LNP309 Bin ich schon raus oder was?

Feedback — Kasachstan — Advanced Persistent Threats - SIM-Swapping — Facebook — Huawei — Sytech — Termine

Wir haben es mal wieder geschafft, eine Sendung ins Sommerprogramm zu schmuggeln und grasen ein wenig die weitgehend dünne Nachrichtenlage ab. Diesmal wieder einigem Erklärbär-Potential und ein paar Lacher haben wir auch noch untergebracht. Also: ein perfektes Logbuch!

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Linus Neumann
Guten morgen tim good morning tim.
Tim Pritlove
Also als fünfundachtzig ein boris in london gewonnen hat war die zeit danach teilweise schwer zu ertragen aber ich hab's gefühl diesmal wird's noch schlimmer.
Linus Neumann
Hoffentlich endete genauso.
Tim Pritlove
Buch netz politik nummer drei null neun dreihundert neun und was haben wir heute den fünfundzwanzigsten juli zweitausendundneunzehn jaja england.
Linus Neumann
Also man muss dazu sagen tim und ich spreche diese interesse in der regel tatsächlich nicht ab und es war jetzt eigentlich abgesprochen und ich wirklich ein bisschen sprachlos irgendwie boris becker und boris johnson beide so.
Tim Pritlove
So lava packen. Also es ist so.
Linus Neumann
Der brexit ne bin ich jetzt raus.
Tim Pritlove
Schon raus.
Linus Neumann
Oh
Tim Pritlove
Komm mal kurz komm oh mann.
Linus Neumann
Die älteren von euch erinnern sich an diese ganzen cds eigentlich inzwischen mal recycelt oder so.
Tim Pritlove
Bestimmt irgendwelche kunstprojekte damit aber ich hab 's nicht mitbekommen. Ja das war prägend damals als irgendwie diese scheiben verteilt haben und das war dann sozusagen der zugang für viele leute der erst zugang zum internet muss man mal sagen das war natürlich für das damals wirklich ein harter schlag. Aber ja alles kalt vergleich mit dem was jetzt droht irgendwie also ich bleib ja dafür vor bei meiner these. Aber es sieht schwer danach aus bevor es besser wird wird's nochmal richtig scheiße. Also das ist einfach nicht schön was da gerade und statten geht jetzt halt die angelsächsischen welt ist sozusagen aus den angeln sachsen und. Neuseeland und karl das geht noch australien ist schon immer so ein wackelt kandidat aber gott sei dank so unwichtig und britannien und usa. Ja klonen sich jetzt gegenseitig in idiot y hast dir und sprach sie.
Linus Neumann
Ich hörte boris johnson wohl jetzt.
Tim Pritlove
Was denn wenn man das mal wusste wasser.
Linus Neumann
Zum großartigsten land machen. Ja naja das wird also hatten wir das wir nee wir hatten das nur so besprochen diese die these vom desaster capitalized. Dass die ganze idee des brexits ist einfach das land an an den. An die an den rand des ruinen s zu führen damit günstig alles gekauft werden kann und das dann als eine wenn dann die schöne. Frohe kunde kommt dass die queen den spinner doch nicht vereidigt arme freude muss auch eine ganze menge mitmachen die queen ist echt ein sehr hund.
Tim Pritlove
Die hat schon mehr gehen sehen als kommen und.
Linus Neumann
Die sagt sich außer kommen.
Tim Pritlove
Erlebe ich auch noch.
Linus Neumann
Auf.
Tim Pritlove
Der möchte gerne. Ja ja es ist erstaunlich die hat echt hart zu leiden ich meine nicht dass ich jetzt groß mitleid mit dir hätte aber mit england kann man wirklich schon mitleid haben also ich meine stell dir mal vor du bist so eine halbwegs gebildeter aufgeklärte weltoffener mensch und wohnst da. Und bis daher.
Linus Neumann
Ja oder stell dir vor du wohnst in deutschland oder in usa oder irgendwo stell dir vor du bist auf dem planeten erde gefangen.
Tim Pritlove
Oh jetzt wird's aber hart.
Linus Neumann
Und deine einzige hoffnung ist irgendwie.
Tim Pritlove
Elektronischen daumen zu nehmen und es nächste woche raumschiff zu ändern ja naja also ganz so fantastisch wenn ich da jetzt nicht rangehen aber ist halt gerade nicht so schön ich meine u s a r verfolgen wir das ja schon seit längerem wie die leute immer total gestresst so auf dem kongress ausschlagen sagen so endlich mal kurz in freiheit das wird jetzt da auch genauso laufen.
Linus Neumann
Wenn sie da noch rauskommen also erstmal machen wir die grenzen hier zu. Und gucken gucken wie lange aushalten.
Tim Pritlove
Weißt du wenn die briten alle im kanal springen dann werden die auch erstmal alle dürfen sie auch nicht mehr gerettet.
Linus Neumann
Komm ein bisschen drauf an ne. Gut dass wir wenigstens amüsant ist feedback auf unsere sendung bekommen wo wir eigentlich nichts nichts wirklich angenehmes erzählen. Und da haben wir in den letzten sendungen habe ich, andre einen kommentar von andre vorgelesen habe gesagt klar andere meister korrigiert hier noch an der stelle weil er hat ja auch seinen masterarbeit. Über diese gesamte angelegenheit ursula von der leyen nett sperren zensur solar geschrieben und da kommentiert andre in klammern haar nicht m eine kleine korrektur zum feedback hätte ich noch loszuwerden, und zwar stammte der zensur kommentar zur letzten folge von mir und offenbar hat linus mich mit andre meister von netzwerk verwechselt der bin ich nicht nur ein politisch interessierten zuschauer der manchmal etwas nachtragen ist, denn dieses bis hin zu urheberrechtsverletzungen habe ich mir bewusst gemerkt, auch bei bürotür bär ja das stimmt andere meister kam auch direkt zu mir und sagte, reingefallen aber er hat auch zugegeben der kommentar hätte auch von ihm sein können das nehme ich dann jetzt hier als. Als lob für, andre der auf twitter auch darauf hingewiesen hat ist es nämlich andre heinrichs vom von kompost.
Tim Pritlove
Dann sagen wir einfach jetzt immer andrea und m und dann haben wir's.
Linus Neumann
Ja ich glaube, ich weiß es gar nicht ob's in kasachstan ha und m gibt um hier direkt mit der mit der überleitung zu grätschen es gibt aber seit länger seit mehreren jahren in kasachstan bestrebungen. Eine i'm infrastruktur aufzubauen.
Tim Pritlove
Ich weiß ich weiß das heißt man in der mitte.
Linus Neumann
Und jetzt muss ich sagen nein das hieß früher männer der mittel inzwischen heißt das maschine in der mittel.
Tim Pritlove
Oh ist das jetzt so eine feministische anpassung oder hat man sich.
Linus Neumann
Schneller anpassung.
Tim Pritlove
Maschine fassung man hat sich sozusagen der realität gestellt das ist ja dann doch computer sind die dazwischen.
Linus Neumann
Genau es sind computer keine keine menschen. Keine männer wir wollen keine männer in unserer mitte nein verschiedene mittel schreibt schreibt man jetzt so ein s m ist für diejenigen die. Sich da liegt nichts neues angewöhnt wollen.
Tim Pritlove
Oh da muss jetzt aber auch nochmal ran.
Linus Neumann
Ja klasse.
Tim Pritlove
Move on.
Linus Neumann
Genau.
Tim Pritlove
Der morgen ist schon ganz schön lang.
Linus Neumann
Wir müssen jetzt nochmal vielleicht ganz kurz erklären worum es hier geht ich versuche das technisch kurz zu fassen wenn. Maschinen verschlüsseln. Oder wir zwischen einander unsere nachrichten verschlüsseln verschlüsseln ist einfach sicherzustellen dass man mit der richtigen person verschlüsselt ist ungleich schwieriger ja also wenn wir jetzt über eine wenn tim jetzt in australien wäre und ich in deutschland und wir wollen irgendwie eine, verschlüsselte verbindungen herstellen dann brauchen wir irgendwie eine möglichkeit uns zumindest initial zu vertrauen um unsere verschlüsselung auszuhandeln um also zu sagen okay mit welchem schlüssel verschlüsseln wir jetzt diese session oder so ne wir können nicht ohne, irgendein vorwissen oder eine dritte vertrauens instanz aus. Aus der distanz eine verschlüsselte verbindung aufbauen weil wir nicht wüssten ob wir mit der richtigen person sprechen. Und dieses problem. Kann man auf verschiedene möglichkeiten lösen in dem was ihr als web kennt wird es grundsätzlich als, auf eine weise gelöst wo eine dritte instanz dafür birgt dass ihr mit der richtigen kommunikations- partnerin spricht das könnt ihr sehen wenn ihr in euren browser oben auf das schloss klickt dann steht dort was weiß ich ihr sprecht mit was weiß ich wo kommt mit der bank und, dafür dass ihr tatsächlich mit der s-bahn gerade spricht birgt eine dritte instanz der tim macht das hier gerade mal kurz vor in unserem fall nämlich wir lassen uns das zertifikat einblenden das zertifikat ist von, dj t-shirt letztendlich unterschrieben, das heißt die das unternehmen die zertifikate bürgt dafür dass dieses zertifikat dort von, tatsächlich von der ist. Und deswegen haben wir das grüne häkchen dieses zertifikat ist gültig und vertrauenswürdig jetzt stellt sich natürlich die frage warum vertrauen wir, wir vertrauen djs hört weil es ist eine der großen größten zertifikat ist die im prinzip nach meiner kenntnis in allen, browser die wir so verwenden vorinstalliert ist da gibt es eine lange liste an zertifikate denen eure browser, trauen egal ob das jetzt firefox safari oder chrome oder gibt es noch von microsoft im browser.
Tim Pritlove
Ja glaube ich.
Linus Neumann
Scheiße ist ungefähr auch in so einem zustand wie.
Tim Pritlove
Ja es ist eher so.
Linus Neumann
Okay, so geht das nicht weiter so wenn nun. Ähm ich hier in teams netzwerk rum basteln würde und versuchen würde mich zwischen tim und die bank zu setzen und seinen traffic mit zuschneiden, zu manipulieren die verschlüsselung zu knacken dann würde ich das im zweifelsfall im rahmen, oder durch eine maschine in dem mittel attacke machen ich würde versuchen dass der tim sich mit mir verbindet würde mich als gls bank, ausgeben und würde vielleicht auf dem anderen ende mich sein traffic zur bank weiterleiten das wird mir nicht gelingen weil ich kein gültiges zertifikat für de präsentieren kann. Gültig in dem fall wo mir eine dritte instanz die schon als vertrauen vor installiert ist im browser bescheinigt dass ich das auch tatsächlich bin. Was dann passieren würde wenn ich das nun irgendwie mit einem selbst ausgedacht ein zertifikat ohne signatur von einer akzeptiert machen würde dann bekäme der tim die klassische warnung achtung diese verbindung ist nicht sicher, und inzwischen sind browser da sehr viel strenger früher wurde dann einfach beigebracht dass man schnell auf den knopf klicken muss um das wegzumachen diese warnung inzwischen sind browser einfach weil es auch sehr viel mehr zertifikat hygiene jetzt im netz gibt dass sie quasi so weit gehen und sagen okay du musst ein administrator passwort eingeben um hier überhaupt weiter zu dürfen oder sowas oder das geht einfach grundsätzlich nicht mehr, das ist ein fundamentaler sicherheits- anker unseres internets der eigentlich nur dadurch geschwächt ist dass wir so vielen pcs in unserem browser vertrauen was. In situationen in denen böse menschen. Oder maschinen zwischen uns und unserem vertrauens und unserem gewünschten kommunikations- partner sind. Dann ein problem sein kann wenn wir zum beispiel in wenn wir da mit anderen länder, zu tun haben ja also beispielsweise sind natürlich auch. Ähm sagen wir mal von bestimmten staaten zertifikate vor installiert die wo wir jetzt nicht unbedingt das vertrauen hätten, dass sie diese zertifikate nicht missbrauchen sagen wir mal so was wie, institution der die den us-regierung sehr nahe stehen oder sonstigen die also diese zertifikate dann wenn es ein zertifikat ist, nutzen können um für die echtheit jeder anderen seite die wir besuchen zu bürgen. Deswegen solltet ihr euch unter keinen umständen, irgendwelche zertifikate installieren wenn euch jemand sagt hier zertifikat installieren mal außer ist es irgendwie euer eigenes, sweet zertifikat oder zertifikat oder so jede einzelne dieser unter jedes einzelne dieser unternehmen die dort vorinstalliert sind, dem vertraut ihr letztendlich vollständig und tim hat gerade eine. Seite auf wo steht beim mozilla wären es einhundertvierundfünfzig.
Tim Pritlove
Hier schon mehrere einträge dabei.
Linus Neumann
Ja die haben relativ viele ne. Aber die also es gibt da noch diese intermediate zertifikate also gibt dann halt nochmal anderen welche aus oder so ich denke es ist jetzt erstmal grob erklärt eine schöne lösung war dafür letzten crypt die hatten auch ein intermediate zertifikat ich, ich bin mir nicht sicher ob die inzwischen eigene csa sind oder immer noch ich glaube schon ne haben wir glaube ich immer berichtet. So also was ihr euch merken müsst ist es ist nicht so einfach sich zwischen einer hd ps verbindung zu schalten die voraussetzung dafür dass erfolgreich zu tun, ist dass eine, im browser als vertrauenswürdig entweder vorinstalliert oder nachträglich von der nutzerinnen hinzugefügt zertifikat für die echtheit des präsentierten zertifikate auf der anderen seite birgt, und dieses vertrauen ist in unseren browser oder in unserem betriebssystem vor installiert wir können aber auch unsere eigenen zertifikate noch mit einbauen. Das tun zum beispiel unternehmen, die sorge haben was weiß ich das irgendwelche über verschlüsselte verbindungen irgendwelche malu heruntergeladen wird oder das über verschlüsselte verbindungen liegst aus dem unternehmen passieren ist also eine, leider sehr gängige unartig das unternehmen. Effektiv mangelnde maschinen mittelstand trifft auf ihre angestellten vornehmen und das seht ihr dann zum beispiel wenn ihr irgendwie eine seite, auf aufruf von eurem arbeitsgerät und dann auf dieses, ding klickt und am ende der zertifikat kette steckt euer arbeitgeber dann seht ihr hier. Findet ein mann in der mittel maschinen statt gekriegt.
Tim Pritlove
Sehr elegant gerade so irgendwie.
Linus Neumann
Was hat das ganze mit kasachstan zu tun nun kasachstan hat sich entschieden wir wollen nicht wir wollen i am haben kasachstan in der mittel und haben schon zwanzig zwölf begonnen mozilla aufzufordern sie sollten doch bitte ein staatliches ruhe- zertifikat in firefox aufnehmen die firefox entwickler drin haben gesagt ja ne, das machen wir nur bei vertrauens würdigen institutionen und wir, haben kennen berichtet dass ihr maschine die mittel angriffe schon in der vergangenheit versucht hab vorzunehmen und. Zwanzig fünfzehn haben sie dann nochmal versucht profi dann ein staatliches zertifikat aufzuzwingen mithilfe eines gesetzes wo sie also gesagt haben es gibt jetzt das sicherheits zertifikat des des staates kasachstan das muss einfach von provider banken und ausländischen also von provider und banken genutzt werden und dann haben wir aber die betroffenen dagegen geklagt und seitdem ist die rechtliche, lage eigentlich unklar. Aber sachliche internet provider fordern jetzt ihre kunden auf ein zertifikat zu installieren so dass die regierung den internet verkehr mitlesen kann. So und jetzt stellt sich die die sehr spannende frage für die firefox community was machen wir sie hätten mehrere optionen sie könnten sagen naja wir, akzeptieren dieses zertifikat nicht und wir bauen unseren firefox browser so dass man dieses zertifikat auch nicht installieren kann, das ergebnis wäre dann das in dem fall dass dieses zertifikat für einen maschinen mittel angriff zur anwendung kommt. Der browser eine fehlermeldung gibt und entweder die nutzerinnen die fehlermeldung wegklicken kann oder. Sie nicht wegklicken kann das heißt die person wäre dann vom, internet abgeschlossen die andere option wäre das firefox sagt naja okay selbstverständlich installieren wir dieses zertifikat nicht von grund auf, aber wir verhindern menschen auch nicht daran, dieses zertifikat zu installieren wie sie es in unternehmen in und was weiß ich auch für eigene verwendung mein ich habe teilweise für interne systeme eine eigene wo ich dann also auch meine rucola in den browser drin habe damit ich, agb's verbindungen in bereiche aufbauen kann in denen ich keine nicht ohne weiteres letzte zertifikate verwenden kann oder so ne also. Und das wurde jetzt natürlich relativ viel diskutiert und was ich spannend oder was interessant ist wenn. Dieses zertifikat nicht installiert ist dann bleibt einer betroffenen personen in der regel. Nur die nutzung eines anderen internetanschluss ist wo das vielleicht nicht stattfindet. Oder der abbruch der verbindung denn das sind die eigentlich die optionen die du hast denn wenn ein maschinen melange stattfindet dann kannst du den nicht. Verhindern, so also du die der staat ist ja zwischen dir und deinem ziel es gibt was was ich von mir aus drei kabel die aus kasachstan rausgehen wenn auf allen diesen verbindungen diese diese wm set abläuft dann hast du keinen sicheren weg mehr nach draußen. Und das ist natürlich schwierig, was würde ich als keine sache machen ich würde wahrscheinlich dieses zertifikat nicht installieren damit ich wenigstens die wahl, oder wenn die verbindung versucht wird zu knacken wenn sie es aber bei allen verbindungen machen wo ich mir nicht sicher bin ob sie das hinkriegen andererseits wohnen in kasachstan auch nicht so viele menschen. Also das heißt die bandbreite des landes ist unter umständen. Inzwischen im vollständig baren rahmen das kann ich leider nicht persönlich nicht so genau abschätzen gerade.
Tim Pritlove
Einwohnerzahl achtzehn komma drei neun fünf millionen.
Linus Neumann
Das wird doch ein bisschen schwierig nicht unmöglich aber.
Tim Pritlove
Nicht alle internet.
Linus Neumann
Wir haben nicht alle internet haben vielleicht auch nicht alle so schnelles internet. Müssen wir nochmal müssen wir bei unserer freunde im im netzwerk infrastruktur bereich fragen wie viel.
Tim Pritlove
Schneller als bei uns ist bestimmt.
Linus Neumann
Das ist das ist der fundamentaler angriff. Auf verschlüsselung der ist noch das ist sogar also das ist, auf eine gewisse weise wir können nun man könnte sich jetzt zurückziehen und sagen ok dann machen wir halt ende zu ende verschlüsselten kram über diese über diese browser verbindung das würde natürlich irgendwie wieder gehen ne aber in dem moment wo sie in die verschlüsselten verbindungen reinschauen können haben sie auch wieder alle möglichkeiten der zensur, verhinderung von verbindungen um lenkung von verbindung kommt vollständige überwachung ne also sie zwingen alle und verschlüsselt in verbindung wieder in eine komplette klartext verbindung mit manipulation möglichkeiten mit überwachungs möglichkeit mit mit schneiden möglichkeiten mit einem und das ist wirklich der das also. Dann könntet ihr kein banking mehr machen also könnt ihr schon aber müsstet eben damit rechnen dass ähm die katalanische regierung da alles mit. Ja so ach so ach so ach so sieht es war nur eine spende an die partei.
Tim Pritlove
Muss ja nicht mehr alles stimmen was dann da kommt so geht ja nicht nur ums mitlesen geht ja auch ums manipulieren. Also es gibt ja auch so diesen sport der solange hatte p ohne verschlüsselung noch da war sowieso mobilfunk dienste der dann einfach mal irgendwelche werbung ausgetauscht haben in webseiten um da sozusagen selber geld zu machen oder affiliate links ausgetauscht haben irgendwie die kohle abzugreifen alles mögliche es gibt sehr viele gute gründe warum man sozusagen generell nicht und verschlüsselt unterwegs sein will im web das ist jetzt nur eine kleine.
Linus Neumann
Einer der in dem zusammenhang noch sehr wichtigen gründe ist das ein doch nennenswert großer anteil der software-updates die unsere rechner so installieren sich auf diese p s zertifikate konzentriert ja und, das wäre natürlich dann auch eine sehr einfache lösung wenn jetzt ihr eine software verwendet die sagt okay ich begnügen mich damit dass ich das zertifikat geprüft habe und über eine sichere verbindung mein update runterlade, und kasachstan sagt ach wir haben ja auch noch ein schönes update für dein was weiß ich welches hoffe das jetzt sein mag ne.
Tim Pritlove
Wobei ordentliche betriebssysteme halt jetzt nicht nur prüfen ob ein zertifikat formal richtig ist sondern erstens.
Linus Neumann
Training haben.
Tim Pritlove
Kurzzeitig haben nochmal verschüttet haben oder auch so ein zertifikat piening durchführen also wenn du sozusagen auf der anderen seite so 'ne app ist die aktualisiert war ist dass die dann sozusagen auch weiß welches zertifikat da kommen soll.
Linus Neumann
Genau die was macht die app die berichten die verbindung ab herzlichen glückwunsch dein system kriegt keine updates mehr du bist also gefangen in einer welt ohne ohne sicherheitsabstandes für deine schrott software, es gibt eine reihe andere wege software-updates abzusichern im im lennox kontext werden die viel einfach über runtergeladen weil sie einfach noch mal, quasi oft seid signiert werden da liegt dann einfach sie wollen sich diesen ganzen hat der gps traffic sparen das heißt die. Es gibt einfach 'ne an den dateien eine signatur kette und nicht in dem in dem traffic, aber durchaus auch eine reihe an software die davon halt betroffen wäre. Das ist eigentlich echt erstaunlich dass so ein scheiß überhaupt. Auf auf auf dem land auf diesem planeten zwanzig neunzehn noch diskutiert und dann sogar durchgeführt wird.
Tim Pritlove
Ja was ist jetzt das mach ich jetzt mal museum also.
Linus Neumann
Ich gehe davon aus dass sie letztendlich nichts machen werden denn museum also firefox ist ja eh ein open source browser das heißt würden sie jetzt eine funktion einbauen, die irgendwie das, sache zertifikat black listet dann wäre die würdest du zwei dingen führen a die leute könnten. In kasachstan diesen browser nicht mehr verwenden das heißt. Marktanteil sinkt die würden in die hände von google browser getrieben was jetzt auch nicht so viel so viel besser wäre für sie oder welche.
Tim Pritlove
Die denn das installiert.
Linus Neumann
Die andere frage ist könnt würde unter umständen weiterhin einfach vielleicht ein firefox fork entstehen, wo dieser dass die tatsache schräg und sagt ja wir kriegten firefox von uns bei dem paketchen wir diese funktion wieder raus das sind ja nur wenige zeilen würden die die update zyklen von von mozilla hinkriegen, weiß man nicht also vermute ich, dass sie sich auf eine irgendwie eindrucksvolle warnung zurückziehen werden und sagen wir. Lassen die funktionsfähigkeit des browser s erhalten wir aber wir werden. Bei der verwendung dieses zertifikaten des oder von mir aus auch anderen selbst installieren zertifikaten nochmal oben, 'n totenkopf anzeigen oder so um zu sagen hier wenn du hier was falsches ein tipps kommen die schergen ne also irgendwie sowas denke ich würde ich erwarten als reaktion was ich nicht vermute ist dass er das zertifikat vollständig black listen weil damit würden sich letztendlich von dem markt kegeln, und hätten damit auch ihre wirkt möglichkeiten ausgeschöpft ne das ist ja immer so das. In solchen situationen das bittere ne wenn sie das spiel jetzt irgendwie auch nur im entferntesten mitspielen sind sie natürlich streng. Streng vorwürfen aus pures tan ausgesetzt andererseits sie werden sie erhalten sich ihre einflussmöglichkeiten wenigstens darauf daraufhin zu wirken.
Tim Pritlove
Tja also entweder stress mit kasachstan mit profis.
Linus Neumann
Ja also das ist wirklich 'ne 'ne katastrophale situation und genau deshalb will man solche situationen auch einfach gar nicht haben. Kommen wir zum nächsten thema ne.
Tim Pritlove
Machen wir mal.
Linus Neumann
Das nächste thema ist mit hacking.
Tim Pritlove
Hawking oh.
Linus Neumann
Ja und zwar gibt es eine sehr schöne sehr schönen bericht sehr sehr. Aufwendig äh aufbereitete bericht des bayerischen rundfunks ist eine, gemeinsame recherche mehrere autorinnen und autoren hakan eckart jan stroh maximilian cira und rebecca. Sie das tut mir sehr leid dass ich den namen spontan, nicht aussprechen konnte mit c und es und i und, haben sie in zwei sprachen gemacht finde ich vor allem war sehr interessant so grafisch aufbereitet diese website da hat nochmal jemand sich richtig mühe gegeben. Design steffen kühne da geht es um einen wahnsinnig auf, die deutsche industrie der titel lautet auch angriff auf das herz der deutschen industrie und zwar geht's um eine heckegruppe und eine gleichnamigen software. Mit dem namen vinci die zur anwendung kommt um viele, unternehmen in der deutschen industrie anzugreifen und auszuspielen also letztendlich ein trojaner eine trojaner software die bei vielen unternehmen in deutschland und auch weltweit, gefunden wurde und in dem bericht wir werden so die indizien zusammengefügt. Warum davon ausgegangen wird dass es sich hierbei um eine chinesisch um eine chinesische, schön interessen folgende gruppe handeln, könnte interessant finde ich auch in dem bericht steht wieder das haupt einfallstor was zu der infektion führt ist, bei vielen unternehmen eben fishing also das zusenden von in der regel microsoft office dokumenten mit aktiven inhalten also makro s und ich klage ja schon immer und immer wieder nicht zum ersten mal. Über diese katastrophe die eigentlich diese office markus für unternehmens it darstellen der, also markus sind kleine oder auch große skripte mit anderen worten programme die in office dokumente eingefügt werden, können und dort dinge tun das heißt euer dokument indem ihr irgendwie rum tippt und text schreiben könnt und sachen markieren könnt oder sonst was wird von einem, naja simuliert ein blatt papier tatsächlich zu einem programm auf eurem computer und dieses programm hat dann eben auch alle, oder viele handlungsmöglichkeiten die so programme eben auf euren rechnern haben unter anderem diese wunderschöne funktion sich eine datei aus dem internet herunterzuladen und diese auszuführen was eben wenige zeilen in so einem. Fische basic makro sind dass man ganz einfach in eine partei einfügen kann leuten per e-mail schickt zwar warnt. Word oder excess hier ersetzbar office davor dass sich hier ein makro in der datei befindet. Aber allein dieses user interface ist wirklich ein traum denn es gibt quasi die warnung und dann gibt es einen riesigen knopf. Wo drauf steht äh so etwas wie aktive inhalte oder inhalte aktivieren und dann rechts am rand zu ganz kleines winzig kleines kraus kreuzchen, was der weg in die sicherheit wäre ja also schon jeder mensch der einmal vor dieser saß braucht nicht unbedingt, ein studium der psychologie um zu erkennen dass auch sehr gut vierte schimpansen in der regel eher den großen knopf drücken weil er einfacher zu drinnen ist.
Tim Pritlove
Ihre firma nicht ruinieren ja nein.
Linus Neumann
Genau also es kommt ja wirklich ihr kennt das zum beispiel auch wenn ihr auf irgendwelche webseiten geht mit einem neuen browser oder so und euch euch nahe gelegt wird doch einmal bitte kurz hier eure seele zu fair und eine spülmaschine zu kaufen und außerdem noch alle cookies zu akzeptieren und, und und und und und ja wo immer sagt jetzt steht weiter, und da drunter so wie klein in so 'n ganz schwach hinterlegten kraut und zart auf schlechten displays kaum zu erkennen schritt größe sechs steht so nein, ja und genau das ist das interface von microsoft office für hacking ja oder nein platt machen hier den laden ja oder nein was haben wir heute dort es ist gerade auf dem schirm auch letzte woche wieder elf krankenhäuser in deutschland oder was betroffen die auch alle das also das funktioniert immer so und es funktioniert seit, so vielen jahren so dass man nicht mehr weiß wie lange das so funktioniert und das ist der haupt. Das haupt dreizehn krankenhäuser sogar ja, weil eine ganze träger gesellschaft in in in nordrhein-westfalen oder wo war das, betroffen war ja also klassik klassiker und nichts dagegen unternommen ja diese ist nach wie vor scheiße es wird nicht einfach sinnvoll darüber erklärt was was man hier gerade tut, dass man nämlich letztendlich so also es ist eigentlich so ein russisches roulette knopf na so hier es gibt code wird hinaus führen ja so. Hey ich habe hier eine echse für dich, klickst du die oder nicht kann sein also wenn du vielleicht ist in ordnung ne vielleicht ist das der neue oder so aber wenn du pech hast eben der neue. Und warum ich das so aufregt ist erstens weil jetzt eine interface seid so und so viel generation nichts sinnvolles geändert haben und zweitens, da wo wir solche situationen haben wurde mich irgendwie nicht vertrauenswürdig der code eine rolle spielt da haben wir seit jeher lösungen für wir haben's gerade angesprochen coaching fertig thema erledigt du kannst mit einem lennox mit einem gängigen gängigen system über eine verbindung eine software runterladen du hast ein paar vertrauens zertifikate in dem, in den betriebssystem drin und dann sagt der pass auf das für dich aus oder das das installiere ich das installiere ich nicht modernere also moderne deshalb betriebssysteme make us windows haben alle diese dinge also wir führen nur code aus vertrauenswürdig quellen aus das war alles nicht von heute auf morgen einführt bar ja aber in dieser office makro welt da sitzen wir zwanzig neunzehn mit so einem, knopf der der einfach so random ist ne roulette russisches roulette wollen sie also wollen sie russisches roulette spielen oder nicht und wir sind alle darauf trainiert diesen knopf, möglichst oft und schnell zu drücken um weiter arbeiten zu können und ich ich habe den kaffee auf.
Tim Pritlove
Gott feiert vor microsoft, ja es ist äh ist ein bisschen ich meine man muss sich das so ein bisschen so vorstellen wieso man kriegt auf der party von unbekannten ein getränk gereicht ja wir trinken mal.
Linus Neumann
Ja nur dass das in der regel gut geht ja im vergleich zu microsoft office eine datei. Ich würde lieber auf 'ner party wie ein getränk anbieten lassen.
Tim Pritlove
Also lieber karo tropfen als.
Linus Neumann
Also die wahrscheinlichkeit für kavo tropfen auf 'ner party ist glaube ich geringer, als irgendwie wenn ich mir jetzt einfach nur die nachrichten der letzten woche anschaue weil beides probleme sind und beides tut man nicht ne man trinkt keine getränke aus unbekannten quellen, und es ist auch kein essen aus und vertrauenswürdig fällen und man installiert keine software aus nicht vertrauenswürdig quellen deswegen hat microsoft office natürlich eigentlich auf computer nichts verloren weil aus einer vertrauenswürdig fälle kommt dass er nicht.
Tim Pritlove
Ich habe ich weiß nicht wer das letzte mal wird auf meinem computer hatte das war.
Linus Neumann
Ich hab's ich benutze das seit seit jahren.
Tim Pritlove
Ich glaube ich das letzte mal.
Linus Neumann
Ich bin ich bin zahlen der kunde bei ja ja ich muss das beruflich benutzen, komm her nicht dran vorbei ich kann ja nicht jeden kunden den ich habe erst missionieren und sagen nein wir machen das jetzt mit mit mark down und das ist das ist das ist übrigens auch das problem was mit diesen, markus existiert es wird in großen unternehmen sehr regel benutzt aber meine antwort darauf wäre na dann macht er doch folgendes, dann macht euch ein schönes zertifikat dann gibt da jeder mitarbeiterin ihr eigenes zertifikat dann können sie ihre markus die sie da schreiben signieren und dann kann ich wenigstens in dem dialog sehen hier gibt's ein marco das marco wurde signiert von was weiß ich in company was kann da schon schief gehen die haben schon die bundeswehr erfolgreich selig also ihr. Irgendwie sowas ne aber nichts es gibt nichts, seit jahrzehnten ist das stillstand ich kann mir das ich kann mir das überhaupt nicht mehr erklären weil wenn man es wirklich in allen in allen bereichen der it-sicherheit gibt es eigentlich eine relativ zügige evolution, nur dass sich die leute per öffnen von nicht vertrauens für den anhänger am laufenden band ihre ihre konzerne zu erschießen das hat noch keiner für wichtig gefunden und die lösung sind eins zu eins übertragbar natürlich kannst du, coaching für diese für diese scheiß markus machen ist gar kein problem.
Tim Pritlove
Aber findet nicht statt zwanzig neunzehn und wir werden auch weiterhin von berichten müssen weil das geht so schnell nicht weg.
Linus Neumann
Jetzt will ich noch ganz kurz auf den bericht zurückkommen. Denn was sie da auch gemacht haben warum ich denn überhaupt erwähne ist sie haben dann ein detektor genutzt, ein emma plugin was irgendwie schon zwanzig sechzehn uhr so von mitarbeitern von thyssenkrupp geschrieben wurde und haben damit halt mal durch das internet so durch gescannt und ja mehrere betroffene unternehmen, und auch institutionen gefunden unter anderem die regierung von hongkong und haben dann bescheid gesagt übrigens hier die auf der büchse läuft dieser wind hier auf der wirkstoff dieser vinci und haben den bescheid gesagt und was ich sehr interessant finde. Oder erwähnenswert finde in diesem bericht ist das. Sich hier meine häufig vertretene und immer wieder wiederholte these wieder replay ziert das auch sogenannte advanced präsident also, bezahlte angreifer gruppen mit einem konkreten ziel auch immer nur so hoch springen wie es die hürde verlangt die nutzen zur infektion irgendwelche e-mail anhänge und ihre schadsoftware ist da teilweise auch seit seit langer zeit nicht weiterentwickelt worden also wenn irgendwie vor mehreren jahren ein direktion skript für deine schadsoftware geschrieben wurde, mit mit dessen hilfe eben infizierte maschinen gefunden werden können und du, neunzehn teile dieser software immer noch im einsatz hast dann zeigt das eben dass du eigentlich kein besonderen evolution druck unterwegs. Du musst ja du kannst ja einfach du wirst ja nicht die neue ebene software einsetzen wenn du mit der alten noch durchkommt denn du würdest ja nur mehr über deine fähigkeiten und und techniken und möglichkeiten verraten wenn du das tust insofern gibt es auch ja eine, einen kritischen blick auf diese publikation von denjenigen die ihren lebensunterhalt damit verdienen, solche hacker gruppen zu monitoren zu jagen zu erkennen und aus ihren system aus den systemen, ihres eigenes unternehmens oder ihrer kunden herauszuhalten weil sie dann sagen naja durch so eine veröffentlichung die wird dann international wahrgenommen dann werden suchen alle nach den den indikator auf kompromiss kegeln die leute wieder raus schaffen's nicht wirklich und letztendlich haben wir effiziente erkennung möglichkeiten verloren und sind können quasi haben quasi. Intelligence über unsere gegner verbrannt, ist ein also beide argumente sind so halb tragbar ne ich mein natürlich ist es wichtig solche angreifer aus den systemen rauszuhalten. Und dieses wissen sollte zumindest innerhalb der community immer offen geteilt werden es gibt natürlich einige marktteilnehmer die versuchen das in irgendeiner form zu, zu eigentum zu machen und ins körbchen modelle oder sowas zu überführen aber letztendlich ist es natürlich gut über solche angriffe bescheid zu wissen und wenn wir möglichst viel darüber wissen aber wichtiger wäre vor allem, endlich mal die verantwortlichen software hersteller tragbar e effiziente gegenmaßnahmen entwickeln und das ist eben kein rocket science das ist uns seit vielen vielen jahren bekannt, wie wir vertrauens fähigkeit sicherstellen das ist eine erfindung die ist jetzt irgendwie gefühlt zwanzig jahre alt und warum setzt man die in den hoch kritischen bereichen nicht um.
Tim Pritlove
Wie bono machen sie mal hier eine neue verschwörungstheorie auf.
Linus Neumann
Ich hatte am ende profitiere ich davon wenn ihr euch nachher nach und nach alle eure unternehmen zerlegt weil weil ihr keine software bekommt, und weil weil wir uns heute weil heute noch den leuten erklärt wird it-sicherheit muss man sich noch obendrauf kaufen warum eigentlich überhaupt.
Tim Pritlove
Ich weiß nicht vielleicht ist ja irgendwie die ganze große shaker industrie mittlerweile holt ihr uns auf max soft. Ja ja.
Linus Neumann
Übrigens also da da habe ich irgendwie vor kurzem einen vortrag darüber gehalten und. Dann würde ich auch interview. Nein über über schwachstellen und also menschliches vorstellen und zwar an der universität bochum eine große ehre ja eine einer der führenden universitäten im bereich der it-sicherheit, viele gute leute kommen dort her. Und da habe ich einen kleinen vortrag gehalten und danach gab's auch ein ein interview das dann noch auf der seite der universität bochum veröffentlicht wurde das kann ja nur mal hier verlinken, da habe ich auch schon gewartet also dieses thema ich reg mich da schon länger drüber auf.
Tim Pritlove
Ja das merkt man sofort kommen wir zum anderen aufreger, ich habe ja heute heute abend schon wieder zwei stunden damit verbracht sim-karte in in geräte reinzustecken irgendwie zuhause wieder internet zu bekommen weil die telekom irgendwie mein derselbe abgedreht hat, aus noch unklar in gründen und da hat man.
Linus Neumann
Bezahlt oder was.
Tim Pritlove
Was ist los gleich bezahlt.
Linus Neumann
Loggen gelogen.
Tim Pritlove
Ja und äh ja nee war einfach ob das vielleicht.
Linus Neumann
Also jetzt ist aber ganz zügiges netz hier muss ich sagen ich bin ganz ich bin ganz angetan.
Tim Pritlove
Es ist ja auch im studio ich sprach von meinem heim. Und im heim sah es nicht so gut aus daten heim und na ja wie auch immer auf jeden fall habe ich wieder mal diesen ganzen wahnsinn mit sind karten anfassen dürfen. Nano sind karten wie groß im karten.
Linus Neumann
Achso du wolltest es irgendwie eine nanu sind wir in der fritz box schieben mit vier adapter toren und.
Tim Pritlove
Was kann ich jetzt wo reinstecken und wie rum und aber, es gibt noch ein anderes problem mit sim karten und das ist auch vielfältig weil was sich leute nicht so richtig klar machen ist welche bedeutung sind karten heutzutage haben sind karten auch selber, an sicher auch nochmal eine ganze menge probleme da kann ich auch nochmal auf meinen, security verweisen sodass auch mal schön aufgedrückt wird gut da drin läuft und so denn das sind ja auch nur kleine computer, gesehen sind die sim-karte und vor allem mittlerweile einfach die identifizierung im netz da mobilfunk rufnummern. Mittlerweile so ein bisschen der zweite ausweis geworden sind also mobilfunknetze werden heute für allerlei impliziert der identifizierung verwendet und auch explizite man kennt das man will bei der bank was überweisen dann gibt's eine tan, per sms oder man macht generell zwei faktor authentizität bei irgendwelchen web diensten darüber was immer noch besser ist als wenn man gar keine zwei faktoren identifizierung hat aber man verlagert im prinzip diesen zusätzlichen sicherheitspersonal ein system wo es eben mit der sicherheit auch nicht so weit her ist das hat viele gründe vor allem hat es, diese ganze mobilfunk welt eben aus der telekom industrie herauskommt und eben nicht aus dieser internet industrie und da ist ja schon so einiges im eimer aber der telekom, seite ist es also setzt sich die deutsche telekom sondern generell alte kommunikations- unternehmen und diese ganzen standards body der dranhängt gemeint, da ist es eben auch schwierig da sicherheitsstandards durchzusetzen erinnert sich jetzt gerade so ein bisschen aber es noch 'ne menge zu holen, weil eben diese sim-karte letzten endes dem telefon und damit dann auch dem provider mit dem ich mich dann verbinde sagt welche mobilfunk nummer ich habe sind sie halt relativ. Richtig.
Linus Neumann
Minimale kultur sagt nicht wirklich welche nummer du hast gesagt welche welche identität du hast ja.
Tim Pritlove
Na ja aber sie authentizität mich gegenüber dem dem im netz und diese sim-karte ist dem netzbekannt und da gibt es dann eben die zuordnung zu meinem account.
Linus Neumann
Darf ich ja ganz kurz noch zu sagen. Subscriber identity modul und äh ist also die der name also dafür steht sim und deshalb sie dient der sicheren aufbewahrung des schlüssel materials, für die drei oder vier authentizität und nachher auch verschlüsselung des funk verkehrs und der grund warum die auf diesen karten ist ist damit sie nicht klonen bar sind weil also das hatte gar nicht unbedingt damit zu tun dass wir als subscriber geschützt werden sollen sondern vielmehr dass die sorge bestand was machen wir denn wenn der tim sich eine telekom flatrate holt, für für was weiß ich was kostet was.
Tim Pritlove
Achtzig euro.
Linus Neumann
Ja die anfänger tarife dann einmal 'ne richtige.
Tim Pritlove
Der richtige gibts jetzt für achtzig euro.
Linus Neumann
Achtzig nur ja okay aber ach so.
Tim Pritlove
Aber jede weitere aber jede.
Linus Neumann
Kostet. Jede weitere sind kostet fünfundzwanzig euro und der tim hat jetzt einen kleinen kopierer und sagt ich geb mal noch eine sinn an den linus und noch eine sind hier und hier und hier und hier und dann wäre ja quasi eine, dieser sim-karte möglich das würde, in dem moment wurde sie kopierst aber auch dem mobilfunknetz wehtun wenn sich die gleiche sind zwei mal ein buch dann wird es damit wird das netz nicht ohne weiteres klarkommen es wird dann eine von beiden einfach immer rauswerfen. Weshalb du eben eine multi bräuchtest und deswegen ist auf deiner sinn in deine identität und nicht wirklich deine telefonnummer kannst du auch deine telefonnummer wechseln mit der gleichen sim-karte weiter verwenden.
Tim Pritlove
Genau und die sim-karte können natürlich auch vom netz unterschied unterschieden werden die haben also alle eine andere i die letzten endes aber auf denselben account und damit eben auf meine telefonnummer zeigen. Wenn so etwas so wichtig ist in einem solchen sicherheitsproblem dass dann weg das natürlich begehrlichkeiten denn man kann sich ja ganz gut vorstellen in dem moment wo man kontrolle über diese telefonnummer bekommen kann kann man dadurch natürlich zum beispiel auch, die selben prozesse nachspielen das heißt wenn man sich irgendwo einloggt und es kommt um zwei faktor identifizierung dazu, und man hat kontrolle über diesen kanal könnte man das abfangen wenn man eine banküberweisung machen will und da kommt die tanne darüber dann heißt zugriff auf das telefon eben auch zugriff auf diese transaktionen s nummer, und da dachte sich in österreich die staatsanwaltschaft auch so ist das. Wer macht denn wer kann denn diese identitäten herstellen wenn's die user nicht selber können na ja der mobilfunk betreiber und da hatten sie, falls ich weiß es nicht genau in dem bericht wurde nicht erwähnt um welche mobilfunk betreiber sich hatte lediglich um ein der in österreich aktiv ist und noch nicht gesagt worum es ging in diesem fall aber es wurde sozusagen jemand, gegen jemand ermittelt und sollten da irgendwelche überwachungs maßnahmen vollzogen werden und sie werden wohl auch ganz gerne auf accounts zugreifen und haben jetzt quasi diesen mobilfunk provider der für diese telefonnummer dieses users zuständig war angeschrieben und einfach gesagt, hier überwachungs maßnahme gib mal sinn. Mach uns mal eine weitere simpel quasi so eine multi sind die nicht vom kunden bestellt wurde die auf demselben account geht und am besten konfiguriert das mal bei euch auch noch so dass die sms dann auf diese sim-karte geht und nicht auf die andere die ursprünglich wurde nämlich schon zerstört von dem user selber dann haben wir ja dann prima tool mit dem wir da irgendwie zugriff.
Linus Neumann
Ich weiß dass das mobilfunknetz gesagt hat fünfundzwanzig euro.
Tim Pritlove
Pro monat. Aber immerhin der mobilfunk provider hat sich gewehrt und hat dagegen klage erhoben, was in dem moment leider keine aufschieben die wirkung hatte das heißt sie mussten zunächst einmal der aufforderung der staatsanwaltschaft qual ihrer power, dienst leisten, folge leisten sprich sie werden da eine sim-karte erzeugt haben haben wir dagegen geklagt und das oberland oder landesgericht jetzt weiß ich nicht wie das in österreich so gehandhabt wird da heißt ja mal alles ein bisschen anders also das lg wien hat nun dieser klage stattgegeben weil wie sie feststellte ist für diese forderung der staatsanwaltschaft keine rechtliche grundlage gab nein.
Linus Neumann
Unglaublich unglaublich was was die alles nicht rausnehmen was erlaube.
Tim Pritlove
Zum kann nehmen sie sind karten raus.
Linus Neumann
Es ist.
Tim Pritlove
Was jetzt mit die die österreicher.
Linus Neumann
Na überhaupt hier kasachstan österreich.
Tim Pritlove
All diese ganzen ende mittel. Staatsanwalt staatsanwaltschaft in der mittel ja zeigt aber andererseits auch dass natürlich dieser trennt der mittlerweile auch schon wieder rückläufig ist muss man sagen der trend handy nummern zur identifizierung zu benutzen nicht so gut ist und wer da irgendwie über andere maßnahmen nachdenken.
Linus Neumann
Da habe ich schon zwanzig dreizehn äh von abgeraten aber es ist letztendlich als ich meine.
Tim Pritlove
Ist schon zwanzig zwölf.
Linus Neumann
Ich habe es schriftlich gemacht in der demenz stellungnahme damals aber die, also es gibt was die sim-karte gibt 's natürlich zwei perspektiven die eine ist dass es die die smart karte die alle menschen haben. Oder fast alle menschen ne also die ähm so dass es immer wieder überlegungen gab zu sagen okay können wir auf der sim-karte können wir nicht geilere sim-karte den leuten in ihre geräte geben dass man da noch ein personalausweis oder dass man halt eine story lösungen hat oder so ne und, insofern schlagen da auch quasi zwei herzen meiner wurst weil. Über längere zeit war eigentlich immer das mobilfunknetz der schwächere der schwächere problem als die sim-karte diesen karten waren eigentlich immer sicher es gab nur. Wann haben wir das präsentiert zwanzig fünfzehn oder so sind karten heck und dann gab's diesen kommen.
Tim Pritlove
Die zwei klonen hat mir neunzigern.
Linus Neumann
Genau das waren das war danach fahren sie dann erst mal sicher dann gab 's nochmal schwachstellen zwanzig fünfzehn aber eigentlich sind diese sim-karte so halbwegs. Zwanzig fünfzehn nein das war auf der oben zwanzig dreizehn. Also es ist zumindest diese diese eine.
Tim Pritlove
Es ist viel drauf rumgehackt worden ist nicht so viel bei rausgekommen ist schon.
Linus Neumann
Im vergleich zu was du aus einem mobilfunknetz rausholt ist eine sim-karte schon eigentlich ein relativ.
Tim Pritlove
Gut angehangen aber in dem moment wo wo es das aber ja letztendlich nicht die sim-karte selber ist die security herstellt sondern letztlich nur diese zuordnung zu dem account beim provider da ist natürlich jetzt dieser weg sehr naheliegend wenn auch frech ja die man einfach sagt na ja dann mach doch einfach nochmal eine sim-karte dazu erzählt keinem raute telefonanrufe und sms entsprechend um und fertig ist die lucy und üblich dass sich dieser propeller da jetzt auch dagegen gestellt hat das ist ja auch nicht unbedingt selbstverständlich und weiß der geier wie oft sowas schon an anderen stellen gelaufen ist also man kann jetzt mal an andere länder denken wo es um rechtsstaat ist nicht ganz so weit ist da kann man mal davon ausgehen dass das sozusagen gang und gäbe es weil auf die idee sind sie bestimmt auch schon bekommen und von daher sollte man eben davon abgesehen sprich wenn ihr, factor irgendwo aufsetzt und ihr habt die wahl. Dann ist vielleicht die sms nicht so geile idee da gibt's dann irgendwie einfach so zwei faktoren die kirche so so passwort generatoren zum beispiel eine kleine app die man sich installiert da wird man dann einmal so ein installieren drauf dann läuft das auf dem eigenen telefon und man kann sich quasi dann immer nur also alle dreißig sekunden neue nummer anzeigen lassen die man dann ein gibt dass es ganz praktisch da wo man es machen kann ist das schon mal besser weil da hat dann sozusagen kein. Die mobilfunk nummer erstmal keine bilder keine rolle.
Linus Neumann
Also die sind, das ist in der tat eine ganz schöne lösung und die auch für dieses angriffs modell sehr angemessen ist ja wenn du also deine sim-karte wird halt nicht so einfach geklaut aber. Es du hast halt dann das problem dass diese. Was du da jetzt in dieser app speichert wird natürlich nicht auf einem auf einer sim-karte gespeichert und das bedeutet es wird einfach auf ein normaler. Stories gespeichert wenn du jetzt irgendwie ein älteres telefon hast und nicht in einem secure stories in denen du nur unter gewissen bedingungen dran kommst ne also die offenthal cata apps speichern sich diese initiative dinge halt irgendwie auf ihrer auf ihrer, auf der auf dem flash speicher am telefon und dann hast du halt das die herausforderung dass du wieder solchen celebrity angriffen ausgesetzt bist das heißt hätte unser junger mann hier, ich gehe davon aus dass ein mann ist sowas genutzt dann hätten sie im zweifelsfall sein telefon einfach mit einem mit der klassischen hacking software aufgemacht und hätten dann, die die app in ihren händen gehabt ne also es.
Tim Pritlove
Ja gut aber das telefon.
Linus Neumann
Frage des modells.
Tim Pritlove
Hatten sie wohl in dem fall schon aber da muss, die sicherheit des geräts aber hier war ja sozusagen die geräte sicherheit vollkommen irrelevant weil du einfach, ja einfach schon einen schritt davor weit weg irgendwo in einer anderen stadt. Das oben links also nichts ist perfekt aber konkret dieses problem dass der mobilfunk ich meine es gibt ja noch andere dramen die dir die den zugriff auf deine daten dann sozusagen auch erschweren was ist wenn ihr quasi einfach gekündigt wird ja der die sachen einfach ja nee hier keine ahnung aber ich habe bezahlt ja und so egal wie man es in account einfach zu weil wir sind total verstört dann stehst du da und hast diesen kanal verloren also man muss sich natürlich immer um backups gedanken machen und wenn ich so ein, zwei fa zugang einrichten das was ich hier so geht habe oder so ja so wichtige accounts wo man wirklich sicherstellen möchte dass die nicht flöten gehen weil da ein großes problem nicht dann richtet man das ein und dann tue ich das aber nicht nur auf mein telefon sondern kriegt man auch noch so einen dazu und der kommt da nochmal irgendwie ausgedruckt in irgendeinen anderen selbst also. Jeder ist da unterschiedlich paranoid aber muss halt immer davon ausgehen irgendwann verliert immer eure scheiße und ihr solltet euch langsam mal angewöhnen irgendwo ein ort zu haben in eurem heim und im idealfall vielleicht auch noch irgendjemand anderes heim wo dann entsprechend wiederum gesichert diese informationen hinterlegt werden also was was ich verschlüsselte usb-stick festplatte was auch immer dass ihr eben im zweifelsfall wenn euch was böses widerfährt muss jetzt nicht immer gleich, ein einbruch sein aber was ich die hütte brennt ab oder andere geschichten dann hast du einfach das.
Linus Neumann
Es ist schon eigentlich interessantes dass wir uns irgendwie dazu entscheiden ausgerichtet dass eine, gerät was wir haben was letztendlich den höchsten wert hat die höchste begehrlichkeiten und am einfachsten zu klauen ist, das wollte unbedingt als authentizität sektor nehmen das ist auch so eine sache muss ich überlegen im zweifelsfall wird 's euch nicht gezockt weil weil da irgendwie kein material drauf ist für die zwei faktoren zertifizierung aber wenn euch irgendwas geklaut wird dann im zweifelsfall euer handy. Aber wenn das handy weg ist es ist ich mein selbst wenn das was gibt man heute für ein handy aus vierzig tausend euro ne das gibt mir leute aus für ein handy keine ahnung tausende oder sowas ne oder oder vierhundert euro oder zweihundert euro also was kann welches ich will jetzt nicht quasi die untergrenze des handys feststellen dass man noch mit gutem gewissen benutzen könnte.
Tim Pritlove
Leute geben von vierzig bis vierzigtausend euro.
Linus Neumann
Vierzigtausend euro handy wenn ihr ein handy haben wollt für vierzigtausend euro ich hab eins.
Tim Pritlove
Meter ebene.
Linus Neumann
Genau also alles peanuts im vergleich zu fünf, milliarden dollar äh die facebook nämlich als strafe bezahlen musste wir haben das erwähnt schon in der sendung deswegen wie das jetzt eher kurz behandelt wir haben gesagt wir hatten erwähnt dass das wohl die höhe der strafe ist die facebook für seinen cambridge analytica skandal von der fc, aufgedrückt bekommt aber jetzt stellt sich die gesamte teil dieser einigung raus also quasi eine außergerichtliche einigung in der. Die fc außerdem ein paar aufschlagen durchgesetzt hat zum beispiel muss der facebook verwaltungsrat jetzt eine neue abteilung nur für die datenschutz aus. Einrichten und die sollen dann mark zuckerberg irgendwie auf die finger gucken und seine macht ein, dem und die behörde kann zuckerberg in zukunft persönlich dafür verantwortlich machen wenn gegen datenschutz regeln verstoßen wird im gegenzug. Machen sie aber jetzt eigentlich, niemanden verantwortlich und sagen nur mit dieser zahlung dieser fünf milliarden us-dollar, ist das problem geklärt facebook hatte aber schon im ersten quartal zwanzig neunzehn drei milliarden auf seite gelegt. Mach mal ja mal ich mach das jetzt nicht jedes quartal aber man also ist auch ein bisschen 'ne frage der nachhaltigkeit ne und, allein in dem film jahr hat facebook immer noch zwei komma vier drei milliarden us-dollar gewinn gemacht und, facebook hat ohnehin damit gerechnet dass die strafe auf fünf milliarden hinauslaufen könnte so viel, zu dieser angelegenheit und jetzt stellt sich aber raus in der fc gab es keine einstimmige. Also keine einstimmige abstimmung soweit ich das erinnere aus der letzten sendung glaube ich drei zu zwei stimmen und jetzt hat der hit shop ein design thinking world veröffentlicht das erinnern vielleicht einige von euch noch als wir mit der constanze über die kommission, gesprochen haben vor einigen jahren wo also quasi gesagt wurde okay es gibt den bericht und dann gibt es halt das minderheiten votum. Von denen die die überstimmt wurde aber trotzdem nochmal sagen hier das ist für die minderheit aber das muss gesagt werden und da hat der das ist also jetzt auf der fc seite auch veröffentlicht von dem comission, zwanzig seiten in denen er folgende kern argumente vorträgt erstens. Dieser ganze cambridge analytica skandal ist ein direktes ergebnis. Des advertising models was das geschäftsmodell von facebook ist wir haben facebook nur gebaut um. Quasi das verhalten von menschen zum monitoren und ihn darauf an auf ihrem verhalten und ihren persönlichkeit vielen angemessene, zu präsentieren das hat er richtig erkannt und das ist das wir haben glaube ich damals auch schon gesagt was da eigentlich bei cambridge analytica passiert ist ist dass sich jemand die leistungen von facebook die funktionen von facebook erschlichen hat ohne dafür zu bezahlen wenn sie bezahlt hätten wir alles okay gewesen. Ja zweitens sagt er dieses segment also diese einigung zwischen fc und facebook bezahl mal fünf milliarden dann ist gut. Macht wenig, irgendwas am business modell von facebook oder den praktiken die facebook täglich ausübt zu ändern auch das ist richtig. Des weiteren wird facebook vom haken gelassen für, weitere nicht näher spezifisch vierte verletzungen und bekommt quasi eine pauschale immunität jetzt geschenkt na das ist ja der teil dieser. Solche einigung funktionieren ja so dass man sagt okay zahlt jetzt diesen preis und er spart ihr den restlichen ärger ne das wird wird irgendwie das ist dann so ein kräftemessen wo wo eigentlich gesagt fit naja wir haben vielleicht nicht alles gegen dich in der hand und wir wollen uns die arbeit sparen wir stellen das verfahren jetzt ein gegen eine zahlung von so und so mit dieser zahlung wird aber natürlich auch nicht, die schuld anerkannt das hat facebook ja in diesem fall genau nicht getan und das ist wahrscheinlich auch das was sie sich hier gerade fünf milliarden euro an kosten lassen dass ihr aus der nummer rauskommen ohne. Noch irgendwo und quasi wissen jetzt gibt's ein cat und alles was davor noch war es jetzt quasi mit abgegolten zweitens wir haben dafür eben auch eine pauschale immunität und drittens wir muss unsere schuldig anerkennen was eben, im us rechtssystem aber auch im deutschen rechtssystem immer gerne mal auch eine rolle spielt fünf milliarden sind zu wenig sagt er, also gemessen an der kohle die facebook umsetzt und auch ein sehr wichtiger satz also kann da auch bei amerika die hoffnung nicht aufgeben also hier geht es gar nicht um privatsphäre, hier geht es über die macht zu kontrollieren und zu manipulieren und deswegen sagt er in seinem, das wort also seinem nicht übereinstimmen votum dass das alles was jetzt passiert ist quasi am thema vorbeigeht und ich finde er hat da relativ gute punkte angebracht deswegen, wollte ich das hier noch mit in die facebook analen.
Tim Pritlove
So dann haben wir noch diesen ganzen rum. Wo die amerikaner die welt verrückt machen weil ja so gefährlich sind und alle müssen jetzt mitspielen weil amerika first und wenn wir was wollen, dann haben wir alle ordentlich zu springen und sie versuchen halt alle möglichen länder dazu zu bekommen hier mit zu springen. Insbesondere natürlich ihre freunde von den fünf augen. Wir erinnern uns das ist dieser spionage verbunden nicht nur die usa angehören sondern eben auch kanada australien neuseeland und, das vereinigte königreich von großbritannien und nordirland zu zergehen lassen schön dass noch klingt ja nicht mehr lange so sein. Und während so aus reihen und neuseeland da auch schnell, da sie ja nicht viel power haben gegen zu halten schnell irgendwie den bei gesprungen sind auch gesagt haben ja war war ich total böse machen wir mit, sind wohl kanada und auch großbritannien da nicht ganz und freunde.
Linus Neumann
Wir haben gesagt weiß ich gar nicht ob das so sinnvoll ist. Ich muss noch ganz kurz zu diesem thema sanktionen. Was sagen das ist ja immer so was das hört man irgendwie so im in den nachrichten jetzt gibt's sanktionen und du darfst kein wow benutzen und du musst jetzt den iran sanktionieren und so ne das ist tatsächlich ziemlich krass, wenn so etwas wirklich passiert also wow hey ist da noch 'n relativ einfacher fall wir kommen nachher noch. Zum thema eines gesamten landes wo eben gesagt wird okay hier sanktionen gegen was weiß ich iran sanktionen gegen nordkorea dann darf, in genannten geschäftsbereichen oder in allen geschäftsbereichen einfach niemand, in dieser links in diesem legislativen bereich mehr geschäfte mit diesem land machen da stehen aber teilweise seit jahrzehnten geschäftsbeziehung das geht so weit wie das. Quasi bestimmte fabriken keine zulieferung mehr aus dem land erhalten dürfen weil sie dem land kein geld mehr geben dürfen und dann zumachen müssen das geht in irgendwelche versicherungsverträge ein wo irgendwie großes internationales geld irgendwie drin liegt was was ich eine gebäudeversicherung im.
Tim Pritlove
Ja wir hatten das ja auch deutlich schon.
Linus Neumann
Sicherung aus aus den usa oder so.
Tim Pritlove
Neulich schon ne google app store darf dann auf einmal nicht mehr irgendwelche updates ausliefern weil diese ganzen verträge erliegen arm kann auf einmal keine professoren mehr liefern also das hat alles erhebliche.
Linus Neumann
Jedenfalls wären wehrt sich das national cybersecurity center c gegen diese forderung, der usa, und sagt das risiko diese komponenten in fünf g netzen zu betreiben stufen wir als durchaus beherrscht bar ein ich würde sagen ihre argumente dafür sind wir haben das auch in den zwei drei vier letzten drin, so und wir erinnern uns aber auch dass großbritannien damals nämlich gesagt hat als es um diese diesen balkon king dass sie sagten so ja also, ende in unser korn kommen die nicht rein in unser unter keinen umständen niemals so und, wir haben natürlich damit verschwiegen dass der größere teil der kosten für den bau eines mobilfunknetze insbesondere wenn fünf g netz bauspar die zellen immer noch ein paar hundert meter weit reichen ist natürlich der aufbau von zellen, und quasi eine die peripherie infrastruktur und das kaufen sich die leute alle bei gerne bei waldi ein weil sie effektiv. Die dem bestes beste preis-leistungsverhältnis haben und sogar in einigen bereichen besonders in besonderen innovationen vorsprung haben. Ein mensch aus der branche sagte mir damals linus im moment ist einfach nur der wettkampf der wie viel sanktionen gegen sie verabschieden können und laut ankündigen können ohne irgendwas an der bisherigen praxis zu ändern und in großbritannien weil nirgendwo wow im chor und deswegen haben sie hat gesagt komm lass den orangen spinner mal dadurch befrieden dass wir jetzt möglichst laut sagen so vorbei kommt in unseren chor, ne das wäre so als würdest du jetzt irgendwie sagen so also hier in einem meter ebene kommt kein dell ne, unter keinen umständen kommt hier denn rein.
Tim Pritlove
Ich bin noch weitergehen einfach kein apple mehr im kühlschrank.
Linus Neumann
Bei dir zuhause kein apple mehr.
Tim Pritlove
Kein.
Linus Neumann
Kein kommt kein apple mehr ans kabel netz. Und genau so das heißt aber da schreibt unser geliebter erich möchel dann eben darüber das wird also jetzt. Natürlich betrachtet er mit freude das ist jetzt ein zwist in der pfeife eis spionage allianz gibt über diese frage der ja eigentlich von den usa behaupten nationalen sicherheit und, das wird kann man da genüsslich beobachten denn die das c argumentiert wenn wir nur von drei möglichen lieferanten ein sofort ausschließen dann haben wir natürlich auch mehr abhängigkeit von den zwei verbleibenden ne und das erhöht die preise das erhöht natürlich auch die die, den die anfälligkeit des wender mixes und so weiter also da werden wir sehen wie die sich weiter zoffen.
Tim Pritlove
Das ist auch ein interessantes beispiel wie man 's halt auch, in anführungsstrichen richtig machen kann weil sie halt nicht nur jetzt bei wave einfach produkte kaufen und die kommen dann in der amazon box und dann wird es in zweck geschraubt und fertig nein ihr habt da ganz weit gehende abkommen das war wir sogar den code präsentieren muss und da haben die sich dann auch mal schön durchgelesen alles sondern erstmal die ganzen die voll passwörter irgendwie aus dem brot raus fresst und einfach sozusagen den ganzen kram auf klassische programmierer fehler hin und sicherheitslücken untersucht und das nehme ich mal an auch wieder reporter und so weiter also in beide seitigen interesse sind solche maßnahmen und so kann man eben kooperativ eben auch wirklich aktiv für sicherheit sorgen anstatt jetzt einfach nur zu sagen da ist jetzt der falsche name auf plastik box außen dran machen wir nicht und jetzt war total sicher war das irgendwie keller.
Linus Neumann
Wir bleiben noch mal kurz bei den sanktionen denn auch eine meldung der der heutigen woche also auch eine meldung laut gelacht habe denn wird vorgeworfen möglicherweise us sanktionen gegen nordkorea unterlaufen zu haben ja wer sollte denn sonst wahrscheinlich hält sich aus china an an us sanktionen gegen nordkorea. Natürlich und zwar geht es darum ganz schlimm, also kurz hintergrund also es gibt verschiedene sanktionen der united nations und der eu. Wegen gegen nordkorea wegen menschenrechtsverletzungen und des dort betriebenen kern waffen programms und, aus diesem grunde gibt es für viele bereiche waffen luxusgüter seltene erden irgendwelche export restriktionen. Nach nordkorea und china, hat diese resolution in der vergangenheit immer mal ganz gerne als vorschlag interpretiert, warum macht china das naja also nordkorea ist relativ nah an china dran, china äh nennt sich offiziell glaube ich noch kommunismus nordkorea wahrscheinlich auch. Ja genau volksrepublik lupen reine demokratien effektiv aber china, kein interesse daran dass in nordkorea einen regimewechsel stattfindet der letztendlich dann den einfluss der usa in der region erhöhen würde und letztendlich auch zu einer militärischen bedrohung werden könnte kann sich natürlich vorstellen aus der, aus der bekannten politik der usa dass sie schon wert darauf legen relativ nah an ihren potenziellen gegnern. Sehr freundliche abhängigen verbündete zu haben und dort mal die ein oder andere rakete zu parken einfach nur um für ein kräfte gleichgewicht, zu sorgen zwischen der rechten hand der usa und der linken hand der usa. Und deswegen ist natürlich klar dass china als letztes sagen würde wir bauen jetzt nordkorea kein drei netz. Drei kinder nordkorea wer soll das denn sonst bauen also die haben wir alle sanktionen also es kann ja nur china bauen insofern naja also die die die dokumente des bezeugen soll wurden geliebt von einem mitarbeiter von geht um arbeitsverträge, verträge kalkulationen tabellen und angeblich gibt es da eine datenbank mit der sie die welt ihre weltweiten aktivitäten, koordinieren und in denen seien länder wie iran syrien nordkorea mit codes verschlüsselt worden und der code von nordkorea war an neun. Und dann hatten sie ein so 'n strom an unternehmen panda international information technology die dann irgendwie. Offenbar nordkorea dabei unterstützt haben sich im internet zu bauen und, hat dann eine stellungnahme veröffentlichen der sie sagen sie halten sich uneingeschränkt an die geltende gesetze und vorschriften in den ländern in denen sie tätig sind.
Tim Pritlove
Also wir konnten nichts feststellen was gegen den nordkoreanische gesetze wird stoßen hätte.
Linus Neumann
Und sie sagen aber nochmal sie schließen die export kontrolle und sanktionen gesetze sowie vorschriften der united nation usa und e u ein und dieses unternehmen panda was da offenbar eben der. Die arbeit erledigt hat statt jetzt für eine stellungnahme nicht zur verfügung ich finde das also ganz ehrlich ich meine netzwerke bauen sorry das habe ich irgendwie noch nie für schlechte behalten gefunden und wer also, ich sehe wenig anlass in nordkorea den bau von von internet infrastrukturen zu unterbinden. Auch wenn nordkorea auf jeden fall seine echos hat wird sicherlich kein schlechteres nordkorea weil die leute haben.
Tim Pritlove
Wahrscheinlich habe sowieso nur die führung skala telefon von daher ist es irgendwie.
Linus Neumann
Okay dass das stimmt ähm das mag sein aber ja also irgendjemand muss die sanktionen brechen china. Hat's gemacht skandal.
Tim Pritlove
Wissen wir machen wir das.
Linus Neumann
Genau das ist der eigentliche skandal ja warum hat hier warum haben wir denn nicht schöne was weiß ich siemens technologien geliefert letztendlich einfach zu ruinieren. Und eine schöne demokratie hin zu bauen das wäre dass wir das wäre cool gewesen zu sagen komm wir schicken euch ein paar leute von uns terrorisieren das gesamte land und dann dann baut ihr da einfach selber was eigenes schönes wieder auf und lasst euch das nicht von den amerikanern irgendwie diktieren raketen parkplatz oder sowas. Hacking von geheimdiensten hat tradition in in, usa und in deutschland weniger aber ein dienstleister, der russischen behörden unter anderem des vfb wurde gehackt soviel wie, siebeneinhalb terabyte an da hatten sollen daraus getragen worden sein. Keiner weiß wo die hin sind angeblich wurden teile davon im netz veröffentlicht und geben nun allerlei aufschluss über bestrebungen der russischen behörden und des russischen geheimdienste es mal schauen wie sich das noch weiterentwickelt und damit. Sind wir glaube ich durch mit den kurz meldungen und können noch ein termin ankündigen.
Tim Pritlove
Ja das ist nur einer kleiner feiner und ausnahmsweise auch mal wieder in eigener sache denn die nächste konferenz mit dem, trick reichen namen das ist nichts politik auszeichnen datum.
Linus Neumann
Ja das versuche ich gerade panisch zu finden.
Tim Pritlove
Panisch.
Linus Neumann
Wir haben es in der letzten sendung glaube ich angekündigt nein vorletzte schön ich scrolle mal hier durch.
Tim Pritlove
Aber auf jeden fall.
Linus Neumann
Vornherein machen dreizehnter september.
Tim Pritlove
Ihr wisst bescheid ihr wisst bescheid. September das ist ein freitag das quasi der auftakt wieder in so ein wildes berlin wochenende was er natürlich gerne mitnehmen, und für die ganze stadt in der volksbühne aber wir wollen gar nicht so sehr über diese veranstaltung reden weil das haben wir ja schon getan sondern nur darauf hinweisen dass wir am, ende dieses tages. Genaue uhrzeit wissen wir noch nicht aber wir werden mit dem logbuch auf dieser konferenz vertreten sein und im roten salon laden. Und wir freuen uns wenn ihr auf diese konferenz kommt und dann natürlich den weg in den roten salon findet um dort gemeinsam mit uns was auch immer in dieser woche aktuell wichtig und gallig ist nochmal revue passieren zu lassen und freuen uns natürlich auch danach auf geschützte hände und.
Linus Neumann
Party party party.
Tim Pritlove
Party und bierchen und also was alle.
Linus Neumann
Alles also die npd dieses das ist netz politik trotz des eigenwilligen namens eigentlich immer eine. Sehr schöne veranstaltung wie soll es auch anders sein wenn sie von der redaktion von netzwerk couragiert wird der gehört er natürlich davon ausgehen dass es dort ein. Ja cutting edge programm geben.
Tim Pritlove
Jetzt programm aber vor allem und das war ja glaube ich auch von anfang an dividende als die veranstaltung das erste mal stattgefunden hat und ja eigentlich so als geburtstagsparty erstmal gedacht war dass es sich wiederholen muss mit abstand die höchste dichte von allen leuten die in irgendeiner form weiteren sinne netz politisch let's politisch und überhaupt politisch auch, aktiv sind das heißt wenn ihr schon immer mal mit dem gedanken gespielt habt euch in diesem feld. Ein wenig mehr einzubringen oder etwas einzubringen habt dann solltet ihr ohnehin mal erwähnt hat vorbeizukommen naja und diesmal eben auch mit politik keine große gala ganz normale sendung vielleicht mit der ein oder anderen. Kalt oder so so jetzt drehst du schon wieder auf auf jeden fall mach mal und freuen uns wenn ihr da seid. Und tschüss sagt das hat und wir sagen tschüss und zwar jetzt.
Linus Neumann
Tschüss.
Tim Pritlove
Weil sie nur war lange noch.
Linus Neumann
Das ja weg jetzt.
Tim Pritlove
Danke danke sagen danke danke.
Linus Neumann
Danke danke lukas christian georg ihr seid spitze vielen dank tschüss jetzt hier tim aus kommen weg jetzt.
Tim Pritlove
Jawohl bis bald.

Shownotes

Feedback: Die H&M-Konfusion

Kasachstan in the middle

Advanced Persistent Threads

Österreich: SIM-swapping zur Strafverfolgung?

Facebook-Strafe

Huawei-Boykott

Sytech-Hack

Termine

13. September 2019: Logbuch:Netzpolitik bei “Das ist Netzpolitik!”

38 Gedanken zu „LNP309 Bin ich schon raus oder was?

  1. Ich glaube, dass Linus zu optimistisch ist, was die Möglichkeit angeht Code signing etc. für Office Makros auszurollen.

    Sicher: Technisch gibt es da Lösungen, aber aus der Praxis von Unternehmen, die ich kenne aus dem nicht-technischen Bereich fängt ein großer Teil der Excel-Macros ja damit an, dass man in der Fachabteilung eine Kleinigkeit will und nicht mit der IT-Abteilung interagieren will, da die so viele Fragen stellen und es so lange dauert. Statt dessen geht man zum Sohn eines Kollegen aus der Abteilung, der sich „ganz toll auskennt“ und der erstellt dann Makros auf einem System außerhalb der Zertifikatshoheit des Unternehmens und das ist so toll, dass das doch alle in der Abteilung nutzen und sich so daran gewöhnen jeden noch so umständlichen Hinweis weg zu klicken.

    Dazu kommt noch, dass solche Dinge oftmals zwischen Organisationen/Firmen hin und her geschickt werden („Ja, sowas können wir wohl machen, trag dich Mal deine Daten in das Makro ein, dann gibt es einen Entwurf“) und es da keine zentrale Zertifizierungsstelle mehr gibt.

    Und dann die Frage, wie viele Unternehmen überhaupt eine brauchbare IT-Abteilung haben, die sowas abfangen könnte.

    Jetzt könnte man hingehen und Makros (wie auch immer, keine Ahnung ob es da Systempolicies gibt oder Microsoft erst Mal drehen müsste) komplett abschalten.

    Was ist die Folge? (Erstmal, dass Microsoft die Position verliert – Excel runs the world. Wenn MS Makros einfach abschaltbar macht gibt es kaum noch einen Grund deren Software einzusetzen – aber ignorieren wir das) Die Folge ist, dass dies Tool in eine PHP (oder modern Node.js?) Skripterei auf irgendeinem Server läuft. Mit Glück läuft dies dann auf einem öffentlichen Server, dann bekommt der Angreifer zwar die Daten des Tools (Kundendaten?Abbildung interner Prozesse?) aber keinen direkten Sprung ins Firmennetz … aber die User sind identifizierbar, so dass ein gezielter Angriff über den Browser gefahren werden könnte …

    Ein weiterer denkbaren Ansatz wäre strikteres Sandboxing: So lange das Makro nur mit Daten im Dokument hantiert ist es weitestgehend fein. Für alles weitere braucht es dann weitergehende Erlaubnis. Mit Ja aScript I’m Browser haben wir ja inzwischen ein halbwegs funktionierendes Sandboxmodell. Probl: Legacy. Alles in Office geht über COM und wenn man da einmal drin ist …

    Ja, wäre schön, aber realistisch? – Sehe ich nicht. Nimmst Du Fachabteilungen ihr Excel und Macros weg, erntest Du kein Verständnis sondern massiven Protest und „kreative“ Lösungen („dann bringe ich halt den privaten Laptop mit und stecke da das Netzwerkkabel rein“)

    • Sehe ich ähnlich. Am Ende gingen Linus‘ Bemerkungen ja in diese Richtung.

      Solange Excel-Files mit Makros per unsignierter Email durch die Gegend geschickt und vom Empfänger geöffnet werden, müssen wir über Code-Signing nicht reden.
      Ist wie beim Firefox-Thema: im Zweifel wird auch die Warnung weggeklickt.

      Dein Sandboxing-Ansatz ist zwar ganz nett; leider werden Makros gerne auch mal dazu eingesetzt, Daten aus anderen Excel-Files zu laden.

      • Darum stellt der verantwortungsvolle Admin auch die Option ein, dass Makros aus nicht vertrauenswürdiger Quelle (Email z. B.) deaktiviert. Findige User merken dann bald, dass Copy/Paste den Schutz umgeht. Aber den Doppelklick-Dau kann man so einfangen! :-)

  2. https://support.office.com/en-us/article/Electronic-signatures-A0B14746-DA5D-4743-A909-7E9BE5911196#__toc262112911

    Seit *Office 2007* kann man Office-Dokumente digital signieren. Seit *Office 2010* kann ein Admin per group policy festsetzen, wie Makros in Dokumenten behandelt werden. https://gpsearch.azurewebsites.net/#6198 Mögliche Settings sind Never warn, disable all. und Warning for signed, disable unsigned. D.h. auch den Warning bar ausblenden und *immer* disablen.

    Ich will ja jetzt nicht victim bashing betreiben, aber leider besteht da ein Awareness bzw. Schulungsproblem und oft sieht man auch ein Executive Override der Form: Aber dann geht mein Business Intelligence/Datenbankabfrage/Formtextgenerator/Lieblings-Makro-Hack etc. nicht mehr. Und der Admin, der der Vertriebsabteilung den Vertriebs-Bonus-Plan-Rechner zerstört, der ist nicht mehr lange Admin.

    *seufz*
    H.

    • Die Betonung liegt auf KANN.
      Das Ergebnis ist, dass es NIRGENDWO angewendet wird.
      Solche Dinge müssen leider erzwunden werden, indem sie zum Standard gemacht werden.
      Siehe App Store & „vertrauenswürdige Quellen“

    • das Office Thema scheint die Geschäftswelt ja zu verfolgen und daher auch hier wieder aufzutauchen.

      Das Problem mit dem aktuellen Warnschild-Dialog ist, dass es keinen Lesemodus gibt, der grundlegende Funktionen mitbringt.
      Wenn ich, wie im Gespräch empfohlen, auf das kleine „x“ rechts im gelben Warndialog drücke, dann sind auch folgende Funktionen dekativiert:
      * Drucken (auch PDF)
      * Speichern
      * Zeiger in Zellen setzen (F2 in Excel)

      Diese Funktionen würden den meisten Nutzern in den meisten Fällen ja ausreichen.

      • Unsere Shownotes sind immer ein guter Anfang ;) Dass du auch Ergebnisse zum gleichbedeutenden Begriff findest, liegt daran dass sie synonym sind.

        In der Tat setzt sich die geschlechterneutrale Formulierung in der Tech-Community schon seit mehreren Jahren immer mehr durch.

  3. Hallo Linus & Tim,

    Ich würde gerne wissen wo ihr das mit machine-in-the-middle her habt.
    Ich hab versucht das nach zu googlen, fand aber nur Ergebnisse die es man-in-the-middle nannten.

    Muss ich jetzt vielleicht sogar differenzieren zwischen machine-in-the-middle und man-in-the-middle?

    • Unsere Shownotes sind immer ein guter Anfang ;) Dass du auch Ergebnisse zum gleichbedeutenden Begriff findest, liegt daran dass sie synonym sind.

      In der Tat setzt sich die geschlechterneutrale Formulierung in der Tech-Community schon seit mehreren Jahren immer mehr durch.

  4. Ihr erwähnt kurz am Rande 2FA und OTP. Habt ihr ggf. Empfehlungen für passende (iOS) Apps?
    Google Authenticator und FreeOTP sind, was UI und UX belangt, wirklich schrecklich. Keine Möglichkeit für Backups/Export, keine Suche, kein Tagging, eigene Sortierung oder sonstiges.

    Datenschutzfreundliche Alternativen mit o.g. Funktionalität sind mir leider noch nicht untergekommen. Von Authy hat es mir genügt, die Datensamme^W Daten“schutz“erklärung zu beginnen zu lesen…
    Am besten wäre natürlich noch, wenn die App keinen Subscription Zwang hat.

    Ansonsten Danke für die Sendung. Im Zusammenhand mit Authentifizierung über die Mobilnummer und Abschnitt davon bei Kündigung, hättet ihr super einen Hinweis auf „freenet Funk“ einbringen können, die ja ihren Kunden, die das Produkt auch nutzen, einfach kündigen. https://www.teltarif.de/freenet-funk-vielnutzer-kuendigung/news/77374.html

    • Fehlende eigene Sortierung stelle ich gerade fest, stimmt nicht. Bieten beide genannten Apps. Ändert aber nichts an der grundsätzlichen Kritik der Benutzbarkeit.

  5. Hi,
    danke für die Hinweise aus die CRE-Folgen zu GSM.
    @Tim
    Leider sind in Overcast und anderen Apps nur die Folgen ab 160 verfügbar. Lässt sich das ändern? Danke

  6. Moin,

    da dies mein erster Kommentar ist erstmal danke für den Podcast, er hat mir schon viele lange Stunden in der Bahn und dem Auto versüßt.

    Nun zum Feedback bzgl. MitM:
    Die Darstellung, welche ja in CCC Kreisen immer wieder geteilt wird, dass TLS-Interception eine „Unart“ wäre die in Unternehmen nur dazu benutzt wird Mitarbeiter auszuspähen und den ungewollten Transfer von Geschäftsgeheimnissen abzuwehren halte ich für vollkommen falsch.

    Als Pentester und Red-Teamer kann ich euch sagen das eigentlich alle größeren Infrastrukturen die ich kenne TLS-Interception dazu einsetzen IOCs (Indicators Off Compromise) im ausgehenden Traffic überhaupt detektieren und so einen Angreifer beim „nach hause telefonieren“ entdecken zu können.
    Natürlich ist das bei weitem nicht der einzige Weg für das Blue-Team einen Angreifer zu ertappen, ist jedoch ein integraler Bestandteil einer sog. Defense-in-Depth-Strategie bei der es darum geht an möglichst vielen Stellen Hürden für den Angreifer aufzubauen die er zu überspringen hat. Im Falle von TLS-Interception würde man ihn beispielsweise dazu zwingen seinen Command-and-Controll traffic zu obfuskieren – unterlässt er dies könnte es in einer schnellen Entdeckung auf Basis simpler Traffic-Pattern münden. Ohne die entsprechende Technologie sind sowohl manuelle als auch automatische Untersuchungen unmöglich.
    Dies gilt insbesondere dann, wenn der Traffic z.B. durch Domain-Fronting zu eigentlich vertrauenswürdigen zielen geleitet und hier dann umgelenkt wird. Hier wäre dann noch nicht mal mehr auf Basis von „ungewöhnlichem“ Traffic eine Anomalie festzustellen.

    Auch das oft angeführte Argument das TLS-Interception downgrades durchführen würde ist nur dann haltbar, wenn man den falschen Anbieter für das intercepten des Traffics wählt da es durchaus Lösungen gibt die auch mit aktuellsten Cipher-Suites arbeiten können.

    Letztlich sollte jetzt also besser niemand losrennen und WENIGER TLS-Interception in Unternehmen fordern. Im Gegenteil sollte es eher MEHR werden um eine Entdeckung von Angriffen am Perimeter überhaupt zu ermöglichen. Die Privatsphäre von Mitarbeitern kann durch Ausnahmen bei der Interception z.B. bei Webmail für das private lesen/versenden von Mails trotzdem gewahrt werden.

    Beste Grüße
    flux

    • Der Ansatz „TLS-Interception“ ist leider weitestgehend sinnlos, weil er darauf angewiesen ist, dass der Angreifer hinreichend inkompetent ist, noch nie etwas von Steganographie gehört zu haben. Und es geht natürich auch noch einfacher: Dank der überbordenden (und z.T. erzwungenen) Telemetrie in den meisten Softwareprodukten, die oft genug ihre Daten an irgendwelche häufig wechselnden Azure-, AWS- oder GCP-Instanzen schickt, wird eine zusätzliche Azure- oder AWS-Instanz eines Angreifers kaum auffallen.

      Hinzu kommt, dass die Appliances, die für TLS-Interception üblicherweise benutzt werden. seit Jahren immer wieder durch haarsträubende Sicherheitslücken auffallen – und je mehr Protokolle und Dateiformate so eine Appliance analysieren kann, desto größer ist natürlich auch die Angriffsfläche, die die Appliance selber bietet. Und so eine Appliance zu kompromittieren ist der Jackpot für jeden Angreifer: Die Appliance steht i.d.R. an einer privilegierten Position in der Netzwerktopologie, im Zweifelsfall hat der Eigentümer gar keine praktikable Möglichkeit, nachzuprüfen, ob die Appliance eventuell kompromittiert wurde, oder bei Verdacht die Appliance zuverlässig zurückzusetzen in einen „known-good“-Zustand. Dass man als Angreifer dazu dann auch noch ne CA kriegt, die nicht Certificate Transparency unterliegt, der jeder Rechner im anzugreifenden Unternehmen vertraut, und bei deren Zertifikaten die Browser üblicherweise sogar Certificate Pinning ignorieren, ist natürlich ne besonders leckere Kirsche auf dem Kuchen.

      Der bessere Ansatz ist, Systeme so einzurichten, dass

      1. Sicherheitsupdates nach Erscheinen immer zeitnah eingespielt werden,

      2. normale User möglichst gar keinen Schadcode ausführen können (unter Windows wäre ein Tool dafür z.B. „AppLocker“ – verfügbar in den Enterprise- und Server-Versionen ab Windows 7 bzw. Server 2008R2), und natürlich generell Zugriffsrechte auf das notwendige Minimum beschränkt werden,

      3. Netze und Systeme so konfiguriert werden, dass sie möglichst nicht auf die Vertrauenswürdigkeit irgendwelcher Netzwerksegmente angewiesen sind (natürlich sollte man Netze segmentieren um Angreifern das Leben möglichst schwer zu machen, aber man sollte sich nicht darauf verlassen, dass es schon kein Angreifer in das „sichere“ firmeninterne Netz schaffen wird),

      4. Nutzer regelmäßig geschult werden. Z.B. einfach mal einführen, dass 1% der User nach dem Zufallsprinzip 1x die Woche ne gut gemachte Spearphishing-Mail kriegt – wer die Mail erkennt und meldet, kriegt nen Hunni, und wer auf die Mail reinfällt, kriegt kein Shaming sondern halt noch intensivere Schulung.

      Der nächste Schritt wäre dann, alles so auszulegen, dass möglichst alle Systeme austauschbar sind, und genau das dann auch regelmäßig bei allen Systemen, bei denen es möglich ist, durchzuführen, d.h. das System (möglichst automatisiert) neu aufzusetzen. Systeme, bei denen das nicht möglich ist, sollten entsprechend nochmal zusätzlich in eigene abgeschottete Netzwerksegmente gesperrt werden.

      • Ein paar Punkte müsste ich hier nochmal ansprechen:

        Selbst wenn die Inhalte im HTTPS-Datenstrom nochmals obfuskiert oder verschlüsselt wurde ist für einen automatisierten oder menschlichen Analysten recht schnell klar, dass hier etwas nicht stimmen kann da Traffic innerhalb von TLS-Kanälen nur selten verschlüsselt wird (kommt vor, ist aber selten der Fall z.B. bei manchen Banking-Apps) und die obfukation selbst garantiert auch nicht wie üblicher traffic aussieht. Steganographie ist auf jeden Fall interessant aber eher für die exfiltration von Dateien geeignet, nicht für C2.

        Im Zusammenspiel mit anderen Auffälligkeiten kann hier also durch ein gutes Monitoring und die entsprechenden Menschen schon mal ein Incident generiert werden dem man dann nachgeht.
        Ein solcher Ansatz bietet zumindest die Möglichkeit einen C2 zu entdecken auch wenn der Traffic zu den üblichen AWS etc. Providern geht. Natürlich ist aber nichts sicher. Es ist eben nur ein Teil der Gesamtstrategie.

        Angreifer nutzen im Übrigen oft genug Standardsoftware wie die von euch angesprochen Winti Backdoor. Hier hat man tatsächlich nicht allzu schlechte Chancen sie auch zu erwischen. Wie du eben sinngemäß in der letzten Sendung sagtest: „Die Angreifer Kochen am Ende auch nur mit Wasser“.
        Die Chance das einem da einer ins Netz geht weil „Stangenmalware“ zum Einsatz kommt ist nicht gering und wird durch Traffic-Inspektion signifikant erhöht.

        Bezüglich der zusätzlichen Risiken die durch ein solches System entstehen hast du natürlich recht, aber letztlich hast du dieses Problem sobald du im Konzern eine CA aufsetzt und diese in allen Rechnern installierst. Sicherst du die CA nicht vernünftig ab war es das.

        Certificate Pinning ist soweit ich weiß in Browsern tot und fällt wieder raus. Transparency ist für Angreifer eine großartige Informationsquelle für vorhandene Applikationen, Webservices etc. da die Namen ja absichtlich der Öffentlichkeit zugänglich gemacht werden. Es ist als solches also auch diskutabel, wenn natürlich auch ein sinnvoller Ansatz.

        Zu deinen 5 Punkten:
        Sie sind alle korrekt und ebenso wie TLS-Interception Teil einer Gesamtstrategie. Jeder einzelne ist an und für sich aber nur eine weitere Hürde die ohne weiteres überwunden werden kann. So nutzen nicht mal ¼ aller APT Gruppen überhaupt Softwareschwachstellen sondern die üblichen Living-of-the-Land Mehtoden – sprich Windows Boardmittel wie Macros, Powershell, WMI, Windows-APIs, etc. Mit Patchen kommst man da also nicht weit.

        Selbiges gilt für Applocker das zwar eine Super-Sache ist, für das ich dir aber 50 Bypasses nennen kann von denen immer einer funktioniert.

        Netzwerk-Sep. ist gut, in einem Active-Directory Netz – und das sind nun mal die meisten – kannst du die wichtigen Ports aber nicht sperren. Wichtig ist hier schon der Ansatz des „Assumed Breach“ also davon auszugehen das der Angreifer ins Netz kommt – was wiederum der Grund ist warum man seinen C2 Traffic detektieren will.

        usw. usw….

        Wie gesagt: Am Ende müssen dem Eindringling so viele Dinge entgegen geworfen werden bis ihn eins an der Rübe trifft. Aus meiner Sicht gehört hier auch die TLS-Interception dazu

        • Steganographie ist trivial, funktioniert auch ohne TLS/HTTPS, und lässt sich problemlos so gestalten, dass sie automatisierten Tools nicht mehr auffallen wird – außer wenn das Tool so konfiguriert ist, dass es die IT-Abteilung den ganzen Tag mit False Positives zuschüttet, sodass eh nimmt mehr die Meldungen des Tools ernst nimmt.

          Deine Appliance triggert auf „übertragenes Datenvolumen“? Dann teile ich die Übertragung halt auf mehrere C2-Server auf, gerne auch bei unterschiedlichen Hostern oder in unterschiedlichen geographischen Regionen, und packe ggf. noch Kompression obendrauf.

          Deine Appliance triggert auf „unbekannte oder obskure Dateiformate“? Dann übertrage ich die Informationen halt als XML, JSON oder schlicht als PNG (z.B. als QR-Code oder schlicht die Payload als Farbwerte der Pixel).

          Deine Appliance versucht, PNG auszuwerten, und Steganographie (oder gar QR-Codes) im PNG zu erkennen? Sehr schön für mich als Angreifer, denn in libpng gibt es alle 6-12 Monate ne neue Sicherheitslücke, mit der man deine Appliance angreifen kann. Bonus: Weil diese Appliances alle keinerlei Sicherheitsmaßnahmen wie „ASLR“ oder „Stack Protector“ verwenden, kann man auch Lücken angreifen, die auf „normalen“ Rechnern nicht so einfach ausnutzbar wären. Und wenn ich nicht auf die nächste Lücke in libpng warten will (oder die letzte Lücke wider Erwarten schon in der Firmware gepatcht wurde, und diese Firmware wider Erwarten vom Admin auch schon eingespielt wurde), wende ich mich eben einfach anderen, ähnlich ergiebigen Zielen wie z.B. „unzip“, „JSON-Parser“ oder „XML-Parser“ zu. Wie, deine Appliance analysiert diese Datenströme alle nicht, um weniger Angriffsfläche zu bieten? Tja, dann kann ich jetzt ja endlich in Ruhe meinen C2-Traffic durchleiten…

          Damit wir uns richtig verstehen: Netzwerkmonitoring ist durchaus sinnvoll, aber es soll sich auf OSI-Layer 2-4 beschränken – alles darüber bringt überproportional mehr Angriffsfläche als potenziell zur Angriffsabwehr nützliche Informationen mit sich. Den Aufwand für TLS-MITM steckt man im Zweifelsfall besser in die Härtung der Konfiguration der zu schützenden Rechnern. Konkret z.B.:

          – nur die minimal nötigen Zugriffsrechte für alle Accounts,

          – getrennte Accounts für Admin- und Nicht-Admin-Aufgaben,

          – wo immer möglich, Telemetrie abschalten,

          – für Autoupdater möglichst firmeneigene Update-Mirror betreiben,

          – Generell dafür sorgen, dass die Baseline an Traffic, die der einzelne Rechner „von sich aus“ so produziert, 1. möglichst niedrig ist und 2. möglichst vollständig zu „wohldefinierten“ firmeneigenen Servern geht. Dadurch wird es leichter, ungewöhnliche Traffic-Muster zu erkennen, und zwar ganz ohne dass dafür irgendwelche halbseidenen Appliances mit „enterprise-grade“ (d.h. seit mindestens 3 Jahren veralteter) Software in den OSI-Layern 5-7 rumstochern müssen.

          Im nächsten Schritt kann man dann die Zugriffslogs dieser firmeneigenen Updateserver umso feinkörniger automatisiert auswerten, um frühzeitig zu erkennen, wenn jemand versucht, die Server aus dem Firmennetz anzugreifen.

          Netzwerksegmentierung in AD-Netzen: Doch, natürlich geht so was – aber das ist natürlich Arbeit, und erfordert im Zweifelsfall auch mehr Hardware und fachkundigeres (=teureres) Personal als ein vermeintlich einfacheres, unsichereres Setup.

          • Es ist – wie so oft – eben ein Dilemma. Fakt ist, dass ohne TLS-Interception selbst out-of-the-box Metasploit Traffic einfach so rausrutschen wird. Es ist ja letztlich die Gewissheit das TLS im Zweifelsfall aufgemacht wird die APT Gruppen zu solchen Handständen treibt in denen Sie dann mit E-Mails Befehle triggern.
            Müssten Sie nicht befürchten auf dem Weg durch den Perimeter geschnappt zu werden würden Sie ganz entspannt ihre Malware über Vector XY aufbringen, jede Stunde mal den C2 Server wechseln und tüchtig Jitter einbauen um nicht anhand von Peaks zu einem Ziel und sonstigen Korrelationen aufzufallen.

            Das angesprochene Problem des Traffic-Parsings ist natürlich völlig korrekt und mir auch nicht neu, die Konsequenz aus den genannten Gründen aber vollständig blind zu sein halte ich für zu krass.

            Wie gesagt ist Traffic Analyse (wie auch immer sie am Ende aussieht) natürlich nicht das Allheilmittel und nur ein kleiner Teil der von mir hier des Öfteren erwähnten Gesamtstrategie zu der auch die von dir genannten Punkte gehören.

            Netzwerksegmentierung in AD-Netzen: Vielleicht habe ich mich da unklar ausgedrückt. Natürlich kannst du eine Menge zumachen, für die Windows Anmeldung essentielle Ports aber nicht und diese reichen für lateral-movement mit administrativen Rechten oder den nächsten fancy MS17-010 Style Exploit, allemal. Ab dem ersten kompromittierten Server oder Admin ists eh vorbei da dann die volle Breitseite von WMI, WinRM & Co zur Verfügung steht. Ohnehin ist es ja die Frage ob der Angreifer überhaupt anstrebt sich großartig durch das Netz zu bewegen und dabei noch in irgendein Alerting zu rennen. Meist werden bei Spear-Phishing ja schon die Zielgruppen adressiert an die man heran will (Finance, Vorstand, etc.).

            Auch das Thema Separation ist aber nur einer der zahlreichen Bausteine der Strategie von denen ich mit dem TLS-Interception Thema ja nur einen einzigen angesprochen habe.

    • Die Privatsphäre von Mitarbeitern kann durch Ausnahmen bei der Interception z.B. bei Webmail für das private lesen/versenden von Mails trotzdem gewahrt werden.

      Genau deshalb macht man dann darüber sein Command&Control, wie zum Beispiel beim letzten Angriff auf die Bundesregierung ;)
      https://www.zeit.de/digital/datenschutz/2018-03/hackerangriff-bundesregierung-outlook-auswaertiges-amt

      Ich verstehe den Ansatz und habe ihn imho auch in vorherigen Folgen ausreichend gewürdigt.
      Ich weiss aber auch aus Erfahrung dass ein mittel begabter Teenager knapp 20min braucht um sein C2 so zu obfuscaten, dass jeder Web-Proxy das gemütlich durchlässt.

      Also steht doch am Ende die Frage, wie viel Angriffe das wirklich verhindern oder abmildern soll, und da sehe ich wenig bang for the buck.

      • Bzgl. Bundestag:
        Nach allem was ich weiß – das sind keine Insider Infos – wurde hier Malware über Macros in den Outlook Process injected und diese wiederrum durch den Inhalt von E-Mails die man an die entsprechende Outlook Instanz sendete von außen getriggert. Resultat war ein üblicher C2 Kanal über http(s). Outlook war hier also der „Schalter“, so wie man hier auch DNS und einen gesetzten TXT Record verwenden könnte, der Regelmäßig abgefragt wird und der letztlich nur „ON/OFF“ sagt.

        Mit den von mir angesprochen Ausnahmen für private Mitarbeiter-Kommunikation hat das nichts zu tun da die sich eher auf gmx, web, whatever bezog. Natürlich könnte auch dies als Kanal genutzt werden, aber erneut müsste der Angreifer hier erst mal herausfinden, dass es diese Ausnahmen gibt. Erneut erhöht man also seinen Aufwand.

        • Der Vollsätndigkeit halber eine Korrektur meiner selbst :-)

          Es geht natürlich um das Auswärtige Amt und nicht den Bundestag. Auch habe ich den Angriffe nicht korrekt dargestellt. AFAIK wurde hier eine malitiöse Outlook Regel per Macro installiert und diese dann per E-Mail getriggert. Diese wiederrum injizierte dann code in den Outlook Prozess welcher wiederrum den C2 aufbaute.

        • Natürlich könnte auch dies als Kanal genutzt werden, aber erneut müsste der Angreifer hier erst mal herausfinden, dass es diese Ausnahmen gibt.

          Das wäre eine Zeile libressl/libcurl.
          Übrigens macht man eher einen request zu einer Pornoseite, um zu sehen ob der DNS ehrlich ist und dabei weniger aufzufallen.

          • Muss eine Malware erst nach einem ungestörten Weg nach draußen suchen, sprich z.B. URL Kategorien wie Finance, Webmail u.ä. abklappern hat man eigentlich schon alles erreicht was man will: Der Angreifer macht Lärm und das gibt dem Monitoring die Chance ihn zu detektieren. Es ist nicht unüblich schon den Versuch solcher „Durchklingellei“ oder den Versuch auf allen 65k Ports nach außen zu kommen zu flagen. Mehr als eine weitere Hürde ist es nicht, dass hatte ich ja deutlich gemacht.

            Den Teil mit der Pornoseite und dem DNS verstehe ich nicht :-)
            Was ich meinte ist der übliche weg Malware per DNS zb alle 4-12h nach einem Record Fragen zu lassen und es über das Setzen des selbigen zu aktivieren. Kann, muss aber nicht, ein TXT record sein, geht natürlich auch mit A.

  7. Zur digitalen Infrastrukturen und Netzabdeckung in Kasachstan hättet ihr mal den Podcast „Auf Distanz goes Baikonur“ hören sollen.

  8. Hallo Linus, hallo Tim,

    danke für die, wie immer, aufschlussreiche Folge!

    In Bezug auf die MITM-„Attacken“ geht Linus freundlicher Weise auf die Deep Packet Inspection in Unternehmen ein, erläutert deren Nutzung zur Verhinderung von Leaks und bezeichnet diese dann als „Unart“. Zumindest habe ich das so verstanden… :)

    Zufälliger Weise arbeite ich in einem Unternehmen, das hochsensible (Kunden-)Daten verarbeitet. Vor einiger Zeit kam auch auf uns die Anforderung zu, das Risiko von Leaks durch Mitarbeiter zu vermindern. Die gesamte IT-Security hat hin und her überlegt und sich zum Schluss dazu durchgerungen, Data-Leakage u.A. durch eine Deep Packet Inspection zu betreiben. Sprich, auffällige Mails, Web-Uploads, etc. werden durch ein System herausgefiltert.

    Das Ergebnis war wiederum spannend: Trotz umfangreicher Awareness-Maßnahmen gibt es einen kleinen Teil von Mitarbeitenden, die offenbar unbelehrbar sind und sich sensibelste Daten an private E-Mail Adressen geschickt haben. Darüber hinaus gibt es immer wieder Consultants, die versuchen, geschäftskritische Daten aus dem Unternehmen zu schleusen.

    Das klassische Sperren von USB Ports oder ein Whitelisting von Websites helfen gegen diese Form von Innentätern nur bedingt, da besagte Nutzer i.d.R. Rechte missbraucht haben, die sie für die tägliche Arbeit zwingend benötigen, weil ein effektives Arbeiten sonst schlicht unmöglich wäre. Kurz: Die Vorfälle lagen nach meiner Einschätzung nicht an fehlenden weiteren Schutzmaßnahmen und wären ohne Deep Packet Inspection niemals aufgefallen.

    Dass Deep Packet Inspection eine Operation am offenen Herzen ist – und man daher sein OP Besteck sehr kennen muss – ist allen beteiligten klar. Die dabei entstehenden Risiken sind bekannt und wurden bewusst geringer gewichtet als ein potentielles Leak. Die Überwachung der Mitarbeitenden ist ebenfalls nicht gewünscht und wurde über eine Betriebsvereinbarung ausgeschlossen. Für Menschen, die während der Pausenzeiten privat surfen möchten, ist ein Gast-WLAN für private Geräte eingerichtet.

    Da Linus in einer vergangenen Folge bereits erwähnt hat, dass Deep Packet Inspection aus seiner Sicht in Einzelfällen (schlimmstenfalls) gerechtfertigt ist, wäre meine Frage: War der Begriff „Unart“ in diesem Fall eine ggf. zu weit gefasste Verallgemeinerung? Oder gibt es Maßnahmen gegen Leaks, die weniger starke eingriffe Erfordern und in einer Organisation mit mehreren tausend Mitarbeitenden ähnliche Erfolge versprechen?

    • Meine Meinung zu DPI habe ich oben ja kundgetan – wenn auch eher aus anderen Gründen wie die die du aus deinem Unternehmen kennst.
      Wegen deiner Frage zu anderen Maßnahmen:
      Was mir im Bezug auf DLP immer recht sinnvoll vorkam ist dateibasierte Verschlüsselung auf Basis von Agenten auf den End-Points. Für die Mitarbeiter ist dies – bei entsprechend simplem Regelwerk – erstmal transparent, wird eine Datei aber nach außen gesendet kann man sie ohne das entsprechende Schlüsselmaterial abseits des Unternehmens-Clients nicht öffnen.
      Schwiewrig wirds natürlich wenn ein gewünschter Austausch mit externen Entitäten erfolgen soll, hier muss dann die verschlüsselung entsprechend (automatisiert) z.B. am E-Mail Gateway entfernt werden.

      Und jaja, wenn es jemand drauf anlegt und den Screen abknippst, oder ein Angreifer im SYSTEM Kontext Zugriff auf ein Endsystem hat ist es natürlich vorbei mit der Verschlüsselung.

  9. Ich habe sie Kommentare jetzt nur nach Korea durchsucht, Ohne die Diskussion gelesen zu haben, möchte jedoch zu dem Mobilfunknetz etwas beitragen.

    Seit ich vor zwei Jahren in Süd Korea war, verfolge ich die Situation etwas und höre u. A. Dem Podcast der amerikanischen Korea society und eben diese haben erst vor kurzen einem Podcast veröffentlicht in dem es zu großen Teilen um das 3G Netz geht. Auf das landesinterne Netz hat auch die breite Bevölkerung Zugriff und es hat auch zum Aufbau von kleinen Privatunternehmen beigetragen, da Telefonminuten wie eine Währung zum Kauf und Tausch verwendet werden.
    https://www.koreasociety.org/policy-and-corporate-programs/item/1295-marketization-and-north-korea

  10. während des gesamten Beitrages über Kasachstan denk ich mir „und was ist mit Chrome, Safari, Opera, etc…?“
    Schade, daß Linus die diesbezgl. Nachfrage von Tim ignoriert hat.

  11. Hallo,
    könnte man nicht den SIM2 slot in seinem Schmartphone für eine Secure Storage SIM/Smart Card verwenden? Diese SIM sollte dann verwended werden um 2-factor authentifizierung / Nummerngenerator informationen zu speichern.
    War nur so eine Idee die mir beim hören kam.

Schreibe einen Kommentar zu Tim Pritlove Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.