Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP416 Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinität

Feedback — Assange — log4j — NSO-Exploit — Klarnamenpflicht & Telegram — Cyberbunker-Urteil — Digital Services Act / Digital Markets Act — EMS-Leak — ID Wallet

Die letzte Woche wurde die digitale Welt von einer neuen Sicherheitsschwankung erfasst, die noch lange anhalten dürfte: wir besprechen ausführlich, welche Auswirkungen ein fehlgeleitetes "Feature" in der Java-Logging-Bibliothek log4j nach sich ziehen wird und was man künftig dafür tun kann, solche Desaster zu vermeiden. Dazu viel Feedback, eine erste Analyse der Exploittechniken von NSO, das Cyberbunker-Urteil, neues zu DSA und DMA und noch ein paar Possen aus Österreich und Deutschland.

https://logbuch-netzpolitik.de/lnp416-zusammenrottung-aus-dem-kreise-der-politischen-gegner-mit-hacking-affinitaet
Veröffentlicht am: 20. Dezember 2021
Dauer: 2:36:56


Kapitel

  1. Intro 00:00:00.000
  2. Prolog 00:00:29.525
  3. HTTP Status 416 00:01:05.835
  4. Hausmeisterei 00:02:29.693
  5. Feedback: Finfisher Umstrukturierung 00:06:10.157
  6. Feedback: Messenger-Interoperabilität 00:08:23.888
  7. Feedback: Dokumentierter Kindesmissbrauch weiterhin online 00:21:06.297
  8. Assange 00:23:33.382
  9. log4j 00:28:17.282
  10. NSO-Exploit 01:12:44.548
  11. Klarnamenpflicht-Diskussion & Telegram-Showdown 01:34:32.486
  12. Cyberbunker-Urteil 01:47:54.953
  13. Digital Services Act / Digital Markets Act 01:58:42.369
  14. EMS-Leak 02:03:34.761
  15. ID-Wallet IFG-Anfrage 02:13:00.641
  16. Epilog 02:34:17.755

Transkript

Tim Pritlove
0:00:00
Linus Neumann
0:00:00
Tim Pritlove
0:00:03
Linus Neumann
0:00:06
Tim Pritlove
0:00:29
Linus Neumann
0:00:43
Tim Pritlove
0:01:01
Linus Neumann
0:01:06
Tim Pritlove
0:01:09
Linus Neumann
0:01:29
Tim Pritlove
0:01:31
Linus Neumann
0:02:28
Tim Pritlove
0:03:07

Das bitte melde dich Syndrom. Das kenne ich ja auch, nachdem wir unsere Spendengeschichte jetzt nochmal am Umstellen müssen, ist immer eine gute Gelegenheit, da nochmal so einen genaueren Blick drauf zu werfen. Also vielen, vielen Dank, An alle, weil das hat, wieder sagenhaft gut funktioniert, muss man sagen. Also bin wirklich äh mächtig beeindruckt. Habe ich natürlich nochmal so ein bisschen geschaut, also ich habe da schon so ein paar Kandidaten, die ähm. So gut gemeinte Sachen machen wie so zehn Cent Spenden. Ja ich bin ein großer Freund des Micropayment. Das Problem ist nur, die Banken nicht. Und früher war das echt mal anders so, ne, als noch Zinsen gab und so immer noch irgendwie, Geld anlegen konnte und Sparbücher und so ne Sachen, das klingt ja heute schon wirklich wie ein Bericht aus der Steinzeit Und mittlerweile äh ist das ja sogar äh äh so schlimm, dass wenn man irgendwie zu viel Geld hat, dass dann ähm die Bank dann sogar noch Geld dafür nimmt. Aber vor allem nehmen sie halt jetzt ganz gerne Gebühren, wie das ja so im Internet überall äh der Fall ist. Und so bei zehn Cent spenden, spendet man halt einfach der Bank. Also das ist sozusagen solche Beträge zu versenden. Macht keinen Sinn. Wenn ihr nur wenig zu geben habt. Kein Problem. Ja ich fordere überhaupt nix ein, aber äh wenn ihr sozusagen irgendwie so unter zwei Euro oder vielleicht besser sogar unter fünf Euro seid, so macht das Vierteljährlich, macht das halbjährlich, macht es jährlich mir egal. Aber so äh gewinnt einfach nur die Bank und das ist ähm für niemanden gut, weil ich glaube, so die Banken brauchen's jetzt grad nicht so dringend. Also, weil die werden ja im Zweifelsfall ja vom Staat rausgekauft auf unsere Kosten.

Linus Neumann
0:04:58
Tim Pritlove
0:05:04
Linus Neumann
0:06:10
Tim Pritlove
0:07:37
Linus Neumann
0:07:41
Tim Pritlove
0:07:48
Linus Neumann
0:07:57
Tim Pritlove
0:08:02
Linus Neumann
0:08:07
Tim Pritlove
0:08:08
Linus Neumann
0:08:13
Tim Pritlove
0:08:52
Linus Neumann
0:08:53
Tim Pritlove
0:08:59
Linus Neumann
0:09:07
Tim Pritlove
0:09:10
Linus Neumann
0:09:45
Tim Pritlove
0:10:40

Ich sehe da ehrlich gesagt das Problem nicht, zumindest nicht im Vergleich zum von mir ohnehin als kaputt empfindenden Status Quo. Beim, aktuellen Szenario mit einer zentralen Anbieterin, Vertrauen alle derselben Zentralstelle doch bitte den korrekten Initialkie zu vermitteln. Jede Nutzerin vertraut also ihrer Anbieterin. In diesem Fall haben beide die gleiche Anbieterin. Wenn wir jetzt in ein Szenario wechseln, bei den Nutzerinnen jeweils verschiedene Anbieterinnen haben, die aber jeweils wechselseitig direkt miteinander kommunizieren, vertraut immer noch jede Nutzerin ihrer Anbieterin und zwar wird jeweils darauf vertraut, dass der eigene Key korrekt an die Chatpartnerin übermittelt wird sowie der übermittelte Key der Partnerin korrekt zurückgegeben wird. Beide Anbieterinnen, haben sich für die Server to Server Kommunikation ohnehin ein vertrauenswürdigen Kanal ausgehandelt. Konkret TLS Zerz. Solange also wieder jede Nutzerin der eigenen Anbieterin vertraut und dieses Vertrauen berechtigt ist, funktioniert alles gleichartig gut. Was aber, wenn das Vertrauen in einem Fall nicht berechtigt ist? Auch das ist kein, nur bei verteilten Messaging, Auftreten des Szenario, denn schließlich kann es auch sein, dass dieselbe zentrale Anbieterin ihre Kundinnen unterschiedlich behandelt, einem der beiden also einen falschen Key gibt. Letztendlich kommen wir in meiner Meinung auch schon jetzt nicht um irgendeine Art des zusätzlichen Vertrauensankers aus. Gute Kompromisse sind etwa, Beforefication oder die Kombination von Kreuzsignaturen und gegenseitiger Verifikation über Emojis, Matrix Punkt ORG Umfeld.

Linus Neumann
0:12:23

Letztendlich, sagt Trolli hier, okay, die meisten Messenger arbeiten heute mit Tofu, also trust on first use. Beim ersten Mal wo du eine Kommunikation herstellst ne, Kontakt oder überhaupt kommunizierst, vertraut einfach jede Partei, dem Schlüsselpaar, was sie von der anderen bekommen hat und die, Überlegung von Tofu ist zu sagen, na ja, wir sparen uns den Heckmeck beim ersten Mal die Schlüssel auf einem anderen Kanal auszutauschen, weil wir jetzt mal annehmen, dass bevor wir jemals kommuniziert haben, noch niemand da ist, die, die Kommunikation abhören will, Ja? Ähm und dann bleiben wir einfach bei dem Schlüssel und gucken, ob der sich äh also den speichern wir bei uns und gucken, dass der weiter verwendet wird und wenn davon eine Abweichung stattfindet. Dann ähm machen wir diese Warnungen, ja? Wo ja dann auch jetzt immer festgestellt wird, dass die Warnungen natürlich viel öfter, Daher rühren, dass jemand sein Telefon verloren hat und ein neues hat, als dass sie jetzt tatsächlich äh auf aufgrund eines Angriffs kommen. So und diesen Schlüssel, Integritätssicherheitsmechanismus, Verteidigung gegen MITM würde natürlich auch über Anbieterinnen, Grenzen hinweg funktionieren, Ja? Und äh da hat er einfach einen Punkt. Ja, das ist äh grundsätzlich erstmal klar. Man könnte also auf diesem Wege hat er Recht, sagen so wir, haben, Föderation. Wir können aber, wir haben vorher mussten wir nur einer Anbieterin vertrauen, in diesem Falle zwei, aber da wir sowieso beidseitig verifizieren, ändert sich eigentlich unterm Strich nicht wirklich etwas. Hat er einen Punkt. Ähm nur und jetzt kommt der letzte Schluss ist, wir brauchen also auch nicht, wir kommen nicht drum herum irgendeine Art zusätzlichen Vertrauensanker zu haben. Und da geht's dann eben um Kreuzignaturen ja würde ich jetzt nicht nicht tiefer reingehen, sondern nochmal ein bisschen äh zu, Martin kommen.

Tim Pritlove
0:14:29

Genau und Martin schreibt, Das, was man bei der Messenger interobbarilität letztlich haben will, ist eine Föderation zwischen den unterschiedlichen Messaging-Anbietern. Das heißt, nutze auf einem Server müssen reibungslos mit Nutzern auf anderen Servern kommunizieren können Standards für föderierte Kommunikation gibt es bereits. Die beiden Großen sind XM, PP und Matrix. Bei Matrix werden Nutzer derzeit ähnlich wie bei E-Mail, per global adressierbaren Benutzernamen, Doppelpunkt Server adressiert, wodurch man Nutzer auf anderen Servern erreichen kann. Es wurden dort bereits alle Probleme bezüglich Schlüsselaustausch, Gruppenchats, Zugriffskontrollen et cetera, serverübergreifend gelöst. Beim Matrix kommt das gleiche Double Radget Verschlüsselungsprotokoll zum Einsatz, Von Single stammt und zum Beispiel auch bei WhatsApp eingesetzt wird. Der Schlüsselaustausch wird bei Matrix Mittel Tofu, Trust und First use, beziehungsweise mit einer optionalen, manuellen Verifizierung zwischen den Endgeräten gelöst. Man müsste schauen, inwiefern das bestehende Schlüsselmaterial der Anbieter weiter genutzt werden könnte oder auf den Endgeräten separate Kies für den Austausch anderen Anbietern per Matrix angelegt werden müssten. Wenn alle Messaging-Anbieter das Server to Serverprotokoll von Matrix implementieren würden, könnte man wahrscheinlich einen Großteil, der von euch angesprochenen Probleme lösen. Bei XMP besteht das Problem, dass Gruppenchats, einem zentralen Server gehostet werden. Sind somit nicht unabhängig vom jeweiligen Anbieter. Gruppenchats bei Matrix dagegen sind echt dezentral, das heißt sie sind nicht servergebunden und funktionieren auch, wenn der erstellende Server nicht mehr mitspielt, Zu Matrix gibt es eine offene Spezifikation. Die von einer nicht gewinnorientierten Stiftung verwaltet wird, aus diesen Gründen kommt es inzwischen bereits in diversen deutschen und französischen Behörden im Gesundheitswesen und gar bei der Bundeswehr zum Einsatz. Bleibt die Gretchenfrage, welches genaue Features hätte man als Minimalkonsens für eine Messenger, Föderation voraussetzen will. Es bräuchte wohl ein zentrales Gremium, welches darüber entscheidet.

Linus Neumann
0:16:32
Tim Pritlove
0:17:46
Linus Neumann
0:17:48
Tim Pritlove
0:18:18
Linus Neumann
0:19:36
Tim Pritlove
0:19:42
Linus Neumann
0:19:45
Tim Pritlove
0:19:48
Linus Neumann
0:19:51
Tim Pritlove
0:19:54
Linus Neumann
0:20:09
Tim Pritlove
0:20:22
Linus Neumann
0:21:06
Tim Pritlove
0:21:51
Linus Neumann
0:21:58
Tim Pritlove
0:22:04
Linus Neumann
0:22:16
Tim Pritlove
0:22:45
Linus Neumann
0:23:05

Ja, ist richtig. Also mir bleibt es weiterhin unverständlich, ähm warum man diese Materialien online gelassen hat, weil ähm offensichtlich hier nichts, also keine keine sinnvoll erkennbare Strategie da ist. Ähm die sage ich mal sich mit den. Ja Selbstverständnis und Zielen der polizeilichen Strafverfolgung und Gefahrenabwehr in Verbindung bringen lassen würden. Dann hatten wir schon über den Assange Fall gesprochen. Im ähm in der letzten Sendung, das jetzt äh quasi wieder in die Richtung steht, dass eine Auslieferung an die USA wahrscheinlicher ist. Ähm. Es ist weiterhin krass, wie wenig äh Aufmerksamkeit und Aufschreit dieses Thema bekommt. Weil wir ja nicht vergessen dürfen, dass es hier am Ende um eine journalistische Tätigkeit geht in der Veröffentlichung und Auswertung. Dieser Dokumente und das ist ja ein gefährlicher Präzedenzfall ähm entstehen kann. Da gibt es auch entsprechend strenge Kommentare, von denen wir noch ein paar äh in den. Shownotes haben und dann gibt's noch die sehr, üble Geschichte, dass er offenbar auch einen äh Schlaganfall erlitten hat in der Gefangenschaft in dem Bellmarsch, indem er ja jetzt ja auch schon wieder seit weiß ich nicht wie viel Jahren ist zwei Jahre oder was ähm im Kampf gegen seine Auslieferung. Auch wieder dran erinnern muss normalerweise wenn du auf deine Auslieferung wartest. Sitze nicht unbedingt in im Hochsicherheitsgefängnis äh Belmarsch, ne? Also wir haben's hier wirklich mit einem sehr äh schwerwiegenden. Äh Fall zu tun und das wäre äh es ist irgendwie erstaunlich weiterhin, dass die Medien sich da so zurückhalten, weißt du, das verstehe ich irgendwie nicht. Also ich verstehe es wirklich nicht.

Tim Pritlove
0:25:17
Linus Neumann
0:26:26

Also Nils Melzer, der so einer äh Beauftragte für, was heißt denn Folter oder Menschenrechte? Ich weiß gar nicht genau, was ein offizieller Titel ist. Hm der sagt ja auch, dass er anfangs. Ähm als er sich dem Fall näherte auch so dachte so komische Figur äh wer weiß und so äh, und ähm dann sich ihm die Augen immer mehr geöffnet haben, also, da scheint es schon so dieses ah okay Assange Schmuddelknabe äh hier mit der die Sache in Schweden ist irgendwie unklar und dann auch noch diese Trump-Nähe und so und er irgendwie. Auf den ersten Blick äh ist das klingt das jetzt nicht nach äh dem dem besten Kampf für die Freiheit, den der Typ da gerade äh in letzter Zeit geführt hat, Ähm aber das sind eben erstens äh andere Dinge und äh und ähm, andere Themen als die, für die ihr da nämlich gerade verfolgt wird und diese Trennung äh auch einfach im ganz ungeachtet, der anderen äh ähm vergehen darf, weil wir mal wirklich jetzt gar nicht beachten, ja? Muss man die natürlich trotzdem trennen, für was wird der am Ende verurteilt, ja? Und äh wenn man jetzt der Ansicht wäre, was weiß ich, äh diese Sache in Schweden ist irgendwie klar und ähm weil ein Trump-Supporter ist, wollen wir den eh nicht mehr haben. Da müsste man sich eben trotzdem noch anschauen, für was wird der denn gerade verurteilt, ja oder für was sollte denn gerade ausgeliefert werden und was schaffen wir uns hier für eine Präzedenz? Und diese ähm und diesen Transfer, der gelingt offenbar nicht in der Breite.

Tim Pritlove
0:28:06
Linus Neumann
0:28:17
Tim Pritlove
0:28:58
Linus Neumann
0:29:03
Tim Pritlove
0:29:05

Genau. Ist von so ein paar Leuten äh entwickelt worden, ist dann irgendwann, weil's von vielen verwendet wurde zu dieser Apache äh Foundation gewechselt, wie das so viele solche Bibliotheken tun mit dem Ziel da Konsens orientiert dran weiterzuarbeiten, damit so diese Software, die von vielen genutzt wird, auch in irgendeiner Form am Leben bleibt. Aber das heißt nicht, dass das nicht auch. Fehler enthalten kann, die dann irgendwann mal äh gefunden werden. Vielleicht hat man ja erstmal kurz auch weil wir ja hier das Logbuch sind, ne? Sollte man vielleicht mal kurz sagen, Was ist eigentlich Logging? So, ich meine, wir loggen ja hier die Nachrichten. So, deswegen heißt es Logbuch. Ne, im übertragen aus diesem, Begriff. Das Buch, in dem man so alle Vorfälle einträgt und genau das ist so ein bisschen ja sowohl die Idee bei diesem Podcast als eben auch beim Loggen und Loggen ist halt einfach wichtig in der Softwareentwicklung. Aus verschiedensten Gründen, also manchmal mag das eben die Aufgabe der Software, die man schreibt, selber sein, ähm aber meistens ist es eben so, dass man damit dem die Fortschritte, Software, während sie so ihre Arbeit äh verrichtet, so in einem definierten Format an eine Stelle reinschreibt, damit man einerseits so ein bisschen zuschauen kann, ja, man kann dann dieses Locken geschrieben werden. Kann man sich über den Bildschirm laufen lassen und guckt so, ah okay, alles klar, hier ist eine Anfrage reingekommen, da ist eine Datei geöffnet worden, da ist eine Datenbank auf- und zugemacht worden und so weiter. Was auch immer es ist, was diese Software tut, steht dann da in irgendeiner in irgendeinem Grad der Ausführlichkeit mit drin, aber eben auch Fehlermeldungen ähm oder eben Panik-Attacken, die das System hat, weil irgendwas ganz Grundlegendes weg ist, kein Internet mehr da irgendwie alle Festplatten sind weg, äh großes Drama und üblicherweise werden solche Einträge dann auch in unterschiedlichen Warnstufen unterschieden, also von leichten Hinweisen, dass irgendwas getan wurde, ganz normal bis hin zu hm ja das habe ich jetzt mal irgendwie hinbekommen, aber es was weiß ich, es hat nicht so schnell funktioniert, wie ich das gewohnt bin, so Warnung, guckt mal, vielleicht ist da irgendwas falsch, bis hinzu hat nicht geklappt, die Festplatte war voll, konnte ich nicht wegschreiben, Fehler bis hin zu eben so totalen äh Paniksituationen, wie es eben schon angedeutet habe und man benutzt für diesen Vorgang, weil das halt jeder irgendwie braucht, auch gerne Bibliotheken und greift natürlich zu irgendetwas, was im Open Source-Bereich so really Avaleble ist, typischerweise in der eigenen Programmiersprache.

Linus Neumann
0:31:43

Da würde ich aber jetzt gerne kurz einhaken, weil tatsächlich ist das so verbreitet nicht, dass man äh sich ähm seine eigenen Login Bibliotheken baut im im Javabereich schon, weil was müssen wir einen kleinen Schritt zurückgehen, was du nämlich gerade schilderst, ist Also besonders spannend wird dieses Login, weil es ein du hast ein Format. Du definierst dir im Prinzip als Applikation so dein eigenes Format. Üblicherweise fängst du vielleicht mit einem Datum an, ja? Mit der Datum-Uhrzeit und sagst dann, was ist hier vorgefallen? Ja und besonders interessant wird das dann. Nämlich nicht nur bei einer Applikation, die lockt dann, was weiß ich hier, ich wurde gestartet oder so, aber besonderen Wert bekommt das halt bei Servern. Zum Beispiel wenn, euer Podcast Client, den äh Metaebene Server zugreift, um dort eine Folge LogBuch Netzpolitik runterzuholen, dann schickt als erstes ein äh Getrickfest an den RSS-Feed, stehen dann, ne, da kommt dann eine Datei zurück mit, mit den aktuellen Episoden und wenn da was Neues bei ist, dann schickt ihr ein Gatrik-Fest für zum Beispiel eine Audiodatei. Ja? Und der metaelbene Server, ich weiß jetzt nicht, ob er's macht, aber der könnte und wird wahrscheinlich dann jeweils einen Lockeintrag schreiben. Wie Uhrzeit folgendes ist vorgefallen, Und für diese Art Lock, was der sich schreibt, gibt's aber jetzt nicht notwendigerweise ein standardisiertes Format. Wie der das speichert, was weiß ich zum Beispiel, in welchem Format das Datum, welche Sachen überhaupt gelockt werden ähm das konfiguriert man eben in dem Webserver. Und, genauso wenn jetzt deine eine Webation läuft, dann wäre halt die Frage, was lockt die überhaupt? Und eine der großen Probleme ähm ist oder eine der großen Herausforderungen, die man natürlich auch durch wahrscheinlich, ein bisschen begegnen wollte. Ist halt eine eine Vereinfachung und auch eine Vereinheitlichung zu finden. Zum Beispiel kannst du in wenn ich das richtig verstanden habe, auch mal mehrere Zeilen locken. Nicht nur also jetzt das klassische Unix Ding ist ja, schreibst halt nach Standard Error, landet im ne oder schreibst nach Standard Out oder sonst was ähm. Die haben sich quasi schon eine etwas schönere, vereinheitlichtere Möglichkeit geschaffen, ähm Loks zu aggregieren und dann da eben paar nette Tools reingebaut, sodass du im Prinzip nämlich dann nicht jedes Mal, wenn du eine Applikation schreibst, sagst, okay, wir werfen das jetzt nach, Error oder sonst was raus, ja? Oder wir machen einen Lockfall auf, sondern du sagst einfach, hier, Äh äh ich mache ich mache eine Instanz von und jedes Mal, wenn ich was mache, habe ich eine Funktion und sage einfach Lockfolgendes, ja? Und dann den Rest, dass das ordentliche Format hat und so weiter, da kümmert sich dann dieses drum. Und spannend wird das dann, wenn du nämlich jetzt zum Beispiel Forensik machst, ja? Wie ich ja äh gerne manchmal muss. Dass du dann halt ein Lock hast von mir ist von dem Datenbank-Server und ein Lock von dem, Webserver und ein Lock von dem Mailserver. Die haben aber irgendwelche völlig unterschiedlichen Formate und die werden auch nicht an einer Stelle aggregiert und dann ist das alles ein großes Tohuwabohu. Dass du die Kiste nicht mehr vereinheitlich, dann läuft der eine Scheißserver in einer anderen Zeit, weil der läuft in UTC, den anderen hat einer irgendwann mal beim Setup in GMT plus eins gesetzt und hier der lockt in dem Datumsformat, der in dem anderen, du wirst wahnsinnig die Sachen zu aggregieren, ja? Und dafür, quasi diese Idee, machen wir mal Lok vor Jay ähm, auf jeden Fall keine schlechte. Ja und jetzt kommt der in meinen Augen entscheidende Punkt, weißt, Also als ich diese Sicherheitslücke äh zum ersten Mal geschildert bekommen habe äh oder also mir durchgelesen habe, habe ich gesagt, das ist ja keine Sicherheitslücke, weil, was die da gebaut haben, das ist ja in herent unsicher. Also ist eine eine Funktionalität, die einen Locker in meinen Augen niemals hätte haben dürfen. Zwar haben die sich gesagt, wir möchten, dass eventuell die lockende Instanz, ja, also, Programmteil, der das empfängt ähm darin noch Änderungen vornehmen kann. Ja und ich nehme mal ein Beispiel für eine solche Änderung. Man könnte zum Beispiel sagen, okay unser. Webserver, der lockt erstmal nur die IP-Adresse. Ja, der von demjenigen oder derjenigen, die zugreift. Und dann gibt er die dem Lockserver. Und der Lockserver soll aber jetzt zum Beispiel nochmal sagen, ach okay, da gibt's eine IP-Adresse. Ich gucke mal, ob die ein Reverse äh DNS-Eintrag hat. Ja, also einen Pointer Record, wo man einfach sagt, gibt es die irgendwo noch, registriert, dass sie dass sie mir dass sie mir eine Domain dazu sagt, zum Beispiel dass man dann irgendwie sieht ah okay, das ist ein, oder sonst was, ne? Also ich mache noch einen weiteren Lookup zu dem, was mir. Der loggene Applikationszeit oder die Loggen der Applikation rüberwirft. Und das ja erstmal keine schlechte Funktion. So sowas zu machen. Nur. Die haben sich das so gebaut, dass quasi die gelockte Applikation dem lockenden Teil. Einen Befehl geben kann und dieser Befehl kann sein geh mal bitte an diese Stelle, lad dir ein Stück Javacode runter und führ das aus. Um, weiter damit umzugehen, weil Java äh das das ihn auf flexible Nachladen von äh Codeteilen halt ähm grundsätzlich unterstützt und so Java Software funktioniert und so kann's dann irgendwie sagen, okay, hol dir mal bitte hier diesen Code an dieser Stelle und führe den mal aus. Und ich glaube ehrlich gesagt, dass das also das hätte man nie machen dürfen. Also niemals. Es ist völlig klar, weil hier ähm, die das loggende, also es ginge ja also nicht nur dadurch, dass jetzt hier ausführbaren Code gibt und so, ne, aber dass ja auch eine potenzielle Vergiftung deiner Lockfiles, wenn die lockende Instanz dir noch irgendwelche Befehle dazugeben kann. Ja Anpassungen von mir aus, aber das muss ja der Logger entscheiden und nicht der gelockte, ja? Insofern verstehe ich überhaupt nicht, wie man auf diese Idee kommen konnte. Also mir ist völlig unklar, warum man das macht ja? Auf diese Weise, dass halt die loggende Instant sagt, hier ist ein Befehl. Da kommt nämlich ein sehr großes Problem hinzu, was bei den meisten IT-Sicherheitslücken eine Rolle spielt oder bei vielen, insbesondere im Webbereich und das ist das Escaping, weil man sich ja irgendwelche Kontrollcharaktere äh Charakters baut, also Kontroll ähm äh Zeichen, wo man sagt, aha pass auf in diesem Fall zum Beispiel, wenn dann Dollar und eine geschweifte Klammer kommt, dann für das, was da drin steht mal bitte aus. Ja und jetzt kommt, warum diese Sicherheitslücke so krass ist. Ich brauche also nur irgendeine Applikation, die verwendet und diese Funktionalität aktiviert hat. Und ich muss die nur dazu bringen irgendwo in irgendeinen Lockeintrag, diesen spezifischen Command eine eine Commandsequenz zu schreiben und die lädt sich dann meinen Code dazu herunter und führt den aus. So das ist also.

Tim Pritlove
0:39:28
Linus Neumann
0:39:51
Tim Pritlove
0:39:54
Linus Neumann
0:39:56
Tim Pritlove
0:40:31
Linus Neumann
0:40:34
Tim Pritlove
0:42:21
Linus Neumann
0:42:26
Tim Pritlove
0:42:41
Linus Neumann
0:42:48

So, jetzt ist das also da wo haben wir jetzt Angriffsflächen? So, überall da, wo Java, Software läuft und lockt. Jede Software lockt. Ja? Ähm. Und jetzt geht's los auf potenziell Applikationen, die einfach ähm auf deinem Computer laufen, irgendeine Java-Applikation. Schreiben dabei diese Bibliothek verwendet, ist angreifbar. Unter der Bedingung, dass sie irgendetwas in die Lok schreibt, so was du als Nutzerin oder eine Angreiferin ähm kontrollieren kann. Ja? Ähm und da da Programmiererinnen lieber mehr als wenig loggen. Ist es jetzt auch gar nicht so unwahrscheinlich, dass dass du irgendetwas, Nutzer kontrolliertes oder sogar von externen Angreifern Kontrolliertes findest, was so eine Applikation dann weglockt, Was weiß ich, Dateiname, irgendwelche Metadaten in der Datei, ja? Alles, was irgendwie gelockt wird, ähm. Ist am Ende eine Angriffsmöglichkeit. Also wenn du jetzt nimmst dir irgendein Programmiertool, was in Jawa geschrieben ist, äh das schreibt jetzt, was weiß ich, von mir aus irgendwelche Oder irgendwas weg, ja? Egal, was der lockt, wenn du es schaffst, da dort eine solche Befehlskette reinzubringen, zack, ist die Wahrscheinlichkeit groß, dass es eben ausgeführt wird. Code nachläd und aus ausgeführt wird. Und ähm. Auf deinen Desktop-Applikationen, dann in Geräten, die du hast, ja, was weiß ich, irgendwelche Netzwerk äh WLAN, Controller oder sonst was, ja? Also neben diesen ganzen Bereich gibt's dann natürlich auch sehr viel Java und dann eben auch draußen im großen bösen Internet, mit ähm mit irgendwelchen Servern, wo dann eben auch zentrales Loging oder so was aktiviert ist. Und alles immer. Protokoll unabhängig und das ist das Bittere, dass da nämlich also Escaping ist eh immer eine schlechte Idee und geht sehr viel schief. Aber weil diese ganzen Programmierer ja auch immer sagen, ja wir wir versuchen möglichst alle möglichen Charakter Encordings und so weiter zu unterstützen und ähm wenn wir das jetzt in Base 64 bekommen, dann erkennen wir das und bauen uns das selber um. Kriegst du. Eigentlich keinen du kannst jetzt nicht irgendwohin gehen und sagen, na ja, wenn da äh ähm Prozent. Eckige Klammer JNB drin steht, dann machen wir dann dann loggen wir's nicht oder so. Also du kriegst es nicht weg. Ja ich war eben erst überrascht, weil ich dachte, ich hab's nicht nicht verstanden, wo jetzt überhaupt die Schwachstelle liegt. Aber ähm dann hat Christian Kühntop Isotop auf Twitter auch auf Heise, mal äh ähm einen Kommentar geschrieben, wo er sagt, nee, das funktioniert wie spezifiziert. Ja, das ist also das ist exakt nichts, ist eine Schwachstelle. So da da gibt's jetzt nicht irgendwie etwas wie äh Go-to-File oder ne oder hier irgendwie Falschspeicher sonst was, nein. Es es macht genau das.

Tim Pritlove
0:46:03
Linus Neumann
0:46:07
Tim Pritlove
0:46:17
Linus Neumann
0:46:18

Es ist ein Konzeptfehler, ja. Und das ist äh tja dramatisch, ja und äh. Eine grundsätzliche Sache, die sich jetzt hier zeigt, ist eben, es gibt Software-Bibliotheken und Software-Bibliotheken sind erstmal auch gut, Ja, aber es gibt eben das das Problem, dass sich also grade in so bestimmten Welten einem Python hält es sich noch in Grenzen. Du mal so ein NPM-Projekt machst, ja? Da gibt's eine schöne Befehle wie äh. NPM Audit, wo der dir dann einfach mal sagt, wie viele Pakete du da überhaupt verwendest und welche davon schon wieder irgendwelche äh Schwachstellen hatten. Also ein grundsätzliches Phänomen. Der heutigen Programmierlandschaft ist, dass man mit immer mehr ähm, Bibliotheken, Frameworks und sonstigem arbeitet, ja? Also es geht heute keiner mehr hin und schreibt wirklich noch irgendwie CSS, sondern man schreibt SAS. Es gibt niemanden mehr, er geht hin und schreibt irgendwie HTML, sondern man benutzt äh, ne, was weiß ich, Django oder so was, was das dann irgendwie rausrandert, ja? Das ist auch erstmal völlig in Ordnung, weil quasi die. Unteren Ebenen so ein bisschen weg abstrahiert werden und da quasi ja erstmal Komplexität scheinbar weggenommen wird. Für die Programmiererin. Gleichzeitig aber dadrunter ein riesiger Haufen an gegenseitigen Abhängigkeiten und Komplexität entsteht, den niemand mehr überblicken kann. Ja? Und ähm da gab es vor einiger Zeit mal so eine wunderschöne äh Story wie äh jemand, der es zwar ähm, war so eine äh Fiktion, dass er dann irgendwie ein relativ einfaches NPM Modul entwickelt für irgendwie äh rot-grün, blau. Texte ausgeben oder sowas, ja? Und dass das dann irgendwie ähm, dass er dann in in beliebtere NPM Module äh quasi das einbaut, ne? Ach guck mal hier farbiges Logging und dann aber eine Dependency, auf sein eigenes von ihm kontrolliertes MPM Modul hat, in das er dann irgendwann einmal bösartigen Code einschleust, der dann einfach mitgeladen wird und das ist ein bisschen. Quasi die Problematik, in dem sich in der sich die Programmierwelt gerade befindet, ist, dass das. Dadurch, dass immer mehr Librarys immer mehr Frameworks immer mehr verwendet wird, man selber gar nicht mehr einen Überblick hat, ähm was die eigenen. Angriffsflächen überhaupt angeht und das kritisiert äh Christian hier. Dem wichtigen Punkt, ne, Code ist nicht dein Freund. Ja, ganz besonders nicht dynamisch aus dem Internet nachgeladener Code. Äh ich weiß, es klingt komisch, wenn man Entwickler ist und den eigenen Lebensunterhalt damit bestreitet, dass man glaubt, man sei mit dem Code befreundet. Aber so ist es. Weniger Code ist besserer Code, am besten so wenig Code, dass man ihn zu gänze und mit all seinen Interaktionen verstehen kann und auch den Code, der notwendig ist, den eigenen Code zu betreiben und das ist natürlich jetzt hier nicht mehr der Fall. Ja? Ähm ich denke. Ein Großteil der Programmiererinnen und Programmierer, wenn sie denn gewusst hätten, was dieses überhaupt für eine Funktionalität hat, hätten die auf jeden Fall deaktiviert oder nicht verwendet.

Tim Pritlove
0:49:43
Linus Neumann
0:49:48
Tim Pritlove
0:49:50

Nee, aus der ersten ist es nicht. Es ist aus der zweiten. Also aus der Erstzeit jetzt bei Apache ist aus der 20 Version die aller aller allererste hatte es nicht. Gelandet und hat's irgendwann dieses Feature ähm bekommen. Wir hatten ja übrigens auch vor zwei äh Sendungen hier ähm mit äh unseren äh Gästinnen, Adriana und Katharina, hatten wir ja über, souverän Techfand gesprochen und unter anderem halt auch auf diese schöne XKCD die Comic äh verwiesen. So Allmodern Digital Infrastruktur und das sieht halt aus wie so ein riesiger Wust an Bauklötzchen, alles steht so aufeinander und dann rechts unten so ein ganz kleines Miniteil auf dem alles lastet, Das ist so ein bisschen so dieser äh Blick auf die Sache von so. Wirklich bei Individuals äh äh oder eben dann auch nicht. Diesem Fall war's ein bisschen anders, weil ja eben bei der Apache Foundation durchaus schon ähm. Recht weit oben aufgehangen war. Allerdings haben diese. Auch das Problem, dass die dann eben auch mit so einem Konsens arbeiten äh und dann sehr viel Politik äh gemacht wird, bis dann wirklich mal Neuerungen oder Änderungen von alten Sachen auch durchgesetzt werden. Da sind also schnelle Entscheidungen auch nicht mehr so üblich. Und inwiefern das dieses Feature jetzt konkret betroffen hat, kann ich nicht sagen, aber es ist auch nicht unbedingt immer einfacher alles selber zu schreiben. Weil da macht man natürlich dann auch Fehler, ja, äh wo man dann eben sagt so, na hättest du mal lieber die Bibliothek genommen, da konzentrieren sich Leute drauf. Und dann gibt's ja nur noch diesen Mythos der tausend Augen, ja, die da auch alle mal regelmäßig drauf schauen und dann halt potenzielle Schwachstellen auch finden, aber das ist halt eben auch nicht immer so.

Linus Neumann
0:51:44

Das ist das, was du grade sagst, ist genau der der richtige Punkt. Warum also warum nutzt man äh Frameworks und Bibliotheken, weil da Leute Dinge gelöst haben, ja? Man baut sich nicht mehr seine eigene Datenbankanbindung, Indem man was weiß ich, selber sauber zusammengebastelte Datenbankanfragen in ein wirft, ja, sondern man nutzt, was weiß ich, ne, die Bibliothek zur Anwendung von Datenbanken und, versucht die dafür zu nutzen, dass sie eben ja saubere prepared Statements hat und dafür sorgt, dass es keine SQA Injections gibt ja? Ich denke nicht, dass es mir ohne Weiteres gelingen würde, ja, also wirklich nicht die Hand für ins Feuer legen, Also ich trau's mir zu, aber ich würde jetzt mal nicht den Mund zu weit aufmachen, dass ich es schaffe eine komplette Webapplikation zu bauen, ohne eine SGL Injection reinzukriegen, ja? Ich weiß, wie man die prinzipiell vermeidet. Ähm ich weiß ähm auch Glaube das noch hinzukriegen, ja, weiß aber auch, dass es ähm eben Bibliotheken dafür gibt, die das Problem, gelöst haben, und ich möchte es nicht noch einmal lösen, ja? Deswegen würde ich halt die Funktionalität nutzen zur Anbindung einer Mascall-Datenbank, die mir das jeweilige Programmierframework zur Verfügung stellt. Also es gibt schon Gründe. Dafür diese solche Bibliotheken zu nutzen. Das wäre dann halt nur schön, wenn die ganz gut abgehangen sind und das ist hier ja auch der Punkt von Christian, wenn du die dann auch verstanden hast, was die machen, Ja und ähm in also ein überhaupt Format Strings in einem Logger zu haben, das ist auch eine Funktionalität, die ich von einem Loginsystem nicht erwarte. Ich erwarte, dass es entgegennimmt. Und äh nicht Kommandos, ja.

Tim Pritlove
0:53:41
Linus Neumann
0:54:45

So jetzt und jetzt kommen wir zu der tatsächlichen Katastrophe. Du musst jetzt eigentlich sämtliche also du kannst nur sämtliche Instanzen updaten und ich glaube, sie hatten ja dann erst gesagt, nimmt alle hier die zwei fuffzehn, was ausgebaut, da haben sie dann aber direkt den nächsten drin gehabt, weil sie, quasi da gab's dann noch ein den man ausführen konnte und dann haben sie in der zwei sechzehn, einzig Sinnvolle getan, das komplette Feature rausgeschnitten und zwar mit dem flammenden Schwert, ja und das war das, was man von vornherein hätte machen müssen und ja, wie gesagt, man hätte es von vorneherein gar nicht einbauen dürfen, aber erst recht, musste man es dann eben auch nicht nicht dran herumdockern, sondern es muss komplett ausgebaut werden. Ähm. Also du musst jetzt äh du hast jetzt die Aufgabe, sämtliche Instanzen zu updaten, Nun hast du aber überhaupt keinen Bestand, kein Inventar, wo du weißt, wo das überhaupt drin ist. Ja, also ich weiß zum Beispiel, dass der ähm Hersteller meiner WLAN Access Points in dem Controller, Schwachstelle hat. Also muss ich diesen Controller jetzt updaten, ja? Jetzt ist aber die Frage, ähm ich kann jetzt aber nicht selber testen, weil ich weiß ja nicht unbedingt, was der lockt. Ich müsste ja um um sicher zu sagen, ein Gerät hat nicht Look for J, muss ich im Prinzip sein Lock-Format-Format mir anschauen, gucken, Okay, dann weiß ich aber auch schon, ob's Lock for Jay hat. Das heißt, ne, bei den meisten Diäten sehe ich ja das nicht, ne? Also muss ich dann irgendwie gucken, welche Sachen davon kann ich potenziell? Was lockt der überhaupt alles? In allen Zuständen, in denen das Gerät sein kann, in dies ihr aber vielleicht auch gar nicht bringe und in welchem Fall kann ich jetzt da irgendetwas rein tun? Also diese, Dieser Weg ist quasi sehr schwierig, also heißt es am Ende musst du wissen. Welche Geräte habe ich? Server, Devices, Computer, Software auf irgendwelchen Rechnern, in denen drin ist. Und jetzt muss ich das abdaten, ja? Oder der Hersteller, weil ich es nicht kann, ja? Und das wird ähm, nie ganz gefixt sein. Also mit dieser Schwachstelle werden wir noch Jahre Spaß haben. Monate im üblen Bereich, dann noch irgendwie Das ist so ein Klassiker, weißte, den findest du dann irgendwann noch mal bei so einem Pantast. Vier Jahre später beim Kunden und denkst, ach komm, hier Standard, mach mal eben zack, bum, hast das Ding auf, ne? Das ist so den kriegst du nicht mehr weg, weil das eben auf so vielen Geräten, verteilt wurde. Man muss jetzt, da wo es an Servern hängt, ist natürlich höchst kritisch, weil jetzt ähm natürlich die ganzen Scanner automatisierten Angriffe, über die über das Internet drüber scannen, ja. Ich habe jetzt auch schon irgendwie deswegen habe ich auch das Beispiel mit den. Mit den äh mit dem Webserver genommen, weil ich natürlich erstmal bei mir auf den Webservern in den in den Lock Fights geschaut habe, ja, immer sehr äh sehr ähm interessant, weil da kriegst du nicht nur. Angriffsversuche, ja, sondern auch die Varianten, die Leute dann eben spielen, ne? Mit anderen Charakter-Encordings und was nicht alles, um um irgendwie zu versuchen, ob da noch was kommt. Das heißt, du man kann jetzt so in seinen in seinen Lock-Fights ganz gut sehen, was da so was da so für Varianten von den Angriffen passieren, wo die sich den Code nachladen wollen und so weiter. Ähm jetzt werden natürlich einige, die von den Unternehmen, die betroffen sind, machen jetzt irgendwie groß Forensik. Da werden sie aber dann teilweise unsaubere Arbeiten machen. Ne, das heißt irgendwie ein paar Monate später äh stellen sie dann fest, Shit äh wir haben äh hier, nicht hingehört ja und ja ist ein ist ein riesen Problem und. Wird uns jetzt noch sehr lange beschäftigen. Ich bin mal gespannt, so so der gleichzeitig gab's ja dann auch so, ja irgendwie relativ dramatisierte Beschreibungen von dem, was da jetzt passieren würde, ne, die ich ähm so nicht teile. Also es ist eine hochkritische Schwachstelle auf jeden Fall Aber so Internet erst mal funktioniert ja noch, ne Und wir machen alle Überstunden, um diese Sachen zu finden und irgendwie zu katalogisieren und überhaupt herauszufinden, was was betreiben wir, ja, also wenn die Zensur in großen Unternehmen bist, kann ich ja nicht sagen, sag mir mal bitte alle Server mit Lok for Jay. Kann's ja gar nicht, niemand. Das heißt, da wird äh wird halt Unmengen gesucht und versucht irgendwie auf diese neue Version zu gehen und eben diejenigen, wo das nicht stattfindet, die werden dann halt äh. Irgendwo blöd landen. So, jetzt kommt die Frage, also solche Sachen passieren, jetzt hattest du erst gesagt, der Mythos der tausend Augen, ne? Äh alle also auch eine frei, die ich für einen Deutschlandfunk verantworten musste oder sollte also nicht weil die die Frage hatten, sondern weil, wichtiges Thema ist. Ja, aber ist doch open source, warum ist das denn jetzt unsicher? Und das ist natürlich.

Tim Pritlove
0:59:28
Linus Neumann
0:59:30
Tim Pritlove
1:00:45
Linus Neumann
1:01:12
Tim Pritlove
1:01:55
Linus Neumann
1:01:58
Tim Pritlove
1:02:44
Linus Neumann
1:03:22
Tim Pritlove
1:03:38
Linus Neumann
1:03:45

Also ich sage das hier mit diesem. Als diese Sache dann hier rauskam und sie sich das angeschaut hat, da habe ich mit einem Kumpel war ich an dem Tag unterwegs drüber unterhalten und ich sagte immer so, ja der ist doch also die die Funktion ist die Sicherheitslücke, dass sie überhaupt gemacht haben. Und er meinte immer so, ne, ne, da muss noch irgendwo ein anderer Fehler sein und na ja am Ende hatte ich halt recht, jetzt hast du diese diese ganze Funktion war halt schon die die die Idee, das kannst du nicht ordentlich bauen, weil eben zu dynamische Inhalte gelockt werden, weil du da keinerlei Annahmen über das Format machen kannst, darfst du das nur noch wegschreiben und damit kannst du schon nur mit mit vorsichtigem Gewissen machen, ne. Ähm. Jetzt kommen wir zu dem Punkt, den wir gerade schon angesprochen hast mit Adriana und Katharina und Souverän Tech fand und fand nicht alles. Wer soll sich jetzt darum kümmern, kritische Komponenten zu identifizieren? Und ne, zu auditieren. Jetzt ist erstmal die Sache, Ich bin da ganz ehrlich, ne? Ich hätte irgend so eine Logging Bibliothek niemals oder wahrscheinlich nie als kritische Komponente identifiziert. Muss ich ganz ehrlich sagen, Ähm ich hätte gleichzeitig, sage ich aber auch, wenn ich mir das angeguckt hätte, hätte ich auf jeden Fall gesagt, das kann nur. Das muss eine Angriffsfläche sein und damit hätte hätte ich ja dann auch, recht behalten. Aber ich erkläre ja auch, wie ich den, wie ich den Gedankengang herbeigeführt hätte, weil es eben viel zu, unklar ist, was dir die andere Seite entgegenwirft. Solltest du das niemals äh interpretieren, erst recht nicht als äh Stelle, von der du nativen Code nachlädst, den du jetzt ausführst, ne? Das das geht so nicht, Das wäre mir aufgefallen. So, jetzt gibt's da zwei Überlegungen, Da wird jetzt auch klar gesagt. So es gibt ja irgendwie die ein paar Coder bei der Foundation, die sich irgendwie mit diesem auseinandergesetzt haben und nicht großartig äh Porsche fahren. Ja und dann gibt es, tausende Unternehmen oder hunderttausende Unternehmen, die diese Software verwenden. In kommerziellen Dienstleistungen, kommerziellen Produkten und wat nicht alles und ähm, jetzt natürlich okay. Die kriegen jetzt auch die haben natürlich auch den Schaden und die Verantwortung. Ähm aber die haben natürlich auch jahrelang eben Software genutzt, die irgendjemand geschrieben hat. Er stellt sich die Frage, ist es jetzt eine Aufgabe des Staates zu sagen? Gut, wir geben jetzt hier Geld aus, um um das alles mal zu orditieren und versuchen euch irgendwie einen einen sicheren Textdeck äh herzuliefern, ist eine Argumentation, die man haben kann oder ist es vielleicht, auch eine Aufgabe dieser Unternehmen dafür zu sorgen, äh dass dass diese Software, die sie verwenden, dass sie da halt auch Beiträge leisten und ich sage das nur deshalb, weil es nämlich bei einigen ja funktioniert. Ja? Es ist es äh funktioniert ja zum Beispiel beim Linux-Körnel so, dass eben die großen Unternehmen, Google, Facebook auch da signifikant leisten ja und dass die da auch quasi sich der Linux-Körnel die Community hm anpassen und unterordnen und mit denen gemeinsam entwickeln, ne? Und äh das ist natürlich auch eine Frage. Äh ich habe ja jetzt auch gar keine Antwort drauf. Ne? Das das Problem ist, das kann halt in in vielen Software Bibliotheken der Fall sein. Das war jetzt hier so ein so ein kleine Ort, von dem eben vorher auch keine Sau wusste oder dass auch niemand im meine Thesis, das hatte jetzt niemand im Verdacht, dass ausgerechnet da die neue Remotecode Execution drin ist. Wenn es dir anschaust, ist es sonnenklar und denkst dir so, boah alter Vater, so ne, total klar, alles lockt, du hast jetzt auf einmal in allen Services, in allen Applikationen diese Angriffsfläche, Wahnsinn! Ne? Absolut Schlimmste, was passieren kann. Totaler Irrsinn, ist auch wirklich ist auch schlimmer als und alles, was du gesehen hast, ist auf jeden Fall das, ne?

Tim Pritlove
1:07:46

Na ja gut, ich meine man könnte ja jetzt auch andersrum argumentieren und sagen, gerade weil das keiner im Verdacht hat, ist es eigentlich genau das Erste, was man untersuchen müsste, ne. Also zur Finanzierung eines solchen Techfahrens. Ich meine, man könnte schon sagen so ein Tech fand, Könnte sich auch um solche Sachen kümmern. In dem Fall meine hier liegt natürlich die Verantwortung in gewisser Hinsicht bei dieser Apache Foundation. Ne, muss man einfach mal so sagen, weil das Projekt ist halt jetzt eins von ihnen, die bieten das an. Sagen, na ja, ist aber seid ihr ja selber Schuld, aber das kann ja jetzt auch nicht ihr Anspruch sein. Kann ja nicht sein. Äh über einen längeren Zeitraum, ich kann Ihnen jetzt leider nicht benennen, aber das ist wie gesagt kein Feature, was erst seit zwei Jahren gibt, sondern was schon sehr, sehr, sehr lange da so äh drin schlummert. Dass sie über so einen langen Zeitraum noch nicht mal auf die Idee gekommen sind zu sagen, wir setzen jetzt mal hier ein Pro auf dieses Teil an und zwar nicht nur auf das. Sondern auf jedes, was wir haben. Also alles muss irgendwie mal angeschaut werden. Eigentlich sogar regelmäßig und, Das hat ja offensichtlich entweder nicht stattgefunden oder wenn's stattgefunden hat von Leuten, die irgendwie offensichtlich, nichts wo die notwendigen Grad an Kompetenz an den Tag gelegt haben, zumindest zu dem Zeitpunkt, wo sie's durchgeführt haben. Also hm, geht ja jetzt auch nicht dadrum hier das große Problem Game zu machen. Man muss sich natürlich aber schon fragen Strukturen in Zukunft aussehen können, um so was zu minimieren, ne? Und da muss man sicherlich nicht nur an einer einzigen Stelle ansetzen Finanzierungsfrage, Organisationsfrage, das ist so das eine. Die Motivationsfrage, eine Verpflichtung auch vielleicht für für solche Sicherheitsüberprüfungen Andererseits müssen sich natürlich auch Unternehmen jetzt äh mal die Frage stellen, Was ist denn mit diesen 999 anderen Open Force Bibliotheken, die noch in irgendwie unserem Javacode äh drinstecken? Wie sicher sind wir uns denn da ja und es gibt wahrscheinlich bisher noch keine Webseite, wo all diese Pakete gelistet sind nach in wie vielen Programmen steckt das drin und äh wann war der letzte äh offiziell dokumentierte Security Audit bei diesem Tool. Das wäre schon mal ganz interessant, wenn man so was hätte, sondern könnte man halt schnell sagen, so, na ja gut hier müssen wir mal gucken. Und natürlich dann eben auch vielleicht im Kontext von dem, was wir schon besprochen haben, dass man eben auch einfach generell sagt. Teilfunktionalität, die optional sein kann, sollte auch optional sein und sollte vielleicht optional auch erstmal ausgeschaltet sein, ne, um dann eben, wenn irgendeine Sicherung durchbrennt, dass es eben nicht gleich überall knallt, sondern eben nur an bestimmten Stellen.

Linus Neumann
1:10:29

Also genau, diese äh Schlüssel, den schließe ich mich an und jetzt muss man natürlich auch nochmal sagen, die, ja klagen über Undank und Stress ja und auch zu Recht ja die die haben natürlich jetzt ich meine die schlafen grade nicht gut Ne, ich meine, das ist jetzt, die haben da irgendwie über Jahre irgendwie ihre komischen Logger da so ein bisschen vor sich hingepflegt. Das war jetzt sicherlich auch nicht deren Herz wird das jeden Tag gesagt haben, wir wollen jetzt hier mal neue noch, lockerere Looks machen, ja, sondern, die wachen halt auf einmal auf und kriegen irgendwie sind verantwortlich für wahrscheinlich eine der schwersten Sicherheitslücken, die so in die Geschichte eingehen wird, ja. Die auf jeden Fall die meiste Angriffsfläche nach außen hat und ähm das ist natürlich das ist jetzt kein Zustand dieser dieser ist schon auch der richtige äh der richtige Punkt, dass da nämlich die ganzen großen Unternehmen haben ihre Sandburgen äh auf Basis dieses dieser Software gebaut und da nichts für bezahlt, ja? Und jetzt die Programmierer sollten Andreas Bogt twitterte das glaube ich, ne? Äh die jetzt da gerade die Überstundenschichten äh um irgendwie die Software rauszuhauen und so weiter hat er auch gesagt. Keiner von denen, sollte jemals wieder für seine Getränke bezahlen müssen, zumal die ja, Im Zweifelsfall alle dieses Feature gar nicht eingebaut haben. Also einer der Developer, ich suche den Tweet nochmal raus, twitterte auch so, ey gerade ein Bashing für irgendein Feature, was wir von Anfang an nicht haben wollten, was wir aber nicht selber geschrieben haben und dürfen das jetzt da äh rausschneiden, ne? Das ist. Fehler passieren und man muss sich halt überlegen, wie man den Sachen sich strukturell nähern soll, ich verbinde das gerne mit der politischen äh Forderung für mehr irgendwie insgesamt und ich, wie gesagt, das ist hat nichts mit. Mit irgendwie Hippietum zu tun, sondern mh damit, dass die großen Unternehmen machen das aus guten Gründen auch, ähm ja, wenn niemand dieses Lock vor J sich jemals angeschaut hat und es offenbar viele, viele, viele quasi alle benutzen. Dann ist hier eben offenbar irgendwas schiefgelaufen, dass da nie jemand mal hingeschaut hat. Habe ich gerade gesagt, bei gab es eine Schwachstelle, die so offensichtlich ist, dass ich sie auch gefunden hätte. Kommen wir mal zu einer, die so dermaßen krass ist, dass sie garantiert nicht gefunden hätte. Und zwar äh zum NSO Explod, den sie zur Installation von. Ihrem Staatstrojaner Pegasus benutzt haben. Kurz zur Vorgeschichte.

Tim Pritlove
1:13:13
Linus Neumann
1:13:20
Tim Pritlove
1:13:47
Linus Neumann
1:13:49
Tim Pritlove
1:13:52
Linus Neumann
1:13:53

Das sind nämlich ein Klick ähm haben, also einen One-Click Explode. So und das war immer ziemlich ähm. Ja übel, weil du natürlich jetzt kommt auch wieder die Frage, jetzt denkst du halt, wo ist die Angriffsfläche, ne? Dann denkst du, okay, ist das jetzt ein Baseband, ähm eine Basebandschwachstelle, ne, also das Baseband das Subsystem in dem Mobiltelefon, das, sage ich mal, den ganzen, Die ganzen Mobilfunkprotokolle spricht, ja? Kannst du irgendwie eine eine schief formatierte SMS Nachricht hinsenden und dann kannst du das Spacement übernehmen, oder äh gibt's irgendwelche weiteren Probleme in der Verarbeitung der Nachricht auf Apple-Betriebssystem, wo ist dann am Ende die Angriffsfläche, ja und, Vor allem, weil es so unheimlich, dass es ja so ein Zero-Click ist. Also Zero-Click ist genau ne, also auch so eine Schwachstelle wie, du musst nichts anderes mehr tun. Es gibt keine weitere Interaktion von der Nutzerin oder so, sondern, zack, dieses System verarbeitet, die Nachricht, die du schickst und ist instant kompromittiert. Ja, das ist ja bei Lok for J, eben auch so, ne? Du hast instant die Kontrolle darüber, weil du eben bestimmst, wo der sein Code äh sich herholt. Ähm. Und in den bisherigen ähm hm Berichten über diese Schwachstelle. War das immer so ein bisschen war klar, das ist irgendwie in dem PDF Pasa und wir, wir haben den jetzt auch gefaket. Das war irgendwie ein relativ kleiner Overflow, ähm aber da wurde nicht so viel drüber erzählt. Ja, also es wurde, war so ein bisschen unklar. Insbesondere im Amnesty Bericht sagen sie auch sehr, wir haben nicht mehr wirklich gefunden, wie der Explode funktioniert. Wir wissen nur, da irgendwo kommt daher, ne? Und es war so ein bisschen, schwierig die konnten also sagen da ist die Schwachstelle aber die konnten nicht sagen wie das Ding wirklich abgegangen ist ja also wie der Explode wirklich funktioniert hat. Und. Das also auf eine Weise war es mir dann auch so ein bisschen egal, weil ich mir denke, okay, Hauptsache, die haben die Dinge gefunden und Hauptsache gibt diese Fixes jetzt, ja und die wurden ja dann auch ausgerollt von Apple und dann haben äh aber, die hm und die Leute vom Citizen Lab, Das jetzt mal dem Google Projekt Zero gegeben, ja? Und zwar ein Bier und Samil Gross. So, die. Samuel groß. Ich weiß nicht, ob ihr also schon mit den ausspricht so. Ähm den wurde äh das Ding mal vorgelegt und das sind so, sage ich mal, Leute, die können das mit dem Reverse Engineering aufn aufn Weltklasselevel, ja. Und die haben sich das angeschaut äh zusammen mit Apple Security Engineering, Architecture Group. Also du hast jetzt, ne? Citizen Lab, die Staatstrainer Expertin, du hast Apple, das Security Engineering and Architecture Team und Google Projekt Zero, Google Projekt Zero, dort eben diese Security Forscher, die sich ja Google eigentlich hält, um um Zero Days zu finden, bevor andere die finden und die einfach zu fixen. Und die haben sich jetzt mal zusammen angeschaut oder oder zumindest Projekt Zero berichtet jetzt darüber, die haben sich quasi äh diesen ähm Explod mal angeschaut, wie der funktioniert. Und genau, gefixt wurde der am dreizehnten September äh einundzwanzig in iOS vierzehn Punkt acht. Ja, das hatten wir schon erklärt. Es geht um den Explode Forst Entry. So ähm jetzt haben Sie. Und ich muss es, also weil ich selber nur in in so im im vom groben Konzept her verstehe ähm sie haben's also jetzt geschafft, sich das mal zu verengieren und zu gucken, was da genau passiert. Letztendlich geht es hier also darum, man schickt eine Nachricht und ich sage ja, irgendwo muss die Angriffsfläche kommen. Und die ist hier in diesem äh in der Image IO Library. Ja, also das ist eine ja, eine Grafikverarbeitungs Library, die eben mit unterschiedlichen ähm Dateiformaten umgehen kann. Unter anderem GIF, und äh PDF. Und so weiter, ja? Und was man hier offenbar äh bekommt, ist ein PDF-Datei, in der ein Gift drin ist und dieses dieses GIF, fällt irgendwie da verwenden sie dann die JB ähm Kompressions äh Technik so und. Jetzt wird es richtig witzig. Es gab mal beim Kongress, ich glaube beim boah ich weiß gar nicht mehr, beim einunddreißig C drei oder sowas. Ein Vortrag von David Griesel, traue keinem Scan, den du nicht selbst gefälscht hast.

Tim Pritlove
1:18:58
Linus Neumann
1:18:59
Tim Pritlove
1:19:02
Linus Neumann
1:19:12

Die verlinken ihn übrigens auch hier, was so ungefähr die größte Krone ist, die du aufgesetzt bekommen kannst, in dem Blogpost äh verlinkt zu werden, ja. Ähm. So. Folgendes, du hast einen Scanner. Und Kopierer, ja, Scanner. So der der scannt jetzt, du scannt mit dem ein Dokument und du möchtest das möglichst äh komprimieren, nicht kompromittieren, das kommt später. So, jetzt haben Sie eine einen Kompressionsalgorithmus dafür gebaut, der, ähnliche Pixelregionen erkennt und ähm was. Ähnlich genug ist, wird einfach ersetzt. In diesem Beispiel war das so, dass es also es hatte David auch in seinem Vortrag drin. Das ist ja Zweifel gab, dass Barack Obamas veröffentlichtes Geburtszertifikat. Echt ist, weil Leuten aufgefallen ist, dass bestimmte Zeichen darin, An anderer Stelle genau exakt pixelgenau gleich sind. Und dann haben sie gesagt, na ja okay, das ist ein Photoshop fake, weil hier hat ja offensichtlich jemand, ne, das E aus dem einen Teil an die andere Stelle kopiert, damit er am Ende, American steht oder was auch immer. Und David hatte dann in seinem äh Vortrag ging's im Prinzip um zwei Dinge. Einmal dass er damit quasi diese. Idee entkräften kann, weil das Ding im Zweifelsfall einfach nur auf einen normalen Scanner gescannt wurde, der eben diese JB äh ähm Ersetzung macht auf Charakters. Und er hatte einen anderen Fall, nämlich wo er und das war, glaube ich, der Ursprung für den Vortrag, wo massenhaft Dokumente gescannt wurden. Und kleinere Fehler waren zum Beispiel das ähnliche Buchstaben teilweise anders ersetzt wurden, Ja, also ähm wo dann in irgendwelchen Architekturskizzen auf einmal statt eine acht eine drei stand, äh weil eben dieser Kompressionsalgorithmus ein bisschen durchgedreht ist.

Tim Pritlove
1:21:16
Linus Neumann
1:21:20
Tim Pritlove
1:21:35
Linus Neumann
1:21:40

Genau und dieser Kompressionsalgorithmus der regelt das und der sagt dann nämlich, der funktioniert eben so, dass du sagst, pass mal auf. Wir haben hier eine Acht, so geht eine Acht und die haben wir an diesen zwanzig Stellen auf dieser Din A4 Seite, ne? Jetzt hast du dir schon mal die Pixel für zwanzigachten gespart. So funktioniert dieser äh Kompressionsalgorithmus. Außerdem kann der noch äh Refinement incording haben, dass du quasi sagst, okay, wir haben hier einen äh Charakter und ich sage jetzt schon mal, das ist der und du machst aber noch die drei Pixel dazu. Ja? Dadurch, kann er und um das zu machen quasi nutzt der, den äh X-Ohr-Operator. So und jetzt wenn du das entpackst. Da kommt der Moment, wo ich sage, dass jetzt wirklich relativ schwierig wenn du diesen nur diesen Dekodingalgorithmus nutzt. Dann kannst du dir daraus, wenn du jetzt unterschiedliche ähm Character vorher definierst. Also quasi, Dieser also du willst etwas dekoden und das ist jetzt kein Bild mehr, sondern du baust quasi du du du gehst jetzt eigentlich nur noch damit davon aus, dass du du weißt jetzt, dass es jetzt dein Explod, ja? Du definierst jetzt unterschiedliche Dinge mit diesem Stream, der dann dekodiert wird. Schaffst es dir dadurch am Ende. Einen virtuellen Computer zu bauen, weil du kannst nämlich einen Landgatter bauen in diesem Dekompressionsalgorithmus. Und wenn du ein Land hast, kannst du alles bauen oder alle wichtigen für einen Computer. Das heißt, die. Du hast ein Touring Complites ähm Kompressionsform. Was bei der Dekompression es dir ermöglicht eine virtuelle Maschine zu bauen, der du dann Befehle geben kannst. Und äh jetzt kommt der Punkt, jetzt kommen sie, wie kommen sie dahin? Die Herausforderung war, es gab, du brauchst ja immer noch eine Schwachstelle. Es gab quasi in diesem Image IO einen kleinen viel zu kleinen, Bufferoverflow, der jetzt nicht ausreichte, um wirklich ihn ordentlich zu exploten. Aber dadurch, dass sie diese Funktionalität, diesen JB2-Decoder hatten, konnten sie quasi mit dem bisschen, was sie hatten ähm diese virtuelle Maschine in Gang bringen, die dann irgendwelchen anderen Mist verarbeitet und dann am Ende der Explod ist. Das heißt also es ist absoluter Irrsinn. So also wirklich da kommst du nicht drauf, dass das überhaupt gehen würde, ja? Ähm und sie sie schreiben auch, dass das der krasseste Explode ist, den sie je gesehen haben ja und das sind Leute, die sich halt also die überhaupt, das sind die Leute, die in der Lage sind, so was zu analysieren, ja und auch nachher zu erklären. Ich wäre also absoluter, absoluter Irrsinn, dass du auf äh auf auf so einen Explod kommst. Ja und sagen auch, das ist das wahrscheinlich das Krasseste, was Sie je gesehen haben.

Tim Pritlove
1:24:48
Linus Neumann
1:25:22
Tim Pritlove
1:25:29
Linus Neumann
1:25:31
Tim Pritlove
1:25:48
Linus Neumann
1:27:23
Tim Pritlove
1:27:39
Linus Neumann
1:27:40
Tim Pritlove
1:28:41
Linus Neumann
1:29:46
Tim Pritlove
1:30:28
Linus Neumann
1:30:53
Tim Pritlove
1:31:36
Linus Neumann
1:32:15
Tim Pritlove
1:33:48
Linus Neumann
1:34:27
Tim Pritlove
1:35:25
Linus Neumann
1:35:43
Tim Pritlove
1:35:47
Linus Neumann
1:36:27
Tim Pritlove
1:37:03
Linus Neumann
1:37:37

Also das ist. Ne also der gibt ja dann immer unterschiedliche Ideen, was weiß ich, irgendwie äh äh Personalausweispflicht äh sind dann so Seehoferstyle Vorschläge, andere sagen dann, okay na ja äh. Machen so Sachen wie okay, wir haben jetzt die wir haben anonyme Sims. Mehr oder weniger vor ein paar Jahren verboten, dann versuchen wir jetzt die Klarnamenpflicht durch eine erzwungene Telefonnummernregistrierung irgendwie hinzukriegen, ne. Also irgendwelche Ideen, damit immer und es ist jedes Mal eine nicht so gute Idee, ja? Und ich glaube, was man entscheidend da einfach mal sagen muss, ist, ähm. Diese Probleme, die wir da haben, was weiß ich, auf Telegram und was nicht alles. Die kommen ja nicht da, die kommen ja nicht aus der Anonymität. Ganz im Gegenteil. Äh wir haben ja hier diese äh Frontal 1zwanzig, die dann da einfach ganz normal in eine Telegram-Gruppe gehen und die äh die Arbeit der Polizei machen, indem sie die die halt verfolgen, ne und, Ich sehe mhm. Ich sehe nicht, dass dass das jetzt die Anonymität, die die treibende Kraft hinter dem Hass im Netz ist. Ganz im Gegenteil, also schau dir die Bildredakteure an, die hat hetzen jeden Tag unter ihrem eigenen Namen. In Facebook gibt's eine Klarnamenpflicht, ja, gegen die gerade geklagt wird, weil die nicht den äh den den Gesetz der Bundesrepublik Deutschland entspricht. Ich sehe irgendwie nicht, dass jetzt ausgerechnet die Anonymität die Keimzelle äh des Hasses ist, ja, der existiert auch äh so leider weiter.

Tim Pritlove
1:39:22

Das das ist ein totaler Mythos ist das. Also ich meine, das ist äh erinner dich, das ist jetzt eine Diskussion, die gibt es seit den Anfängen eigentlich des. Des Netzes in der öffentlichen Wahrnehmung. Ja, das also am Anfang war die Wahrnehmung des Netzes ähm. Durch die Internetausdrucker, also die, die sozusagen nicht damit aufgewachsen sind. Und dann eben auch der Politik so oh das böse Internet, wo die Leute anonym unterwegs sind. Das Anonyme war in dem Sinne so gar nicht so sichtbar, ja? Also das war immer eine Erfindung in gewisser Hinsicht. Es gab. Pseudonyme Kultur, mit der sie so noch nicht vertraut waren, Nur dass dieses Pseudonyme ja erstmal nur bedeutet, ich arbeite nicht unbedingt jetzt erstmal mit meinem bürgerlichen eingetragenen Namen, aber ich habe schon einen Namen, an dem ich in irgendeiner Form erkennbar und im Zweifelsfall sogar auch identifizierbar bin. Und das hat sich dann schnell in so einer öffentlichen äh Nichtsblicker-Diskussion aufgeschaukelt mit das böse Internet, wo alle anonym unterwegs sind und das ist ja irgendwie die die Gefährdung. Ne, so das die Angst vor dem Unbekannten. Das ist das halt das ist da eigentlich so rein codiert. Ohne dass das gestimmt hat so und, in gewisser Hinsicht zieht sich diese Debatte bis in diese Diskussion immer noch fort, weil wie du's ja auch schon gesagt hast so, ist nicht so, dass jetzt keiner wusste, wer dieser wer sich hinter dem Namen Attila Hildmann. Befindet, ja. Attila Hildmann hatte, war Fernsehkoch oder was weiß ich, was er nicht noch alles gemacht hat. Der Typ äh bei einem Fernsehkoch, ne, der war der hatte einen Laden und hat irgendwie, keine Ahnung. Ich habe nehme mir an diesen äh Kulturen nicht teil, aber auf jeden Fall der war sichtbar. Man kannte den, der läuft rum und rennt rum und wie gesagt, ich bin Attila Hildmann mit A und mit H und deswegen bin ich irgendwie der neue Hitler. Also ja aber ja also wirklich also darum redet du dann alles ja wie aber wer ist das? Ist wirklich schwierig jetzt rauszubekommen wer der ist oder wo der wohnt. Das ist nicht das Problem. All diese ganzen Leute, die dort auf Facebook rumhetzen und so weiter ist überhaupt gar kein Problem, die zu identifizieren, Es wird noch nichts gemacht. Ich meine, die Leute werden ja noch nicht mal, wenn sie irgendwie vor dem Polizisten stehen und gegen das Gesetz verbrechen, wenn die irgendwie aufgehalten. Das ist ja irgendwie das Absurde. Also es ist äh totale Illusion.

Linus Neumann
1:41:53
Tim Pritlove
1:43:18
Linus Neumann
1:43:35
Tim Pritlove
1:43:38

Sondern es geht geht um die Gruppen, die halt ja beliebig viele Teilnehmer haben können, die also im Prinzip öffentliche Kanäle sind wie Webseiten, Funktioniert anders, ne, aber es hat äh ein eine ähnliche äh Reichweite oder kann eine ähnliche Reichweite haben oder sogar weiter darüber hinaus gehen. Und natürlich. Äh unterliegt dieses Unternehmen in unserer Vorstellung hier den äh lokalen Regeln. Dazu haben wir diese Regeln ja auch und die gelten ja auch für alle anderen. Also warum sollten sie nicht auch für Telegram gelten? Problem ist nur, keiner weiß, wie man irgendwie Telegram habhaft werden kann und dann finde ich's durchaus legitim, dass man äh dokumentiert, okay, alles klar. Wenn ihr äh nicht bereit seid, auch nur ansatzweise diesen Regeln Folge zu leisten und eure Verpflichtungen einzugehen, die da heißen, wir müssen mal wissen, wer ihr seid und wie man äh wie man anrufen kann. Ne als Minimum. Ich meine, das ist ja wirklich das also das absolute Minimum, Sozusagen, da ist ja noch gar nichts passiert. Da weiß man einfach nur mal, mit wem man reden kann. Wenn das halt nicht gewährleistet ist, muss man sich natürlich dann schon fragen. Okay, also was ist dann sozusagen eure ähm Überlebensberechtigung? So, was was ist überhaupt eure Existenzberechtigung? Oder inwiefern sollten, Unternehmen wie Apple und Google durch ihre App Stores dazu beitragen, dass dass diese Existenz existiert. Also ich versuche jetzt nur die die Gedankenwelt ne ein eines juristisch politischen Menschen nachzuvollziehen, die ähm. Ich bin kein Jurist, deswegen äh kann ich den Teil ehrlich überhaupt nicht nachvollziehen, aber so die Debatte finde ich legitim, dass die geführt wird. So, die Frage ist, was was macht man was macht man damit jetzt so? Geht man dann zu Apple und Google und sagt so, ihr müsst jetzt diese App verbieten. Weil die einfach sich nicht an die Regeln hält und ihr müsst euch ja auch an die Regeln halten und äh ihr seid letzten Endes die Distributoren dieser Software, die sich nicht an die Regeln hält, also müsst ihr diese Regeln dann äh stattdessen durchsetzen.

Linus Neumann
1:45:45
Tim Pritlove
1:46:08
Linus Neumann
1:46:13
Tim Pritlove
1:46:21
Linus Neumann
1:46:30
Tim Pritlove
1:46:33
Linus Neumann
1:46:42
Tim Pritlove
1:46:58
Linus Neumann
1:47:38
Tim Pritlove
1:47:48
Linus Neumann
1:47:55
Tim Pritlove
1:48:56
Linus Neumann
1:49:02
Tim Pritlove
1:49:05
Linus Neumann
1:49:11

Bunker sind üblicherweise will die keiner haben, weil die relativ kleine Fenster haben und äh irgendwie ja schwer einen Nagel in die Wand zu kloppen, ne? Und die haben den haben sich diesen Bunker gekauft und, Ja, dann dort eine relativ homogene und recht eindeutige Kundschaft angezogen offenbar mit ihrem Angebot. Und äh da waren also relativ viele hidden Services gehostet und ähm der, überwiegende Teil der Inhalte, die dort gehostet waren, waren in irgendeiner Weise ähm illegal. So. Ähm unter anderem, glaube ich, mich zu erinnern, dass in den Anfangszeiten auch mal The Pirate Bay und Wiki Leaks bei bei den, Cyberbunker Leuten gehostet waren, aber das war noch zu alten Zeiten, als die noch in einem anderen Bunker waren. Ähm wenn ich mich da jetzt, wenn ich kann sein, dass ich mich täusche, aber ich bin mir eigentlich relativ sicher. Ähm dass sie unter anderem auch mal dort waren. Jetzt hatten sie die irgendwie, äh und und jetzt rechtlich stellt sich die Situation so dar, dass die ja nun mal einen Provider waren, nämlich ein Datenzentrum Provider beziehungsweise ein Server Provider, der sich aber nichts ähm nicht in die Daten, die seine Kundinnen und Kunden dort verarbeiten, eingemischt hat. Und jetzt wollten sie dir aber trotzdem irgendwie in den Knast bringen und die Frage ist, wie machst du das? Weil, so haben die sich auch ähm rechtlich dargestellt, siehe das Provider-Privileg haben, nämlich dass sie für die Inhalte, die ihre Kundinnen und Kunden auf ihren Geräten, was weiß ich, verarbeiten, bereitstehen und so weiter, nicht verantwortlich sind. Und jetzt hat die Staatsanwaltschaft, die im Prinzip über zwei ähm Winkel versucht zu also vor Gericht zu verurteilen zu lassen, Beihilfe zu Straftaten. Und ähm Bildung einer kriminellen Vereinigung. Und. Dieses Urteil war jetzt quasi auf kriminelle Vereinigung, haben sie bekommen als Urteil. Aber nicht ähm die den Vorwurf der Beihilfe. Der wurde ihnen nicht ähm zur. Äh Last gelegt, Das ist also quasi ein ein Schlag für die Staatsanwaltschaft gewissermaßen, weil die versucht haben natürlich über diese Beihilfegeschichte, den die zu Mittätern zu machen und das wäre aber eben auch der Teil gewesen, der halt sehr übel ähm, in Richtung der Providerhaftung gekommen wäre. Insofern hat das Gericht hier offenbar noch ein bisschen hm ja. Vorsicht walten lassen und verstanden, dass es eben gefährlich ist an die Providerhaftung zu. Heranzugehen, wenngleich dieses Hyba-Bunker-Vögel halt tatsächlich äh vieles getan haben dafür, dass die schöne Provider-Haftung angegriffen wird, ne, weil die Provider Haftung äh, hast du ja eigentlich mit der Begründung, dass du eben sagst, okay der überwiegende Teil dessen, was der Provider macht. Hatte erstens keine Kenntnis von, zweitens ist es überwiegend legal, das heißt, wenn man ihm etwas anzeigt, muss er darauf reagieren und diese Sachen dann eben offline nehmen und, ansonsten ist er aus der Haftung raus und hat ein Privileg hier obwohl er technisch vielleicht einen entscheidenden Beitrag zu der Straftat äh geleistet hat, ist er nicht äh in der Situation. Der Beihilfe schuldig zu sein, sonst könnte könnte sie Deutsche Telekom ja auch zumachen. Ja ähm tja.

Tim Pritlove
1:53:05
Linus Neumann
1:54:29

Interessant ist die Begründung des Gerichts. Sie sagen also alle hatten positive Kenntnis von den gehosteten Seiten mit illegalen Inhalten. Bis auf äh Bunker, Manager und Buchhalter. Diese Kenntnis hätten sie zu unterschiedlichen Zeitpunkten unter anderem über die Bearbeitung von erlangt beziehungsweise über Anfragen seitens der Behörden im Rahmen von Ermittlungsverfahren gegen ihre Kunden, welche von den Angeklagten entweder überhaupt nicht, verspätet beantwortet wurden, ja? Äh also die wussten, was da abgeht und ähm. Jetzt äh, sagen Sie weiterhin die haben also alle einen Tatbeitrag im Rädchen des Getriebes gemacht und somit zum Gesamtziel der Gruppierung beigetragen, Und zwar hätten alle gewusst, dass die Kunden generell die Server für strafbare Handlungen nutzen, aber die generelle Kenntnis, dass illegale, gehostet werden, reicht nicht für den Gehilfenvorsatz, dass sie nämlich quasi konkret über eine konkrete Haupttat Bescheid gewusst hätten, Das wurde ihnen nicht nachge, und deswegen haben sie hier jetzt auch eben diese Beihilfe äh nicht bekommen. Der Oberstaatsanwaltschaft hat direkt angekündigt, er wird prüfen, ob er äh Revision einlegt. Ähm der Verteidiger des Hauptangeklagten sagt, es handelt sich nicht um eine kriminelle Vereinigung denn es gab kein Geschäftsmodell und weil das ohnehin juristisches Neuland sei äh erwartet er, dass man am Ende ohnehin vor dem, ähm Bundesgerichtshof steht. Wie gesagt, hier wird es ist. Hier ist ein relativ hohes Rechtsgut, diese Provider äh. Freistehendes Provider Privileg ist sehr wichtig für das gesamt funktionierendes Internets, wie es gerade ist. Wenn das fällt, haben wir ein Riesenproblem und, gleichzeitig ist es und diese Cyber-Bunker-Leute sind halt Arschlöcher, ne? Und man man will jetzt also es ist schon, man will mit denen wirklich nicht sympathisieren, Sitzt da jetzt eher und zittert, dass weil die Arschlöcher halt das ausgenutzt haben und sich benommen haben im Internet wie eine offene Hose, noch dazu, also das haben wir ohnehin schon gemacht, irgendwelche Angriffe und so. Das war halt echt ein bisschen komische Vögel und dann auch noch quasi, ne, das illegale Hosting zum Geschäftsmodell erheben. Das ist am Ende halt ein Angriff auf auf dieses Provider Privileg und da muss man natürlich jetzt hoffen, dass die. Dass die deutsche Justiz und auch die deutsche Legislative hier den coolen Kopf bewahrt und sagt alles klar, wir holen uns die in den Knast, irgendwie alle so irgendwie zwischen ich glaube fünf und sechs Jahren oder so was, äh über äh über die, Möglichkeiten, die wir haben, aber wir kratzen jetzt nicht am äh Provider-Privileg. Tja.

Tim Pritlove
1:57:29
Linus Neumann
1:57:43
Tim Pritlove
1:58:17
Linus Neumann
1:58:24
Tim Pritlove
1:58:36
Linus Neumann
1:58:39

Okay, kommen wir mal weiter hier. Kommen wir zum Digital Services Act und Digital Markets Act. Und zwar äh. Zunächst mal DSA Ich zitiere jetzt mal so ein bisschen die Berichte von Patrick Breier, weil das ist jetzt wieder so etwas, ja, da gibt's dann so ein bisschen Berichterstattung, aber das ist so High-Level, weil das ist ja irgendwie so in den Ausschüssen und so, ne und da entstehen ja eigentlich die wichtigen Entscheidungen, Aber die werden noch nicht so so breit berichtet und äh da Patrick war ja unser Ansprechpartner für diese Themen ohnehin ist und bin ja auch wieder in die Sendung holen werden dazu. Ähm. Ja, der Ausschuss für Binnenmarkt und Verbraucherschutz hat jetzt seinen Bericht ähm, verabschiedet beziehungsweise äh angenommen und äh Folgendes sagen Sie. Äh zu den Upload-Filtern. Es sollen keine neuen Uploadfilter verpflichtend werden, ja. Ähm aber, Das ursprüngliche der ursprüngliche Plan war auch den freiwilligen Einsatz dieser Filter zu verbieten. Das haben sie nicht gemacht. Also es ändert sich in der Praxis nichts. Wer ein Uploadfilter hat, hat ihn, die werden jetzt nicht verboten oder behindert, ähm aber, gleichzeitig ähm es kommen keine neuen hinzu. Ne, schon mal halbwegs okay. Dann das versprochene Recht auf anonyme Internetnutzung, ja, um den ständigen Datenlex und dem Datenmissbrauch im Netz ein Ende zu setzen, soll nicht kommen. Äh. So staatliche Behörden sollen eben potenziell ohne Richterbeschluss umfassende Surfprotokolle der Userinnen anfordern können. Aber immerhin soll sichere Verschlüsselung garantiert werden, also Recht auf Verschlüsselung. Ähm na ja. Das sieht also nicht ganz so irre aus und eine flächendeckende Vorratsdatenspeicherung auf Internetportalen soll erstmal ausgeschlossen werden. Also hier Recht auf Anonymität wäre natürlich schon mal was Schönes gewesen und ansonsten versuchen sie, das klingt mir alles so ein bisschen, dass sie versuchen, dort dann doch am Status quo zu bleiben, ja und nicht irgendwie weit darüber hinauszuschließen, zu schießen, aber eben und zwar leider dann auch in keine Richtung.

Tim Pritlove
2:00:52
Linus Neumann
2:00:55
Tim Pritlove
2:01:54
Linus Neumann
2:02:00

Dann ging es um um diese Löschungsgeschichten ähm und zwar primär ähm. Über Grenzen hinweg, selbst wenn sie im Land der Veröffentlichung völlig egal sind, ja, dass da auch darüber hatte der Patrick mit uns gesprochen. Also Viktor Orban kann zukünftig auch in Deutschland löschen auf Grundlage seiner eigenen Gesetze. Sollten Netzwerken verboten werden, werden sie aber nicht. Und die Internetplattform müssen Userin auch nicht fragen, bevor sie löschen, sondern können einfach löschen. Immerhin das Einzige, was äh er hier positiv hervorhebt, ist, eine automatisierte Sperrung von Nutzerinnen, die angeblich wiederholte Urheberrechts- oder Rechtsverstöße begangen haben, soll nicht kommen. Ja, das wollten sie auch noch quasi fordern. Hm und er freut sich immerhin. Im DMA über die Inter-Operabilitätsforderung, denn im da kommt jetzt schon die Idee vom ähm. Dass dass diese Internet äh diese Messengern soll dann eben doch äh von. Soll er doch noch herbeigeführt werden. Also da da wäre dann eben genau diese EU äh Bewegung und das Thema hatten wir gerade ähm ausführlich besprochen Also so viel von dort. Wir machen dann noch mal, ich wie gesagt, dieses Thema ist so umfassend. Ähm da muss man uns irgendwie Hilfe von Thomas äh und oder Patrick holen, um um das nochmal in Ruhe aufzuarbeiten, entweder Ende dieses oder Anfang nächsten Jahres. Und jetzt gibt's hier noch äh ein kleines Schätzchen zum Ende. Zwei Schätzchen kommen noch zum Ende. Und zwar einmal, gibt es in Österreich das epidemiologische Meldesystem. Und das ist ein zentrales Register für ansteckende Krankheiten. Da kannst du ähm da da sammeln die drin, wer Corona hat. Dadurch hat das jetzt natürlich viel ähm ähm. Viel Aufmerksamkeit bekommen oder viel mehr Nutzung, aber auch so Sachen wie äh Syphilis, Aids, Malaria und andere anzeigepflichtige Erkrankungen kannst du da eintragen, ja und üblicherweise hast du dann hast du ja weil die nicht äh pandemisch sind diese Krankheiten, hast du halt eine meldepflichtige Krankheit, dann kommt die Person eben in dieses epidemiologische Meldesystem, ja? Und jetzt passiert folgendes. Es gibt eine Firma. Die macht PCR. Das ist die Firma HG Labruck. Und die bekommt, also macht PCR-Tests, ja? Und jetzt werden halt die Zugänge zu diesem EMS-System werden. Kriegt nur eine Person und zwar in diesem Fall der Geschäftsführer. Ja und dieser Geschäftsführer kriegt jetzt einen Zugang zum EMS. Das ist, wenn ich das richtig verstanden habe, funktioniert das mit Zertifikaten. Ist er jetzt auch äh unerheblich? Denn diese Firma EMS, da zieht sich jetzt als erstes mal der Geschäftsführer irgendwann zurück. Äh diese Firma HG Laptop, der der äh zieht sich der Geschäftsführer zurück. Die behalten aber quasi diesen EMS-Zugang. Und diese Firma HG Laptr. Die ja eben PCR-Tests macht und dann im EMS das eintragen muss hat es aber dann nicht selber gemacht sondern das Eintragen an ein steirisches Subunternehmen ausgelagert und den dann quasi wieder dieses Zertifikat gegeben. Dieses steirische Subunternehmen erklärt, äh sie hätten diese Tätigkeit an eine weitere Firma Wienerfirma ausgelagert. Dieser Zugang, also dieses Zertifikat zum Zugang wurde ähm via unverschlüsselter E-Mail an verschiedene Mitarbeiter verschickt, ebenso wie Excel-Dateien die persönlichen Daten von covid-infizierten, die die Mitarbeiter dann von ihrem Privatrechner in dieses EMS eintragen sollten? So Mit diesem mit diesem Zugang, den das Labor ursprünglich mal bekommen hatte, konntest du jetzt von jedem beliebigen Gerät im ganzen Land aus Krankheiten für alle Personen mit österreichischer Staatsbürgerschaft eintragen. Nicht nur Coronainfektionen, auch Aids, vieles Malaria und so weiter und du kannst Namen und Adressen abfragen, äh wenn die, Betroffenen ihren Wohnort in zentralen. Melderegister sperren ließen. Also mit anderen Worten, selbst die es gesperrt haben, konnte es trotzdem noch drauf zugreifen. Weiterhin konntest du schauen, ob man in den letzten äh Wochen an Corona erkrankt ist. Wenn das so war, konnte man E-Mail-Adresse und Handynummer sehen.

Tim Pritlove
2:06:53
Linus Neumann
2:07:02
Tim Pritlove
2:07:16
Linus Neumann
2:07:19

Genau, ja. Äh der HG Laptop wurde der Zugang nach Hinweis des Standard äh vom Gesundheitsministerium entzogen. Da sagt er ja, aber nur weil du dich da einträgst, kriegst du ja nicht sofort ein Genesungszertifikat, weil das wäre nämlich jetzt auch das Business gewesen, ne, neben dem riesigen äh Misstrauenspotential kannst du halt da irgendwie eintragen, alles klar, wir haben dieser Mensch hatte äh Corona kriegt Genesen Zertifikat ne. Also das ist äh auch wieder, ich meine, mir mir fällt natürlich auf, das sind klassische ähm, IT-Probleme, wenn du jetzt so ein System hast, wahrscheinlich hat ein paar Monate vorher kein Mensch sich um dieses EMS äh für dieses EMS interessiert ja? Aber jetzt musst du auf einmal vielen den Zugang dazu geben. Und dann passieren natürlich solche Dinge, dass da dass da nicht auf den ordentlichen, Prozess geachtet wird, man die ja Nutzermanagement macht und dass das einzelne also das das du da halt ein Zertifikat bekommst, was du dann irgendwie an Subunternehmen und das an Subunternehmen und das an seine Mitarbeiter, die vom Zuhause Rechner diesen Zugriff verteilt, ist ja absoluter Irrsinn. Ja? Aber so so laufen die Dinge halt leider, wenn man sie nicht ordentlich regelt. Ja und im ich ist jetzt ein sehr weit hergeholter Vergleich aber ähm. Ähnliche, Probleme haben wir ja hier auch mit den Impfzertifikaten, ne, dass du auf einmal sehr schnell dann doch sehr viele Menschen abfertigen musstest, deswegen sehr viele Leute Zugang auf diese Infrastruktur erhalten und da dann eben schwarze Schafe drunter sind. Also gewissermaßen gleiches Problem. Nur hier halt technisch die Grundlage dafür gelegt, indem man sagt, okay, alle dürfen darauf zugreifen oder es gibt halt irgendwie nur ein Zertifikat pro Unternehmen und das wird nicht irgendwie sinnvoll gemanagt oder aufbewahrt.

Tim Pritlove
2:09:10

Klar, ich meine dieses, Totale Katastrophe. Jetzt kann man natürlich schnell sagen, ja seht ihr mal, das ist ja das Problem, wenn man so eine zentrale Datenbank hat und das stimmt natürlich insofern, als das so eine zentrale Datenbank natürlich, Genau solche, möglichen Probleme mit sich bringt, wenn man sie denn nicht von vornherein ordentlich mitdenkt und meine Vermutung wäre äh in diesem Fall, dass diese Zertifikate quasi so gedacht waren für die Mitarbeiter, die im Rahmen, also auch in diesem innerhalb dieser rechtlichen Grenze, Äh ich weiß gar nicht, wo das aufgehangen ist, wahrscheinlich innerhalb einer Behörde, irgendeines Instituts. Ja, also die unmittelbar für dieses EMS zuständig sind und normalerweise eben solche Meldungen über Ärzte erfolgen so ah, hier ist meine aus dem Urlaub zurückgekommen, der hat jetzt irgendwie Cholera, Ah okay, dann sagen Sie mir mal wie der heißt. So, da wird in so einem zehn Minuten Telefongespräch ähm von einer ähm, autorisierten Mitarbeiterinnen dieses EMS, die dann halt so ein Zertifikat hat an ihrem Arbeitsplatzcomputer, die trägt das dann ein und dann, passt das auch schon. Jetzt kam irgendwie Corona und auf einmal hattest du's irgendwie mit 1tausend verschiedenen Unternehmen die PCR-Tests zu tun oder vielleicht auch erstmal nur ein paar hundert. Egal, auf jeden Fall vielen. Also auf einmal entstand eine extrem hoher Datenzugriffsbedarf, für Leute außerhalb dieser Struktur, weil zwangsläufig diese Struktur selbst das so nicht machen kann. Da kannst du ja nicht jetzt für jeden Menschen da anrufen. Für jeden einzelnen PCR-Test, der da durchgeführt wird, skaliert einfach nicht. Also haben Sie dann einfach die Methode, die Sie bisher hatten, Ja, ach ja dann müsst ihr das dann halt eintragen. Nur jetzt natürlich mehrere Sachen problematisch erstmal das, was wir jetzt hier schon unmittelbar gesehen haben, so dieses Weiterreichen des Zertifikats, dass das von Leuten verwendet wird, die das gar nicht haben sollten, ja, dass das irgendwie auch ungeschützt weitergeleitet wird, dass äh keinerlei Begrenzungen äh gab und natürlich, wie ich vermute, jetzt anhand dieser Schilderung, was für Datenauswertungen gemacht werden kann, dass natürlich der Zugriff dann mit diesem Zertifikat auch gleich vollständig und total war. Also man könnte dann sofort alles ändern und alles sehen. Was natürlich nicht geht, weil es auch vollkommen ausgereicht hätte bei diesem PCR-Test halt, okay, hier ist Personen identifiziert mit was weiß ich, Personalausweis, Nummer was auch immer. Ja, hat diesen Test und dann fließt das über eine definierte Schnittstelle äh automatisiert rein, und muss dann vielleicht noch irgendwie abgesegnet werden, obwohl sie übernommen werden, aber das ist nicht automatisch eine Erlaubnis damit verbunden ist, alle Daten abzurufen, aber das hat natürlich zu dem Zeitpunkt niemand äh gesehen und dann war eben auch niemand in der Lage, das so kurzfristig an die Bedingungen anzupassen und damit man das überhaupt noch bedienen konnte, ist man dann halt diesen Weg gegangen. Nachvollziehbar, wie es passiert ist, macht's nicht besser und ähm ist ein generelles Problem, aber das Problem resultiert eben auch einfach, aus mangelhafter, staatlicher digitalen Planung. Das sind eben genau diese Dinge, von denen wir immer reden, wenn wir sagen, der Staat muss sich einfach auf die digitale Welt einstellen, es muss mehr Kompetenz da sein, es muss im Zweifelsfall halt auch ein bisschen Überkapazität sein, um eben, wenn bestimmte äh Systeme besonderer Bedeutung zugeführt werden, wie eben in einer Pandemie so eine, zentrale Erfassungsstelle, die wir ja so in Deutschland gar nicht haben, aber in Österreich ist es ja dann entsprechend vergleichbar, dass dass man dann eben auch in der Lage ist, hochzuskalieren, dass man sagen kann, oha, okay, gut, wir brauchen jetzt eine Schnittstelle für diese ganzen PCR-Unternehmen. Ist ja nicht so, dass so was nicht leistbar wäre innerhalb von äh einem bestimmten Zeitraum. Da muss man dann nicht gleich so äh vorgeben.

Linus Neumann
2:12:57

Ja, das ist einfach nur peinlich und wenn wir schon bei peinlichen Dingen sind, ne, weil der Staat mal wieder was peinliches macht, ne. Wir haben ja, ID Wallet gehabt in Deutschland. War ein kurzer Moment der Glückseligkeit, wo wir diesen digital hatten wir den äh ID Wallet hatten wir, ja, geile Nummer. Irgendwie fünf Minuten gedauert, bis da irgendwie haarsträubende Schwachstellen drin gefunden wurden und dann konnten sie das Ding einklappen, ja? Ein lustiger Tag hatten wir einen schönen Nachmittag mit, ja. Jetzt gibt es eine ähm, Anfrage an das Bundeskanzleramt bei frag den Staat. Die ähm dort gestellt wurde. Und zwar ähm eine ganze Reihe an Fragen und Dokumenten, in denen in denen insbesondere eines sehr interessant ist, nämlich der IT-Sicherheitsbericht, GmbH, die Digital NALIN GmbH. Ist das Unternehmen, was gegründet wurde, um dieses ID Walleting zu machen, ne? Das war ja E-Satus und IBM zusammen, ja, die dann irgendwie gesagt haben, so und jetzt tatsächlich auch die zitieren hier auch an, aus E-Mails, die eben an E-Satus ging, die haben ja quasi für dieses Projekt die Digital and Avling GmbH äh gegründet, und hm jetzt schildern sie irgendwie in diesem IT-Sicherheitsbericht, wir mussten sie im Zweifelsfall der Bundesregierung oder den Bundeskanzleramt vorlegen, denn da kommt die IFG-Anfrage Antwort ja her. Mir ist jetzt nicht klar, wen der äh, an wen er adressiert ist, aber es ist im Prinzip einfach deren Bericht, was denn da auf aus ihrer Sicht äh passiert ist. Erstmal sagen sie wie geil das alles ist, was sie da gebaut haben und dann sagen sie. Sie wurden also von zwei Sicherheitsforschern offiziell über zwei Schwachstellen in Systemen informiert, die unabhängig zur ID Wallet und zugehöriger Infrastruktur betrieben werden? Ähm einmal unkonfigurierte Wordpress Installation auf ihrer Domain. So eine unkonfigurierte Installation auf deiner Dummheit und dann äh Möglichkeit eine Subdomain Takeover wo sie nämlich ähm ähm Supplemades hatten, die auf Microsoft Azure zeigen. Dort am anderen Ende eben keine virtuelle Maschine mehr war ähm und da konntest du dann, hättest du jetzt deine eigene hinlegen können, dann wärst du bei denen unter der Subdomain gewesen. Jetzt kommt der interessante Teil. Am vierundzwanzigsten, also ich zitiere aus diesem Bericht, ja, was die also schreiben. Am vierundzwanzigsten neunten zwanzig einundzwanzig, um bereits einundzwanzig Uhr vier. Erfolgte auf Twitter durch den Account at Flipkeyt der Aufruf Happy Hacking everyone. Gleichzeitig wurde unter dem Titel Helge Chain und er dem erneuten Aufruf Happy Hacking everyone auf GitHub eine Liste mit DNS-Auflösungen erstellt durch DNS-Zonentransfer. Zu von der AG verwalteten Domains publiziert. Der Begriff Helge Chain bezog sich dabei explizit auf Helge Braun, Mitglied des Deutschen Bundestages, Bundesminister für besondere Aufgaben und Chef des Bundeskanzleramtes und dessen, begleitenden Twitter-Posts zum Start des digitalen Führerscheinnachweises, sowie. Die generelle Abneigung der in Anführungszeichen Community, zu allen Technologien im Innovationsbereich Blockchain. Der gezielte Aufruf in eindeutig politischem Kontext mit Polemik und Hasstiraden. Indikator für eine Gruppenbildung, Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinität zu gezielten Ausweitung einer negativen, öffentlichen Meinungsmache und Provokation eines sogenannten in Anführungszeichen Shitstorms. Klammer auf, konzertierte, hier unten, Anti-Aktionszeichen oben von Aktivistinnen der jüngeren Vergangenheit hatten ähnliche Verläufe, Vergleiche Luca App, Ausstellung von Impfzertifikaten in Apotheken, HPI Schulcloud, Klammer zu. Schon mal lustig, weil hier ja letztendlich, hä, also die die Veröffentlichen hier eine eindeutige Schrottepp. Und werden dafür ähm, werden die die wird natürlich einer zynischen Kritik und einem einem gewissen Argwohn unterzogen, ihnen werden aber die Schwachstellen gemeldet, ja? Das ist ja das, also sie sagen hier, das ist ja eine politische Gegner mit Haking-Affinität. Sie wollen einen Shitstorm provozieren, ja unglaublich, ja? Also was was für ein Quatsch ist, ja und vor allem also eine eine üble Diskreditierung halt der äh Sicherheitsforscher, die Ihnen ja die Schwachstellen melden. Jetzt kommt äh jetzt geht's weiter hm. Die Verantwortlichen der Digital Enable GmbH und AG bezogen diese Informationen und unter anderem weitere Parameter, wie nachfolgend aufgelistet, in eine Risikobeurteilung ein. Es besteht ein öffentlicher Haking-Aufruf gegen die Systeme der Digital N-Abling GmbH und der Elysatus AG. Großer Begriff öffentlicher Haking-Aufruf. Als wenn Hacker irgendwie aufgerufen werden müssten, ne. Ich meine, du hast ja eine du hast ja eine ähm. Ausweis-Infrastruktur für eine Bundesrepublik geschaffen und jetzt bist du nervös, weil es einen öffentlichen Haking-Aufruf gibt, ja?

Tim Pritlove
2:18:26
Linus Neumann
2:18:35

Nächster Spiegelstich. Offenkundig stehen die für die Digital in Abling GmbH im Kontext der ID Wallet betriebenen Systeme nicht isoliert im Fokus, sondern potenziell alle Systeme. Der Elsatos AG. Aufgrund der öffentlichen Äußerung einer versierten in Anführungszeichen Hacker-Community sind gezielte, konzertierte Haking-Angriffe auf alle Systeme möglich oder sogar wahrscheinlich. Aufgrund der negativen Intensität von Äußerungen und der teilweise politisch motivierten Diskussion besteht ein hohes Bedrohungspotential. Nicht weil du eine du nicht weil du eine Ausweisinfrastruktur gebaut hast die der Russe haben will oder so ne. Nein nein nein weil irgendjemand auf Twitter Happy Hacking äh geschrieben hat. Die anderen Systeme außerhalb des Kontextes, der ID Wallet werden mit angegriffen, um eine breite Front gegenüber der Digital Eving GmbH und der Elysatus AG aufzubauen. Überlegt war, dass akute Bedrohungsszenario lässt sich nicht mit einer einzelnen Maßnahme in kurzer Zeit adressieren, beispielsweise sind die NS Updates technisch beginnt, erst zeitlich verzögert aktiv. Und dann abzuwägen sind negative Reputationseffekte durch eine präventive Gesamtabschaltung gegenüber möglichen Seiteneffekten durch Angriffe. So, das waren quasi die Risikofaktoren und im letzten, ne, sie haben also jetzt, also um das noch mal zu übersetzen, sie haben ja jetzt gesagt, so oh Shit, nicht nur uns, sondern nicht nur all die Wallets, sondern alles, was da dran ist, gucken die sich auch an. Und wir müssen jetzt überlegen, was sind Repräsentationseffekte, wenn wir das Ding abschalten. Über möglichen Effekten durch Angriffe, ja? Das legen Sie jetzt vor. Jetzt muss ich ja zusagen. Also dass Sie denken äh die die wollen die das ganze Unternehmen hacken, ist natürlich Quatsch. Die Angreifer, in diesem Fall Sicherheitsforscher, die ja auch die Mails übrigens geschrieben haben, ja? Diese Supplemain Takeover ist ja die Schwachstelle, die Flüpfke, die den gemeldet hat. Ähm also der politische Gegner, der fröhlich und freundlich dir an deine, E-Mail-Adresse, die die Meldungen liefert über die Schwachstellen, die ihr findet, ja, dieser gemeine politische Gegner, warum schaut er unter den Subdomas der Unternehmen? Na ja, weil du da üblicherweise die Testinfrastrukturen findest. Also du du guckst dir natürlich an, okay die Wallet, was findest du, was gibt's da so? Und dann guckst du an, okay, hat vielleicht die haben die beteiligten Unternehmen nicht, vielleicht auch noch irgendwo was rumfliegen, wo man mal drauf schauen kann, Deswegen deswegen suchst du natürlich da, ist ja klar, wär's ja blöd dann aufzuhören und zu sagen, nee, nee, da beginnt ja das Unternehmen, da werden ja bestimmt nicht ihr haben oder weißt du ähm na ja. Das nur als kurze äh Erklärung, ja? Also du hast hier den den den den dümmsten politischen Gegner, der dich hacken will, dir gleichzeitig responsibles closers macht. Und. Jetzt kommt, also jetzt haben sie hier diese äh sieben Punkte und jetzt sagen sie, die Risikobeurteilung erfolgte durch die Verantwortlichen auf Seiten der Digital an GmbH und Ey Satus AG. In Abstimmung mit der Bundesdruckerei GmbH demzufolge unter besonderem Zeitdruck eine sich schnell aufbauende Angriffswelle von fachlich höchstversierten Angreifern mit extrem negativen, zu dem politisch motivierten Interessen würde, wurde für möglich gehalten, gemeinsam mit den Projektverantwortlichen und der Bundesdruckerei GmbH wurden am 2409. gegen 23 Uhr nach sorgfältiger Abwägung unter gegebenem Zeitdruck folgende, präventive Maßnahmen beschlossen und umgesetzt. Erstens. Offline-Setung, die am Standort langen befindlichen Systeme werden umgehend von der Internetverbindung getrennt, sowie verschiedene in Cloud-Infrastrukturen betriebene Systeme werden umgehend deaktiviert. Zweitens, gestaffelte Wiederinbetriebnahme. Es erfolgt über die folgende Tage eine prioritätsgeleitete Wiederinbetriebnahme der Systeme. Im Zuge dessen erfolgen zusätzliche Tests vor der erneuten Freigabe für die Online-Anbindung. Langen, 5undzwanzigsterNeun20, ein2und, So, warum habe ich den ganzen Kram jetzt noch vorgelesen?

Tim Pritlove
2:22:51
Linus Neumann
2:22:52

Weil öffentlich immer gesagt wurde, die haben das abgeschaltet, ähm weil das System der großen Last nicht widerstehen konnte. Und das war ja damals schon lustig, dass das halt, einfach nur Quatsch sein kann, ja weil äh ich glaube da hatte ich ja den den Tweet von Henrik Plotz äh zitiert, indem er auch sagt ähm ja hier die haben, 30 so Führerscheine ausgestellt, nicht pro Sekunde, sondern insgesamt. Und jetzt ist das System platt, ja, Und sie haben's halt abgeschaltet. So, das sind also jetzt hier zwei dann doch sehr interessante Fakten, weil diese Behauptung, das wäre unter der großen Last abgeschaltet worden und würde jetzt bald wieder hochgefahren mit größeren Ressourcen, die war eben unwahr. Ne und äh das ist natürlich so die Sache da, muss man ganz ehrlich sagen. Ich meine, ich kann schon verstehen, dass man ein System Not abschaltet, ja? Aber nicht unbedingt, weil irgendjemand was getwittert hat, ja ähm und vor allem nicht, sollte man nicht in einer solchen Situation sein, dass man ein ne, ein eine Ausweisinfrastruktur zusammen mit der Bundesdruckerei, Für die Bundesrepublik Deutschland baut? Und dann so nervös sein. Und so wenig sich das Ding angeguckt haben, dass wenn man es online nimmt und der Erste sagt, guck mal hier, der hat gar nichts im Griff, dass man's dann direkt wieder offline nehmen muss. Ja? Also ich wie gesagt es gibt Notabschaltungen, die sind manchmal nötig, ja? Aber doch nicht also wie ist dieses Projekt gemanagt, dass quasi zwei, drei Tweets, denen den Eindruck vermitteln. Sie müssen jetzt alles abschalten. Ja, das heißt ja, dass sie sich, dass sie überhaupt keinem vertrauen in die Sehnfrastruktur hatten. Ja? Also wenn du jetzt äh wenn du jetzt sagst, du du betreibst da irgendwas, ja? Jetzt sagt einer hucking, so dann dann hast du ja eigentlich eine eine Risikoabwägung, ein Sicherheitskonzept, dann weißt du, okay. Wir haben uns wir haben die wichtigsten Risiken geprüft. Wir wissen, da kann nicht viel kommen. Ähm. Wollen wir mal schauen. Wenn die was finden, können wir immer noch abschalten. Insbesondere jetzt am Anfang, wo das Scheißding eh noch keiner nutzt, aber dass du quasi äh wie man so schön sagt, äh Selbstmord aus Angst vor dem Tod begehst, das zeigt ja, dass du wirklich halt überhaupt gar kein Verständnis davon hast, äh was da, was du da überhaupt äh am Laufen hast. Und schaltest doch direkt alle Server von deiner Firma mit ab. Das ist schon ziemlich äh. Bemerkenswert, würde ich sagen.

Tim Pritlove
2:25:25
Linus Neumann
2:25:42
Tim Pritlove
2:27:01
Linus Neumann
2:27:59

Das finde ich übrigens auch also das ist etwas, was ich jetzt mal so insgesamt dazu noch äh sagen muss, ne, wie, Mit Menschen, die Sicherheitslücken melden umgegangen wird. Das hat sich in diesem Jahr in meiner Wahrnehmung echt krass verändert. Ja ähm. Schauen wir uns an, ja wir haben ja hier mit äh Markus gesprochen, ne, Markus Mengenks, der die Luca-App-Sachen gemeldet hat. Dem haben sie ja auch, ziemlich üble Dinge unterstellt, ja? Äh unter anderem äh er hätte nicht ordentlich gemeldet und was nicht alles, ja, was ich ja, was ich ja schon, ehrverletzend finde. Schau dir an ähm hier das äh Vorgehen der CDU gegen Littlet Wittmann mit ihrer Connect-App. Ja äh also, mit der Connect-App der CDU ist ja nicht die App von Lilly, wird man ja nur gefunden, dass die eine offene ABI ist. Ähm und, Und und schau dir auch an, was weiß ich, zu welchen Versuchen dann doch relativ kläglicher Natur, sich die ähm Macher der Luca-App dann auch herablassen, ja? Und die Investoren. Das ist es ist irgendwie so eine ähm, Also es war früher so und es nee war auch nicht früher so. Aber du hast, nee, stimmt eigentlich nicht. Aber ich hatte ein paar Jahre den Eindruck. Dass man in der Vinolbility Disclower ähm inzwischen so ein bisschen erwachsen ist, ne. Ich mache das ja sehr viel für, CCC-Mitglieder, für Leute, die nicht CCC-Mitglied sind, die dann einfach hier sich äh beim CCC melden unter des Closia DE oder direkt bei mir und sagen, pass mal auf, ich habe das. Kannst du mal kurz was zu sagen? Ja und üblicherweise, gucke ich kurz über den Bericht, sage pass auf, das nochmal besser erklären nicht ganz verstanden und den und den Teil raus, weil das Quatsch oder unnützes Beiwerk, ja? Und dann kriege ich ja auch immer die Antworten mit, wie das so weiter verläuft. Schreiben Sie zurück und hier oder manchmal mache ich die Meldung ja auch für die Leute und üblicherweise kriegst du inzwischen schon, einfach eine in in in gewissermaßen professionelle Antwort, dass dir gesagt wird, vielen Dank für die Meldung. Äh wir haben folgende Maßnahmen ergriffen. Wir halten sie über weitere Maßnahmen auf dem Laufenden, äh danke sehr, ja? Und das ist so ein bisschen immer das, wo ich dann denke, na ja, okay, das ist die das ist die professionelle Antwort, die du bekommen kannst und dann hauen wir da ja auch jetzt nicht irgendwie übel weiter drauf, weil, ne Fehler machen und wenn die Leute irgendwie sich des Fehlers bewusst sind und damit ordentlich umgehen. Aber, Und es wurde ein gefühlt hatte ich den Eindruck in letzter Zeit seltener, dass so halt an so Leute gerätst, die völlig unsoverän damit umgehen. So ein bisschen, was ich erstmal als positiver für die Unterhaltung ein bisschen schade, aber erstmal als eine positive Entwicklung, gesehen habe, dass die Gesellschaft sich eben zum ja vernünftigen Umgang mit vernünftigen einerseits und auch aufrichtigen Umgang mit Sicherheitslücken hin entwickelt. Aber was du jetzt hier siehst, ist ja dann doch äh ein bisschen was anderes, ne?

Tim Pritlove
2:31:01
Linus Neumann
2:31:35

Ja und aber auch offenbar, dass den also ich finde es dann halt ähm ja, also es ist schon auf eine Weise bedauerlich, weil also, okay, warum ich, warum ich das so so schwierig finde, was da passiert. Es gibt Leute, die bauen jetzt irgendwelche sicherheitsrelevanten Dinger, ja und die haben erkennbar keine Ahnung davon. So, dann kommt die Community in ihrer Freizeit hin. Und äh reibt dir das unter die Nase, ja? Ähm letztendlich ist das ein, sicherlich nicht immer angenehmer Vorfall äh oder Prozess für die Betroffenen, die da ihren Mist in die Welt gesetzt haben. Aber es ist eben auch ein notwendiger und reinigender Prozess, ja? Und es ist immer noch besser als wenn diese ID Wallet jetzt Verbreitung gefunden hätte und dann Menschen durch die die verwenden dadurch zu Schaden kommen. Ja? Ähm, Aber für die Öffentlichkeit. Sind ja quasi diese ganzen Angriffe oft nicht nachvollziehbar. Ja? Also da da ist es dann am Ende geht es darum ja hier, Dieser Hacker sagt äh Schwachstelle, die sagen nein Hacker Idiot, ja? Und jetzt geht's so bisher hat die Hackerszene einen tadellosen Ruf und den hat sie sicher vor allem dadurch erarbeitet, dass sie halt auch in der Regel nur Schwachstellen meldet, die wirklich welche sind, weil sie halt Ahnung haben, ja? Und natürlich auch untereinander checken. Wenn du aber jetzt, Wenn sich jetzt quasi die Unternehmen, die in meinen Augen eben völlig verantwortungslos irgendwelchen Mist in die Welt setzen ohne Sicherheitskonzept wer die sich jetzt quasi auf diese. Auf diesen Weg begeben sozusagen, ja hier, äh dass der politischer Gegner zusammenraut, Otto und so, ne, dann ähm ist das quasi ein eine Bewegung wieder weg von einem vernünftigen aufgeklärten Umgang mit, Technik und IT-Sicherheitsrisiken. Und das finde ich sehr beunruhigend, was wir da in den letzten äh Wochen und Monaten gesehen haben.

Tim Pritlove
2:33:37
Linus Neumann
2:34:03
Tim Pritlove
2:34:07
Linus Neumann
2:34:13
Tim Pritlove
2:34:14
Linus Neumann
2:34:19
Tim Pritlove
2:34:25
Linus Neumann
2:34:29
Tim Pritlove
2:34:33
Linus Neumann
2:34:59
Tim Pritlove
2:35:05
Linus Neumann
2:35:43
Tim Pritlove
2:36:13
Linus Neumann
2:36:54