ohne ausreichende Überprüfung hinzugefügt wurde sollte nicht existieren.

00:55:46: Eric Begas musste ich googeln.

00:55:47: der ist im Google Platform Encryption Team schreibt, glaube ich auch im ersten Satz dieses Hacker News Articles.

00:55:54: Ich habe beruflich sehr oft mit dem Colonel und seinen Encryption Funktionen zu tun und ich finde das sollte nicht existieren.

00:56:04: Also ich glaube da kommen wir noch am Ende noch dazu.

00:56:05: aber also ich habe keine einzige Stimme gefunden die sagt wie finden das sollte so existieren?

00:56:12: Es gibt Leute, die sagen so ja jetzt direkt rausreißen geht irgendwie nicht.

00:56:16: Aber jemand der sich hinstellt und sagt AFALG ist eine gute Idee.

00:56:20: Die sollten wir unbedingt so erhalten habe ich nicht gefunden.

00:56:23: Also ich glaube ein hab ich gefunden oder der war da mal von überzeugt.

00:56:29: Ich glaube aber dass dessen Euphorie auch deutlich abgekühlt ist in den letzten Wochen.

00:56:34: also Kann ja auch einfach sein, dass das wieder so ein Legacy-Ding ist was wir dann wegschneiden müssen und das muss dann genauso weg wie bei sich.

00:56:40: nicht drei Komma fünf Zoll Floppy Traiber per Default im Korne einkompilieren oder sowas.

00:56:45: Das war bei Herderwurfverlust ne?

00:56:46: Wie soll ich denn jetzt meine Spiele aus den neuen Scans spielen?

00:56:51: Wie du hast Zeit zum Spielen!

00:56:53: Ich hab auch ehrlich gesagt kein Floppie Drive mehr, das war nur Blödsinn.

00:56:58: Ich habe aber

00:56:58: immer noch Disketten.

00:57:00: Ich weiß sogar ganz genau wo es noch Disketten gibt nämlich in meinem Büro im Verlag.

00:57:04: Der Jürgen hat noch eine Packung, ich glaube sogar fünfeinviertel Zoll Disketten im Schrank.

00:57:09: Aber auch nur aus... Daneben nicht ne Ausgabe der zwei tausendsechsundert aus den Frühen zweitausender, also das ist reine Nostalgie hier.

00:57:16: Ich glaub' nicht dass dafür noch ein Laufwerk existiert.

00:57:18: Anyway!

00:57:18: Wir sind nicht bei Disketen, wir sind bei Kryptoroperation und die brauchen wir schon doch regelmäßig.

00:57:22: Also grundsätzlich Grundprimitive die da ausgeführt werden in dem API, die brauchen wir schon noch.

00:57:28: Also das die sollten wir jetzt nicht unbedingt wegschneiden nur den Zugriff darauf denen können wir uns vielleicht langsam abgewöhnen zumindest auf diese Art und Weise.

00:57:35: Wenn ich jetzt jetzt lese ich mal so ein bisschen paraphrasiert vor weil da bin Ich auch da kann ich nicht viel prosa drumherum stricken weil ich die einfach nicht weiß wenn man Jetzt eine Datei In Scheibchen schneidet und an so einen name pipe übergibt und dann darüber weiter AFLG Socket, dann passieren da Dinge.

00:57:58: Und die erlauben demjenigen der diesen Programmcode gerade ausführt oder das Programm gerade auswürtt ihr beiz in dieser Datei, die man da gerade reingespleist hat zu schreiben und nicht im Original der Datei auf der Disk also wirklich auf der Platte weil das ist für diesen User möglicherweise gar nicht schreibbar das Ding sondern in den PageCache geladenen Kopie dieser Dateien.

00:58:23: Und diese Datei, diese Kopie ist ja dann.

00:58:26: also das wird ja auch opportunistisch gemacht glaube ich.

00:58:28: Das meinte ich übrigens auch gerade mit Lazy, oportunistisch dass die Module opportunistische geladen werden und dieses Pagecaching ist ja per Definition denke ich opportunistischen.

00:58:37: Das heißt wenn das das erste mal gebraucht wird, wird es in Pagecache geladen, das binary das ist bei diesem im Moment dieses license der Fall so wie ich das verstanden habe und wenn ich dann später dieser Datei ausführe Dann wird die Kopie im Pagecash ausgeführt, nicht die von der Disk neu geladen.

00:58:53: Außer der Pagecache wäre vorher einmal invalidiert worden.

00:58:56: dann müsste das Ding natürlich neu geladet werden.

00:58:58: So diese vier Bytes, die dürften da nicht reingeschrieben werden.

00:59:05: und dass sie da reingeschrieben werden liegt daran, dass die Implementation also die Kernel-Implementation dieses einen speziellen Krypto Algorithmus, der da gerade aufgerufen wird darauf verlässt, Auf jeden Fall sich daran hält, nicht über seine Beichergrenzen hinaus zu schreiben im Pagecash oder im Hauptspeichert ne im PageCache glaube ich.

00:59:29: Bin

00:59:30: ich ein bisschen fleckig!

00:59:31: Diese Annahme wird aber nicht durch irgendwelche technischen Mechanismen von dem API oder vom Kernel durchgesetzt und die ist auch nicht dokumentiert irgendwo.

00:59:42: also das muss man wissen

00:59:46: als Algorithmus implementierter sozusagen.

00:59:49: Genau, als Kernel-Kryptosystem Algoritmen implementierer und man fairerweise muss man auch sagen offensichtlich wussten es auch alle bis auf einen Und das ist Auf The Nessens.

01:00:02: Das ist diese Rockband aus den zweitausendern oder?

01:00:05: Die gibt's

01:00:06: doch immer noch.

01:00:07: Oh echt?

01:00:07: Ach nee warte mal das war Evernessens aber die klingen so ähnlich.

01:00:10: Also auf ENCESN.

01:00:14: Das ist irgendwas mit IPsec und Paketnummer zuordentlich.

01:00:18: Ich hab's nicht verstanden, aber ich wollte es auch ehrlich gesagt nicht verstehen.

01:00:21: Möchtest du das erklären?

01:00:23: Aber wir haben keine Zeit!

01:00:24: Ich habe keine Ahnung was genau dieser Algorithmus tut.

01:00:27: die einherrige Meinung scheint zu sein... ...das ist eine totales Nischen-Ding.

01:00:31: und warum zum Geier der für Userspace exponiert werden muss weiß irgendwie niemand.

01:00:37: Ja gibt´s bestimmt irgendwo irgendwie ne Mail in der Linux Kernelmailing Liste?

01:00:42: Dazu komme ich gleich noch zu den Hinungskörnern.

01:00:44: Ja, also

01:00:45: grundsätzlich das ist schon aufpassen nicht so sehr springen aber das ist glaube ich keine bewusste Entscheidung.

01:00:51: über dieses alg werden würden einfach all.

01:00:55: Also der Satz von kryptoprimitiven die in der kernel da beherrscht der wird exponiert.

01:01:00: blanko wurde Keine bewussten entscheidungen getroffen.

01:01:04: dieser algutmus ja diese algutbus?

01:01:05: nein

01:01:06: okay Das hatte ich nicht auf dem Schirm, das hatte ich mir anders vorgestellt tatsächlich.

01:01:10: Dass man dann sagt okay wir brauchen hier in dem IF-ALG werden wir auf jeden Fall brauchen AES und dieses und jenes und hier ein HMAC und so.

01:01:17: sondern das ist einfach alles...

01:01:19: Das wird jetzt vorgeschlagen da kommen wir gleich dazu.

01:01:21: aber da wurde einfach langrormäßig alles exponiert.

01:01:25: und ob es irgendeinen Grund gibt für ... Hab ich niemanden gefunden, der sagt wir brauchen das.

01:01:40: Ja aber du hast ja vielleicht auch nicht eine richtige Stelle gesucht.

01:01:43: Irgendwo gibt es bestimmt jemanden.

01:01:44: Irgenwo gibt's doch bestimmt noch jemanden der den Floppy-Treiber beugt hat?

01:01:48: Auch ich wette, wir kriegen mindestens zwei Mails von Personen die einen brauchen und ich kann dir jetzt schon eine Wette anbieten wer einer von diesen Personen sein will.

01:01:58: Wir freuen uns

01:01:58: darüber,

01:01:59: aber das würde mich wirklich interessieren wenn hier jemand sagt Ich habe ein Use Case für den Floppytreiber im Körner

01:02:08: Also kein Retro-Computing.

01:02:12: Da kannst du einen alten Kernel hernehmen und ich meine, du kannst auch jetzt noch ein Floppy-Gerät dir halt kaufen aber das redet dann per USB.

01:02:17: also du musst ja wirklich so mit dem aktuellen Kernel so'n altes Floppie-Laufwerk laufen lassen wollen.

01:02:24: Wenn ihr so ein Use Case habt schreibt uns an Passport-Podcast at heise.de oder auf Mastodon.

01:02:33: Da ist es bestimmt sogar besser platziert, weil das eine interessante Diskussion entspinnen konnte mit den ganzen anderen Silberrücken.

01:02:41: Wir kommen zurück von den Silberrücken zum Linux-Körner.

01:02:43: Der ist ja auch so ein Art Silber rücken denn dieser Algorithmus schreibt jetzt über diese undokumentierte nicht durchgesetzte Grenze hinweg und zwar für jede Datei die für den aktuellen User der dieses ganze Ding, dieses Python-Skript oder C-Programm ausführt leasbar ist!

01:03:01: Also die muss nicht ausführbar oder schreibbar sein, es reicht wenn sie lesbar ist.

01:03:04: Ist ja auch klar denn ich schreibe ja nicht in die Datei rein auf dem Dateisystem wo die Schreibzugriffsrechte des Dateissystems gelten sondern Es wird eine Kopie der Dateien den Pagecash geladen und dort ist sie dann für den User der sie geladen hat Schreibbar.

01:03:22: also

01:03:23: auch das sollte sie nicht sein.

01:03:24: da kommen wir gleich dazu.

01:03:25: wieso dass denn passiert?

01:03:26: eigentlich sollte auch Da der user gar nicht reinschreiben können.

01:03:30: Der Angreifer kann jetzt also in einer Datei schreiben, die für den User lesbar ist.

01:03:34: Und der Angreiver kann auch steuern an welche Positionen dieser Datei erschreibt indem er diese oben genannte Datei, die er da reinpreibt passend konstruiert und dann so ein bisschen mit Offset spielt und irgendwelchen Algorithmen und allen möglichen anderen Variablen.

01:03:50: und Er kann auch Steuern was er da reinschreibt aber nur vier weit Aber die so oft wie er will.

01:04:01: Also es sind immer nur vier Beide am Stück, aber keiner sagt dass man das nur einmal probiert.

01:04:05: Man kann also dann einfach in der Schleife die Offsets erhöhen und dann kann man da beliebig viel Content reinschreiben.

01:04:10: So Wie kam es dazu?

01:04:16: machen wir jetzt mal vor dem was machen wir damit?

01:04:19: Also dieses Evanescence gibt es auch schon ist auch schon Silberrücken gibt seit-Siehre-Zweite-Elf im Linuxkörnel Und hat dieses Verhalten also dieses das ist diese Speichergrenzen nicht so richtig einhält von Anfang an gehabt Und das war auch, ich habe hier geschrieben mit den Notizen.

01:04:37: Das war okay aber das war unauffällig.

01:04:41: Es ist keinem aufgefallen und es hat keine Probleme verursacht bis... ...zweitausendseptien jemand an dem ALLG speziell an diesem IID Support Authenticated Encryption with Additional Data oder sowas?

01:04:56: Associated Data.

01:04:58: Associated data Support optimiert hat und wie wir wissen Freie nach Dijkstra war Dijkstranne.

01:05:05: Premature Optimization is the root of all evil, ob diese Optimisation jetzt premature war weiß ich nicht mehr.

01:05:11: ist es Dijkstre gewesen?

01:05:12: Ich weiß nicht, wer das war

01:05:13: oder was Tannenbaum... Oh!

01:05:14: Jetzt muss ich aber da.

01:05:15: das habe ich nämlich schon mal im Podcast falsch gemacht.

01:05:16: dass gibt flach.

01:05:18: Optimisation Is The Root Of All Evil.

01:05:21: Das ist von.. Da ist doch nicht von Knuth.

01:05:24: Ist das Von Knuth?

01:05:25: Dann ist das Von Knooth.

01:05:27: Sorry an DrKnooth Aber der ist glaube ich auch schon tot.

01:05:31: Da wurde optimiert und dann wurden Operationen in place und nicht out of place durchgeführt.

01:05:38: Keine Ahnung was das heißen soll.

01:05:40: kannst du das erklären, sodass ich es verstehe?

01:05:44: Ich kanns versuchen.

01:05:45: also ich habe mir das ein bisschen angeschaut aber auch nicht aus Zeitmangel nicht in der nötigen Tiefe eigentlich.

01:05:51: Also grundsätzlich geht's darum dass sich Daten mit denen ich irgendwas machen will Nicht rum kopiere, sondern einfach an dem Schweicherbereich indem sie liegen eben modifiziere deswegen in place.

01:06:05: Das läuft teilweise auch unter zero copy weil so eine Kopio-Operation halt einfach Performance frisst und vor allem eben wenn ich sehr große Datenmengen irgendwie handhabe.

01:06:14: also klassischer Fall wäre der Kernel hat irgendeine Datei im Hash die ist irgendwie was er im Cash ist irgendwie sehr groß und ich will davon einen Hashwert berechnen.

01:06:25: dann wär es ja doof selber nochmal diese Datei irgendwie von der Platte lese und irgendwo hinkopier oder aus dem page cache, wo sie liegt irgendwo an das hin kopiere um da mit einer hash Funktion drüber zu gehen.

01:06:39: Schöner wäre sozusagen wenn ich einfach an der Stelle wo sie ist was ist los?

01:06:44: Wenn du ein page cached

01:06:50: den hash vom cache... Ich möchte vermeiden, Daten zu kopieren.

01:06:55: Wenn ich sie nicht kopieren muss was halt insbesondere dann relevant performance spart wenn es um sehr große Datenmengen geht.

01:07:02: Es gibt zum Beispiel auch manche von diesen können Algorithmen die in place verschlüsseln können.

01:07:08: Dann kann ich auch sagen ich habe hier irgendwie drei gigabyte Daten.

01:07:11: Ich möchte die verschlüsselt haben und dann ist es schön wenn ich mich noch mal drei Gigabyte Speicherplatz irgendwo reservieren muss und sozusagen da das Schiffrad reinschreibe, sondern einfach an Ort und Stelle also die Klartext-Dateien überschreiben mit dem Schiffrat.

01:07:30: Ob es wirklich so viel Performance spart ist scheinbar auch in der Diskussion.

01:07:35: Also es ist sozusagen fraglos.

01:07:36: Das ist Performance sparten wenn ich mir zu sehr großen Datenmengen hantiere.

01:07:39: Ob sie desrentiert?

01:07:40: Ist eine andere Frage anstellen, wo ich zum Beispiel sehr viele Daten durchschleuse und verschlüsseln will.

01:07:46: Irgendein Netzwerksverkehr kommen die normalerweise in vielen kleinen Blöcken an.

01:07:50: Da spart es eventuell gar nicht so viel weil ich da halt nicht irgendwie den drei Gigabyte Block aufschlagen habe.

01:07:56: Wo ich mir dann davon profitiere, möglichst wenig Kopieroperationen zu haben.

01:08:00: Naja jedenfalls wurde das eben optimiert und insbesondere gab's eben vorher an dieser Stelle zwei sogenannte Scatalysts für die Ein- und Auskabeldaten.

01:08:14: Diese Skatterlist sind Strukturen um verteilte Speicherfragmente, also wenn ich Daten an verschiedenen Stellen im Speicheliegen habe zu verwalten.

01:08:24: Letztendlich ist es ein Array von Page Pointer, Offsets und Längen so dass ich sagen kann der erste Bock der Daten liegt hier.

01:08:32: Also Page sowieso, Offset Blah, Länge X Der nächste Blockdaten liegt dann halt Page sowieso Offset, Y, Länge Z und so weiter.

01:08:42: Und dann habe ich da einen Array.

01:08:44: Jetzt kann man aber seit sieben schon – also es ist auch nicht ganz neu – diese Arrays auch verketten.

01:08:51: Das war damals wohl ein relativ großer Fortschritt weil ich dann auch nicht mehr darauf beschränkt bin dass... Also dieses Array muss aus irgendwelchen technischen Gründen in einer Page rumliegen Und ich konnte deswegen sozusagen nicht beliebig wachsen, aber wenn ich es verketten kann dann löse sich das Problem.

01:09:10: Wenn ich jetzt so wie das ursprünglich implementiert war zwei solche Scatterlist habe für die Eingabendaten und Ausgabendate, dann konnte der Angreifer diese vier Beide, die ihr jenseits des Offsets schreiben kann in den Ausgabe-Bufferschreiben, denen er verwaltet also in die Scatterliste, die e dafür da ist und das entstand dadurch kein Schaden.

01:09:36: Und jetzt wurde dieses Ding auf diese in-place Modification umgebaut, sodass es letztendlich dann sozusagen nur noch ... also die Faktor im Speichern nur noch eine solche Scatterlist gab und das war an der Stelle scheinbar auch ein bisschen sinnlos weil die eigentliche ... es geht hier um eine Entschlüsselungsoperation.

01:09:58: Die arbeitet eh mit einer Kopie.

01:10:00: Aber diese associated Data und insgesamt so einen Tag, den konnte ich sozusagen, da konnte ich mir eine Kopie sparen und das wurde gemacht in dem sozusagen diesen Tag der in der Eingabe oder der früher in der Einkabsketterliste gehangen wäre und in Ausgabersketterlisten kopiert worden wäre.

01:10:17: Der wurde stattdessen einfach an die Ausgabel-Sketter list angehängt über dieses Verketten von diesen Sketter Listen.

01:10:24: Das heißt, früher hatte ich halt eines Sketters die für den Angreifer nur lesbar war und dann wurden die Daten rüberkopiert, in eine, die für einen Angreifer aufschreibbar waren.

01:10:36: Und jetzt wurde aber ein Teil der Daten eben nicht kopiert um das Einzusparen sondern über so eine Verkettung einfach da angehängt.

01:10:44: Jetzt hatte man plötzlich den Fall dass der Angreifere hier eine solche Scatalyst hat, auf die er schreiben kann und an der hinten diese Eingaberdaten dran gehängt worden sind, in die er nicht schreiben soll können soll.

01:11:02: Und wenn ich jetzt eben ein Algorithmus habe der sich nicht an seine Boundaries hält sondern darüber hinaus schreibt dann rutscht ihr halt in den Bereich In denen der Angreifer nicht schreiben können soll aber aufgrund dieser Zero Capri Optimization Schreiben kann weil ich mir eine Kopieoperation eingespart hab und statt der Kopie einfach nur diese diese Verkettung definiert habe.

01:11:24: und diese Verketten kann die Operation dann folgen.

01:11:26: Vorne muss der sozusagen vorne sollte er schreiben können.

01:11:29: aber wenn sich der Algorithmus eben jetzt nicht an diese diese Boundary Regeln hält die du erwähnt hast, die halt scheiben auch nirgends wo spezifiziert waren.

01:11:37: Dann schreibt er plötzlich in den Bereich dir eigentlich für Angreifer nur liestbar sein sollte.

01:11:43: und das gammelte dann neun jahrelang im Kernel herum bis jemanden das Thema fand.

01:11:53: und dass war erst jemand namens Therian

01:11:55: Lee.

01:11:56: Der hat das für Kernel CTF, also so ein Capture Reflecting im Kernel wohl vor paar Monaten gefunden.

01:12:07: Und zumindest diese Grundidee, dass man wenn man AFALG und Splice kombiniert einen Pfad hat wo man dann irgendwie User Space Applikationen in den Pagecash in dieses Kryptosubsystem rein füttern können kam das unternehmen theorie mit ihrem ai gepauerten sind kot und hat dem im wesentlichen gesagt Guck mal in linux kryptosystem folgen dahin weiß splice und so weiter und sofort und kann man da nicht was draus machen.

01:12:41: und dann viel da nach unbekannt vielen versuchen mit unbekannter fähnstaub dieses dieser angriff raus Unter anderem wohl auch noch ein weiterer Privilege Escalation Bug.

01:13:00: Was sie da jetzt, also natürlich ist das Narrativ.

01:13:02: unser tolles Erhalt-Tool kann Code analysieren und ich meine, dass es am Ende ist auch so eine Linnungskörne irgendwo deterministisch.

01:13:09: Also, dass LLM nicht so schlecht darin ist diese Sprache zu analysieren bin ich jetzt nicht unheimlich überraschend.

01:13:16: aber Sie haben das dann gefunden Und haben sich das genauer angeguckt und haben sich dann überlegt, so was können wir denn jetzt eigentlich damit machen?

01:13:23: Also was wir ja jetzt haben ist.

01:13:25: Wir können eine beliebige für den Benutzer lesbare Datei, vier Beile oder eine beliebigere Anzahl beiz reinschreiben in die Kopie, die im Pagecash liegt.

01:13:35: also wir sind auf jeden Fall mal nicht reboot fest mit dem auch immer was wir machen.

01:13:39: Das heißt nach einem Reboot oder sobald der Pagecache invalidiert wird Was er hier irrtümlich nicht wird sind wir ist unser exploit weg machen wir das, was wir dann so machen in solchen Fällen.

01:13:49: Wir nehmen am besten erstmal ein Binary, dass häufig da ist und das auch für jeden User lesen und zusätzlich auch noch ausführbar sein muss oder ausausführbar ist.

01:14:02: Das wäre in diesem Fall Userbinn-SU.

01:14:05: Das trifft sich ganz gut weil es nämlich auch SetUID ruht.

01:14:08: Das brauchen wir später!

01:14:09: Und dann machen wir unseren Soccer zu unserem iFILG auf und zu unserer KryptoAPI und nehmen uns handelsüblichen Shellcode und teilen den in vier Byte-Päckchen.

01:14:18: Und dann schmeißen wir den mit unserem gerade gefundenen Methode in kleinen, vier Bytespäckchern in unser Binary das da im Pagecash rumlicht.

01:14:31: Und nachdem wir einen entsprechenden Write oder Synct-Triggern haben wir im PageCache ein binary, dass wir gerade so im Speicher gepatched haben, sodass da unser Shellcode drin steht.

01:14:44: Das führen wir jetzt einfach aus!

01:14:46: Und jetzt haben wir ein su-Binary, das also ausgeführt wird und normalerweise sagen würde hey tu mal Passwort.

01:14:54: Aber in diesem Fall macht es nicht tu mal passwort sondern macht ja exec bin bash.

01:14:58: und dann haben wir unsere root shell denn da kommt der setuid-root ins spiel.

01:15:02: userbinsu ist setuidi-root Das heißt wenn ich das dazu kriege meinen code auszuführen dann wird er mit root rechten aufgeführt

01:15:10: Genau!

01:15:11: Also sozusagen ist es normalerweise wenn ich als nutzer x eine mit der Datei Ausführ unter einem Unip System, dann läuft die mit Rechten von UserX.

01:15:21: Aber eine Set UID Binary läuft halt mit den Rechten des Benutzers, dem diese ausführbare Datei gehört und UserBinSU gehört eben Rot.

01:15:30: Und wenn ich die ausführe, dann läuft sie mit Rot-Rechten, obwohl ich selber nicht Rot bin.

01:15:35: Das ist eben an SU.

01:15:36: deswegen sind die ein sehr heikles Thema.

01:15:40: es liegt an SU sozusagen sich komplett korrekt zu verhalten und mit diesen erhöhten Rechten, mit denen es jetzt hier läuft.

01:15:47: Mir auf keinen Fall als Nutzer-X irgendwas zu ermöglichen was ich nicht tun soll.

01:15:52: an der Stelle trifft aber das SU keine Schuld weil in dieser Datei sind ja einfach Dinge überschrieben worden.

01:15:59: also da gibt's nichts was irgendwie SU Entwickler machen könnten um das zu verhindern.

01:16:03: Hier wurde die Datei einfach über diesen in diesen vier Beit Stückchenweise modifiziert Und dagegen kann sich SU nicht schützen.

01:16:12: Dagegen hätte der Kernel schützen müssen, dass man diese Dateien modifizieren kann.

01:16:17: Ja und im Grunde ist das dann der Exploit.

01:16:21: Ich war ein unprivilegierter Nutzer für dieser siebenhundert-byte Skriptchen aus und dann bin ich ruht und habe eben meine Rutschell und würde dann natürlich versuchen, irgendein Persistenzmechanismus zu aktivieren.

01:16:34: Würde den Fall da sich einen Reboot überleben muss aber das steht auf einem anderen Blatt.

01:16:37: Das ist auch nicht Teil Geschichte hier.

01:16:42: Es ist auch, also diese exploit nutzt halt dieser su binary oder überhaupt so eine set uld binary.

01:16:52: Aber das ist ja nicht die eigentliche Ursache.

01:16:54: Also selbst wenn man sagt ich habe ein System sowie zum Beispiel android was grundsätzlich keine s usd binaries Mit sich bringt weil sie ebenso ne angriffsfläche darstellen Habe ich immer noch dieses problem Weil der eigentliche buck ist ja dass der kernel hier einem nutze erlaubt vier Beidweise in Dateien zu schreiben, die ihr nicht schreiben darf.

01:17:13: Das kann man sicher auch anders ausnutzen als über so ein SUID Binary.

01:17:17: das ist halt der Weg den Theorie hier gegangen ist um es zu demonstrieren.

01:17:21: aber ich bin nicht auf der sicheren Seite nur weil ich keine SUID Binaries habe.

01:17:25: Ich bin auf der sicheren Seite wenn der Kernel einem Nutzer nicht erlaubt in Datein zu schreiben wie ihr nicht beschreiben darf.

01:17:34: Ja und jetzt haben wir eigentlich den Back und den Exploit in epischer Breite erzählt, aber das geht natürlich noch ebischer und breiter als.

01:17:44: es gibt inzwischen eine erkleckliche Diskussion in verschiedenen Mailing-Listen auf Hacker News und Mustodon.

01:17:51: Es gibt verschiedene Ride Ups zu dem Thema.

01:17:54: Das ist also sehr schnell, da vieles passiert Und mit einem Aspekt bestäftigen sich auch viele Diskutanten.

01:18:01: Deswegen wollen wir denen hier auch nochmal anschneiden und zwar die aus Sicht vieler Spezialisten und solche, die sich so nennen verunglückten Veröffentlichungen und dem Disclosure Prozess.

01:18:14: Das ist eine Coordinated Disclosure gewesen.

01:18:17: Ich weiß gar nicht ob es Coordinated oder Responsible Discloser nennt.

01:18:22: ich glaube sie nennt sogar Responsible Dysclosure zwischen dem Unternehmen das es gefunden hat und dem Colonel Team und nur dem und offensichtlich hat sich als Theorie für ihr sind, also ihr AI-Bugfinderassistenten oder was aber mal der macht.

01:18:41: Ich habe es mir nicht angeguckt weil ich kriege da immer schon so ein bisschen Pluck wenn die Leute anfangen ihre Produkte zu pitschen.

01:18:49: versprochen dass das ordentlich Publicity gibt und Publicity ist natürlich gut.

01:18:52: und wir... Was haben wir gerade gesagt?

01:18:54: Jede PR ist gute PR!

01:18:56: Also

01:18:57: ich habe ja explizit das Gegenteil gesagt.

01:18:59: Ja das war eine unbedeutende Einzelmeinung auf die wir hier im weiteren keine Rücksicht nehmen können.

01:19:06: Also die alle, die sich damit auskennen sagen jede pr ist gut also vor allem pr beauftragte sagten das.

01:19:12: Ja okay ich ziehe meine meinung zurück.

01:19:15: Das sind doch Experten wenn es pr beauffrachte.

01:19:20: Es gibt eine Webseite.

01:19:22: die sieht mir schon arg so raus als kämen sie auch außer kei und aus irgendeinem kei-websites zusammenstopfsel baugasten.

01:19:28: Und natürlich hat die lücke einen namen Kleiner Querverweis.

01:19:33: Es gibt ein süßes Neues, ich weiß gar nicht wie Neues ist aber es ist mir heute aufgefallen Projekt das heißt Vulnerability.Garden.

01:19:41: Das ist eine Webseite die alle Sicherheitslücken Die einen hübschen Namen und möglicherweise sogar ein Logo haben auflistet Und möchte mal schätzen Sylvester Wie viele dass seit?

01:19:56: Also

01:20:04: wie du sagtest, dir ist dieses schöne Projekt aufgefallen habe ich schon auf den Link in unseren Show Notes geklickt und sehe jetzt dass es neunhundertsechzig Stück sind.

01:20:14: Ja neun-hundertsächzig Stück und es werden also täglich mehrere mehr... Ich weiß allerdings... Ach so warte mal published!

01:20:21: Also die erste Lücke sorry ich muss noch publish sortieren.

01:20:23: Die erste Lücke ist die Bleichenbacher Million Message Attack an die chosen ciphertext attacks against protocol space on the RSA encryption standard klingt so ein bisschen wie enigma von sprücher knacken dann gibt's pizza tief.

01:20:37: das war mal neun neunzig und die letzten.

01:20:41: also im mai gab es zwei.

01:20:43: das sind eure boros und bleeding lama und copy fail haben am neunzwanzigsten vierten schittricks kann ich mich noch ein bisschen dran erinnern.

01:20:50: also gibt da allerlei lustige namen die nahmen sind aber jetzt nur schalle und rauch.

01:20:55: wichtig ist dass das natürlich alle zutaten für den erfolg in security pr theater sind und sie haben Auch so eine Art, oder sie haben eine koordinative Disclosure mit dem Coenl Team gemacht.

01:21:07: Sie haben nämlich am XXIII.

01:21:09: dritten Bescheid gesagt Hallo wir haben da was gefunden.

01:21:11: Am ersten vierten gab es die Fixes.

01:21:14: Am zwanzigsten vierten gabs den CVE für die Lücke und am neunzwanzigste vierten Gabs die Disclosur.

01:21:22: also da wurde alles veröffentlicht.

01:21:25: sind wir beide ja Leute, die schon auch mal ein Linux Körner in der Hand gehabt haben und die auch schonmal eine Linux Distribution in der hand gehabt haben.

01:21:33: Würdest du sagen dass vier wochen vernünftiger Zeitraum sind?

01:21:39: Wo eine linux distro wenn sie einen sicherheitslücke findet den auf jeden fall in alle ihre Corners begportet und jede linus distros macht?

01:21:50: Ich dachte, ich werde gefragt ob sie das sollten.

01:21:52: Das wäre eine schwierige Frage gewesen.

01:21:55: Ob Sie es de facto tun?

01:21:58: Es geht um so ne Local Privilege-Eskulation wie du sie jeden Tag zu Dutzenden in den beiden großen Kernels also Windows und Linux findest.

01:22:06: Halte das für utopisch dass sie damit halten.

01:22:09: Ja.

01:22:09: Und werden wir auch völlig neu.

01:22:11: Also auch drüben in Redmond sieht man's ähnlich... zu dem Red Sun ja in der letzten Folge was gesagt, also in der Bonus-Folge und eine zwei Wochen später am sechsten Mai habe ich es heute Morgen noch probiert.

01:22:25: Und der exploit gegen diese Local Privileged Escalation in Windows ist auch immer noch voll funktionsfähig.

01:22:30: Ich denke der wird dann im nächsten Patch Day also drei oder vier wochen nach seiner Veröffentlichung gepatcht werden und bei Linux war's nicht anders.

01:22:38: Also die Distros Die haben zum Disclosure-Zeitpunkt fast alle dicke Backen gemacht.

01:22:43: Bis auf natürlich, welche Distro hatte schon Patch oder hatte schon gefixten Körner?

01:22:50: Nein, war jetzt hier kein Namecropping!

01:22:51: Aber Rolling Release-Distros wie z.B.

01:22:54: Arch Linux hatten waren einfach halt auf dem aktuellen Kernel und im aktuellen Körnel war es halt gefixed.

01:23:00: Ja, Latest & Greatest.

01:23:03: Was hat zu ihrer Verteidigung aber sozusagen Fairness habe.

01:23:05: ich glaube Fedora war auch schon gefixt in der aktuellen Version.

01:23:09: Also nicht vielleicht.

01:23:10: Fedora war vielleicht noch gar nicht verbunden, aber der Körner älter war es von zwei

01:23:14: tausend

01:23:17: siebzehn.

01:23:18: Ich weiß

01:23:20: ich auch jetzt schon in die Diskussion einsteigen wollen, ne?

01:23:23: Aber Der Punkt ist halt hier dass der Kernel Nicht eine Software ist wie jede andere.

01:23:29: bei jeder anderen Software finde ich kann man schon sagen ich habe das gemeldet das gab fixes.

01:23:35: Die Fixes wurden ausgespielt in der neuen Version des Produkts, ne?

01:23:40: Dann kann ich auch drüber reden.

01:23:44: Also vielleicht nicht irgendwie drei Sekunden nachdem das Update draußen ist oder so aber im Allgemeinen.

01:23:50: Aber beim Kernel sind natürlich schon so dass wahnsinnig viele Linux Distributionen teilweise wahnsinnige alte Kerneln ausliefern und ich da halt leider das nicht in der Situation bin, dass sich sagt naja es ist im aktuellen Kernel gefixt dann ist es auch sozusagen in der produktiven Breite bei den Anwendern gefixt.

01:24:10: Ja und es ist ja auch inzwischen so, dass also Alleine Ubuntu acht verschiedene Versionszweige hat.

01:24:20: die haben sechsten zwanzig vierzehnzwanzig und zweinzwanzigh zerovier LTS gerade fünfzwanzigt zehn für Interim Und dann haben sie noch ESM Releases Die gehen runter bis zwei.

01:24:36: Das ist ja auch einfach unheimlich viel Arbeit.

01:24:39: Du musst da jetzt, was habe ich gerade gesagt?

01:24:41: Acht Cornel fixen plus X, du kannst ja auch noch sagen Ich will jetzt hier in meinem six und zwanzig Null vier etwas älteren Cornel haben dann muss der auch mehr Quatsch kriegen.

01:24:50: Also ich würde sagen reden wir gleich darüber.

01:24:52: Na das zeigt für mich so wie utopisch dieses Vorgehen eigentlich ist.

01:24:56: aber Wo ein Verteidiger, der seinen Kernel fixt auch immer einen Angreifer und die Angreifer haben sich natürlich drauf gestürzt.

01:25:04: Also die US Cyber Sicherheitsbehörde CISA meldete in ihren Generalisten den Non-Exploited Vulnerabilities am ersten Fünften das ihn exploits für diese Lücke Copy Fail in freier Wildbahn entgegen geflogen sind.

01:25:21: Und das zeigt dann auch natürlich, dass es ist ja klar.

01:25:23: Das ist eine paradiesische einfache Lücke um auf einem Binux-System, auf das du irgendwie gekommen bist, ruht zu werden.

01:25:29: Denn da sieht man zwar im D-Message, also im Kernel Lock, da sieht mal was.

01:25:33: aber das kann man auch mit ein bisschen Pech für irgendeine seltsame Meldung von diesem komischen Kryptosubsystem, das sowieso immer nur irgendwelchen Quatsch ins D- Message schreibt halten und sich nichts weiter dabei denken ob das jetzt in Renzen wäre... verwendet wird, dass es ja immer so dieses Kriterium für die Zieser-Uster noch mal brisanter wird.

01:25:51: Das wissen sie nicht, da steht Anderon aber definitiv ist das also offensichtlich schon exploitet worden.

01:25:57: und für diesen gesamten Disclosureprozess gab's jetzt sagen wir mal eher verhaltenen Beifall einer der prominenteren Leute, die eben so ein bisschen den Slow Clap gemacht haben.

01:26:12: Leichte

01:26:12: Kritik geäußert haben!

01:26:14: Ganz verhaltene Kritik war will dormen und der hat dann auf basto natürlich in die verhaltene kritik auch noch ein bisschen den greck cage reingerührt, der sich dann da auch noch befleißigt fühlte.

01:26:26: das heißt also der kam doch nur noch einer vom kernel team dazu oder mit drauf gehauen.

01:26:33: Du musst kurz sagen, wer will dormen ist.

01:26:34: Aber Greg ist nicht einer vom Kernel-Team sondern eigentlich die Nummer zwei in der Linux Hierarchie.

01:26:40: Ja so ein Kernel... Ich merke mir den ganzen Namen nicht!

01:26:43: Da gibt es ja diesen Loones oder wie er heißt und dann gibt's halt den Greg Kaha.

01:26:50: Kaha steht für Cora Hartmann das Nachname.

01:26:53: Und ich glaube da ist auch die offizielle Nummer zwei der er apparent.

01:26:57: Also wenn Linus mal irgendwann überhaupt keinen Bock mehr hat, dann wird Greg auch die Nummer eins werden glaube ich.

01:27:02: Sollte es das mal irgendwie meinig propagiert worden und er ist bei Urlauben oder den anderen Vertretungsfällen?

01:27:08: Genau.

01:27:08: also er springt zumindest ein.

01:27:09: ob die Nachfolgeregelung da gab's glaub ich ne neues Dokument aber das ist vor...ich hab's nicht mehr im Kopf Und da ist es auch hier, glaube ich, tut jetzt grad nichts zur Sache.

01:27:17: Aber nicht irgendjemand, sagen wir's mal so!

01:27:20: So

01:27:20: und Will Dorman ist ja jetzt auch nicht so richtig.

01:27:23: Irgendjemand hat aber jetzt nicht die Meriten, dass er der Colonel-Maintenor isst also sehr silberrück.

01:27:30: Nee, sind Security-Experte, der relativ viel sich äußert zu dingen.

01:27:36: Was macht er eigentlich in seinem Tagesjob?

01:27:39: Warte mal... Der macht Security.

01:27:42: Ich bin gerade nicht ganz sicher, was er so den ganzen Tag macht.

01:27:45: Aber der hat auf jeden Fall Meinungen zu dem Thema gehabt und diese Meinung war im Wesentlichen von zwei Sachen geprägt, die mit seinen Einstiegskritikpunkten waren.

01:27:55: Diese Kritikpunkte habe ich schon wieder weggescrollt.

01:27:58: das war vielleicht nicht eine gute Idee.

01:28:01: Wo sitzt sie denn?

01:28:02: Oh Gott!

01:28:02: Das ist ein langes Dokument unserer Notizen-Ding, dass es ja fast ein Sonderhäft

01:28:09: ist.

01:28:10: finde ich doch zu recht über zwei Dinge aufgeregt.

01:28:13: Das eine ist, dass die Webseite von der Theorie, also von den Findern dieses Exploits oder von dem Publizieren vorgeschlagen hat als Gegenmaßnahme man soll halt einfach das aktuelle Kernpaket der eigenen Distribution einspielen zu einem Zeitpunkt wo praktisch keine von den zumindest großen Server-Distributionen und wir haben ja gerade schon darüber geredet warum gerade so Server Setups hier besonders anfällig sind einen so aktuellen Körner zur Verfügung gestellt hat.

01:28:43: Das heißt, es war ein eher wenig praktikabler Ratschlag und das andere ist dass die Webseite von den Findern gesagt hat naja wenn es nicht geht dann kannst du einfach das betroffene Modul deaktivieren also dass es auch nicht dynamisch nachgeladen wird und dann bist du auch safe.

01:29:02: und das geht halt.

01:29:03: nur wenn dieses AF-ALG.

01:29:11: Tatsächlich als Modul zur Verfügung steht, man kann das nämlich auch in den Kernel einkompallieren und unter anderem die nicht ganz irrelevante Linux Schmiede Red Hat macht es halt.

01:29:23: Das heißt auf Red Hat Systemen konnte man eben also hat man wie dann ein aktuelles Kernel Image einspielen können noch konnte man das Modul blockieren Und da kann man es überschreiten, wo die Schuld dran liegt.

01:29:35: Aber sich als Finder und Publizierer dieses Exploit hinzustellen und sagen ja mach das halt!

01:29:40: Beide sind Aktionen, in denen man de facto nicht machen kann ist natürlich schon ein bisschen ungut.

01:29:46: Ja der Red Hat wird dann ein bisschen nervös aber zum Glück hat Red Hat da einen funktionierenden Hotfix bereitgestellt auf den wir jetzt nicht nach Tief vereinen.

01:29:57: wenn ihr Red Hat Kunden seid dann wisst ihr sowieso wie die Knowledgebase wohnt Und könnt dann da reingucken.

01:30:02: und der gab's dann einen wirklich langen also langen langen frett auf mastodon mit will und allen möglich anderen aktören.

01:30:11: Ich habe glaube ich fürs lesen ein bisschen über eine stunde gebraucht bis ich den soweit durchgelesen hatte, der zog dann auch so ein paar schleifen beziehungsweise wollten und dann muss man auch gucken dass man nicht in irgendwelchen rabbit roads verschwindet.

01:30:22: und das war wurde.

01:30:24: also viel Fundamentale Kritik an diesem Disclosure-Prozess und an Disclosierprozessen generell.

01:30:30: Und an der Discloser, wie sie das Kernel Team oder Kernel Adjacente Sicherheitslücken betreffen.

01:30:40: Jetzt weiß ich nicht, wie der Satz angefangen hat.

01:30:41: Deswegen kann ich nicht sauber zumachen.

01:30:43: Tut mir leid für die AI Transkriptionen.

01:30:46: Auf jeden Fall ist es eine sehr lange Diskussion.

01:30:49: Die können wir hier nicht komplett wiedergeben.

01:30:51: Wie gesagt, Track hat sich da auch zugehäußert.

01:30:55: Es hat sich dann auf einem anderen sozialen Medium auch der CEO von Theorie geäußert oder der Produktverantwortliche Funk sind.

01:31:03: Der hat versucht so Schadensbegrenzung zu betreiben und im Wesentlichen, ja wir konnten nicht weil wir konnten Nicht ne?

01:31:10: Also ich mache mal ein paar leicht paraphrasierte Zitate.

01:31:14: es war für uns nicht leistbar diese Coordinated Disclosure nicht nur mit dem Kernel Team zu machen sondern auch mit den Distros.

01:31:21: das war ist ein Statement Und sie seien denselben weggegangen den auch qualis koran publiko vor einiger zeit gegangen sei.

01:31:29: in dieses rabbit hole bin ich dann schon gar nicht mehr eingestiegen wird auch vorschlagen wir machen es nicht wenn ihnen das jetzt einfach mal verbahre mündse, dass qualis die ja auch viel security arbeit machen oder security.

01:31:40: Das die auch so einen weg jetzt gehen und was ich dann aber wo ich dann so bisschen finde dass man sich doch sehr leicht macht bei dieser schadensbegrenzung.

01:31:47: wir dachten dass die Distributionen Mittel und Wege haben von kritischen Security-Bugs zu erfahren.

01:31:55: Da steht da wirklich so, they have ways to know about this oder so... Und wir haben aber rausgefunden oder herausfinden müssen das dem nicht so ist.

01:32:06: Beise ich nicht!

01:32:07: Und dann gab es noch den Punkt wo ich finde, dass er ein bisschen durchblicken lässt was wirklich ihr Problem war.

01:32:13: Außerdem hatten wir Angst, dass KI Systeme die Commits beobachten Fehler aufgrund seiner Kritikalität autonom noch mal finden.

01:32:21: Also sie hatten eigentlich Angst um ihre Publicity, natürlich hatten sich auch Angst rum dass dieser Bug von irgendwelchen Rogue KIs gefunden wurde.

01:32:27: aber das ist ja nunmal der Linux Colonel.

01:32:29: da sind nur per Definition alle Comments veröffentlicht und werden reverse engeniert.

01:32:33: also das finde ich eine Schutzbehauptung.

01:32:37: Das hat mich nicht überzeugt.

01:32:38: Ah

01:32:39: weiß ich nicht!

01:32:41: Ich unterstelle auch dass die da auf Publicity aus waren.

01:32:47: Das heißt ja nicht, dass die Probleme diese da ansprechen fingiert sind.

01:32:57: Also klar ist verhagelt in die Publicity.

01:32:59: wenn jetzt irgendjemand anders diesen Commit im Kernel findet und sagt hey das ist ja ganz schlimm.

01:33:05: aber der springende Punkt ist schon er ist halt darin, der ist publik.

01:33:10: also ich sehe nicht so ganz welche Position man haben kann wo es sozusagen nur an Theorie liegt.

01:33:17: Also das ist gepatched worden, dieser Patch ist öffentlich, jeder der da graben will kann des finden.

01:33:23: Wenn man jetzt sagt Das is kein Problem Dann sehe ich nicht so richtig wie man sagen kann Wo ist dann das Problem?

01:33:30: Dass Theorie groß drüber redet?

01:33:32: und wenn man sagt Es ist schon ein Problem dass Theorie Groß drüber Redet dann sehe Ich nicht so Richtig wie Man damit okay sein Kann Dass man Diesen Patch Einfach in der linux spezial Mailing Liste Finden Kann.

01:33:43: also Natürlich gibt es sozusagen einen großen Unterschied, was diese Medienecho ist von diesen beiden Aktionen.

01:33:51: Patch auf Mailingliste oder halt irgendwie Webseite für den Exploit mit Logo und Pippa Po.

01:33:57: Aber öffentliches beides und interessierte Parteien haben Zugriff auf beides.

01:34:03: also ich sehe nicht so ganz was der Standpunkt ist zu sagen das eine ist kein Problem und das andere ist aber ganz schlimm.

01:34:11: Ich tue mir gerade ein bisschen schwer.

01:34:15: Ich verstehe jetzt den Punkt nicht so ganz, den du machen willst.

01:34:21: Finde ich aber auch nicht schlimm, weil ich habe einen Punkt der vielleicht diesen Hintergrund ein bisschen mehr beleuchtet und zwar ist das tatsächlich... Und das halte ich für eine ganz gültige Einschätzung.

01:34:35: Früher waren solche Sicherheitslücke eine sehr technische tiefe Sicherheitslücke die viel Aufwand empfinden erfolgreichen explotation braucht.

01:34:46: das war für jemanden der die commits gemonitort hat vor zwei jahren.

01:34:51: natürlich hätte sich das unabhängig auch bauen können aber er hätte dafür viel zeit gebraucht.

01:34:55: und jetzt haben wir diese.

01:34:57: da hast du als als exploit finder so eine adburg graben gehabt.

01:35:00: du konntest zwar bewusst es war da wird der komm mit der wird kommen und die neue version kommt die leute werden das flöhnen und die werden rausfinden.

01:35:06: arde hats ein security fix gegeben, aber Du hattest noch ein bisschen mehr zeit zwischen diesem commit und der veröffentlichung des ersten proof of concept von irgendeinem dritten.

01:35:17: Und diese zeit ist massiv zusammengeschrumpft, das heißt sie sind Burgraben um deine exploits die du früher hattest den gibt es de facto nicht mehr.

01:35:23: Das ist im Grunde so eine... wie übersetzt man denn Commodity?

01:35:27: Also es wird eine commodity solche exploits dann zu reverse engineern.

01:35:32: Du musst einfach nur Tokens irgendwo einfüllen und sagen hier Claude Miffers bau mir da mal ein exploit dazu.

01:35:37: ich glaube dass ist exploitable.

01:35:41: Dass sie da schon mehr Angst davor hatten, dass das irgendjemand macht und dann sein eigenes Advisory schreibt.

01:35:47: Ich glaube nicht mal, dass es ihnen um Explodeschreiber gehen wird weiß ich nicht so genau.

01:35:53: Aber die Exploderschreiber sind ein Problem.

01:35:54: also wenn wir mal die Publicity Überlegungen von Theorie einfach ausblenden und sagen es interessiert uns nicht ob die Publicities kriegen oder nicht habe ich immer noch das Problem, dass dieser Patch öffentlich einsehbar ist.

01:36:06: Früher hätte man halt gesagt, ja aber so sind halt am Tag ich weiß wie viel und andere patches auch.

01:36:13: Und niemand hat die Ressourcen um sich da durchzugraben und zu schauen aber jeweils dazu in den exploit bauen kann.

01:36:19: Jetzt sind wir halt in der Welt wo man sagt doch würf halt ausreichend Geld gegen LLM und dann kräbt es sich doch all diese Patches und versucht dazu ein exploit zu bauen und hatten eine reale Chance den auch hinzukriegen.

01:36:29: Ja und dieses Problem Ist da und ist es da völlig unabhängig davon, ob Theorie hingeht und mit einer Webseite irgendwie die Werbetrommel rührt oder nicht?

01:36:39: Ja das ist so.

01:36:42: Darum wurde ich sozusagen auch raus.

01:36:44: Dann einen Punkt wollte ich noch anbringen was sich schon also möchte ich nicht zu sehr in Schutz nehmen.

01:36:49: Ich verstehe nicht wie man hingekann sagen wir dachten Die Disturz hätten Mittel und Wege um das zu koordinieren Und dann in seine Webseiten schreiben kann ja Spiel haltes aktuelle Image ein ohne auch nur einmal zu gucken.

01:37:02: gibt es eigentlich irgendeine von den relevanten großen Server-Distros, die ein aktuelles Image haben.

01:37:08: Haben sie das denn mitbekommen?

01:37:09: Habe ich mir so gedacht.

01:37:10: aber bevor ich's publiziere sollt ihr doch vielleicht mal kurz nachgucken ob es auch stimmt.

01:37:15: und da bricht für mich so ein bisschen das Narrativ von Theorie zusammen.

01:37:19: Ich glaube die wollten da überhaupt nicht übernachten.

01:37:22: Die wollten halt damit öffentlich gehen.

01:37:26: Ja und ich meine zur Ehrenrettung der Brian Pack von Theory ist jetzt Kein manager also oder weiß ich gar nicht, aber der sieht aus.

01:37:36: Also er sieht a nicht aus wie ein manager und b seine vita auch nicht.

01:37:40: Neunmaliger defcon ctf gewinner Der weis halt auch im grunde wie security funktioniert.

01:37:46: da finde ich es aber umso überraschender dass er dann so eine so eine binse aus dem Ausm holster zieht.

01:37:53: aber Er ist ja in die auf die plätze verwiesen worden von keinem anderen als kregg.

01:37:59: das kernel team ist ja dann relativ klein.

01:38:03: sein Ansage, also die sagen was die distros machen das koordinieren doch nicht wir.

01:38:09: Wir machen doch jetzt den Koordinator für irgendwelche Sicherheitslücken gegenüber den distros.

01:38:14: es gab früher diese ganzen Listen Wendorsek und diese Distro vergessen wir die heißt diese Mailing Liste.

01:38:21: und da zu denen sagt Greg Diese ganzen Listen und irgendwelche Embargo-Listen, wo dann nur bestimmte Leute drauf sind.

01:38:31: Die lecken wie ein Sieb!

01:38:33: Und außerdem die einzige Art auf die uns alle Regierungen... Ich weiß nicht, ich habe nicht ganz verstanden welche Regierung er wirklich meint, ob er wirklich alle Regierungs der Welt meint.

01:38:44: Arbeiten lassen ist das wir allen Bescheid sagen, sonst mit solchen irgendwelchen Embargu-Listens, wo sich wieder jemand benachteiligt fühlt Können wir einfach nicht arbeiten, als Kornelprojekt.

01:38:55: Also das Linux-Kornel-Projekt und das war so auch in diesem Thread seine Standpunkt.

01:39:01: aber du hast ja auch noch mal die OSSEC Liste geflürt und auch noch andere Threads dir angeguckt.

01:39:10: Hast du da noch was hinzuzufügen?

01:39:14: Was man da nochmal in diese Diskussion reintun kann?

01:39:16: also siehst du da irgendein klares... Gibt es irgendjemanden, der jetzt bis auf diese, sagen wir mal längere Disclosure Timeline irgendwas hätte besser oder anders machen sollen?

01:39:29: Das ist so ein bisschen der Punkt.

01:39:31: Also ich habe mir noch einmal angeguckt was eigentlich sozusagen in der Dokumentation vom Kernel der Prozess für Security Bucks ist.

01:39:40: und die sagen halt na ja du meldest es bitte wenn irgendmöglich dem zuständigen Maintainer also dem Kernel-Maintainter dafür das betroffene Subsystem zuständig ist Da gibt es auch ein Skript, das die den rauspulen kann und so.

01:39:52: Und zu CCs des Security Team von Köln.

01:39:56: Und was Sie auch sagen ist dass zu diesem Zeitpunkt bitte auf keinen Fall irgendwie die Distribution... Also es gibt so eine Mailingliste für Sicherheitslücken in die Nutzdistributionen.

01:40:13: Dass du sie zu dieser Zeitung bitte auf keinem Fall irgendwie kontaktierst weil maßgeblich gibt's technische probleme.

01:40:21: also die haben unter der kernel arbeitet mit disclosure deadlines irgendwie ab fix und diese mailing listen arbeiten aber mit diskloser deadlines ab meldung auf der mailing liste.

01:40:32: Und diese zeiten sind halt nicht dieselben und das kann sich teilweise zu wahnsinnigen komplizierten orga-problem entführen, deswegen sagt der kernel bitte erstmal nur uns, also dem Maintainer und dem Security-Team melden.

01:40:47: Wenn es einen übernommenen Fix gibt, dann kannst du meine halben oder deren Halben halt auch den Distributionen mitteilen.

01:40:56: Sie sagen aber nicht, du musst das machen?

01:40:58: Sie sagen auch nicht wir machen das.

01:41:00: beziehungsweise Greg sagt auf Masse und Explizit, wir machen's ganz bestimmt nicht!

01:41:02: Wir haben viel zu viel zu tun.

01:41:05: Und letztendlich bleibt unsere Übrigen so naja wer macht sie denn dann ja keine Ahnung.

01:41:09: Und Theorie hat scheinbar gedacht, naja irgendjemand wird das schon tun Und lernen müssen, ne tut halt niemand.

01:41:19: Wenn ihr es nicht tut und da habe ich dann schon wieder ziemlich viel Verständnis für Theorie.

01:41:23: also das kann doch irgendwie nicht sein dass es am Reporter der Lücke hängen bleibt.

01:41:30: Also es kann nicht mal sein, dass es an ihm hängenbleibt ist überhaupt zu koordinieren aber noch viel mehr.

01:41:34: es bleibt ja sogar an ihm Hängen

01:41:36: ob

01:41:37: Es koordiniert wird weil wenn der Melder der Lücke es nicht macht dann macht's halt niemand.

01:41:43: Und das ist schon wirklich ein schlechter Zustand.

01:41:47: Die Colonel-Leute sagen halt, wir können es nicht machen!

01:41:50: Wir haben Dutzende solche Meldungen pro Woche oder so, die sagen auch sie sehen an Copy Fail Technisch nichts Besonderes.

01:42:00: Solche Local Privilege Escalations haben Sie die ganze Zeit.

01:42:04: Der einzige Unterschied hier ist irgendwie dass Dass das ein Medienecho hervorgerufen hat und sich die Leute drauf gestürzt haben.

01:42:10: Und jetzt die Distries PR messig schlecht dastehen, weil sie keinen Fix haben... ...und für die Dutzenden anderen Local Privileged Escalations, für die Sie auch keine Fix in Ihren älteren Körnern haben,... ...für die stehen Sie halt nicht schlecht da, weil es da keine Medienechos zu gibt.

01:42:28: Also ich glaube dem Kernelteam dass Sie das nicht leisten können, da irgendwie sozusagen das zu koordinieren.

01:42:35: Ich glaube aber halt auch, es ist kein guter Weg oder keine gute Option zu sagen.

01:42:39: Naja ob und wie das passiert?

01:42:41: Das hängt halt einfach am Reporter und wurscht.

01:42:47: Da scheiben wir das System grundsätzlich kaputt!

01:42:51: Nur also ich glaube da... Also zwei Sachen.

01:42:56: Das erste, das ist ja wieder ein Fall von Verantwortungsdiffusionen.

01:43:00: Da hat jemand möglicherweise LLM gesteuert.

01:43:07: Wie machen wir jetzt hier die Koalität Disclosure?

01:43:11: Das erinnert mich fatal an dieses Blame Game oben bei dem PocketOS, aber auch nur angelegentlich weil wir jetzt gerade relativ zeitnah über beide Themen reden.

01:43:27: Der zweite Punkt ist das System was du jetzt gerade so ein bisschen abstrakt genannt hast.

01:43:34: Das ist ja das System dieser Coordinated Disclosure.

01:43:38: Wir hätten dieses ganze Thema mit, oh die wussten gar nicht Bescheid und wir hätten dann bescheiden müssen, hätten wir nicht.

01:43:44: wenn einer gesagt hätte so hier da ist Full Disclosier, da ist mein Post und hier ist der POC und los geht's!

01:43:51: Da hätten wir andere Probleme, aber wir hätten dieses Problem nicht.

01:43:54: und wir hatten auch diese Diskussion nicht.

01:43:57: dass jemand sagt ich dachte du würdest dir schon irgendwie mitkriegen weil wir sind ja in einer Situation In der noch nie jemand vorher war und in der gleichzeitig mit dem Linux Kernel kein anderes Projekt ist.

01:44:12: Es gibt keinen anderen, keine andere Kernkomponente von einem großen verteilten Software-Ökosystem die gleichzeitig so zentral ist für so viele andere Teilnehmer des Ökossystems und gleichzeitig aber Nicht unter deren Kontrolle steht oder unter einer zentralen Kontrolle für alle Produkte.

01:44:31: Bei Microsoft dem anderen großen Kernel ist es so, die verantworten gleichzeitig den Kernel und alles was auf dem Kernel aufbauen.

01:44:38: Es gibt ja nix wo der Windows Kernel drin ist was nicht vom Microsoft ist.

01:44:41: Oder gibt es irgendwelche Sachen die den Windows Kerneln nutzen aber nicht Microsoft Produkte sind?

01:44:46: Glaube ich nicht, oder?

01:44:47: Damit das nichts legales würde ich annehmen.

01:44:49: Ja

01:44:50: also auch eine illegale Windows Kopie ist ja immer noch von Microsoft.

01:44:53: Nein nein jetzt sowieso.

01:44:54: Ich möchte nicht sozusagen... Also, ich wäre nicht überrascht irgendwo ein wahnsinniger Bastler gesagt.

01:45:00: Hey guck mal!

01:45:01: Ich habe es geschafft einen anderes User-Land auf den Windows Kernel zu fahren.

01:45:03: Ja oder so.

01:45:04: Aber auch das wird unbedingt

01:45:05: nicht

01:45:06: dezenzrechtlich zulässig sein, ne?

01:45:08: Genau okay also und bei Linux Kernel ist das ja anders.

01:45:10: da gibt's das Kernel Team und das ist eine ganz andere Legal Entity als Red Hat und Debian und Ubuntu.

01:45:15: und wer sonst noch alles Google Linux oder eine Distro hat?

01:45:20: Amazon hat eine eigene Distro Und diese Situation die Ich glaube, dass die wird noch dadurch massiver schärft.

01:45:27: Dass wir jetzt noch EIME drin haben.

01:45:29: Die war aber schon vor zehn Jahren ein Problem und wir haben immer wieder auch mehrfach schon in diesem Podcast darüber diskutiert das auch diese diese CVE-Schwämme.

01:45:36: ich habe einen Screenshot auf Mastodon gepostet von dem Debian Security Advisory zu diesem Update was unter anderem im Bildungskornel Copy Fail gefilgt hat.

01:45:44: Das hat – ich hab's nicht nachgezählt – eine komplette Bildschirmseite Schriftgröße sechs in meinem Mailclient gefüllt nur mit CVE IDs.

01:45:51: Das waren Hundertfünfzig CVE IDs, die da gefilgst wurden.

01:45:54: Das ist ja... Du kannst nicht für jede dieser CVE, die in irgendeiner Weise irgendwas koordinieren.

01:45:59: Wenn du das mit der Person, also Menschen beteiligt sind.

01:46:02: und wir sind hier in einer Situation wo vor dem ganzen System dieser Coordinated Disclosure einfach nicht funktioniert irgendwie.

01:46:12: Also oft nicht wärtend.

01:46:15: Ich will jetzt nicht sagen dass es alles scheiße, wir müssen das anders machen sondern das funktioniert.

01:46:20: Das ist ein Zahlen-Numbergame, das ist ein reines Zahlenspiel.

01:46:24: Das funktioniert schon von den Zahlen, das skaliert alles nicht.

01:46:27: Und ich glaube keine hat eine Idee dazu.

01:46:30: wie auch noch es war ja noch nie jemand in dieser Situation.

01:46:33: Nja Also wir sind jetzt die situation wird gerade dramatisch schlimmer durch durch die ganzen kis Die halt sozusagen flühen können was im kernel so gefixt wird.

01:46:43: aber Ich muss schon sagen Wir waren vorher eigentlich auch schon in diese situationen die die kernel.

01:46:48: leute gehen seit Jahrzehnten durch die gegend und sagen hey Wir fixen einfach alle Bugs, wir machen keine Unterscheidungen nach Security oder sonst.

01:46:55: das Bug ist ein Bug und wir fixen den.

01:46:58: Und ihr habt die Bugs gefixt wenn du in den aktuellen Kernel einsetzt.

01:47:03: Alles andere is on your own risk!

01:47:07: Trotzdem gehen seit Jahrzehnten viele Disputionen hin und sagen kein Problem lieber Kunde also teilweise auch Disputonen die das verkaufen.

01:47:16: kostenlose Open Source Software kann man immer sagen, es ist halt auf eigenes Risiko.

01:47:20: Aber wenn ich anfange, Support-Verteile zu verkaufen dann gebe ich damit ein Versprechen ab.

01:47:24: Kein Problem lieber Liberated oder Ubuntu oder sonst was Kunde Wir supporten hier diese Distrie mit diesem Kernel für irgendwie fünf Jahre angesichts.

01:47:37: und Wenn Sie dieses Versprechen abgeben und das tun sie, dann sollten sie auch irgendwie einen Plan haben wie sie eigentlich all die sicherheitskritischen Verbesserungen die am Linuskörnel laufend vorgenommen werden und ihr auch ältere Körnel betreffen können, sichten, kategorisieren und wo nötig auf ihren alten Kernel übertragen.

01:47:57: Und diesen Plan haben sie offensichtlich nicht, den haben Sie auch nie gehabt.

01:48:00: meines Wissens aber so richtig auf die Füße ist es halt nicht gefallen vor KI weil sich sozusagen nur in Einzelfällen irgendwie den Aufwand gerecht verdeckt hat da als irgendwie drauf zu hauen.

01:48:13: Aber dass jemand einfach Omaß da durchgraben kann, weil sie sowieso nicht schaffen dahinter herzukommen und noch nie geschafft haben dahinterherzukommen.

01:48:23: Das ist eigentlich nicht neu.

01:48:24: Neues eben ist nur das, dass dieses Risiko für eine Auslitzung sehr viel höher geworden ist.

01:48:28: aber also ich sehe da deutliche Distributionen in Zugzwang.

01:48:31: Ich kann mir nicht hinschneiden und sagen wir Backporten halt jetzt wichtige Zeug wenn ich keine Plan habe wie ich das wichtige Zeuge eigentlich zichte.

01:48:39: und den hatte ich... Und das ist kein kein neues Phänomen.

01:48:43: der Linus Körner hat auch vor fünf oder zehn Jahren schon einfach so viele Sachen die ganze Zeit gefixt.

01:48:49: Das ist auch da irgendwie völlig klar, weil ja, es gibt halt hier Packerweise jetzt CFA's, die den alten Können noch betreffen und die Distrie hat halt irgendwie gesagt, na das passt schon, haben wir gar nicht gesehen oder sie wird nicht wichtig genug sein oder wie auch immer.

01:49:04: Erschweren kommt ja noch hinzu dass selbst das sichten Keine, also eigentlich sogar das Sichten schon nicht möglich.

01:49:14: Also du kannst gar nicht die Spräule vom Weizen trennen und sagen hier die guten ins Köpfchen oder die schlechten ins Töpfchen andersherum weiß ich nicht mehr weil Du kannst es ja an fast nichts erkennen.

01:49:24: dieses dieses Copy Fail hat ein CVSS Score von weiß Ich nicht sieben Komma fünf oder irgendwie sowas?

01:49:29: Und dann gibt's einen Arsch voll anderer Ogerheitse werde ich wieder gepiept.

01:49:33: wir

01:49:33: haben vorhin hast du schon Scheiße gesagt, insofern.

01:49:36: Ah ja okay aber ich darf nur nicht auf Englisch luchen.

01:49:38: also fuck ab ist nicht ein Mist.

01:49:42: Es gibt also einen ganzen sack voll solcher LPEs In der die gefixt wurden letzter zeit.

01:49:47: das linux-projekt hat irgendwann in den letzten tagen oder wochen Einen stapel von hundertsechzig oder hundred siebzig cvs anotiert also da cvss Punktzahlen dran gemacht und da sind auch es auch neun komme acht dabei also fast östwertung.

01:50:01: und Ich kann jetzt sowas wie copy fail Nur mit scharfen Hingucken in der CVE-Datenbank, nicht von den hundertfünfzig anderen LPEs die in den letzten zwei Wochen gefixt wurden unterscheiden.

01:50:14: Und das ist ja sogar noch der Fall indem das Linux Projekt gesagt hat okay wir anotieren jetzt mal wieder ein paar Lücken auch diese Annotierung oder Annotationen mit Scores und betroffenem Betriebssystem und so Best-Effortleistung, wo jemand mal hingeht und sagt so jetzt machen wir wieder hundertfünfzig oder die ZISA mal wieder ein bisschen Geld kriegt.

01:50:32: Oder die Mitarbeitenden der ZISA Mal wieder ein bißchen Gehalt kriegen Und dann fangen sie wieder an paar Lücken zu anotieren.

01:50:36: aber auch die haben wir ja glaube ich auch drüber gesprochen in der letzten Folge Die sagen wir kommen da nicht mehr mit.

01:50:43: und Also wie soll jetzt jemand unterscheiden was jetzt fix fixen fixenswert ist Ein must fix es und was warten kann?

01:50:53: also am ende bist du hier eigentlich dazu verdammt zu sagen Ich kann mir dieses Backporting-Ding in die Haare schmieren.

01:51:00: Ich muss auf den Mainline Stable-Colonel zurückwechseln, weil ich sonst überhaupt gar nicht die Möglichkeit habe rauszufinden was möglicherweise sicherheitsrelevant ist und im kritischen Codefahrt ist und weiß nicht.

01:51:14: Und dann frage ich mich gegen das überhaupt?

01:51:17: Könnte Debian morgen sagen so wir wechseln jetzt wieder auf den Stable Colonel?

01:51:21: wahrscheinlich nicht und Ubuntu würden doch ihre ganzen LTS Sachen kaputt gehen, weil irgendjemand Hinten unten rechts in der Ecke, für den ist irgendeine Performance-Issue in dem Cornell von zwei Tausend vierzehn leider ein Feature.

01:51:33: Weil er auf dieses Timing vertraut weil sonst gehen nämlich seine ganzen Förderwänder kaputt und dann ist die Kaliförderung Südwest Kalifornien plötzlich defekt oder sowas.

01:51:42: Ja Also im Prinzip ja.

01:51:46: ich habe auch große Bedenken dass das diese Distries also zum Beispiel auch die teilweise sehr enorme In-House Patch Set noch auf ihre Kernel draufhauen, weswegen das für die eine relativ große Aufwand ist, die Kernelversion zu updaten.

01:52:02: Dass sie sozusagen einfach mit der jeweils aktuellen Kernelversion mitgehen können oder dass es für Ihre Kunden auch nur akzeptabel wäre.

01:52:11: Andererseits sehe ich halt nicht so richtig was für eine Alternative Sie haben und Im gewissen Sinne bricht hier halt gerade diese Fiktion zusammen, dass die schon alle Sicherheitslücken sozusagen mitschneiden und in ihrem Kern dann auch backporten können.

01:52:30: Aber meiner Meinung nach war das halt oder ist es schon seit Jahren eine Fikktion?

01:52:37: Also ich möchte gar nicht sagen, dass sich die Lösung von den Disputionen kommen muss.

01:52:42: Es wäre natürlich schön wenn zum Beispiel das Linux Security Team bei dem das halt alles aufläuft, irgendwie in der Lage wäre es zu klassifizieren oder so.

01:52:52: Die sagen halt sie haben die Manpower nicht und das ist ja auch plausibel.

01:52:56: Aber das ist zumindest die Stelle wo es alles zusammenläuft.

01:53:02: nur... ...die Dispositionen sind halt diejenigen die ein Produkt verkaufen.

01:53:06: Die Disziplitionen sind diejenigen, die hingehen und sagen kein Problem.

01:53:10: fünf Jahre lang supporten wir diesen Körner.

01:53:12: Und zumindest insofern sind sie meiner Meinung nach in der Bringschuld sich jetzt zumindest irgendwas zu überlegen, wie sie damit umgehen.

01:53:20: Aber das ist eine böse Theorie, wieso sagt ihr nur dem Kernel Bescheid und nicht auch der Distremating-Liste?

01:53:29: Das ist meiner Meinung nach ein schwarzes Peter zuschieben.

01:53:31: Ihr habt hier einen Produkt verkauft von dem wir oftens die nicht wissen, wie sozusagen Lücken gebackportet werden können... Und jetzt ist es halt aufgefallen, weil Theories aus PR-Grunden dann die große Glocke gehängt hat.

01:53:48: Aber das ist ja wurscht für eine Auslitzung durch einen Angreifer, ob das irgendwie PR mäßig auffällt oder nicht vorher?

01:53:56: Okay also wir sind ja jetzt doch arg fatalistisch unterwegs.

01:53:59: Lass uns dieses Thema mit einer positiven Note beenden!

01:54:03: Weil das ist ein Problem, dass sehr große Ausmaße hat und das so ohne Weiteres nicht löstbar ist.

01:54:09: aber wenn man wieder zu der konkreten Lücke zur Copy-Fail zurückkommt Was kann man denn jetzt noch weitermachen?

01:54:18: Wir hatten das Thema mit dem, was die Distros machen können.

01:54:22: Ich glaube, was wir organisatorisch nochmal kurz abfeiern sollten ist muss man denn wirklich so APIs oder andere Subsysteme in die eine große Angrifffläche und zwar auch naturgemäß prinzipbedingte Große Angriff Fläche bieten unbedingt im Kernel Vorhalten?

01:54:39: ist es sinnvoll?

01:54:40: also gerade dieses Und da ist, wie du ja auch gerade schon gesagt hast nicht mal mehr einer der Entwickler von überzeugt.

01:54:48: Also es scheint nicht mehr so richtig ein Fürsprecher zu geben und das jetzt auch noch hart in den Kölner einzukompilen, wie Redhead das macht, ist vielleicht auch nicht der beste Schachzeug gewesen.

01:54:59: also dass vielleicht auf der organisatorischen Seite und technisch hast Du auch noch ein paar Sachen gefunden unter anderem?

01:55:07: Das soll ja jetzt ganz raus oder wie verstehe ich das

01:55:11: Genau, also das erste was natürlich technisch gemacht wurde.

01:55:14: Das ist sozusagen der Fix gegen Copy Fail im speziellen dass dieser zero copy Support oder diese in-place Modifications von AF, ALG, ARD wieder ausgebaut worden sind.

01:55:27: Also das war ja so zu sagen eigentlich da gab es halt wie gesagt das zwei siebzehnte oder wann es war diesen Patch der das sozusagen die vorher schon bestehende Verhalten zu einem Sicherheitslückeil gemacht hat.

01:55:37: Dieser Patch wurde einfach wieder zurück gebaut.

01:55:39: Damit ist CopyFail behoben.

01:55:43: Dann wurde aber jetzt auch AFI-LG insgesamt einfach als deprecated markiert, also man ist eigentlich der Meinung dieses ganze Interface will man nicht zumindest langfristig nicht mehr haben.

01:55:57: Das Problem ist ein bisschen es gibt eine Reihe Es gibt nur relativ wenige Software die darauf aufsetzt Aber das ist nicht ganz irrelevant der Software zwischen Cryptsetup was ja maßgeblich für So maßenspeicher Verschlüschung unter den Ochsen und dergleichen ist, aber auch ein einen Wehlantreiber.

01:56:16: Der heißt IVD also der Einetweiler Stemmen, der scheinbar sehr beliebt weil er unglaublich ressourcensparen soll.

01:56:26: Die nutzen deshalb.

01:56:27: das heißt man kann es nicht einfach raus reißen Aber es wurde zumindest mal als deprecated markiert.

01:56:32: Es gibt da auch die Überlegungen dass man Zumindest einfach nicht alle Algorithmen über dieses Interface exponiert, sondern dass man halt eine explizite Widelist sagt.

01:56:40: Das hier braucht nur für IWD und das hier brauchen wir für GRIZEPT ab und vielleicht noch folgende origine Software.

01:56:46: Und nur die exponieren wir über ARF-ILG.

01:56:51: Dann gibt es auch die Überlegung, diesen ganzen Zero Copy Support aus AFIG wieder rauszurupfen.

01:56:56: Das ist eine Performance Optimierung von der scheinbar unklar ist ob man sie überhaupt braucht und die halt die Angriffsfläche massiv vergrößert so wie ich auch hier zum Tragen kam bei Copy Fail.

01:57:08: Dass man nicht sagt na gut man lässt dieses Interface drin aber das kopiert halt wieder irgendwie Buffer hin und her und weil diese Kopieoperation kann wir eben auch schauen dass da Offsets eingehalten werden oder so.

01:57:21: Allgemein ist die Reaktion bei den Linux-Entwicklern jetzt, dass man halt überlegt wie man diese insgesamt eine große Eingriffsfläche verkleinern kann.

01:57:32: Nicht nur um Copyfeld zu beheben das ist ja gefixt sondern auch diese Art von Problem in dieser Art von Subsystemen zu begeben.

01:57:41: Ich habe niemandem gefunden der Meinung ist man braucht es so wie's ist.

01:57:45: also wie du gerade schon gesagt hast sogar der Entwickler von AFLG sagt Das ist eine sehr große Angriffsfläche und er habe auch damals sozusagen schon gesagt, man sollte das nur aktivieren wenn man es wahrlich brauche.

01:57:58: Also dass das steinbar standardmäßig überall an ist, hat sich irgendwie historisch so ergeben.

01:58:03: Es scheint niemand zu geben der sagt wir brauchen das per Default und überall in dieser vollen Breite was den Algorithmen Support angeht und so.

01:58:15: Und da gibt's ja jetzt verschiedene Bestrebungen das alles zurückzubauen möglichst einzuhilig.

01:58:21: Derjenige, der das als deprecated vorgeschlagen hat und dass es auch akzeptiert mittlerweile... Das war der Eric Bigas von dem ich gerade gesprochen habe, der auf Hacker News schrieb dieses AFLG dürfte eigentlich nicht existieren und er arbeitet jetzt auch dafür, dass das rausfliegt denn er ist nicht nur Googler sondern auch Kölner Entwickler.

01:58:42: Gut!

01:58:43: Ich glaube das haben wir jetzt erzählt.

01:58:45: diese Geschichte ist auserzählt fürs erste, die nächsten hundertsegenfünfzig Linux LPEs.

01:58:52: Die einen Namen und eine Website bekommen.

01:58:54: dennoch das lässt sich ja über KI jetzt super automatisieren.

01:58:57: Die warten nur

01:58:58: um

01:58:59: die Ecke

01:59:00: genau.

01:59:01: aber ich möchte so Jetzt sind wir mit diesem Thema durch.

01:59:06: Wir sind aber auch bei einer Stunde neunund fünfzig zumindest in unserer Aufnahmezeit Und Christoph und ich haben gerade uns hinter den Kulissen ein bisschen beraten.

01:59:17: Und entgegen der anfänglichen Ankündigung, haben wir einfach noch viel zu viele Sachen auf dem Zettel.

01:59:22: also Wir können nicht euch nevier Stundenfolge zumuten und wir können auch einfach de facto jetzt nicht noch so lange aufnehmen weil wir andere Termine haben.

01:59:32: Deswegen disponieren wir ziehen einige dieser Themen einfach in die nächste reguläre Folge.

01:59:41: Da könnt ihr euch schon mal drauf freuen, ich darf verraten es wird unter einem OPKI gehen.

01:59:47: Das überrascht euch sehr!

01:59:48: Es wird aber um die Core Utils gehen und die Frage ob Rust oder wie viel Rust Dinge sicherer machen kann und es wird auch um Ransomware und Erpressor gehen.

02:00:03: Damit ihr hier nicht völlig Rettungslos und weinend die Podcast-Folge beenden müsst, ohne dass es irgendwie um Publiki Infrastructure ging.

02:00:15: Schneiden wir ein kleines Thema noch an oder nicht anschneiden?

02:00:18: so wie nehmen wir ein Kleines Thema jetzt noch mit?

02:00:20: Christopher hat einen PKI Aspekt dabei den behandeln wir jetzt noch und den sehr viel größeren PKI aspekt dann das nächste Mal.

02:00:30: richtig!

02:00:31: Und dieser PKIaspekt den wir jetzt behandeln der ist eine Kombination aus einem Unternehmen, das wir kürzlich im Podcast hatten und einer PKI die wir künstlich im Podcast haben.

02:00:44: Wir hatten nämlich die Trust, die mussten ja einen ganzen Berg von TLS-Zertifikaten wegen eines Formfehlers reboken Und wir hatten S-Mime Zertifikate, die reboked wurden in diesem Falle von SwissSign.

02:00:58: Jetzt kombinieren wir das Ganze und was kriegen wir Silvester?

02:01:02: Wir kriegen S-Mime-Zertifikate von DeTrust, die wahrscheinlich auch revoked werden müssen oder machen irgendwas anderes mit Zertifikaten.

02:01:12: Ja sie drucken die aus und machen einen Schleifchen drum.

02:01:16: Nein, genau so ist es!

02:01:18: Das war eine Fifty-Fifty Chance.

02:01:19: Du hättest jetzt auch sagen können das es sein ihre TLS-Zerdifikate revoken muss aber du hast richtig gelegen dass es total verhunderlich... Hast du das irgendwo gelesen?

02:01:30: Ganz komisch.

02:01:30: Also, das ist aber... Muss.

02:01:33: aus Stellenschutzgründen kann ich nicht sagen ob ich da zu Informationen vorliegen hatte oder nicht?

02:01:38: Okay, ich schon!

02:01:40: Also es kam nämlich gleichzeitig heute aus verschiedenen Richtungen auf mich zu und das ist ... Heute ist der sechste Mai gestern akut geworden.

02:01:50: die Detrust Die Bundesdruckereitochter.

02:01:54: wir erinnern uns Die hatte ein Problem mit dem Linting ihrer Zertifikate bei TLS, in der WebPKI.

02:02:02: Und betreibt aber ... In der Größenordnung von vierzig CAs, also die haben einen Excel oder so eine PDF und in sehr kleiner Schrift alle CAs drin stehen... Die, die Tras betreibt darunter auch welche für sichere Mail-Infrastruktur, also S-Mime.

02:02:17: Und dieses Lintting das Ihnen vor die Füße gefallen ist im WebPKE Space Das war offensichtlich auch Es malm vieler.

02:02:26: es malm ca.

02:02:27: ist ungenügend.

02:02:28: das haben sie festgestellt weil sie nachdem die ja probleme hatten, einen audit ihrer gesamten infrastruktur gemacht haben sich überlegt haben wo könnten diese problemen noch lauern und dann ist ihnen es mal vor die füße gefallen und Das finde ich positiv.

02:02:40: also sie haben nicht nur dieses lippenbekenntnis abgegeben ja in zukunft werden wir besser sein da nur Laserfokus auf diese eine stelle geguckt wo es ihnen vor die Füße gefallen ist wo sie ein Problem hatten und mit dem CR Browser Forum dann dieses Problem gemeinsam lösen und bearbeiten mussten, sondern sie haben auch an anderen Stellen geguckt.

02:02:58: Das finde ich positiv.

02:02:59: das zeigt den Willen zu der stetigen Verbesserung die auch immer wichtig ist wenn es um so Sachen wie Iso-Zertifizierung geht.

02:03:04: Sie wollen sich da verbessern und sie haben gesagt wir müssen da jetzt mal reingucken.

02:03:08: wahrscheinlich haben sie aber natürlich auch im Hinterkopf gehabt.

02:03:10: früher oder später fällt sonst jemand anderem auf und dann haben wir ein viel größeres Problem.

02:03:15: Das ist Ihnen also bei Ihren S meinem CRs aufgefallen und jetzt revoken Sie sehr kurzfristig Eine unbekannte Menge, das weiß ich nämlich noch nicht.

02:03:24: Es war einfach nicht die Zeit eine Presseanfrage zu stellen und beantwortet zu bekommen.

02:03:29: Eine unbekannene große Menge von S-Marm-Zertifikaten wird auch revoked.

02:03:33: Das betrifft drei Produkte bei

02:03:36: der

02:03:37: Detrust.

02:03:38: Die Advanced Personal EID, die Advanced Enterprise ID und die Advanced Team ID.

02:03:44: Die sind offensichtlich sehr fortgeschritten diese Produkte oder weggelaufen.

02:03:49: auf jeden Fall werden die jetzt revoked und Die timeline dafür, die ist schon auch wieder sehr sportlich.

02:03:56: Wie wird das so in diesem ca space bei allem was sie's browser forum regiert gewohnt sind?

02:04:02: Die haben am vierten mai herausgefunden dass sie da ein problem haben Haben sofort aufgehört zertifikate von den zwei betroffenen ca zu denen komme ich gleich noch kurz auszustellen Und haben dann einen tag später über ihre verschiedenen widerverkäufer aber auch direkt ihre Kunden informiert.

02:04:21: Das ist ja bei Zertifikaten so ähnlich wie bei Domains, es gibt einmal den direkt verkauft dass du direkter Kunde bei Detrust bist oder bei einer anderen CA wie DigiCert und dann gibts auch immer wieder diesen Wiederverkauf.

02:04:34: das also jemand der Zertifikate von verschiedenen CAs verkauft die dann die Endkundenverträge macht und dann irgendwie rapata auf die Zertfikate kriegt aber dafür auch den Endkundensupport übernimmt.

02:04:48: In diesem Fall war das genauso und wir haben von Flübcke vom CCC eine Mail gekriegt, beziehungsweise der hat uns auf das Thema untereinander um Aufmerksam gemacht.

02:05:00: Es kam aber einige Hinweise und er hat am Nachmittag des fünften März, oh Gott, des Fünften Mai eine E-Mail gekriegte ungefähr um halb vier in der dann von seinem Zertifikats Wiederverkäufer ihm gesagt wurde Achtung!

02:05:14: Das Zertifikat dass du da nutzt dieses S-Malm-Zertifikat wird zurückgezogen und der war nicht sehr amüsiert wie er mir mitgeteilt hat, denn er nutzt dieses erst mal im Zertifikat eben auch um rechtlich bindende Dokumente zu unterschreiben.

02:05:26: Und ihm war anhand der sehr dürren E-Mail die ich ja auch gesehen habe unklar wie sich das jetzt auswirkt wenn diese Zertifikat zurückgezogen wird ob dann seine Signaturen unter irgendwelchen digitalen Verträgen oder u.a.

02:05:38: rechtlich wirksamen Dokumenten plötzlich ungültig werden.

02:05:42: und da war die Kommunikation vielleicht auch ein bisschen unglücklich weil sie das nicht klargestellt hat.

02:05:48: Am achten Mai um fünfzehn Uhr, das ist also drei Tage nach Benachrichtigung der Kunden werden die Zertifikate verungültigt.

02:05:57: Also ungültig gemacht revoked und wenn ihr diese Folge hört dann wird das in der Vergangenheit gewesen worden sein?

02:06:05: Das ist Futur.

02:06:06: zwei glaube ich.

02:06:07: Also für uns ist das aber noch in der Zukunft.

02:06:10: Der konkrete Impact und für wen jetzt was kaputt geht, den wissen wir noch nicht.

02:06:15: Die Bundesdruckerei bzw.

02:06:16: Detrust hat eine FAQ-Seite eingerichtet mit dem was man machen muss.

02:06:19: es gibt dann auch so ein Zertifikatsmanager bei denen und da kann man sich neue Zertifikate holen.

02:06:26: Das Ganze ist aber für die Nutzer erst mal bisschen unschön.

02:06:31: Und es gibt wie bei allen diesen CA Problemchen auch einen relativ knappes ticke in diesem fall eben bugzilla von mozilla und In dem steht irgendwie einsatz.

02:06:45: Die finde ich so ein bisschen komisch.

02:06:47: also erst mal finde ich dass das den audit gemacht haben.

02:06:49: sodass finde ich alles positiv.

02:06:50: was ich aber seltsam finde ist Dass sie schreiben die betroffenen ca's sind ja nicht alle ca's die die trust betreibt.

02:06:57: betroffen waren teil einer eines Lebenszyklusübergangs, also von denen sollte wohl wegmigriert werden und sind aber trotzdem weiterverwendet worden.

02:07:09: über den, das in Kraft treten dieses Linting Requirements, von dem wir in der vorletzten Folge gesprochen haben.

02:07:15: Das war glaube ich März diesen Jahres, März diesem Jahres.

02:07:19: Und diese diese Lücke dass da CAs betrieben werden die kein sauberes Lintings haben Die eigentlich schon gar nicht mehr hätten Betrieben werden sollen das wurde offenbar nicht identifiziert fand ich ein bisschen seltsam.

02:07:33: Ich habe ein ganz kleines bisschen genauer reingeschaut, aber auch nicht ganz intensiv und versuch rauszufinden welche CA's betroffen sind.

02:07:41: von den vielen die DeTrust betreibt, sind das die DeTRUST ROOT-CA-III, sie haben also eine ROOTCA-I, zwei Tausend Dreizehn, zwei tausend dreizehnt, drei tausende Alten usw.. Das macht letztendlich so ähnlich.

02:07:56: Und die DEATRUST APPLICATION CERTIFICATES CA-III Und zumindest eine von denen ist laut der eigenen Auflistung von Detrust, aber auch noch ganz normal in Betrieb.

02:08:10: Also ich habe jetzt gerade diese Tabelle aufgemacht und da gibt es also diese DeTrust Application Certificates CA-Eins, inklusive Renewal, die hat den Status II und der Status II ist CA InOperation.

02:08:25: Es gibt dann auch den Status III, CA is valid but it's no longer used.

02:08:29: Das trifft aber auch für diese CA nicht zu.

02:08:32: Es gibt dann aber auch noch diese Detrust-to-Route, CA... Drei, zwei Tausend, dreizehnt.

02:08:38: wo ist die denn?

02:08:40: Wo ist meine Tabelle da?

02:08:45: CA und da... Boah das sind echt eine Menge CAs, die sie betreiben!

02:08:52: Die steht nicht mehr in der Liste.

02:08:55: Die steht einfach die RouteCA darüber.

02:08:58: Die scheint auch noch in Betrieb zu sein.

02:09:00: Also ich mir ist nicht ganz klar, wie sie jetzt darauf kommen dass das irgendwie so ein Life-Cycle Übergang war und dass es eine Art Lücke ist.

02:09:08: Dass die da was vergessen, also dass Sie da ne CA vergessen haben?

02:09:11: Das fände ich schon irgendwie seltsam so... Ops!

02:09:13: Die ist ja noch in Betrieb, hatten wir gar nicht auf dem Schirm.

02:09:15: Aber auch diese Erklärung finde ich ein bisschen durch.

02:09:17: Ich denke, da wird ein vollständiger Vorfallsbericht noch folgen.

02:09:21: Ich glaube nicht, dass das ein unheimlich spannendes Thema dann werden wird.

02:09:25: Am Ende ist die der Route-Course für diese Nichtkonformität genau der gleiche, streng formale Grund wie bei ihren TLS-Zertifikaten nämlich dass die Überprüfung der Zertifikate vor deren Ausstellung also in diesem Übergang von Precertificates zu Certificates nicht den strengen Vorgaben des CA Browserforums genügt, sondern etwas hämtsärmlicher durchgeführt wurde und dass das eben seit März.

02:09:48: Ich weiß nicht wie es für Esmaim gilt.

02:09:49: also bei TLS ist es für seit fünfzehnten März diesen Jahres eben nicht mehr konform zu den baseline requirements ist.

02:09:56: Also Das betonen sie ja auch auf ihren verschiedenen Hilfe-Seiten auf der Startseite Es hat nie eine technische Sicherheitslücke gegeben.

02:10:04: es waren nie irgendwas unsicher oder Signaturen unsicher Oder irgendjemand hat Private Keys geklaut sondern es geht wieder um eine reine Formalität und etwas, was nicht beachtet wurde.

02:10:15: Aber im Hintergrund ist diese Formalität ja auch eine technische Nichtkonformität.

02:10:19: Denn das Linting ist ja für was gut!

02:10:21: Das ist dafür da, um technische Fehler zu vermeiden und dass sie das jetzt aus formalen Gründen zurückrufen müssen erspart ihnen lediglich, dass sie irgendwann mal ein richtiges technisches Problem kriegen weil jemand Schrott in einen Beantrag des Zertifikats reinschreibt.

02:10:34: Insofern ist es schon ganz gut, der technischen Schaden gegeben hat, aber für die Kunden natürlich höchst ärgerlich.

02:10:44: Ja also ich hoffe auch dass wir da nochmal überreden werden wenn es sozusagen noch mehr Infos gibt weil... Also ich sehe zwei Sachen.

02:10:53: das eine ist ja es ist so ein rein formaler Grund Aber Ich kenne mich leider zu wenig mit S-Bam-Zertifikaten aus.

02:11:01: Die Frage die sich für mich stellt ist Wenn sie jetzt am achten Mai zurück gerufen werden Werden die dann für den achten Mai zurückgerufen, sodass sie sozusagen ab dann halt ungültig sind.

02:11:13: Und dann haben auch Leute wie Flüppke würde ich hoffen kein großes Problem.

02:11:19: aber eigentlich waren die ja nie gültig also zumindest nicht seit es diese Linting-Requirements gab.

02:11:24: das heißt eigentlich müsste man so einen Zertifikat der Zurückrufen mit dem Zeitpunkt Weide in der Vergangenheit als eben das Lintingsrequirement eingeführt worden ist und als dieses Zertifikat nicht mit den Regeln entsprach.

02:11:39: Und was machen dann Leute wie Flipke, die das in der Zwischenzeit hergenommen haben um halt irgendwie Verträge zu unterzeichnen oder so und jetzt mit dem Zertifikat da stehen des retroaktiv zum Vertrags Zeitpunkt schon nicht mehr gültig war.

02:11:55: Das finde ich schon sehr interessant und auch da kann man natürlich sagen naja gut es ist eine Formalie und solange der Vertrag mittlerweile abgeschlossen ist es ja auch alles gut.

02:12:05: Aber letztendlich ist jeder vertragende Formalier und man macht ja diesen ganzen Spaß mit ZFK Karten um so, um halt nicht irgendwie das Rumgereite auf, hast du das unterschrieben oder nicht?

02:12:17: Oder sonst was zu haben und vor Gericht ziehen zu müssen.

02:12:21: Und kommen also wenn ich jetzt dann doch in so einem Fall wieder vor Gerich ziehen muss weil halt... technisch gesehen das Zertifikat revoked war zu dem Zeitpunkt der Vertragsunterzeichnung, aber halt de facto erst zum späteren Zeitpunkt revoked wurde mit dem Datum in Vergangenheit und so.

02:12:35: Dann gewinne ich ja nicht für diesen ganzen Krampf.

02:12:38: Insofern, es scheint mir sozusagen schon wichtig dass diese Formale eingehalten werden, sonst verliert man einen großen Teil von dem Vorteil den dieses technische System überhaupt bietet.

02:12:50: Und wie man hier z.B.

02:12:50: sieht weil die Formale ja nicht eingehalten worden sind Das ist eine.

02:12:55: Das andere ist diesen Satz, den du schon erwähnt hast.

02:12:59: Jetzt völlig unabhängig davon... Selbst wenn die jetzt keine Revocation machen müssten und alles Linting ist super, fände ich es immer noch sehr bedenklich, dass da eine Firma wie Detrust hingeht und sagt oh wir haben hier CAs, die sollten eigentlich gar nicht mehr in Betrieb sein but they remained in use.

02:13:17: also wie kann das denn passieren?

02:13:20: Das habe ich auch nicht verstanden!

02:13:20: Also das ist einfach wieder so ein absichtlich wager Satz.

02:13:24: Ich habe das Gefühl, wenn ihr das hört.

02:13:28: Ihr werdet vielleicht zu diesem Zeitpunkt auch schon einen ausführlichen Vorfallsbericht veröffentlicht haben aber ihr könnt da gerne ein bisschen genauer drauf eingehen.

02:13:41: Sie haben ein Excel und dann schreiben sie Sachen rein und dann schreiben sie aber ins Ticket wieder was anderes.

02:13:46: allein das ist schon wieder so eine Nichtkonformität.

02:13:49: die Dokumentation ist ja offensichtlich nicht up to date keine ahnung.

02:13:54: vielleicht sehen wir wieder irgendwelche sachen nicht die alle anderen drei leute die sich da wieder auskennen sehen.

02:14:01: aber ich finde es ein bisschen.

02:14:03: ich find so ein bisschen seltsam.

02:14:04: und was die revocation angeht da Hupig an zu sagen gäbe ist bloß einen dokument das für alle verbindlich ist und die richtlinien festlegt und die vorgaben macht wie eine revocation stattzufinden hat.

02:14:18: Dummerweise steht genau dieser Punkt, aber in diesem Dokument nicht drin.

02:14:20: Deswegen muss man sich den so ein bisschen reverse engenieren.

02:14:22: also die baseline requirements für s-mime.

02:14:26: kurzer reminder auch Für smim obwohl es nicht wer pkis ist das ca browser forum zuständig und da sind die zertifikats konsumenten eben auch sowas wie groß.

02:14:34: Also sind dann große mailprobeiter da ist dann auch irgendwie ich weiß gar nicht mehr.

02:14:38: Ich glaube melde ist auch darin ich weiß nicht mehr genau mailbox auch aber große mail Probeiter sind da sind damit dabei und die baseline Requirements die sind Hier verbindlich, da steht zu Revocation drin.

02:14:51: Warum man also wird aus welchen Gründen revoked werden muss in welchem Zeitraum revoked werde muss?

02:14:57: Also vierundzwanzig Stunden oder fünf Tage oder sowas aber nicht ein Zertifikatsdatum also das dass man rückwirkend revoken kann.

02:15:05: Das ist einfach nicht vorgesehen.

02:15:07: Also vielleicht geht es bei Esmem auch gar nicht.

02:15:09: Muss sagen ich kenne mich mit Esmem nicht ausreichend aus.

02:15:11: Vielleicht kann ich sozusagen da keine Zeitpunkt festlegen, sondern die revocation gilt sobald sie existiert oder so.

02:15:18: Ich

02:15:18: habe jetzt noch mal hilfsweise in die CPS also die certificate practice statement von Detrust geguckt das was ich für relevant halte also für einschlägig für die SMIMCAS und da steht Wenn man eine revocation machen will dann schreibt man an sperrenaddit-trust.net Und da muss drin stehen wer die revocation beantragt der Name des Subscribers also das erst mal im Zertifikatsinhabers die Seriennummer des Zertifikats.

02:15:48: Und dann wird per Telefon die Revocation verifiziert, dass ist jetzt nur der schriftliche Fall, die haben wir einen API dafür denke ich und man kann höchstens ein Datum in der Zukunft angeben zu sagen übermorgen möchte ich revoke man kann aber nicht sagen vorgestern möchte ich Revoked haben oder ich möchte die Revocation, also den technischen Vorgang auslösen.

02:16:08: Aber das Datum der Nichtkonformität, der ungültigkeitlich in der Vergangenheit dieser Fall scheint nicht zu existieren.

02:16:13: Also zumindest finde ich dazu keine Erwähnung.

02:16:18: Auch bei wie die Zukunft ist halt die Frage heißt es dann dass die CA hingeht und sagt na gut dann baue ich da jetzt eine Revocation für übermorgen?

02:16:26: Also die halt drin wo in der Revocation steht sie gilt ab Übermorgen oder Ob die CA halt sagt, na gut dann lege ich mich jetzt wieder hin und ich bearbeite in der Revocation übermorgen weil das hast du gesagt.

02:16:37: Dann willst du sie haben.

02:16:39: Das wäre ja auch denkbar.

02:16:43: Ich glaube dass der erste Fall richtig ist.

02:16:51: also sicher bin ich nicht.

02:16:55: aber ich glaube der erste fall ist richtig.

02:16:59: die CRLs enthalten ein Revocation, nee wobei ist?

02:17:03: ich glaube der zweite Fall ist richtig.

02:17:05: Die CRL's enthalten einen revocation date.

02:17:08: da steht jetzt das ist natürlich eine ambivalente Aussage.

02:17:11: Das ist das Datum der revocation.

02:17:13: also ab diesem Zeitpunkt ist offenbar das Zertifikat dann als ungültig zu betrachten.

02:17:19: aber Ist dieses ist dass der Zeitpunkt Zu dem die revocation durchgeführt wurde durch die ca oder der zeitpunkt den der subscriber jetzt oder der der Auftraggeber angegeben hat, keine Ahnung.

02:17:31: Das müsste man sich dann mal anschauen indem man sich einfach mal die Revocation-Lists anguckt und schaut ob heute da Revocations in der Zukunft drin stehen also ob das jetzt schon existiert.

02:17:44: Das weiß ich jetzt ad hoc auch nicht aber am Ende ist es eine Technikalität.

02:17:49: Ich glaube nicht dass man diese Zertifikate rückwirkend revoken kann.

02:17:58: Wir sind hier aber auch in einem etwas anderen Problembereich als bei Web.

02:18:01: Bei Web ist es ja egal, ich meine das ist ja da gibt's ja keinen Handshake in der Vergangenheit die nicht jetzt rückgängig mache, der von einem Jahr stattgefunden hat.

02:18:10: Das gibt es hier so einfach gar nicht.

02:18:12: Aber hierbei erst mal sieht sich das mit den Signaturen natürlich schon ein bisschen anders aus.

02:18:16: Nee genau also weil das ist Ja auch durchaus technisch teilweise wünschenswert.

02:18:20: Also wenn Ich zum Beispiel feststelle Vor zwei Wochen hat jemand meine Rechner kompromittiert und mein Zertifikat rausgetragen, dann möchte ich vielleicht sagen... Ich revoke das jetzt für vor zwei Wochen.

02:18:35: Und alles was in den letzten zwei Wochen mit diesem Zertifikat passiert ist, es ist nicht gestattet.

02:18:43: Weil ich habe ja oft sozusagen einen Versatz zwischen des Zertfikats kommt abhanden Und dann kann es sehr relevant sein zu sagen, was in der Zwischenzeit da passiert ist.

02:18:56: Das waren keine autorisierten Verwendungen.

02:18:59: Ich fürchte wenn diese Folge herauskommt werden wir es wissen und wir können jetzt leider weder Flübke noch anderen Betroffenen von unserer jetzigen Warte ganz genau sagen, Was da passiert.

02:19:10: meine vermutlich irre Hoffnung.

02:19:12: ist das Tools oder so Mail Clients oder weiß ich nicht hier Acrobat Reader mit einem ungültigen Zertifikat signiert haben.

02:19:24: Wir den Grund der Ungültigkeit so weit ausdifferenzieren, dass ich zumindest sagen kann das war Zertifikatsmissbrauch oder ein formaler Grund weil es gibt ja genug Revocation Reasons die stehen ja mit in der Revocation drin und da könnte man ja schon differenzieren und sagen okay wenn hier steht irgendwie Keycore Promise dann muss ein großer Roter Balken eingeblendet werden.

02:19:42: und wenn da steht irgendwie wie heißt denn das hier?

02:19:47: Grund ist weggefallen super seeded.

02:19:50: dann kann man das für den Balken vielleicht ein bisschen weniger rot und etwas weniger groß machen.

02:19:53: Aber ich fürchte, dass werden jetzt einige Subscriber von Detrust genau übrigens wie die von SwissSign so ein bisschen auf die harte Tour mitkriegen.

02:20:03: Meine persönliche, meine unsubstanzierte Privatmeinung ist – ich glaube, die Signaturen werden auch weiter gültig sein und da wird nichts angezeigt werden.

02:20:11: aber ob das gut zu ist oder nicht sei mal ganz dahingestellt!

02:20:15: Ja, in den abgelaufen ist oder irgendwie reduziertes ZFK hat sollte schon.

02:20:19: also wenn der klein weiß dass es revoziert worden ist sollte schon irgendwie deutlich sichtbar sein.

02:20:23: Das geht jetzt mal von GPG-Signaturen wo ich das weiß aber das erlaubt mir sozusagen diese Folie mit einem etwas produktivem Abzuschließen nämlich einen hilfreichen Tipp.

02:20:35: da hat auch letztens ein Leser oder Hörer weiß ich gar nicht mehr mich zu gefragt und das ist auch was hier relevant ist.

02:20:42: Ich glaube Detrust hat es irgendwo geschrieben Wenn euch so was passiert, also ihr irgendwie ein Mail-Zertifikat reduzieren müsst oder es von eurer CA zurückgezogen wird.

02:20:53: Dann hebt das alte Zertifikat auf.

02:20:55: Sonst könnt ihr nämlich die alten Mails auch nicht mehr damit entschlüsseln.

02:20:59: Das heißt, dass ist völlig... Also dann wird hoffentlich euer Mail-Klein sagen diese Zertifikate, das war vielleicht nicht.

02:21:05: Ist vielleicht nicht mehr gültig oder so.

02:21:07: aber er hatte es halt noch und er kann euch die alten Mails auseinander klamüsern.

02:21:11: Wenn ihr das Zertifikat wegschmeißt und die Mails nicht irgendwie im Plaintext gesichert habt, dann sind sie nicht mehr da.

02:21:16: Also es ist auch so ein Aspekt der einem auf die Füße fallen kann wenn man nicht gut weiß wie diese Infrastruktur funktioniert.

02:21:25: Und ehrlicherweise ist halt auch wieder so ein aspekt wo man merkt wie anakronistisch und impraktikabel Mailverschlüsselung und Signierung ist wenn man sich das vergleicht mit anderen moderner Verschlüsseln und signierenden Kommunikationssystemen.

02:21:39: Also das Zertifikat kann man ja eigentlich ruhig wegspeisen.

02:21:41: Hauptsache, man bewahrt den Private Key auf oder?

02:21:45: Ja da habe ich jetzt sozusagen zu kurz gesprochen aber was ich halt meine ist... Man muss diese abgelaufenen Sachen mit sich herum tragen so lange man diese Nachrichten noch lesen können will.

02:21:57: Genau!

02:21:57: Ich bin gerade dabei meinen veralteten PGP Schlüssel von zwei tausendzwei mal auf Veranlassung eines Vereins mit drei Buchstaben zu erneuern Und den muss ich jetzt auch erst mal auf absehbare Zeit aufbewahren kann.

02:22:12: Jetzt einfach den Private Keyteckschmeißen, aber der Key wird natürlich trotzdem revoked und also revoked angezeigt.

02:22:19: An dieser Stelle lieber CCC!

02:22:21: Wir wissen ihr habt sehr viel Mühe mit Mails bei denen die Mailverschlüsselung oder Signierung nicht ordentlich funktioniert weil die Leute irgendwie schmume ihren Kies machen, wisst ihr das Christoph?

02:22:32: beides Problems ist?

02:22:34: Aber ich arbeite harterer Teil der Lösung zu werden So, wir beenden die problemhaftete Folge.

02:22:45: Wir haben wieder einiges an Problemen verhandelt und ich würde sagen, wir vertagen die restlichen Probleme.

02:22:53: Ich habe das dumfe Gefühl es werden noch ein paar dazukommen in diesem Jahr.

02:22:57: Vertagen wir auf die nächste Folge!

02:22:59: Wenn ihr Probleme für uns habt oder sogar Lösungen dann schlägt uns gerne euer Feedback an password-podcastatheise.de.

02:23:08: Und alles anzünden oder im Meer versenken ist zwar so eine Art Lösung, aber greift vielleicht doch ein bisschen zu kurz.

02:23:15: Das ist die Lösung, zu der die KI greift wenn sie auf irgendwas keinen Zugriff hat?

02:23:19: Nein, das haben wir

02:23:19: ja heute gelernt!

02:23:21: Oder dann einfach zu sagen oh ich habe das habe ich falsch gemacht das tut mir leid weiß ich beim nächsten mal besser?

02:23:27: und es dann doch nicht besser zu wissen bis zum nächsten Mal.

02:23:32: und denkt dran

02:23:34: dieser Podcast ist das einzige Passwort dass ihr teilen solltet tschau-tschau

02:23:39: Tschüss!

Shownotes

Transkript anzeigen

Neuer Kommentar