Linus Neumann 0:25:21
Also ich würde da ich würde Organisation will ich noch gar nicht so weit gehen. Also erstmal möchte ich an der Stelle eine Episode von Radio Lab ähm empfehlen,Die ist äh sehr schön, wo also eine äh Privatperson, ich glaube, das sind die Mutter einer Redakteurin, äh äh sich so ein Ding eingetreten hat. JaUnd da wird da wird sehr schön geschildert, wie diese in der Regel diese unbedarfte Person. Was sie überhaupt für Schwierigkeiten hat ähm.An Bitcoins zu kommen. Also das, sie hatte, ich glaube, der Trojaner bei bei dieser Person hieß Star Code. Es gibt eben auch viele verschiedene.Und bei denen war das so, die haben gesagt, ja, du musst das bis dann und dann bezahlt haben.Und dieser Countdown lief auch tatsächlich und sie hat dann äh das irgendwie und dann war Wochenende dabei und dann wo kriegt sie jetzt die Bitcoins her? Und wenn du jetzt zu so einem Bitcoin Exchange gehst, dann muss ja erstmal Geld dahin überweisen und dann dauert das,So und solange bis du das Geld auch wirklich kriegst und wenn du jetzt ernsthaft.In der Bitcoin-Transaktion machen möchtest, dann musst du dir, sage ich mal, ist der der naheliegende Weg dir das Bitcoin Tool runterzuladen, das braucht aber im Moment erstmal die Blockchain, ist irgendwie bei sechzig Gigabyte oder so. Die muss ja erstmal runterladen. Ähm,Klar, es gibt da nur noch andere Möglichkeiten, aber die muss man ja auch erstmal alle finden. Ja, das heißt, es ist für eine Person, die jetzt mit diesen ganzen Cyber Crime oder so und Darknet und Crazy Hacking,nichts zu tun hateine sehr große Herausforderung bei dieser Frage. Ich will das nicht spoilern, aber es wird dann auch noch sehr spannend. Also die tritt dann auch in in Austausch mit den Angreifern, weil und da kommt das, was ich da also ökonomisch daran so interessant finde, äh von aus ökonomischen Ernährung daran so interessant findet,Die Angreifer wollen ja nicht deine Dateien kaputt machen. Die wollen das Geld haben. Und ähm,in das führt zu verschiedenen interessanten Entwicklungen. Und zwar gab es vor einigenMonaten mal die Meldung, dass äh es quasi Service gab. Da ist also eine Gruppe hingerade, hat gesagt, pass auf, du kannst dir quasi, du kannst den bei uns kostenfrei lizensieren,kriegst den von uns. Wir machen auch,dass Inkasso für dich, wir machen die komplette wir machen das ja behalten aber zwanzig Prozent.Echt krass ist, ne? Also du hast diese Software, dass,Diese Dinger verschießt du natürlich im im Schrotschuss-Prinzip, ja? Und ähm,wenn du dann eben in der Blockchain den den Eingang auf das angegebene Bitcoin äh Konto verzeichnest, äh dann gibst du eben den Schlüssel raus. Ja, das ist das kannst ja alles automatisieren. Dieses dasKrasse an dem Ding ist, du kannst diesen kompletten Prozess automatisieren.Für irgendwelche Leute, die sagen, ey ich habe aber bezahlt oder äh hier der Bedingen funktioniert nicht und das haben die auch.Die sind sehr bemüht um ihren Ruf. Denn es, ja, natürlich, weil wenn ihr Ruf in den Keller geht,dann zahlen die Leute nicht mehr. Und da gab's mal irgendwie so einen Fall von einem der falsch programmiert war und irgendwie in diese Welt da draußen entlassen wurde und,Es gibt natürlich viele verschiedene Wege dieses diesen,am Ende zu generieren, mit dem du wieder alles entschlüsseln kannst. Ja, also wenn ich das machen würde, würde ich halt, was weiß ich, ein asymmetrisches äh Keeper erstellen. Und dann gibst du dem privaten Schlüsselmöglichst zufälliges Passwort oder du generierst das halt aus irgendwelchen Systemparametern, aber da hast du natürlich das Risiko, dass die sich vielleicht ändern oder so.Und übermittelst das. So und da gibt's ähm,Interessante Entwicklung. Das natürlich nicht ganz so einfach, wenn das unbedarfte Personen machen. Da gab's mal einen Krypto Trojaner, da haben welche das halt verkackt,und dazu geführt, dass sie nicht in der Lage waren, die Dateien wirklich wieder zu entschlüsseln,ne? Also wie jemand, der der Leute entführt, äh Lösegeld fordert und die dann abknallt. Ja, das ist natürlich ärgerlich fürfür die Leute, die ihre Dateien verloren haben und ärgerlich für diejenigen, die sich die Mühe gemacht haben, mit dem die Typen, die das Ding gebaut haben, haben richtig Ärger von der äh Erpresser-Community bekommen, weil sie die Zunft in äh in schlechtes Licht gerückt haben.So und äh es ist echt krass so. Ähm und,ähm ein anderes Beispiel, dieses Tesla Krypthm da waren halt äh irgendwie, sage ich mal, das waren da so die ersten ähm dieDie ersten Gehversuche, die haben halt diese ähm die haben das Ding irgendwie nicht ganz dicht gemacht. Das konnte man entwederöffnen oder es gab 'ne es gab 'ne Beziehung zwischenund dem Passwort und da ähm hat letztendlich äh ein Sicherheitsforschungsteam gesagt, ja okay, hier wir haben eine kostenlose Decrypter dafür gebaut, ja die konnten alle verschlüsselten Dateien wiederherstellen.Also auch da gibt es natürlich die Sachen, ne? Baue deine Krypto nicht selber. Du nimmst nimm erfahrene Libraries und so. Also, es ist sehr spannend. Und wie gesagtbis hin zu Service. Aber ich glaube, dieses Serviceding, die haben relativ schnell den Betrieb eingestellt, ähm weil sie gemerkt haben, dass sie sich halt einfach viel zu viel äh Hass irgendwievon Leuten reinholen, wenn dieses Ding halt mal äh richtig los skaliert. Also ein echt spannendes Ding und man muss halt sagen,was macht man? Die sinnvolle, der sinnvolle Schutz gegen so etwas ist natürlich regelmäßige Backups zu machenDiese Trojaner gehen aber natürlich auch los und verschlüsseln alle Dateien, derer sie habhaft werden. Wenn dein Backup-Konzept also irgendwie darauf basiert, äh dassdass du die Backups pusht und die nicht gepullt werden von deinem Rechner, dann kann das sehr gut bedeuten, dass dein äh dass dieser Scheiß Krypto Trojaner dein Backup mitverschlüsselt und dann guckst du natürlich ein bisschen blöd in die Röhre. Und da sind natürlich Evolutionsschritte, die dieser ähm Software jetzt auch mitmacht.Ebenso.Ähm besteht für den, für den Kryptotrojaner kein Grund, nicht auch auf Netzwerk Volumes zuzugreifen, wenn er darauf Zugriff hat, die zu durchsuchen und da Dateien zu verschlüsseln,und jetzt ist äh das gibt's also bestimmt seit so einem Jahr und was macht man,Na ja, das Beste, was man in so einem Fall machen kann, ist zu bezahlen. Ne, also das Beste ist, einen Backup zu haben,Nee, das Beste ist, da niemals drauf zu klicken. So, äh beste ist, nicht dadrauf klicken.
Kriegen wir einen Link zu dem Text von McAfee? :-)
http://www.techinsider.io/john-mcafee-ill-decrypt-the-san-bernardino-iphone-for-free-so-apple-doesnt-need-to-place-a-back-door-on-its-product-2016-2
Ach je, und ich dachte die wollen wirklich unser bestes. Schließlich opfern hin und wieder ein paar Chinesen heroisch ihr Leben in den Fabriken für unseren iPhone-Spaß. Das muss doch idealistische Gründe haben.
Oder doch nicht?:
https://blog.fefe.de/?ts=a839be00
Wenn man mehrmals Untersuchungsausschuss sagt/hört, wird man zu Assoziationen inspirier(r)t: Untersuchungsausschuss, Untersuchungsausschluss, Untersuchung aus Stuss.
Wie hoch ist eigtl. der Ausschuss (i.S. Ergebnis einer Fehlproduktion) bei der Untersuchung?
Zu dem Apple/FBI-Thema und weil sie sich jetzt im Gegensatz zu früher weigern das Telefon zu öffnen: das hat scheinbar formale Gründe für das anstehende Gerichtsverfahren.
In den früheren Fällen ging das Öffnen ohne Einbau einer Backdoor in iOS und konnte vor Gericht quasi als „Laborservice“ behandelt werden, wo der Labormitarbeiter nur bezeugen muß, wie er an die Daten herankam. Im aktuellen Fall scheint das FBI die Dinge aber wohl so drehen zu wollen, dass Apple eine Art „Gerät“ zum Öffnen des iPhones zur Verfügung stellen muß (vgl. Messgerät für Atemalkohol). Die Funktionsweise eines solchen Gerätes muss aber umfassend dokumentiert/nachgewiesen werden und allen möglichen Parteien zur Verfügung gestellt werden. D.h. sie müssten eine Backdoor bauen, könnten diese aber nicht geheim halten.
In länglich erklärt steht das hier in diesem Blog:
http://www.zdziarski.com/blog/?p=5645
Sehr schönes Applebashing von Linus. Es ist auch schön, Linus über Mobile Security reden zu hören. Man merkt, er kennt sich aus(nahmsweise aus) ;)
Also ich finde es ja ok, wenn Apple bei einem third-party Homebutton kein TouchID mehr benutzen möchte. Das kann man aus Sicherheitserwägungen definitiv rechtfertigen. Aber man könnte diese Honebutton ja auch einfach als Homebutton benutzen. Denn ich wüsste nicht wo die Sicherheit gefährdet ist, wenn der Benutzer mit einem third-party Homebutton zurück auf den Homescreen geht.
Hey hey :)
Wollte nur zu dem Freifunk und TP Link Überblick mit reinschmeißen, dass TP Link gar nicht so wenig rund um soziale Themen macht ;)
Siehe hier: http://www.crn.de/netzwerke-storage/artikel-108552.html
Ganz viele Freifunkgruppen haben deshalb durch TP Link vielen Refugees in Deutschland noch schneller helfen können ;)
Macht weiter so, dank flattr kann man sich ja auch so immer für jede Folge erkenntlich zeigen :)
Apple verweigert die Reparatur übrigens auch bei nicht sicherheitsrelevanten Dingen wie einem Display. Nur gut wenn der nächste autorisierte Reparateur 80km entfernt sitzt und man am Tag drauf in den Urlaub fährt.
Mich würde mal interessieren wie es mit dem Sicherheitskonzept bei den Androiden aussieht.
Im Kapitel über die Ransomware, wurde kurz angemerkt, dass die „pullen“ eine nützliche Backup-Strategie sein könnte. Was meint ihr damit genau? Systemlaufwerk ausbauen und aus einem anderem System heraus die Dateien (oder das ganze Laufwerk) sichern?
Wäre „pushen“ demnach jedes Backup (Time Machine, Backblaze, Arq, CrashPlan etc.), das aus dem zu schützenden System heraus gestartet wird?
Ich frage für Verwandte und den Osterbesuch ;-) Vielen Dank für die stets gut verdaulichen Abrissen über die Nachrichtenlage!
„Pullen“ im Sinne von „Backup-System verbindet sich mit zu sicherndem System und behält die Kontrolle über die Daten“. Funktioniert typischerweise mit einem Agenten auf dem zu sichernden System, und einem zentralen Backup-Server. In diesem Setup ist das nicht besonders „Consumer-freundlich“: Erfordert extra-Hardware und zumindest mittelmäßiges Know-how. Schließlich will man ja nicht alle Welt Backups von seinem System machen lassen. Allerdings kann ein bösartiger Agent auf dem zu sichernden System nicht unbedingt Backupsätze löschen.
Offline-Backups funktionieren eigentlich auch so, nur dass der Zeitpunkt des Backups vom Client (lokalen Agenten) festgelegt wird. Allerdings ist die Software für Backblaze und CrashPlan wohl in der Lage, remote Datensätze löschen zu lassen. Eine Malware müsste „nur“ dieses Interface benutzen (was möglicherweise komplizierter ist).
TimeMachine dagegen ist ein rein lokales Backup: Die Festplatte (oder das NAS-Share) wird lokal gemounted, der Backup-Prozess hat die volle Kontrolle über alle Backups. Läßt sich einfach mit Bordmitteln zerstören. (Aber Zerstören ist keine Kunst.)
Ich bin technisch absoluter Laie und höre gerade deswegen seit nunmehr ein paar Jahren (da war LNP noch in seinen 30ern) eurern Podcast. Ich würde trotzdem behaupten, dass ich im Vergleich zu meinem Umfeld ein vertieftes Verständnis (dank euch, dem CCC, fefe) von Problemen der Netzpolitik und betreffender Technik habe, aber bei dem Teil über Apple und das FBI rauchte mir echt der Kopf bzw. es blieben am Ende Fragezeichen zurück. Das Ganze in einem Absatz:
„Herzlich Glückwunsch, du hast nun ein paperweight […] man hat den Leuten quasi remote diese Telefone gebrickt, gab n riesigen Aufstand und wie gesagt, ich finde eigentlich so ne hardware integraty protection keine unkluge Maßnahme…“
Vorher gings um (Signing) Keys (wofür genau?), custom software/firmware, devices, Bruteforce-Attacken, delays, rate limit, auto erase (wurde erklärt), danach noch um Third-Party-Reparaturen. Jetzt habe ich Glück, dass mir englisch nicht fremd ist, aber es war – gelinde gesagt – schwer zu folgen, was auch an der Geschwindigkeit lag. Mehr deutsch hätte der Materie gut getan. Und vielleicht eine kleine Einweisung ins iPhone, denn ich kenne ungelogen niemanden, der so ein Gerät besitzt und habe mich auch nie dafür interessiert, was das Gerät jetzt für Tasten hat und welche Funktionen die haben. Homebutton?! Such a thing exists?! Ich habe Samstag auf Party 10 Leute kennen gelernt und alle packten – inkl mir – ihre Feature Phones aus, alle Mitte/Ende 20, deutsche Großstadt.
Ich glaube, wir mit unseren Altgeräten sind eure Zielgruppe und an der hat Linus nicht inhaltlich sondern wortwörtlich vorbei geredet. Denn irgendwann sind unsere Bosch-, Siemens- und Nokia-Devices vollends bricks und dann wäre es nicht schlecht zu wissen, ob das FBI jetzt backdoors hat oder Apple „nur“ remote-Zugriff und welches Ausmaß an Unsicherheit für den customer sich hinter den tollen englischen Wörtern verbirgt.
In diesem Sinne, auf ein Neues : )
Wäre der Linux Mint Hack eine Nachricht bei euch wert?
Viele Linuxer tun ja immer so als beträfe sie das Thema Sicherheit kaum.
Und wer sich jetzt am Samstag das Linux Mint Image heruntergeladen hat und damit ein System aufsetzt, wird teil eines Botnetzes.
Ransomware ist schmutzigster Schmutz. Kein Aspekt dieser amoralischen Unternehmung verdient irgendeine Art von Anerkennung, teils weil alles, was technisch interessant ist, die Arbeit anderer Leute ist, teil weil es moralisch kompromittiert ist. Ein Support-Forum für Kryptotrojaner-Opfer ist „adding insult to injury“.
Leider wird die Situation nicht besser, weil man sich immer weniger effektiv gegen Malware schützen kann. Und durch das erstmal einfach funktionierende Malware-„Geschäftsmodell“ wird Ransomware zudem der „superbug“ der Malware.
Schlechte Zeiten voraus.
vielleicht müssen Firmen etc. die sich ransomware einfangen das einfach als ziemlich günstigen Pentest betrachten, für Privatpersonen natürlich ein relativ teurer Pentest, aber auch noch im Rahmen wenn man was daraus lernt.
Hi, welche TP Geräte bunkert man sich jetzt also noch schnell?
Die wr-841 wirst du auch noch gebraucht günstig bekommen. Alternativ geht auch ein Raspberry mit etwas weniger Datendurchsatz. ist aber auch bisl kompakter und muß nicht seine Firmware gegen Manipulation schützen ;-)
Hi, die Musik ist ja geil. Ich will die haben! Hat jemand einen Titel und Interpreten?
Welche Musik meinst du?
Beim Thema Ransomware, oder generell Malware über Mail habe ich mich gefragt, ob es nicht möglich wäre, die E-Mail Clients generell zu Sandboxen zu machen und es damit deutlich zu erschweren, dass Anhänge überhaupt auf das „wirkliche“ System zugreifen können.
Ist das Quatsch, oder muss ich jetzt Programmieren lernen?
Den Anhang öffnest du in den meisten Fällen nicht mit dem E-Mail-Client, sondern mit Word, Acrobat, Firefox oder sonstigen.
Dein Ansatz zu Ende gedacht findet sich zum Beispiel bei QubesOS (und sehr ähnlich bei Subgraph OS) wo versucht wird, alle Applikationen oder gefährlichen Aktionen in separierten Wegwerf-VMs auszuführen.
Und wieder geht es „Mobilfunk“-Anbietern an den Kragen. Hier O2.
http://www.spiegel.de/netzwelt/web/datenautomatik-urteil-o2-darf-nicht-automatisch-nachbuchen-a-1079557.html
Wenn man die Webseite https://www.donaldjtrump.com/ von Donald Trump aufruft, erscheint ein „security check“. Screenshot: http://s30.postimg.org/vwxn32se9/donaldjtrump_com_security_check_screenshot.jpg
Habe ich noch nie gesehehen. Ist das eine neue Aktion von Oettinger, dass man bevor man eine Webseite aufrufen kann, erst einen security check machen muss?? :-0 ;-)
Das ist Cloudflare DDoS mitigation.
Liegt entweder daran, dass die Seite gerade „unter Beschuss“ ist, oder daran, dass du über VPN oder Tor kommst.
Ah, danke für die Info.
Wirklich durchzuziehen würde bedeuten den Firmensitz von Apple nach Island zu verlegen.
Nochmal an Linus eine technische Nachfrage:
Kann Apple auch bei den aktuellen Telefonen noch irgendwie das Device aufmachen? Anscheinend kann Apple ja die Enclave auch bei den neuen Devices Updaten. Klingt für mich als Laien dann so als könnten sie Grundsätzlich jedes Device aufschließen. Die älteren einfach durch abschalten des AutoErase, die neuen dann einfach Enclave „patchen“.
Vielen Dank
Ich glaube, dass ihr falsch liegt, was diese iPhone-Sache angeht. Wir sollten hoffen, dass Apple gezwungen wird, das iPhone aufzumachen und dass sie darauf reagieren, indem in neuen iPhones Firmware-Updates der secure enclave unmöglich sein werden (per Fuse-Bit oder so). Das wäre nämlich ein echter Sicherheitsgewinn.
Wenn es jetzt einer schafft an den Signierschlüssel für die Updates zu kommen, kann er beliebig iPhone aufmachen.
Betrüger online zu treffen ist unvermeidlich, weil sie überall sind. Während einige von ihnen tatsächlich echt sind, sind 85% von ihnen Betrüger, die nur nach jemandem suchen, den sie mit ihren verschiedenen Betrugsmethoden ausnutzen können.
Einige klonen sogar Seiten von Leuten, die Sie kennen, und Sie senden ihnen Geld, weil Sie denken, dass es dieselben Leute sind, die Sie kennen.
Wenn Sie betrogen wurden und Ihr Geld zurückbekommen möchten, wenden Sie sich an Lallroyal & .org, um möglicherweise verlorenes Geld zurückzufordern.