LNP416 Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinität

Feedback — Assange — log4j — NSO-Exploit — Klarnamenpflicht & Telegram — Cyberbunker-Urteil — Digital Services Act / Digital Markets Act — EMS-Leak — ID Wallet

Die letzte Woche wurde die digitale Welt von einer neuen Sicherheitsschwankung erfasst, die noch lange anhalten dürfte: wir besprechen ausführlich, welche Auswirkungen ein fehlgeleitetes "Feature" in der Java-Logging-Bibliothek log4j nach sich ziehen wird und was man künftig dafür tun kann, solche Desaster zu vermeiden. Dazu viel Feedback, eine erste Analyse der Exploittechniken von NSO, das Cyberbunker-Urteil, neues zu DSA und DMA und noch ein paar Possen aus Österreich und Deutschland.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten Morgen Linus.
Linus Neumann
Guten Morgen.
Tim Pritlove
Ich glaube, heute geht's endlich mal ums Loggen.
Linus Neumann
Und nicht immer nur um Netzpolitik.
Tim Pritlove
Logbuch oder soll ich sagen Netzpolitik Nummer vierhundertsechzehn äh Sommer? Mal gucken, ist schon fast Weihnachten man. Neunzehnter zwölfter zwanzig einundzwanzig.
Linus Neumann
Ist eine super Zahl, weil vier Punkt 16 war ja die erste äh Lok Forjay Version, äh wo man dann davon ausging, dass sie es im Griff hätten. Nee, Quatsch, das war. Nee, es nimmt ja gar nicht zwei Punkt sechzehn. Sorry, Unsinn. Aber als sechzehn eins sechs ist all die Magie ist also in den Zahlen.
Tim Pritlove
Aber lang genug hin und her rechnet, findet man schon irgendwie Magie.
Linus Neumann
Der HTP-Code vier sechzehn.
Tim Pritlove
Oh ja, hast wieder so etwas, was man ähm was eigentlich total technisch ist, aber man sich äh sicherlich auch bemühen kann, einen politischen Witz draus zu machen, Der hatte die Picot vier 16, bedeutet nämlich rangenotal. Und ähm das hat also sehr viel mit zu tun. Auch die gibt's im Internet nicht äh immer ohne Weiteres, ne.
Linus Neumann
Aber es gibt großzügige Angebote.
Tim Pritlove
Auf jeden Fall, aber wenn man dann in seiner Anfrage äh ein bisschen übers Ziel hinausschießt, so, dann kriegt man halt unter Umständen diesen Fehler, vor die Füße. Hintergrund ist der, dass man eben so Dateien ähm in Gänze anfordern kann, aber man kann auch sagen, mich interessiert jetzt nur dieser Teil. Gib mal das, gib mal das, gib mal das, was man so, was weiß ich, vorspulen kann zum Beispiel in Videos. Dass man sagt so, oh ja, ich muss eh nur bei der Minute zehn und so und dann rechnet der irgendwie aus, wo das so in der Datei sein müsste anhand irgendwelcher zuvor. Gelesener Tabellen und sagt so, ich brauche jetzt nur genau von da bis da. Und wenn man sich dabei vertut und diese Ressource, also zum Beispiel der Film, den man da anfragt, so hat diesen Bereich gar nicht mehr, weil die Datei viel kleiner ist, dann kriegt man so eine Fehlermeldung. Genau, also wenn mal wieder ein Politiker übers Ziel hinausschießt, dann ist das ein klarer vierhundert16.
Linus Neumann
Okay. Ich habe auch ein ein eine kleine Art äh äh HTTP-Errorcode gerade. Und zwar hat mir offenbar jemand ein Mikrofon schenken wollen ähm welches. Vermutlich bei irgendeinem Nachbarn abgegeben wurde und ich kann aber mit den mir verfügbaren Informationen nicht herausfinden. Wo das jetzt abgeblieben ist. Also wenn die Person sich angesprochen fühlt, würde ich mich freuen, wenn sie, äh unter Linus Bindestrich Neumann Punkt DE Schrägstrich Kontakt mal kurz mit mir in Verbindung treten könnte.
Tim Pritlove
Das bitte melde dich Syndrom. Das kenne ich ja auch, nachdem wir unsere Spendengeschichte jetzt nochmal am Umstellen müssen, ist immer eine gute Gelegenheit, da nochmal so einen genaueren Blick drauf zu werfen. Also vielen, vielen Dank, An alle, weil das hat, wieder sagenhaft gut funktioniert, muss man sagen. Also bin wirklich äh mächtig beeindruckt. Habe ich natürlich nochmal so ein bisschen geschaut, also ich habe da schon so ein paar Kandidaten, die ähm. So gut gemeinte Sachen machen wie so zehn Cent Spenden. Ja ich bin ein großer Freund des Micropayment. Das Problem ist nur, die Banken nicht. Und früher war das echt mal anders so, ne, als noch Zinsen gab und so immer noch irgendwie, Geld anlegen konnte und Sparbücher und so ne Sachen, das klingt ja heute schon wirklich wie ein Bericht aus der Steinzeit Und mittlerweile äh ist das ja sogar äh äh so schlimm, dass wenn man irgendwie zu viel Geld hat, dass dann ähm die Bank dann sogar noch Geld dafür nimmt. Aber vor allem nehmen sie halt jetzt ganz gerne Gebühren, wie das ja so im Internet überall äh der Fall ist. Und so bei zehn Cent spenden, spendet man halt einfach der Bank. Also das ist sozusagen solche Beträge zu versenden. Macht keinen Sinn. Wenn ihr nur wenig zu geben habt. Kein Problem. Ja ich fordere überhaupt nix ein, aber äh wenn ihr sozusagen irgendwie so unter zwei Euro oder vielleicht besser sogar unter fünf Euro seid, so macht das Vierteljährlich, macht das halbjährlich, macht es jährlich mir egal. Aber so äh gewinnt einfach nur die Bank und das ist ähm für niemanden gut, weil ich glaube, so die Banken brauchen's jetzt grad nicht so dringend. Also, weil die werden ja im Zweifelsfall ja vom Staat rausgekauft auf unsere Kosten.
Linus Neumann
Aber da wollen wir auch 37 Cent pro ähm pro pro Beihaut.
Tim Pritlove
7und3 Cent, das ist das ist das PayPal-Problem, ne, also auch PayPal ähm ist ja im Angebot und es ist halt so eine Sache mit PayPal, weil die eben für kleine Beträge auch enorm abzieht, ne. Also was du meinst, wenn du siebenunddreißig Cent, das ist oder siebenunddreißig Prozent, das fällt halt bei einem Euro Spenden an. Also wenn ihr irgendwie jemandem, per PayPal da so ein Euro schickt so, da bleiben dann halt ähm nur dreiundsechzig, Cent übrig. So und ist halt auch ein bisschen doof. Also auch so was lieber dann ähm halbjährlich oder so zusammenfassen. Nur mal so als kleiner Hinweis. Aber ansonsten vielen, vielen Dank an alle, die sich beteiligen, auch danke an alle, die ähm unsere äh Textilien abgenommen haben. Wir sind sehr motiviert noch äh demnächst eine kleine Überraschung hinterher äh zu schieben. Also es wird an neuen Motiven gearbeitet und ähm da gibt's dann ähm auch bald mehr zu. Ja und das war's eigentlich schon und ähm dann können wir gucken, was wir so an Feedback haben diese Woche.
Linus Neumann
Ja also, wir hatten's ja in der letzten Sendung schon vorsichtig vermutet, ähm dass die Insolvenz dieser einen Finn-Fischer GmbH nicht wirklich das Ende der Geschichte sein kann und da scheint sich tatsächlich eine äh Neuumstrukturierung des Firmengeflechts grade anzukündigen. Jetzt gibt es die. Holding und ähm die wird die alte Tochter Finn Fischer GmbH wird dabei irgendwie unter neuem Namen neu gegründet. Also insgesamt Namenskosmetik und die Geschäfte laufen aktuell wohl weiterhin gut, denn Finn Fischer wird laut einem Assessment, dem ich jetzt noch nicht so Ganz folgen kann in 33 Ländern eingesetzt. Ähm, von denen nur 36 Prozent von diesen 33 Ländern äh die den den Demokratiestempel verdient haben. Also das Business läuft weiterhin bei Finn Fischer. Wir hatten das ja schon vermutet, leider hatte der Pingu auf Twitter noch entsprechende ähm, Ja so Orsint im weiteren Sinne Recherchen hinzugefügt, in der äh sich eben da hier die Sachen hin und her äh hin und her verschoben werden. Lässt sich da erkennen, dass es da eine neue Gründung gibt Anfang zwanzig20. Tja.
Tim Pritlove
Was heißt denn das?
Linus Neumann
Das weiß ich nicht. Sitzen, also ich denke, dass das irgendeine Mischung aus äh Willen und Delicious ist oder so was.
Tim Pritlove
Also ich finde ähm es klingt so lateinisch, aber im Lateinischen gibt's nur wie wie Licus.
Linus Neumann
Das ist eine eine Mischung aus Wishes und Villen oder so was, ja. Also auf jeden Fall nix Positives.
Tim Pritlove
Also wie Licos heißt Villa.
Linus Neumann
Wisches.
Tim Pritlove
Verwalter, Gutsverwalter. Vielleicht haben Sie's daraus abgeleitet.
Linus Neumann
Ist mir egal. Es ist genauso wie bei Facebook, die können sich auch umbenennen, die bleibt gleiche Dingen. So und Raider hat das auch schon mal versucht, da sind sie auch nicht mit durchgekommen. So, dann haben wir. Messenger Interoperabilität als Thema gehabt. Hm da gab's natürlich viele ähm Antworten zu. Einige die äh, ja nicht ganz den Kern verstanden haben, was wir was wir tatsächlich als das Problem sehen und einige, die dem Problem äh ähm sinnvoll geantwortet haben, davor habe ich mal drei rausgesucht.
Tim Pritlove
Soll ich mal vorlesen?
Linus Neumann
Ja, könntest du den von Maximilian? Das ist ein Ausschnitt aus dem Kommentar von Milli Maximilian.
Tim Pritlove
Er schreibt. Den Vorwurf von Moxi und anderen, man sehe ja an E-Mail, dass das nicht funktioniert, teile ich nicht.
Linus Neumann
Also Förderierung, Förderierung nicht funktioniert, muss man vielleicht noch kurz ergänzend.
Tim Pritlove
Darauf bezieht es sich in dem Moment, genau. Beispiel, man kann als Mailprovider doch selbst entscheiden, welche Abwärtskompatibilität man zulässt. Es ist doch nicht so, dass es da keine Weiterentwicklung gäbe. Man kann auch als Endnutzer jederzeit seine interoperabilität individuell einschränken. Etwa Gmailabsender standardmäßig abweisen, weil die noch TLS 2null unterstützen oder einem Kumpel sagen, nö sorry, an deine Yahoo-Adresse schicke ich keine Nachricht von dieser Entscheidungsfreiheit würde doch auch beim interoperablen Messenger niemand entbunden. Wo läge da der Nachteil verglichen mit heute?
Linus Neumann
Also da muss ich glaube ich sagen, na ja ähm viel Spaß, wenn du Gmail Absender abweist, also das ist auf jeden Fall das. Ist, glaube ich, der beste Weg zur Inbox zero, ja? Ähm und gleichzeitig spezifisch das würde ja dann nicht mehr gehen, ähm wenn es ein Interoperabilitäts, Zwang gibt. Aber da haben natürlich einiges schon erkannt, ja, dieser Interoperabilitätszwang, der muss sich zumindest dann irgendwie quasi weiterentwickeln, ja? Nun gab's einen Kommentar von, Trolli Schmidtlauch, der der ein spezifischen Punkt betrifft, nämlich, dass wir gesagt haben, na ja, im Moment ist die Schlüsselverwaltung, ne, was weiß ich, bei dem einzelnen Messenger und es wird ungleich problematischer, auf einmal zwischen zwei Messengern schreiben muss, ja? Und da hat Trolli denke ich einen sehr guten Punkt zu.
Tim Pritlove
Ich sehe da ehrlich gesagt das Problem nicht, zumindest nicht im Vergleich zum von mir ohnehin als kaputt empfindenden Status Quo. Beim, aktuellen Szenario mit einer zentralen Anbieterin, Vertrauen alle derselben Zentralstelle doch bitte den korrekten Initialkie zu vermitteln. Jede Nutzerin vertraut also ihrer Anbieterin. In diesem Fall haben beide die gleiche Anbieterin. Wenn wir jetzt in ein Szenario wechseln, bei den Nutzerinnen jeweils verschiedene Anbieterinnen haben, die aber jeweils wechselseitig direkt miteinander kommunizieren, vertraut immer noch jede Nutzerin ihrer Anbieterin und zwar wird jeweils darauf vertraut, dass der eigene Key korrekt an die Chatpartnerin übermittelt wird sowie der übermittelte Key der Partnerin korrekt zurückgegeben wird. Beide Anbieterinnen, haben sich für die Server to Server Kommunikation ohnehin ein vertrauenswürdigen Kanal ausgehandelt. Konkret TLS Zerz. Solange also wieder jede Nutzerin der eigenen Anbieterin vertraut und dieses Vertrauen berechtigt ist, funktioniert alles gleichartig gut. Was aber, wenn das Vertrauen in einem Fall nicht berechtigt ist? Auch das ist kein, nur bei verteilten Messaging, Auftreten des Szenario, denn schließlich kann es auch sein, dass dieselbe zentrale Anbieterin ihre Kundinnen unterschiedlich behandelt, einem der beiden also einen falschen Key gibt. Letztendlich kommen wir in meiner Meinung auch schon jetzt nicht um irgendeine Art des zusätzlichen Vertrauensankers aus. Gute Kompromisse sind etwa, Beforefication oder die Kombination von Kreuzsignaturen und gegenseitiger Verifikation über Emojis, Matrix Punkt ORG Umfeld.
Linus Neumann
Letztendlich, sagt Trolli hier, okay, die meisten Messenger arbeiten heute mit Tofu, also trust on first use. Beim ersten Mal wo du eine Kommunikation herstellst ne, Kontakt oder überhaupt kommunizierst, vertraut einfach jede Partei, dem Schlüsselpaar, was sie von der anderen bekommen hat und die, Überlegung von Tofu ist zu sagen, na ja, wir sparen uns den Heckmeck beim ersten Mal die Schlüssel auf einem anderen Kanal auszutauschen, weil wir jetzt mal annehmen, dass bevor wir jemals kommuniziert haben, noch niemand da ist, die, die Kommunikation abhören will, Ja? Ähm und dann bleiben wir einfach bei dem Schlüssel und gucken, ob der sich äh also den speichern wir bei uns und gucken, dass der weiter verwendet wird und wenn davon eine Abweichung stattfindet. Dann ähm machen wir diese Warnungen, ja? Wo ja dann auch jetzt immer festgestellt wird, dass die Warnungen natürlich viel öfter, Daher rühren, dass jemand sein Telefon verloren hat und ein neues hat, als dass sie jetzt tatsächlich äh auf aufgrund eines Angriffs kommen. So und diesen Schlüssel, Integritätssicherheitsmechanismus, Verteidigung gegen MITM würde natürlich auch über Anbieterinnen, Grenzen hinweg funktionieren, Ja? Und äh da hat er einfach einen Punkt. Ja, das ist äh grundsätzlich erstmal klar. Man könnte also auf diesem Wege hat er Recht, sagen so wir, haben, Föderation. Wir können aber, wir haben vorher mussten wir nur einer Anbieterin vertrauen, in diesem Falle zwei, aber da wir sowieso beidseitig verifizieren, ändert sich eigentlich unterm Strich nicht wirklich etwas. Hat er einen Punkt. Ähm nur und jetzt kommt der letzte Schluss ist, wir brauchen also auch nicht, wir kommen nicht drum herum irgendeine Art zusätzlichen Vertrauensanker zu haben. Und da geht's dann eben um Kreuzignaturen ja würde ich jetzt nicht nicht tiefer reingehen, sondern nochmal ein bisschen äh zu, Martin kommen.
Tim Pritlove
Genau und Martin schreibt, Das, was man bei der Messenger interobbarilität letztlich haben will, ist eine Föderation zwischen den unterschiedlichen Messaging-Anbietern. Das heißt, nutze auf einem Server müssen reibungslos mit Nutzern auf anderen Servern kommunizieren können Standards für föderierte Kommunikation gibt es bereits. Die beiden Großen sind XM, PP und Matrix. Bei Matrix werden Nutzer derzeit ähnlich wie bei E-Mail, per global adressierbaren Benutzernamen, Doppelpunkt Server adressiert, wodurch man Nutzer auf anderen Servern erreichen kann. Es wurden dort bereits alle Probleme bezüglich Schlüsselaustausch, Gruppenchats, Zugriffskontrollen et cetera, serverübergreifend gelöst. Beim Matrix kommt das gleiche Double Radget Verschlüsselungsprotokoll zum Einsatz, Von Single stammt und zum Beispiel auch bei WhatsApp eingesetzt wird. Der Schlüsselaustausch wird bei Matrix Mittel Tofu, Trust und First use, beziehungsweise mit einer optionalen, manuellen Verifizierung zwischen den Endgeräten gelöst. Man müsste schauen, inwiefern das bestehende Schlüsselmaterial der Anbieter weiter genutzt werden könnte oder auf den Endgeräten separate Kies für den Austausch anderen Anbietern per Matrix angelegt werden müssten. Wenn alle Messaging-Anbieter das Server to Serverprotokoll von Matrix implementieren würden, könnte man wahrscheinlich einen Großteil, der von euch angesprochenen Probleme lösen. Bei XMP besteht das Problem, dass Gruppenchats, einem zentralen Server gehostet werden. Sind somit nicht unabhängig vom jeweiligen Anbieter. Gruppenchats bei Matrix dagegen sind echt dezentral, das heißt sie sind nicht servergebunden und funktionieren auch, wenn der erstellende Server nicht mehr mitspielt, Zu Matrix gibt es eine offene Spezifikation. Die von einer nicht gewinnorientierten Stiftung verwaltet wird, aus diesen Gründen kommt es inzwischen bereits in diversen deutschen und französischen Behörden im Gesundheitswesen und gar bei der Bundeswehr zum Einsatz. Bleibt die Gretchenfrage, welches genaue Features hätte man als Minimalkonsens für eine Messenger, Föderation voraussetzen will. Es bräuchte wohl ein zentrales Gremium, welches darüber entscheidet.
Linus Neumann
Ja, also das das ist ja, glaube ich, also meine. Das wäre halt meine weitere Sorge, dass man dann einmal etwas festlegt und das muss sich ja dann irgendwie stetig weiterentwickeln und also lassen wir es mal dabei ähm. Technisch haben wir jetzt erklärt bekommen, dass man das alles doch irgendwie auch lösen kann, ohne dass sich der Status quo nennenswert verschlechtert aus einer Security-Perspektive? Sofern man irgendeine Form von Kiverifikation eben über diese Grenzen auch macht. Jetzt wäre meine weitere Frage oder meine Sorge ähm was machst du jetzt, also wie sicherst du dass diese Weiterentwicklung stattfindet, ja, weil du müsstest jetzt quasi europaweise verordnen, es muss eine Operabilität geben und zwar nach dieser Art, dann sagst du auf einmal, übrig, es gibt jetzt ein Update, ne, in einem Jahr oder in zwei Jahren oder wie auch immer. Das sind Dinge, die sich die ich politisch noch nicht, gebildet gesehen habe in Verordnungen. Ja, also meine äh vielleicht auch meine Skepsis, mein mein meine Skepsis? Nee. Skeptik, wie heißt das Wort.
Tim Pritlove
Skepsis ist schon richtig. Mhm.
Linus Neumann
Okay, meine Skepsis ähm kommt eher so ein bisschen aus dem Bereich. Dass äh ich ja mit der IT-Sicherheitsregulierung ähm schon durchaus die eine oder andere Erfahrung hatte mit den IT-Gesetzen, ja mit den IT-Sicherheitsgesetzen und, da halte ich das für letztendlich unwahrscheinlich, wenn man da technisch was Gutes umsetzen kann, dass die Politik das dann auch so verordnet.
Tim Pritlove
Vor allem, was ist, wenn wenn sich dann das gewählte System als fehlerhaft herausstellt, also dann auch da entsprechend schnell nacharbeiten zu können, ist sehr schwierig. Und meine Glaube, dass bei den meisten Leuten, die jetzt, als ich diesen Kommentar vorgelesen habe, die jetzt hier zuhören, ohnehin äh schon irgendwie so eine so ein leichtes so ein leichter Fiep-Ton entstanden ist. Weißt du? Es ist einfach mal hochkomplexer äh Quatsch und äh den in den politischen Prozess äh reinzubringen, sozusagen so als Vorgabe. Dann doch schon für sehr schwierig. So also das ist ähm Wir erinnern uns auch so hier Urheberrecht und was bedeuten jetzt die beschlossenen Maßnahmen für Filter? Was müssen die dann genau tun, wenn das dann irgendwie so weit reingeht, dass man also hier wirklich bis ins allerletzte Detail Protokolle politisch vorgibt und sich äh des Gesetzesblatt auf einmal liest wie so ein Referenzmangel für irgendwie äh erste, fünf Vorlesungen Kryptographie im Informatik. Ich kann mir einfach nicht vorstellen, dass das gut funktionieren wird. Also es ist einfach praktisch wird es einfach ein äh Elend sein und es mag ja sein, dass das bei Matrix gelöst ist, aber dieses Matrix redet ja im Wesentlichen auch nur mit sich selbst. Und nicht mit allen anderen und alle anderen mit Matrix.
Linus Neumann
Nee, nee, nee, nee, nee, nee, nee. Matrix ist schon für eine föderierte Message Infrastruktur. Das ist schon.
Tim Pritlove
Ja gut, aber wer redet mit Matrix?
Linus Neumann
Matrix Messenger über Matrixerver.
Tim Pritlove
Ja, Matrix redet mit sich selbst genau. Das meine ich.
Linus Neumann
Okay, du meinst das Protokoll, aber ich rede jedes Protokoll.
Tim Pritlove
Es ist so gedacht, dass es mit allem redet so, aber es muss sich auch erstmal beweisen, wirklich mit allen also das Prinzip muss sich auch erstmal beweisen mit allen Dynamiken und Fehlern und Erinnerungen und so weiter. Also es nimmt an der Komplexität wenig raus.
Linus Neumann
Ja. Also bleiben wir dabei. Wir wir wurden korrigiert, dass es technische Lösungen gibt. Wir glauben nicht, dass die politisch äh sich durchsetzen werden. Ist das ein gutes Fazit?
Tim Pritlove
Das und das ähm auch dieser Gradank sich bei einfach N zu aufm aufm aufm Markt, die alle ihre eigenen Interessen haben, so durchsetzen lässt. Also mag ja sein, dass in so einem föderierten System, was in Open Source entwickelt wird, wo alle dieses Ziel haben und wo das sozusagen der Traum ist genau das hinzubekommen, äh funktionieren kann, aber in einem System, wo sich eigentlich alle Spinne feind sind und auf dem Markt äh bittere äh Wettbewerber sind, ja, dass die dann die entsprechende Energie drauf werfen, dass das alles gut funktioniert, woran sie eigentlich gar kein Interesse haben. Das äh steht auf einem ganz anderen Blatt Papier.
Linus Neumann
Okay, dann haben wir äh darüber gesprochen, dass die, verschlüsselten Archive mit dem dokumentierten Kindesmissbrauch weiterhin online sind. Da wurden wir auch in den Kommentaren, ich glaube von André daran erinnert, dass das ja das war damals die große Diskussion. Als es um die Stoppschilder von Ursula von der Leyen ging, löschen statt sperren. Ja, also die große politische Forderung war, sperrt nicht den Zugang zu diesen Inhalten, sondern löscht diese, Inhalte, ne, sorgt für ihre Löschung. Und das ist ja hier nicht passiert. Jetzt haben wir uns darüber unterhalten, woran das wohl liegen mag, ja? Mhm, zu sagt dann der ähm Y.
Tim Pritlove
Kann es sein, dass bei den Kripofiles, die nicht gelöscht werden, einfach der Hintergrund besteht, noch mehr Zugriffe aufzuzeichnen.
Linus Neumann
Gute Frage, aber darauf antwortet dann Hilti direkt korrekt.
Tim Pritlove
Nee, denn dann müsste die Polizei doch bei den jeweiligen Pfeilhostern anfragen, welche IP auf die Dateien zugegriffen hat, aber da die Filehoster teils seit sechs Jahren nichts von der Polizei gehört haben, scheint das nicht passiert zu sein.
Linus Neumann
Guter Punkt so ähm relativ klar dargelegt. Dann gibt es noch eine Sache einen weiteren Punkt von Hans Wurst, denn Tim hatte vorgeschlagen, man kann ja quasi ähm den den Kuchen haben und ihn essen, indem man einerseits das Material austauscht, und zweitens trotzdem die Zugriffe lockt, wovon wir ja jetzt schon wissen, dass das nicht äh sinnvoll stattgefunden hat. Dazu sagt Hans Wurst.
Tim Pritlove
Das mit dem Austauschen von dem Kripo-Material, sagen wir, durch Katzenbilder, ist insofern ein Problem, das anschließend jeder, der darauf zugreift, behaupten kann, dass er darauf zugegriffen hat die Katzenbilder sehen wollte, damit haben die Strafverfolger dann so gar nichts gegen diese Person in der Hand, dann kann man das Ganze auch einfach nur löschen.
Linus Neumann
Ja, ist richtig. Also mir bleibt es weiterhin unverständlich, ähm warum man diese Materialien online gelassen hat, weil ähm offensichtlich hier nichts, also keine keine sinnvoll erkennbare Strategie da ist. Ähm die sage ich mal sich mit den. Ja Selbstverständnis und Zielen der polizeilichen Strafverfolgung und Gefahrenabwehr in Verbindung bringen lassen würden. Dann hatten wir schon über den Assange Fall gesprochen. Im ähm in der letzten Sendung, das jetzt äh quasi wieder in die Richtung steht, dass eine Auslieferung an die USA wahrscheinlicher ist. Ähm. Es ist weiterhin krass, wie wenig äh Aufmerksamkeit und Aufschreit dieses Thema bekommt. Weil wir ja nicht vergessen dürfen, dass es hier am Ende um eine journalistische Tätigkeit geht in der Veröffentlichung und Auswertung. Dieser Dokumente und das ist ja ein gefährlicher Präzedenzfall ähm entstehen kann. Da gibt es auch entsprechend strenge Kommentare, von denen wir noch ein paar äh in den. Shownotes haben und dann gibt's noch die sehr, üble Geschichte, dass er offenbar auch einen äh Schlaganfall erlitten hat in der Gefangenschaft in dem Bellmarsch, indem er ja jetzt ja auch schon wieder seit weiß ich nicht wie viel Jahren ist zwei Jahre oder was ähm im Kampf gegen seine Auslieferung. Auch wieder dran erinnern muss normalerweise wenn du auf deine Auslieferung wartest. Sitze nicht unbedingt in im Hochsicherheitsgefängnis äh Belmarsch, ne? Also wir haben's hier wirklich mit einem sehr äh schwerwiegenden. Äh Fall zu tun und das wäre äh es ist irgendwie erstaunlich weiterhin, dass die Medien sich da so zurückhalten, weißt du, das verstehe ich irgendwie nicht. Also ich verstehe es wirklich nicht.
Tim Pritlove
Weil sie ja betrifft, ne, weil es ja sozusagen hier auch um den Journalismus geht an sich und es ist bemerkenswert, dass also äh dem äh Nawalny in Russland da Preise äh verliehen werden. Doch dann für äh ein toller Kämpfer für die Freiheit ist, weil er irgendwie das böse Regime oft äh deckt so. Aber sowas macht man dann halt immer nur so mit den eigenen Feinden, ne? Aber wenn so das eigene System aufgedeckt wird, dann sieht das schon wieder ganz anders aus und dann wird dieses Spiel auch mitgespielt. Ist jetzt auch nicht so, dass jetzt alle Journalisten. Das ignorieren, ja. Ich meine, wir hatten ja hier auch ähm, ausführliche äh Gespräche dazu und es gibt natürlich auch viele, die ähm dagegen anschreiben, aber so generell, so ein großer Aufschrei ist da nicht und das ist in der Tat ähm. Eine Frage, warum das eigentlich so ist. Also warum steht das nicht im, Mittelpunkt. Ist ja jetzt auch nicht so, dass die äh der Journalismus nicht laut aufschreien würde, wenn's generell an die eigenen Interessen geht, aber offensichtlich scheint äh Assange hier ein schwieriges Thema zu sein.
Linus Neumann
Also Nils Melzer, der so einer äh Beauftragte für, was heißt denn Folter oder Menschenrechte? Ich weiß gar nicht genau, was ein offizieller Titel ist. Hm der sagt ja auch, dass er anfangs. Ähm als er sich dem Fall näherte auch so dachte so komische Figur äh wer weiß und so äh, und ähm dann sich ihm die Augen immer mehr geöffnet haben, also, da scheint es schon so dieses ah okay Assange Schmuddelknabe äh hier mit der die Sache in Schweden ist irgendwie unklar und dann auch noch diese Trump-Nähe und so und er irgendwie. Auf den ersten Blick äh ist das klingt das jetzt nicht nach äh dem dem besten Kampf für die Freiheit, den der Typ da gerade äh in letzter Zeit geführt hat, Ähm aber das sind eben erstens äh andere Dinge und äh und ähm, andere Themen als die, für die ihr da nämlich gerade verfolgt wird und diese Trennung äh auch einfach im ganz ungeachtet, der anderen äh ähm vergehen darf, weil wir mal wirklich jetzt gar nicht beachten, ja? Muss man die natürlich trotzdem trennen, für was wird der am Ende verurteilt, ja? Und äh wenn man jetzt der Ansicht wäre, was weiß ich, äh diese Sache in Schweden ist irgendwie klar und ähm weil ein Trump-Supporter ist, wollen wir den eh nicht mehr haben. Da müsste man sich eben trotzdem noch anschauen, für was wird der denn gerade verurteilt, ja oder für was sollte denn gerade ausgeliefert werden und was schaffen wir uns hier für eine Präzedenz? Und diese ähm und diesen Transfer, der gelingt offenbar nicht in der Breite.
Tim Pritlove
Nils Mälzer ist übrigens Sonderberichterstatter über Folter. Der Vereinten Nationen wurde vom Menschenrechtsrat dazu ernannt, also steht beides drin.
Linus Neumann
Okay, damit kommen wir zu den spannenden Nachrichten der Woche. Ähm. Am Freitag, genau vor einer Woche, ist jetzt schon eine Woche, machte eine Sicherheitslücke ihre Runde, wirklich also ähm auf eine Weise äh, also auf auf viele Weisen faszinierend ist, ja äh, meisten wissen wahrscheinlich schon, worum es geht und zwar ist es die äh Sicherheitslücke lock2, die das die Java Bibliothek, Lok for Jay betrifft.
Tim Pritlove
Mhm. Das ist ein ganz altes Modul, ne? Das gibt schon sehr lange.
Linus Neumann
Ende Neunziger ja.
Tim Pritlove
Genau. Ist von so ein paar Leuten äh entwickelt worden, ist dann irgendwann, weil's von vielen verwendet wurde zu dieser Apache äh Foundation gewechselt, wie das so viele solche Bibliotheken tun mit dem Ziel da Konsens orientiert dran weiterzuarbeiten, damit so diese Software, die von vielen genutzt wird, auch in irgendeiner Form am Leben bleibt. Aber das heißt nicht, dass das nicht auch. Fehler enthalten kann, die dann irgendwann mal äh gefunden werden. Vielleicht hat man ja erstmal kurz auch weil wir ja hier das Logbuch sind, ne? Sollte man vielleicht mal kurz sagen, Was ist eigentlich Logging? So, ich meine, wir loggen ja hier die Nachrichten. So, deswegen heißt es Logbuch. Ne, im übertragen aus diesem, Begriff. Das Buch, in dem man so alle Vorfälle einträgt und genau das ist so ein bisschen ja sowohl die Idee bei diesem Podcast als eben auch beim Loggen und Loggen ist halt einfach wichtig in der Softwareentwicklung. Aus verschiedensten Gründen, also manchmal mag das eben die Aufgabe der Software, die man schreibt, selber sein, ähm aber meistens ist es eben so, dass man damit dem die Fortschritte, Software, während sie so ihre Arbeit äh verrichtet, so in einem definierten Format an eine Stelle reinschreibt, damit man einerseits so ein bisschen zuschauen kann, ja, man kann dann dieses Locken geschrieben werden. Kann man sich über den Bildschirm laufen lassen und guckt so, ah okay, alles klar, hier ist eine Anfrage reingekommen, da ist eine Datei geöffnet worden, da ist eine Datenbank auf- und zugemacht worden und so weiter. Was auch immer es ist, was diese Software tut, steht dann da in irgendeiner in irgendeinem Grad der Ausführlichkeit mit drin, aber eben auch Fehlermeldungen ähm oder eben Panik-Attacken, die das System hat, weil irgendwas ganz Grundlegendes weg ist, kein Internet mehr da irgendwie alle Festplatten sind weg, äh großes Drama und üblicherweise werden solche Einträge dann auch in unterschiedlichen Warnstufen unterschieden, also von leichten Hinweisen, dass irgendwas getan wurde, ganz normal bis hin zu hm ja das habe ich jetzt mal irgendwie hinbekommen, aber es was weiß ich, es hat nicht so schnell funktioniert, wie ich das gewohnt bin, so Warnung, guckt mal, vielleicht ist da irgendwas falsch, bis hinzu hat nicht geklappt, die Festplatte war voll, konnte ich nicht wegschreiben, Fehler bis hin zu eben so totalen äh Paniksituationen, wie es eben schon angedeutet habe und man benutzt für diesen Vorgang, weil das halt jeder irgendwie braucht, auch gerne Bibliotheken und greift natürlich zu irgendetwas, was im Open Source-Bereich so really Avaleble ist, typischerweise in der eigenen Programmiersprache.
Linus Neumann
Da würde ich aber jetzt gerne kurz einhaken, weil tatsächlich ist das so verbreitet nicht, dass man äh sich ähm seine eigenen Login Bibliotheken baut im im Javabereich schon, weil was müssen wir einen kleinen Schritt zurückgehen, was du nämlich gerade schilderst, ist Also besonders spannend wird dieses Login, weil es ein du hast ein Format. Du definierst dir im Prinzip als Applikation so dein eigenes Format. Üblicherweise fängst du vielleicht mit einem Datum an, ja? Mit der Datum-Uhrzeit und sagst dann, was ist hier vorgefallen? Ja und besonders interessant wird das dann. Nämlich nicht nur bei einer Applikation, die lockt dann, was weiß ich hier, ich wurde gestartet oder so, aber besonderen Wert bekommt das halt bei Servern. Zum Beispiel wenn, euer Podcast Client, den äh Metaebene Server zugreift, um dort eine Folge LogBuch Netzpolitik runterzuholen, dann schickt als erstes ein äh Getrickfest an den RSS-Feed, stehen dann, ne, da kommt dann eine Datei zurück mit, mit den aktuellen Episoden und wenn da was Neues bei ist, dann schickt ihr ein Gatrik-Fest für zum Beispiel eine Audiodatei. Ja? Und der metaelbene Server, ich weiß jetzt nicht, ob er's macht, aber der könnte und wird wahrscheinlich dann jeweils einen Lockeintrag schreiben. Wie Uhrzeit folgendes ist vorgefallen, Und für diese Art Lock, was der sich schreibt, gibt's aber jetzt nicht notwendigerweise ein standardisiertes Format. Wie der das speichert, was weiß ich zum Beispiel, in welchem Format das Datum, welche Sachen überhaupt gelockt werden ähm das konfiguriert man eben in dem Webserver. Und, genauso wenn jetzt deine eine Webation läuft, dann wäre halt die Frage, was lockt die überhaupt? Und eine der großen Probleme ähm ist oder eine der großen Herausforderungen, die man natürlich auch durch wahrscheinlich, ein bisschen begegnen wollte. Ist halt eine eine Vereinfachung und auch eine Vereinheitlichung zu finden. Zum Beispiel kannst du in wenn ich das richtig verstanden habe, auch mal mehrere Zeilen locken. Nicht nur also jetzt das klassische Unix Ding ist ja, schreibst halt nach Standard Error, landet im ne oder schreibst nach Standard Out oder sonst was ähm. Die haben sich quasi schon eine etwas schönere, vereinheitlichtere Möglichkeit geschaffen, ähm Loks zu aggregieren und dann da eben paar nette Tools reingebaut, sodass du im Prinzip nämlich dann nicht jedes Mal, wenn du eine Applikation schreibst, sagst, okay, wir werfen das jetzt nach, Error oder sonst was raus, ja? Oder wir machen einen Lockfall auf, sondern du sagst einfach, hier, Äh äh ich mache ich mache eine Instanz von und jedes Mal, wenn ich was mache, habe ich eine Funktion und sage einfach Lockfolgendes, ja? Und dann den Rest, dass das ordentliche Format hat und so weiter, da kümmert sich dann dieses drum. Und spannend wird das dann, wenn du nämlich jetzt zum Beispiel Forensik machst, ja? Wie ich ja äh gerne manchmal muss. Dass du dann halt ein Lock hast von mir ist von dem Datenbank-Server und ein Lock von dem, Webserver und ein Lock von dem Mailserver. Die haben aber irgendwelche völlig unterschiedlichen Formate und die werden auch nicht an einer Stelle aggregiert und dann ist das alles ein großes Tohuwabohu. Dass du die Kiste nicht mehr vereinheitlich, dann läuft der eine Scheißserver in einer anderen Zeit, weil der läuft in UTC, den anderen hat einer irgendwann mal beim Setup in GMT plus eins gesetzt und hier der lockt in dem Datumsformat, der in dem anderen, du wirst wahnsinnig die Sachen zu aggregieren, ja? Und dafür, quasi diese Idee, machen wir mal Lok vor Jay ähm, auf jeden Fall keine schlechte. Ja und jetzt kommt der in meinen Augen entscheidende Punkt, weißt, Also als ich diese Sicherheitslücke äh zum ersten Mal geschildert bekommen habe äh oder also mir durchgelesen habe, habe ich gesagt, das ist ja keine Sicherheitslücke, weil, was die da gebaut haben, das ist ja in herent unsicher. Also ist eine eine Funktionalität, die einen Locker in meinen Augen niemals hätte haben dürfen. Zwar haben die sich gesagt, wir möchten, dass eventuell die lockende Instanz, ja, also, Programmteil, der das empfängt ähm darin noch Änderungen vornehmen kann. Ja und ich nehme mal ein Beispiel für eine solche Änderung. Man könnte zum Beispiel sagen, okay unser. Webserver, der lockt erstmal nur die IP-Adresse. Ja, der von demjenigen oder derjenigen, die zugreift. Und dann gibt er die dem Lockserver. Und der Lockserver soll aber jetzt zum Beispiel nochmal sagen, ach okay, da gibt's eine IP-Adresse. Ich gucke mal, ob die ein Reverse äh DNS-Eintrag hat. Ja, also einen Pointer Record, wo man einfach sagt, gibt es die irgendwo noch, registriert, dass sie dass sie mir dass sie mir eine Domain dazu sagt, zum Beispiel dass man dann irgendwie sieht ah okay, das ist ein, oder sonst was, ne? Also ich mache noch einen weiteren Lookup zu dem, was mir. Der loggene Applikationszeit oder die Loggen der Applikation rüberwirft. Und das ja erstmal keine schlechte Funktion. So sowas zu machen. Nur. Die haben sich das so gebaut, dass quasi die gelockte Applikation dem lockenden Teil. Einen Befehl geben kann und dieser Befehl kann sein geh mal bitte an diese Stelle, lad dir ein Stück Javacode runter und führ das aus. Um, weiter damit umzugehen, weil Java äh das das ihn auf flexible Nachladen von äh Codeteilen halt ähm grundsätzlich unterstützt und so Java Software funktioniert und so kann's dann irgendwie sagen, okay, hol dir mal bitte hier diesen Code an dieser Stelle und führe den mal aus. Und ich glaube ehrlich gesagt, dass das also das hätte man nie machen dürfen. Also niemals. Es ist völlig klar, weil hier ähm, die das loggende, also es ginge ja also nicht nur dadurch, dass jetzt hier ausführbaren Code gibt und so, ne, aber dass ja auch eine potenzielle Vergiftung deiner Lockfiles, wenn die lockende Instanz dir noch irgendwelche Befehle dazugeben kann. Ja Anpassungen von mir aus, aber das muss ja der Logger entscheiden und nicht der gelockte, ja? Insofern verstehe ich überhaupt nicht, wie man auf diese Idee kommen konnte. Also mir ist völlig unklar, warum man das macht ja? Auf diese Weise, dass halt die loggende Instant sagt, hier ist ein Befehl. Da kommt nämlich ein sehr großes Problem hinzu, was bei den meisten IT-Sicherheitslücken eine Rolle spielt oder bei vielen, insbesondere im Webbereich und das ist das Escaping, weil man sich ja irgendwelche Kontrollcharaktere äh Charakters baut, also Kontroll ähm äh Zeichen, wo man sagt, aha pass auf in diesem Fall zum Beispiel, wenn dann Dollar und eine geschweifte Klammer kommt, dann für das, was da drin steht mal bitte aus. Ja und jetzt kommt, warum diese Sicherheitslücke so krass ist. Ich brauche also nur irgendeine Applikation, die verwendet und diese Funktionalität aktiviert hat. Und ich muss die nur dazu bringen irgendwo in irgendeinen Lockeintrag, diesen spezifischen Command eine eine Commandsequenz zu schreiben und die lädt sich dann meinen Code dazu herunter und führt den aus. So das ist also.
Tim Pritlove
In diesem String halt einen kompletten Serveradresse angeben kann mit einer Ressource quasi eine URL mitgeben kann dann ist das einfach das normale Verhalten so ah ich muss das auflösen oh da ist Dollar äh geschweifte Klammer auf drin, also habe ich den Rest so und so zu interpretieren und dann wird dieses Jahr mal so von sich aus aktiv und sagt einfach okay alles klar Da ist Code drin, der muss ausgeführt werden, ist alles total wichtig.
Linus Neumann
Jetzt mal auf den Meta-Ebene-Server zurück. Ähm.
Tim Pritlove
Da läuft kein Java.
Linus Neumann
Ein üblicher also man macht auch keine Webserver Indianer, ich weiß, aber ich mache das jetzt mal äh ich bleibe mal bei dem Beispiel. Also eine übliche Information, die so einen Webserver oder so eine Webapplikation mitlockt, ist zum Beispiel auch der User-Agent des Browsers. Ja, also euer Browser sagt. Ich bin ein Internet Explorer in der Version elf und ich laufe auf einem äh Windows XP oder sowas, ja? So grobe Versionsangaben äh ähm oder vor allem ihre Herkunft, machen diese Browser schon.
Tim Pritlove
Genau, also die Server long das mit, damit sie da eine Statistik auch drüber machen.
Linus Neumann
Die Server loggen das mit. So, das heißt, wenn du jetzt lustig bist, setzt du dir einfach einen User Agent in deinem Browser, quasi eigentlich diesen machst, surfst im Internet und guckst mal, was du so für Zugriffe bekommst. Und jetzt wird hoffentlich auch klar, warum das so ein Problem ist, weil wenn es irgendwo jemanden gäbe, der seine Mails. In irgendeiner Form von Java-Software weiter verarbeitet und ich es schaffe, was weiß ich, in einem der Felder, die dieses Logging-Tool lockt, diesen eine Kommandsequenz, die äh äh die die auslöst ähm einzuspeisen, dann kann ich eine Mailserver auseinandernehmen, ja? Ähm es gibt hier Beispiele von Leuten, die haben halt ihr iPhone so benannt, ja und kriegten dann auf einmal Request aus dem ähm aus dem IP-Netzwerk range von Apple, mit anderen Worten irgendetwas, was ihren iPhonenamen angeht, wird bei Apple gelockt, am Ende durch einen Lock vor Jay geworfen und hat dann quasi gezeigt, dass deren Server darauf angreifbar waren. Du weißt jetzt immer nicht, wer das welcher Server das ist und welche Zugriffsmöglichkeiten der hat, ja? Ähm aber es ist auf jeden Fall nicht gut Und das ist das, was diese diese Schwachstelle so krass macht, dass du jetzt ähm. Im Prinzip, in jedem Service, in jedem Dienst, der irgendwo da draußen am Ende etwas, was eine Nutzerin bestimmen kann. In ein wirft, hast du halt diese Schwachstelle, potenziell wenn dieses Feature aktiviert ist, was es aber eben grundsätzlich ist.
Tim Pritlove
Ist das wirklich so? Also ist das wirklich überall generell bei Default erstmal an.
Linus Neumann
Das weiß man ja nicht. Also ich ich verstehe es so, dass es also es kann ja auch sein, dass Leute es ausgeschaltet haben. Aber der Fix, den die Leute vorgeschlagen haben, war gehen diese XML Datei und und schaltet dieses Feature aus. Aber die die Fixes waren eh alle so ein bisschen ähm.
Tim Pritlove
In dem in dem offiziellen Bugfix äh stand auch drin. Jetzt ist es nicht mehr die Fault. Also es äh jetzt erinnere ich mich auch grad dran. Also es war halt einfach der Diepf heute.
Linus Neumann
So, jetzt ist das also da wo haben wir jetzt Angriffsflächen? So, überall da, wo Java, Software läuft und lockt. Jede Software lockt. Ja? Ähm. Und jetzt geht's los auf potenziell Applikationen, die einfach ähm auf deinem Computer laufen, irgendeine Java-Applikation. Schreiben dabei diese Bibliothek verwendet, ist angreifbar. Unter der Bedingung, dass sie irgendetwas in die Lok schreibt, so was du als Nutzerin oder eine Angreiferin ähm kontrollieren kann. Ja? Ähm und da da Programmiererinnen lieber mehr als wenig loggen. Ist es jetzt auch gar nicht so unwahrscheinlich, dass dass du irgendetwas, Nutzer kontrolliertes oder sogar von externen Angreifern Kontrolliertes findest, was so eine Applikation dann weglockt, Was weiß ich, Dateiname, irgendwelche Metadaten in der Datei, ja? Alles, was irgendwie gelockt wird, ähm. Ist am Ende eine Angriffsmöglichkeit. Also wenn du jetzt nimmst dir irgendein Programmiertool, was in Jawa geschrieben ist, äh das schreibt jetzt, was weiß ich, von mir aus irgendwelche Oder irgendwas weg, ja? Egal, was der lockt, wenn du es schaffst, da dort eine solche Befehlskette reinzubringen, zack, ist die Wahrscheinlichkeit groß, dass es eben ausgeführt wird. Code nachläd und aus ausgeführt wird. Und ähm. Auf deinen Desktop-Applikationen, dann in Geräten, die du hast, ja, was weiß ich, irgendwelche Netzwerk äh WLAN, Controller oder sonst was, ja? Also neben diesen ganzen Bereich gibt's dann natürlich auch sehr viel Java und dann eben auch draußen im großen bösen Internet, mit ähm mit irgendwelchen Servern, wo dann eben auch zentrales Loging oder so was aktiviert ist. Und alles immer. Protokoll unabhängig und das ist das Bittere, dass da nämlich also Escaping ist eh immer eine schlechte Idee und geht sehr viel schief. Aber weil diese ganzen Programmierer ja auch immer sagen, ja wir wir versuchen möglichst alle möglichen Charakter Encordings und so weiter zu unterstützen und ähm wenn wir das jetzt in Base 64 bekommen, dann erkennen wir das und bauen uns das selber um. Kriegst du. Eigentlich keinen du kannst jetzt nicht irgendwohin gehen und sagen, na ja, wenn da äh ähm Prozent. Eckige Klammer JNB drin steht, dann machen wir dann dann loggen wir's nicht oder so. Also du kriegst es nicht weg. Ja ich war eben erst überrascht, weil ich dachte, ich hab's nicht nicht verstanden, wo jetzt überhaupt die Schwachstelle liegt. Aber ähm dann hat Christian Kühntop Isotop auf Twitter auch auf Heise, mal äh ähm einen Kommentar geschrieben, wo er sagt, nee, das funktioniert wie spezifiziert. Ja, das ist also das ist exakt nichts, ist eine Schwachstelle. So da da gibt's jetzt nicht irgendwie etwas wie äh Go-to-File oder ne oder hier irgendwie Falschspeicher sonst was, nein. Es es macht genau das.
Tim Pritlove
Es ist natürlich eine Schwachstelle, aber die ist bei Design.
Linus Neumann
Genau. Also die ist nicht es hat jetzt nicht jemand auch gesagt also hat jetzt jemand einen Fehler gemacht? Es ist kein Programmierfehler in dem Sinne.
Tim Pritlove
Konzeptfehler.
Linus Neumann
Es ist ein Konzeptfehler, ja. Und das ist äh tja dramatisch, ja und äh. Eine grundsätzliche Sache, die sich jetzt hier zeigt, ist eben, es gibt Software-Bibliotheken und Software-Bibliotheken sind erstmal auch gut, Ja, aber es gibt eben das das Problem, dass sich also grade in so bestimmten Welten einem Python hält es sich noch in Grenzen. Du mal so ein NPM-Projekt machst, ja? Da gibt's eine schöne Befehle wie äh. NPM Audit, wo der dir dann einfach mal sagt, wie viele Pakete du da überhaupt verwendest und welche davon schon wieder irgendwelche äh Schwachstellen hatten. Also ein grundsätzliches Phänomen. Der heutigen Programmierlandschaft ist, dass man mit immer mehr ähm, Bibliotheken, Frameworks und sonstigem arbeitet, ja? Also es geht heute keiner mehr hin und schreibt wirklich noch irgendwie CSS, sondern man schreibt SAS. Es gibt niemanden mehr, er geht hin und schreibt irgendwie HTML, sondern man benutzt äh, ne, was weiß ich, Django oder so was, was das dann irgendwie rausrandert, ja? Das ist auch erstmal völlig in Ordnung, weil quasi die. Unteren Ebenen so ein bisschen weg abstrahiert werden und da quasi ja erstmal Komplexität scheinbar weggenommen wird. Für die Programmiererin. Gleichzeitig aber dadrunter ein riesiger Haufen an gegenseitigen Abhängigkeiten und Komplexität entsteht, den niemand mehr überblicken kann. Ja? Und ähm da gab es vor einiger Zeit mal so eine wunderschöne äh Story wie äh jemand, der es zwar ähm, war so eine äh Fiktion, dass er dann irgendwie ein relativ einfaches NPM Modul entwickelt für irgendwie äh rot-grün, blau. Texte ausgeben oder sowas, ja? Und dass das dann irgendwie ähm, dass er dann in in beliebtere NPM Module äh quasi das einbaut, ne? Ach guck mal hier farbiges Logging und dann aber eine Dependency, auf sein eigenes von ihm kontrolliertes MPM Modul hat, in das er dann irgendwann einmal bösartigen Code einschleust, der dann einfach mitgeladen wird und das ist ein bisschen. Quasi die Problematik, in dem sich in der sich die Programmierwelt gerade befindet, ist, dass das. Dadurch, dass immer mehr Librarys immer mehr Frameworks immer mehr verwendet wird, man selber gar nicht mehr einen Überblick hat, ähm was die eigenen. Angriffsflächen überhaupt angeht und das kritisiert äh Christian hier. Dem wichtigen Punkt, ne, Code ist nicht dein Freund. Ja, ganz besonders nicht dynamisch aus dem Internet nachgeladener Code. Äh ich weiß, es klingt komisch, wenn man Entwickler ist und den eigenen Lebensunterhalt damit bestreitet, dass man glaubt, man sei mit dem Code befreundet. Aber so ist es. Weniger Code ist besserer Code, am besten so wenig Code, dass man ihn zu gänze und mit all seinen Interaktionen verstehen kann und auch den Code, der notwendig ist, den eigenen Code zu betreiben und das ist natürlich jetzt hier nicht mehr der Fall. Ja? Ähm ich denke. Ein Großteil der Programmiererinnen und Programmierer, wenn sie denn gewusst hätten, was dieses überhaupt für eine Funktionalität hat, hätten die auf jeden Fall deaktiviert oder nicht verwendet.
Tim Pritlove
Aber das versteht ja auch keiner äh sofort und dieses Feature ist ja auch nicht erst seit zwei Wochen da drin.
Linus Neumann
Nee, nee, das ist aus der ersten Version, ne, wenn man anfangs.
Tim Pritlove
Nee, aus der ersten ist es nicht. Es ist aus der zweiten. Also aus der Erstzeit jetzt bei Apache ist aus der 20 Version die aller aller allererste hatte es nicht. Gelandet und hat's irgendwann dieses Feature ähm bekommen. Wir hatten ja übrigens auch vor zwei äh Sendungen hier ähm mit äh unseren äh Gästinnen, Adriana und Katharina, hatten wir ja über, souverän Techfand gesprochen und unter anderem halt auch auf diese schöne XKCD die Comic äh verwiesen. So Allmodern Digital Infrastruktur und das sieht halt aus wie so ein riesiger Wust an Bauklötzchen, alles steht so aufeinander und dann rechts unten so ein ganz kleines Miniteil auf dem alles lastet, Das ist so ein bisschen so dieser äh Blick auf die Sache von so. Wirklich bei Individuals äh äh oder eben dann auch nicht. Diesem Fall war's ein bisschen anders, weil ja eben bei der Apache Foundation durchaus schon ähm. Recht weit oben aufgehangen war. Allerdings haben diese. Auch das Problem, dass die dann eben auch mit so einem Konsens arbeiten äh und dann sehr viel Politik äh gemacht wird, bis dann wirklich mal Neuerungen oder Änderungen von alten Sachen auch durchgesetzt werden. Da sind also schnelle Entscheidungen auch nicht mehr so üblich. Und inwiefern das dieses Feature jetzt konkret betroffen hat, kann ich nicht sagen, aber es ist auch nicht unbedingt immer einfacher alles selber zu schreiben. Weil da macht man natürlich dann auch Fehler, ja, äh wo man dann eben sagt so, na hättest du mal lieber die Bibliothek genommen, da konzentrieren sich Leute drauf. Und dann gibt's ja nur noch diesen Mythos der tausend Augen, ja, die da auch alle mal regelmäßig drauf schauen und dann halt potenzielle Schwachstellen auch finden, aber das ist halt eben auch nicht immer so.
Linus Neumann
Das ist das, was du grade sagst, ist genau der der richtige Punkt. Warum also warum nutzt man äh Frameworks und Bibliotheken, weil da Leute Dinge gelöst haben, ja? Man baut sich nicht mehr seine eigene Datenbankanbindung, Indem man was weiß ich, selber sauber zusammengebastelte Datenbankanfragen in ein wirft, ja, sondern man nutzt, was weiß ich, ne, die Bibliothek zur Anwendung von Datenbanken und, versucht die dafür zu nutzen, dass sie eben ja saubere prepared Statements hat und dafür sorgt, dass es keine SQA Injections gibt ja? Ich denke nicht, dass es mir ohne Weiteres gelingen würde, ja, also wirklich nicht die Hand für ins Feuer legen, Also ich trau's mir zu, aber ich würde jetzt mal nicht den Mund zu weit aufmachen, dass ich es schaffe eine komplette Webapplikation zu bauen, ohne eine SGL Injection reinzukriegen, ja? Ich weiß, wie man die prinzipiell vermeidet. Ähm ich weiß ähm auch Glaube das noch hinzukriegen, ja, weiß aber auch, dass es ähm eben Bibliotheken dafür gibt, die das Problem, gelöst haben, und ich möchte es nicht noch einmal lösen, ja? Deswegen würde ich halt die Funktionalität nutzen zur Anbindung einer Mascall-Datenbank, die mir das jeweilige Programmierframework zur Verfügung stellt. Also es gibt schon Gründe. Dafür diese solche Bibliotheken zu nutzen. Das wäre dann halt nur schön, wenn die ganz gut abgehangen sind und das ist hier ja auch der Punkt von Christian, wenn du die dann auch verstanden hast, was die machen, Ja und ähm in also ein überhaupt Format Strings in einem Logger zu haben, das ist auch eine Funktionalität, die ich von einem Loginsystem nicht erwarte. Ich erwarte, dass es entgegennimmt. Und äh nicht Kommandos, ja.
Tim Pritlove
Man hätte im Prinzip sagen können, okay, schön, dass ihr solche Features einbaut, ja? Vielleicht seht ihr irgendwie erstmal da auch kein unmittelbares Problem damit, weil definitiv die Leute haben das eingebaut aus irgendwelchen Gründen und haben erstmal nicht so ein Sicherheitsproblem gesehen. Schon mal eine nennenswerte Änderung. Und sie haben dafür auch eine Einstellung, also es gibt so einen Konfigurationsfleck, was man setzen kann, dann ist diese Funktion deaktiviert. Nur dass der halt aktiviert war bei Defold und das ist vielleicht so ein bisschen das Problem. Man hätte problemlos dieses Feature einbauen können und sagen können, Erst wenn das sozusagen alle sagen, so was muss auch ein Default sein, das ist total sinnvoll und warum ist denn das nicht immer eingeschaltet und wir haben das jetzt auch tausend Mal ausprobiert, ist alles kein Problem. Kann man das einschalten. Das wäre äh ein Weg gewesen, der diese Katastrophe, die wir jetzt haben, das im Prinzip so jedes IOT-Device, was mit Jawa funktioniert heutzutage so theoretisch exportable ist, was der die totale Hölle ist, ähm schon hätte verhindern können.
Linus Neumann
So jetzt und jetzt kommen wir zu der tatsächlichen Katastrophe. Du musst jetzt eigentlich sämtliche also du kannst nur sämtliche Instanzen updaten und ich glaube, sie hatten ja dann erst gesagt, nimmt alle hier die zwei fuffzehn, was ausgebaut, da haben sie dann aber direkt den nächsten drin gehabt, weil sie, quasi da gab's dann noch ein den man ausführen konnte und dann haben sie in der zwei sechzehn, einzig Sinnvolle getan, das komplette Feature rausgeschnitten und zwar mit dem flammenden Schwert, ja und das war das, was man von vornherein hätte machen müssen und ja, wie gesagt, man hätte es von vorneherein gar nicht einbauen dürfen, aber erst recht, musste man es dann eben auch nicht nicht dran herumdockern, sondern es muss komplett ausgebaut werden. Ähm. Also du musst jetzt äh du hast jetzt die Aufgabe, sämtliche Instanzen zu updaten, Nun hast du aber überhaupt keinen Bestand, kein Inventar, wo du weißt, wo das überhaupt drin ist. Ja, also ich weiß zum Beispiel, dass der ähm Hersteller meiner WLAN Access Points in dem Controller, Schwachstelle hat. Also muss ich diesen Controller jetzt updaten, ja? Jetzt ist aber die Frage, ähm ich kann jetzt aber nicht selber testen, weil ich weiß ja nicht unbedingt, was der lockt. Ich müsste ja um um sicher zu sagen, ein Gerät hat nicht Look for J, muss ich im Prinzip sein Lock-Format-Format mir anschauen, gucken, Okay, dann weiß ich aber auch schon, ob's Lock for Jay hat. Das heißt, ne, bei den meisten Diäten sehe ich ja das nicht, ne? Also muss ich dann irgendwie gucken, welche Sachen davon kann ich potenziell? Was lockt der überhaupt alles? In allen Zuständen, in denen das Gerät sein kann, in dies ihr aber vielleicht auch gar nicht bringe und in welchem Fall kann ich jetzt da irgendetwas rein tun? Also diese, Dieser Weg ist quasi sehr schwierig, also heißt es am Ende musst du wissen. Welche Geräte habe ich? Server, Devices, Computer, Software auf irgendwelchen Rechnern, in denen drin ist. Und jetzt muss ich das abdaten, ja? Oder der Hersteller, weil ich es nicht kann, ja? Und das wird ähm, nie ganz gefixt sein. Also mit dieser Schwachstelle werden wir noch Jahre Spaß haben. Monate im üblen Bereich, dann noch irgendwie Das ist so ein Klassiker, weißte, den findest du dann irgendwann noch mal bei so einem Pantast. Vier Jahre später beim Kunden und denkst, ach komm, hier Standard, mach mal eben zack, bum, hast das Ding auf, ne? Das ist so den kriegst du nicht mehr weg, weil das eben auf so vielen Geräten, verteilt wurde. Man muss jetzt, da wo es an Servern hängt, ist natürlich höchst kritisch, weil jetzt ähm natürlich die ganzen Scanner automatisierten Angriffe, über die über das Internet drüber scannen, ja. Ich habe jetzt auch schon irgendwie deswegen habe ich auch das Beispiel mit den. Mit den äh mit dem Webserver genommen, weil ich natürlich erstmal bei mir auf den Webservern in den in den Lock Fights geschaut habe, ja, immer sehr äh sehr ähm interessant, weil da kriegst du nicht nur. Angriffsversuche, ja, sondern auch die Varianten, die Leute dann eben spielen, ne? Mit anderen Charakter-Encordings und was nicht alles, um um irgendwie zu versuchen, ob da noch was kommt. Das heißt, du man kann jetzt so in seinen in seinen Lock-Fights ganz gut sehen, was da so was da so für Varianten von den Angriffen passieren, wo die sich den Code nachladen wollen und so weiter. Ähm jetzt werden natürlich einige, die von den Unternehmen, die betroffen sind, machen jetzt irgendwie groß Forensik. Da werden sie aber dann teilweise unsaubere Arbeiten machen. Ne, das heißt irgendwie ein paar Monate später äh stellen sie dann fest, Shit äh wir haben äh hier, nicht hingehört ja und ja ist ein ist ein riesen Problem und. Wird uns jetzt noch sehr lange beschäftigen. Ich bin mal gespannt, so so der gleichzeitig gab's ja dann auch so, ja irgendwie relativ dramatisierte Beschreibungen von dem, was da jetzt passieren würde, ne, die ich ähm so nicht teile. Also es ist eine hochkritische Schwachstelle auf jeden Fall Aber so Internet erst mal funktioniert ja noch, ne Und wir machen alle Überstunden, um diese Sachen zu finden und irgendwie zu katalogisieren und überhaupt herauszufinden, was was betreiben wir, ja, also wenn die Zensur in großen Unternehmen bist, kann ich ja nicht sagen, sag mir mal bitte alle Server mit Lok for Jay. Kann's ja gar nicht, niemand. Das heißt, da wird äh wird halt Unmengen gesucht und versucht irgendwie auf diese neue Version zu gehen und eben diejenigen, wo das nicht stattfindet, die werden dann halt äh. Irgendwo blöd landen. So, jetzt kommt die Frage, also solche Sachen passieren, jetzt hattest du erst gesagt, der Mythos der tausend Augen, ne? Äh alle also auch eine frei, die ich für einen Deutschlandfunk verantworten musste oder sollte also nicht weil die die Frage hatten, sondern weil, wichtiges Thema ist. Ja, aber ist doch open source, warum ist das denn jetzt unsicher? Und das ist natürlich.
Tim Pritlove
Da kann doch gar nix passieren.
Linus Neumann
Also genau das Ding, das nämlich und das ist ja das, was du auch mit dem Mythos der tausend Augen meintest, dass bei Open Source Software kann. Jeder reinschauen in den Code und gucken ob der Code also primär geht's ja auch mal darum, ob der Code das macht, was er macht, einen Fehler hat, dass man ihn korrigieren kann und dass man im Zweifelsfall, auch wenn der Fehler eben im Sicherheitsbereich ist, diesen auch korrigieren kann. Nur äh. Wenn du sagst, ach das ist jetzt open source, da muss ich dann nicht mehr hingucken, weil da gucken ja andere hin Dann denken sich die anderen das im Zweifelsfall auch. Und so war's jetzt hier bei, dass alle dachten, ach ja, da guckt schon irgendjemand hin. Das nehmen wir alle hier, da da sitzen wir dann alle in einem Boot, Und äh wird schon wird schon sich wird sich schon äh jemand drum kümmern, ja? Wir sind's nicht und profitieren da jetzt mal einfach mit. Und das ist leider bei viel Open Source Software durchaus so. Ja, wenn sie nicht eine ähm lebhafte Community hat, die sie pflegt, nur wenn du eine lebhafte Community hast, die sie pflegt, musst du auch wieder darum, damit leben das potenziell halt sehr viele Leute da äh Code Committen der vielleicht nicht ähm so so Knüller ist.
Tim Pritlove
Mal eine Frage so an den Sicherheits äh Experten. Wenn du jetzt ähm angenommen jemand hätte dich jetzt mal so berufsmäßig äh beauftragt, so ein Audi zu machen von dieser Bibliothek. Nach dem Motto hier, wir haben hier so die Bibliothek, die wir verwenden, guck, kannst du den mal angucken. Meinst du, dir wäre dieses Problem auf jeden Fall aufgefallen oder nur vielleicht oder ähm weiß man nicht.
Linus Neumann
Auf jeden Fall. Also auf jeden Fall, weil also wenn du dir solche Sachen anschaust, wenn jetzt Sachen auditierst oder äh irgendwie anguckst, dann guckst dir, was sind da, was sind das für Funktionalitäten, die hier umgesetzt werden, ja und dann kannst du ja erkennen, sind die äh von kritischer Natur oder nicht? Kritische Natur ist immer, keine Ahnung, es gibt irgendwie von Fremden und, mit dem intergier ich hier irgendwie, ja? Und genau dann, wenn das quasi seinen eigenen, seinen eigenen Kontext verlässt und in den anderen überführt wird, ne? Ich hatte jetzt eine mySPA Injection genommen, da guckste dann natürlich hin.
Tim Pritlove
Grade weil es auch ein dokumentiertes Feature ist in dem Fall.
Linus Neumann
So und in diesem Fall ist es ja, du hast äh eben diesen gehabt. Du hast die JNDI, das ist dokumentiertes Feature und du kannst jetzt hier im Prinzip in der der Slogan, die Loggen der Instanz kann von der, die Das lockabgebende Instanz kann der das Lock entgegennehmenden Instanz vorwärts Drinks oder eben bis zu komplett dynamische Inhalte übermitteln, die dann dort ausgeführt werden. Äh das würdest du auf jeden Fall anschauen. Jetzt kommt aber der andere Punkt. Wenn mir jemand irgendetwas anderes in Java vorlegen würde und ich sehe ah alles klar, der lädt da oben irgend so ein Logger mit, dann würde ich mir den nämlich nicht angucken. Du denkst, na ja, ist ja nur ein Locker. Gehst ja nicht davon aus, dass der dass diese Loginbibliothek jetzt auf einmal anfängt, ein Eigenleben zu ähm zu entwickeln.
Tim Pritlove
Aber jetzt ist das Ding ja bei der Apache Foundation ein eigenes Projekt, Und da frage ich mich halt, ist es nicht Teil oder sollte es nicht Teil einer solchen Projektpflege, sein, dass genau diese offiziell gehosteten Dinger auch überhaupt mal einen solchen Audit einfach erhalten, Dass man einfach gezielt Leute drauf ansetzt und sagt, so ich gucke dir mal diese Bibliothek an. Die wird von soundso 4000 Programmen auf dieser Welt verwendet. Äh die müssen wir jetzt mal auf sowas checken. Wenn du mir sagst, das findet man dann auch sofort, wenn man dahinschaut, heißt das ja, dass dann wirklich auch noch niemand auch drauf angesetzt wurde, da mal hinzuschauen.
Linus Neumann
Das äh würde ich jetzt tja, also. Auf jeden Fall würde ich ja, also ich kann auf jeden Fall auf jeden Fall würde ich mir genau das angucken, weil was soll so ein Nogger denn noch für Angriffsfläche haben? Ja, also ist ja die und das ist glaube ich auch der Grund, warum sich niemals jemand angeschaut hat.
Tim Pritlove
Weil sich keiner vorstellen konnte, dass dass ich das noch keiner angeschaut hat.
Linus Neumann
Also ich sage das hier mit diesem. Als diese Sache dann hier rauskam und sie sich das angeschaut hat, da habe ich mit einem Kumpel war ich an dem Tag unterwegs drüber unterhalten und ich sagte immer so, ja der ist doch also die die Funktion ist die Sicherheitslücke, dass sie überhaupt gemacht haben. Und er meinte immer so, ne, ne, da muss noch irgendwo ein anderer Fehler sein und na ja am Ende hatte ich halt recht, jetzt hast du diese diese ganze Funktion war halt schon die die die Idee, das kannst du nicht ordentlich bauen, weil eben zu dynamische Inhalte gelockt werden, weil du da keinerlei Annahmen über das Format machen kannst, darfst du das nur noch wegschreiben und damit kannst du schon nur mit mit vorsichtigem Gewissen machen, ne. Ähm. Jetzt kommen wir zu dem Punkt, den wir gerade schon angesprochen hast mit Adriana und Katharina und Souverän Tech fand und fand nicht alles. Wer soll sich jetzt darum kümmern, kritische Komponenten zu identifizieren? Und ne, zu auditieren. Jetzt ist erstmal die Sache, Ich bin da ganz ehrlich, ne? Ich hätte irgend so eine Logging Bibliothek niemals oder wahrscheinlich nie als kritische Komponente identifiziert. Muss ich ganz ehrlich sagen, Ähm ich hätte gleichzeitig, sage ich aber auch, wenn ich mir das angeguckt hätte, hätte ich auf jeden Fall gesagt, das kann nur. Das muss eine Angriffsfläche sein und damit hätte hätte ich ja dann auch, recht behalten. Aber ich erkläre ja auch, wie ich den, wie ich den Gedankengang herbeigeführt hätte, weil es eben viel zu, unklar ist, was dir die andere Seite entgegenwirft. Solltest du das niemals äh interpretieren, erst recht nicht als äh Stelle, von der du nativen Code nachlädst, den du jetzt ausführst, ne? Das das geht so nicht, Das wäre mir aufgefallen. So, jetzt gibt's da zwei Überlegungen, Da wird jetzt auch klar gesagt. So es gibt ja irgendwie die ein paar Coder bei der Foundation, die sich irgendwie mit diesem auseinandergesetzt haben und nicht großartig äh Porsche fahren. Ja und dann gibt es, tausende Unternehmen oder hunderttausende Unternehmen, die diese Software verwenden. In kommerziellen Dienstleistungen, kommerziellen Produkten und wat nicht alles und ähm, jetzt natürlich okay. Die kriegen jetzt auch die haben natürlich auch den Schaden und die Verantwortung. Ähm aber die haben natürlich auch jahrelang eben Software genutzt, die irgendjemand geschrieben hat. Er stellt sich die Frage, ist es jetzt eine Aufgabe des Staates zu sagen? Gut, wir geben jetzt hier Geld aus, um um das alles mal zu orditieren und versuchen euch irgendwie einen einen sicheren Textdeck äh herzuliefern, ist eine Argumentation, die man haben kann oder ist es vielleicht, auch eine Aufgabe dieser Unternehmen dafür zu sorgen, äh dass dass diese Software, die sie verwenden, dass sie da halt auch Beiträge leisten und ich sage das nur deshalb, weil es nämlich bei einigen ja funktioniert. Ja? Es ist es äh funktioniert ja zum Beispiel beim Linux-Körnel so, dass eben die großen Unternehmen, Google, Facebook auch da signifikant leisten ja und dass die da auch quasi sich der Linux-Körnel die Community hm anpassen und unterordnen und mit denen gemeinsam entwickeln, ne? Und äh das ist natürlich auch eine Frage. Äh ich habe ja jetzt auch gar keine Antwort drauf. Ne? Das das Problem ist, das kann halt in in vielen Software Bibliotheken der Fall sein. Das war jetzt hier so ein so ein kleine Ort, von dem eben vorher auch keine Sau wusste oder dass auch niemand im meine Thesis, das hatte jetzt niemand im Verdacht, dass ausgerechnet da die neue Remotecode Execution drin ist. Wenn es dir anschaust, ist es sonnenklar und denkst dir so, boah alter Vater, so ne, total klar, alles lockt, du hast jetzt auf einmal in allen Services, in allen Applikationen diese Angriffsfläche, Wahnsinn! Ne? Absolut Schlimmste, was passieren kann. Totaler Irrsinn, ist auch wirklich ist auch schlimmer als und alles, was du gesehen hast, ist auf jeden Fall das, ne?
Tim Pritlove
Na ja gut, ich meine man könnte ja jetzt auch andersrum argumentieren und sagen, gerade weil das keiner im Verdacht hat, ist es eigentlich genau das Erste, was man untersuchen müsste, ne. Also zur Finanzierung eines solchen Techfahrens. Ich meine, man könnte schon sagen so ein Tech fand, Könnte sich auch um solche Sachen kümmern. In dem Fall meine hier liegt natürlich die Verantwortung in gewisser Hinsicht bei dieser Apache Foundation. Ne, muss man einfach mal so sagen, weil das Projekt ist halt jetzt eins von ihnen, die bieten das an. Sagen, na ja, ist aber seid ihr ja selber Schuld, aber das kann ja jetzt auch nicht ihr Anspruch sein. Kann ja nicht sein. Äh über einen längeren Zeitraum, ich kann Ihnen jetzt leider nicht benennen, aber das ist wie gesagt kein Feature, was erst seit zwei Jahren gibt, sondern was schon sehr, sehr, sehr lange da so äh drin schlummert. Dass sie über so einen langen Zeitraum noch nicht mal auf die Idee gekommen sind zu sagen, wir setzen jetzt mal hier ein Pro auf dieses Teil an und zwar nicht nur auf das. Sondern auf jedes, was wir haben. Also alles muss irgendwie mal angeschaut werden. Eigentlich sogar regelmäßig und, Das hat ja offensichtlich entweder nicht stattgefunden oder wenn's stattgefunden hat von Leuten, die irgendwie offensichtlich, nichts wo die notwendigen Grad an Kompetenz an den Tag gelegt haben, zumindest zu dem Zeitpunkt, wo sie's durchgeführt haben. Also hm, geht ja jetzt auch nicht dadrum hier das große Problem Game zu machen. Man muss sich natürlich aber schon fragen Strukturen in Zukunft aussehen können, um so was zu minimieren, ne? Und da muss man sicherlich nicht nur an einer einzigen Stelle ansetzen Finanzierungsfrage, Organisationsfrage, das ist so das eine. Die Motivationsfrage, eine Verpflichtung auch vielleicht für für solche Sicherheitsüberprüfungen Andererseits müssen sich natürlich auch Unternehmen jetzt äh mal die Frage stellen, Was ist denn mit diesen 999 anderen Open Force Bibliotheken, die noch in irgendwie unserem Javacode äh drinstecken? Wie sicher sind wir uns denn da ja und es gibt wahrscheinlich bisher noch keine Webseite, wo all diese Pakete gelistet sind nach in wie vielen Programmen steckt das drin und äh wann war der letzte äh offiziell dokumentierte Security Audit bei diesem Tool. Das wäre schon mal ganz interessant, wenn man so was hätte, sondern könnte man halt schnell sagen, so, na ja gut hier müssen wir mal gucken. Und natürlich dann eben auch vielleicht im Kontext von dem, was wir schon besprochen haben, dass man eben auch einfach generell sagt. Teilfunktionalität, die optional sein kann, sollte auch optional sein und sollte vielleicht optional auch erstmal ausgeschaltet sein, ne, um dann eben, wenn irgendeine Sicherung durchbrennt, dass es eben nicht gleich überall knallt, sondern eben nur an bestimmten Stellen.
Linus Neumann
Also genau, diese äh Schlüssel, den schließe ich mich an und jetzt muss man natürlich auch nochmal sagen, die, ja klagen über Undank und Stress ja und auch zu Recht ja die die haben natürlich jetzt ich meine die schlafen grade nicht gut Ne, ich meine, das ist jetzt, die haben da irgendwie über Jahre irgendwie ihre komischen Logger da so ein bisschen vor sich hingepflegt. Das war jetzt sicherlich auch nicht deren Herz wird das jeden Tag gesagt haben, wir wollen jetzt hier mal neue noch, lockerere Looks machen, ja, sondern, die wachen halt auf einmal auf und kriegen irgendwie sind verantwortlich für wahrscheinlich eine der schwersten Sicherheitslücken, die so in die Geschichte eingehen wird, ja. Die auf jeden Fall die meiste Angriffsfläche nach außen hat und ähm das ist natürlich das ist jetzt kein Zustand dieser dieser ist schon auch der richtige äh der richtige Punkt, dass da nämlich die ganzen großen Unternehmen haben ihre Sandburgen äh auf Basis dieses dieser Software gebaut und da nichts für bezahlt, ja? Und jetzt die Programmierer sollten Andreas Bogt twitterte das glaube ich, ne? Äh die jetzt da gerade die Überstundenschichten äh um irgendwie die Software rauszuhauen und so weiter hat er auch gesagt. Keiner von denen, sollte jemals wieder für seine Getränke bezahlen müssen, zumal die ja, Im Zweifelsfall alle dieses Feature gar nicht eingebaut haben. Also einer der Developer, ich suche den Tweet nochmal raus, twitterte auch so, ey gerade ein Bashing für irgendein Feature, was wir von Anfang an nicht haben wollten, was wir aber nicht selber geschrieben haben und dürfen das jetzt da äh rausschneiden, ne? Das ist. Fehler passieren und man muss sich halt überlegen, wie man den Sachen sich strukturell nähern soll, ich verbinde das gerne mit der politischen äh Forderung für mehr irgendwie insgesamt und ich, wie gesagt, das ist hat nichts mit. Mit irgendwie Hippietum zu tun, sondern mh damit, dass die großen Unternehmen machen das aus guten Gründen auch, ähm ja, wenn niemand dieses Lock vor J sich jemals angeschaut hat und es offenbar viele, viele, viele quasi alle benutzen. Dann ist hier eben offenbar irgendwas schiefgelaufen, dass da nie jemand mal hingeschaut hat. Habe ich gerade gesagt, bei gab es eine Schwachstelle, die so offensichtlich ist, dass ich sie auch gefunden hätte. Kommen wir mal zu einer, die so dermaßen krass ist, dass sie garantiert nicht gefunden hätte. Und zwar äh zum NSO Explod, den sie zur Installation von. Ihrem Staatstrojaner Pegasus benutzt haben. Kurz zur Vorgeschichte.
Tim Pritlove
Also jetzt geht's um die Technik, die NSO selber für ihre eigene Software verwendet, um sich woanders zu installieren.
Linus Neumann
Kurz zur Vorgeschichte, was wir gerade sagen. Wir wissen äh aus schon seit längerer Zeit aus ähm Erzählungen. Oder auch aus Berichten von eben Leuten, die für NSO gearbeitet haben oder dass sie letztendlich eine Infrastruktur haben, wo du eine Telefonnummer angibst ähm und dann ist, Handy gehackt, ja? Also wirklich einfach mit hm einer äh SMS.
Tim Pritlove
Bei Anrufinfekt.
Linus Neumann
Anruf, sondern mit einer Nachricht. Ist wichtig.
Tim Pritlove
Mhm, okay.
Linus Neumann
Das sind nämlich ein Klick ähm haben, also einen One-Click Explode. So und das war immer ziemlich ähm. Ja übel, weil du natürlich jetzt kommt auch wieder die Frage, jetzt denkst du halt, wo ist die Angriffsfläche, ne? Dann denkst du, okay, ist das jetzt ein Baseband, ähm eine Basebandschwachstelle, ne, also das Baseband das Subsystem in dem Mobiltelefon, das, sage ich mal, den ganzen, Die ganzen Mobilfunkprotokolle spricht, ja? Kannst du irgendwie eine eine schief formatierte SMS Nachricht hinsenden und dann kannst du das Spacement übernehmen, oder äh gibt's irgendwelche weiteren Probleme in der Verarbeitung der Nachricht auf Apple-Betriebssystem, wo ist dann am Ende die Angriffsfläche, ja und, Vor allem, weil es so unheimlich, dass es ja so ein Zero-Click ist. Also Zero-Click ist genau ne, also auch so eine Schwachstelle wie, du musst nichts anderes mehr tun. Es gibt keine weitere Interaktion von der Nutzerin oder so, sondern, zack, dieses System verarbeitet, die Nachricht, die du schickst und ist instant kompromittiert. Ja, das ist ja bei Lok for J, eben auch so, ne? Du hast instant die Kontrolle darüber, weil du eben bestimmst, wo der sein Code äh sich herholt. Ähm. Und in den bisherigen ähm hm Berichten über diese Schwachstelle. War das immer so ein bisschen war klar, das ist irgendwie in dem PDF Pasa und wir, wir haben den jetzt auch gefaket. Das war irgendwie ein relativ kleiner Overflow, ähm aber da wurde nicht so viel drüber erzählt. Ja, also es wurde, war so ein bisschen unklar. Insbesondere im Amnesty Bericht sagen sie auch sehr, wir haben nicht mehr wirklich gefunden, wie der Explode funktioniert. Wir wissen nur, da irgendwo kommt daher, ne? Und es war so ein bisschen, schwierig die konnten also sagen da ist die Schwachstelle aber die konnten nicht sagen wie das Ding wirklich abgegangen ist ja also wie der Explode wirklich funktioniert hat. Und. Das also auf eine Weise war es mir dann auch so ein bisschen egal, weil ich mir denke, okay, Hauptsache, die haben die Dinge gefunden und Hauptsache gibt diese Fixes jetzt, ja und die wurden ja dann auch ausgerollt von Apple und dann haben äh aber, die hm und die Leute vom Citizen Lab, Das jetzt mal dem Google Projekt Zero gegeben, ja? Und zwar ein Bier und Samil Gross. So, die. Samuel groß. Ich weiß nicht, ob ihr also schon mit den ausspricht so. Ähm den wurde äh das Ding mal vorgelegt und das sind so, sage ich mal, Leute, die können das mit dem Reverse Engineering aufn aufn Weltklasselevel, ja. Und die haben sich das angeschaut äh zusammen mit Apple Security Engineering, Architecture Group. Also du hast jetzt, ne? Citizen Lab, die Staatstrainer Expertin, du hast Apple, das Security Engineering and Architecture Team und Google Projekt Zero, Google Projekt Zero, dort eben diese Security Forscher, die sich ja Google eigentlich hält, um um Zero Days zu finden, bevor andere die finden und die einfach zu fixen. Und die haben sich jetzt mal zusammen angeschaut oder oder zumindest Projekt Zero berichtet jetzt darüber, die haben sich quasi äh diesen ähm Explod mal angeschaut, wie der funktioniert. Und genau, gefixt wurde der am dreizehnten September äh einundzwanzig in iOS vierzehn Punkt acht. Ja, das hatten wir schon erklärt. Es geht um den Explode Forst Entry. So ähm jetzt haben Sie. Und ich muss es, also weil ich selber nur in in so im im vom groben Konzept her verstehe ähm sie haben's also jetzt geschafft, sich das mal zu verengieren und zu gucken, was da genau passiert. Letztendlich geht es hier also darum, man schickt eine Nachricht und ich sage ja, irgendwo muss die Angriffsfläche kommen. Und die ist hier in diesem äh in der Image IO Library. Ja, also das ist eine ja, eine Grafikverarbeitungs Library, die eben mit unterschiedlichen ähm Dateiformaten umgehen kann. Unter anderem GIF, und äh PDF. Und so weiter, ja? Und was man hier offenbar äh bekommt, ist ein PDF-Datei, in der ein Gift drin ist und dieses dieses GIF, fällt irgendwie da verwenden sie dann die JB ähm Kompressions äh Technik so und. Jetzt wird es richtig witzig. Es gab mal beim Kongress, ich glaube beim boah ich weiß gar nicht mehr, beim einunddreißig C drei oder sowas. Ein Vortrag von David Griesel, traue keinem Scan, den du nicht selbst gefälscht hast.
Tim Pritlove
Eine der.
Linus Neumann
Erinnerst du dich noch? Einer der meistgesehenen Kongress.
Tim Pritlove
Einer der unterhaltsamsten und meist gesehenen Vorträge. Das war wirklich äh fantastisch, wo er einfach sich mal angeschaut hat, was so ähm Scanner so machen.
Linus Neumann
Die verlinken ihn übrigens auch hier, was so ungefähr die größte Krone ist, die du aufgesetzt bekommen kannst, in dem Blogpost äh verlinkt zu werden, ja. Ähm. So. Folgendes, du hast einen Scanner. Und Kopierer, ja, Scanner. So der der scannt jetzt, du scannt mit dem ein Dokument und du möchtest das möglichst äh komprimieren, nicht kompromittieren, das kommt später. So, jetzt haben Sie eine einen Kompressionsalgorithmus dafür gebaut, der, ähnliche Pixelregionen erkennt und ähm was. Ähnlich genug ist, wird einfach ersetzt. In diesem Beispiel war das so, dass es also es hatte David auch in seinem Vortrag drin. Das ist ja Zweifel gab, dass Barack Obamas veröffentlichtes Geburtszertifikat. Echt ist, weil Leuten aufgefallen ist, dass bestimmte Zeichen darin, An anderer Stelle genau exakt pixelgenau gleich sind. Und dann haben sie gesagt, na ja okay, das ist ein Photoshop fake, weil hier hat ja offensichtlich jemand, ne, das E aus dem einen Teil an die andere Stelle kopiert, damit er am Ende, American steht oder was auch immer. Und David hatte dann in seinem äh Vortrag ging's im Prinzip um zwei Dinge. Einmal dass er damit quasi diese. Idee entkräften kann, weil das Ding im Zweifelsfall einfach nur auf einen normalen Scanner gescannt wurde, der eben diese JB äh ähm Ersetzung macht auf Charakters. Und er hatte einen anderen Fall, nämlich wo er und das war, glaube ich, der Ursprung für den Vortrag, wo massenhaft Dokumente gescannt wurden. Und kleinere Fehler waren zum Beispiel das ähnliche Buchstaben teilweise anders ersetzt wurden, Ja, also ähm wo dann in irgendwelchen Architekturskizzen auf einmal statt eine acht eine drei stand, äh weil eben dieser Kompressionsalgorithmus ein bisschen durchgedreht ist.
Tim Pritlove
Also es war ja wirklich Zahlen sind durch andere Zahlen ersetzt worden. So komplett.
Linus Neumann
Genau, weil die aber weil eben dieser Kompressionsalgorithmus gesagt hat, okay, die sind sich hier ähnlich genug. Ich ersetze jetzt. Ich ich habe ja schon eine Drei. Die mache ich da jetzt wieder hin und dann überschreibt der halt bei bei jedem jedem tausendsten Mal halt eine Acht.
Tim Pritlove
Dann siehst du's auch nicht mehr, dass es ersetzt worden ist, weil's quasi durch eine perfekte Acht ersetzt worden ist.
Linus Neumann
Genau und dieser Kompressionsalgorithmus der regelt das und der sagt dann nämlich, der funktioniert eben so, dass du sagst, pass mal auf. Wir haben hier eine Acht, so geht eine Acht und die haben wir an diesen zwanzig Stellen auf dieser Din A4 Seite, ne? Jetzt hast du dir schon mal die Pixel für zwanzigachten gespart. So funktioniert dieser äh Kompressionsalgorithmus. Außerdem kann der noch äh Refinement incording haben, dass du quasi sagst, okay, wir haben hier einen äh Charakter und ich sage jetzt schon mal, das ist der und du machst aber noch die drei Pixel dazu. Ja? Dadurch, kann er und um das zu machen quasi nutzt der, den äh X-Ohr-Operator. So und jetzt wenn du das entpackst. Da kommt der Moment, wo ich sage, dass jetzt wirklich relativ schwierig wenn du diesen nur diesen Dekodingalgorithmus nutzt. Dann kannst du dir daraus, wenn du jetzt unterschiedliche ähm Character vorher definierst. Also quasi, Dieser also du willst etwas dekoden und das ist jetzt kein Bild mehr, sondern du baust quasi du du du gehst jetzt eigentlich nur noch damit davon aus, dass du du weißt jetzt, dass es jetzt dein Explod, ja? Du definierst jetzt unterschiedliche Dinge mit diesem Stream, der dann dekodiert wird. Schaffst es dir dadurch am Ende. Einen virtuellen Computer zu bauen, weil du kannst nämlich einen Landgatter bauen in diesem Dekompressionsalgorithmus. Und wenn du ein Land hast, kannst du alles bauen oder alle wichtigen für einen Computer. Das heißt, die. Du hast ein Touring Complites ähm Kompressionsform. Was bei der Dekompression es dir ermöglicht eine virtuelle Maschine zu bauen, der du dann Befehle geben kannst. Und äh jetzt kommt der Punkt, jetzt kommen sie, wie kommen sie dahin? Die Herausforderung war, es gab, du brauchst ja immer noch eine Schwachstelle. Es gab quasi in diesem Image IO einen kleinen viel zu kleinen, Bufferoverflow, der jetzt nicht ausreichte, um wirklich ihn ordentlich zu exploten. Aber dadurch, dass sie diese Funktionalität, diesen JB2-Decoder hatten, konnten sie quasi mit dem bisschen, was sie hatten ähm diese virtuelle Maschine in Gang bringen, die dann irgendwelchen anderen Mist verarbeitet und dann am Ende der Explod ist. Das heißt also es ist absoluter Irrsinn. So also wirklich da kommst du nicht drauf, dass das überhaupt gehen würde, ja? Ähm und sie sie schreiben auch, dass das der krasseste Explode ist, den sie je gesehen haben ja und das sind Leute, die sich halt also die überhaupt, das sind die Leute, die in der Lage sind, so was zu analysieren, ja und auch nachher zu erklären. Ich wäre also absoluter, absoluter Irrsinn, dass du auf äh auf auf so einen Explod kommst. Ja und sagen auch, das ist das wahrscheinlich das Krasseste, was Sie je gesehen haben.
Tim Pritlove
Okay ich ich versuche das mal mit meinen Worten nochmal nachzuvollziehen und du kannst kannst mir mal äh korrigieren ob ob ich das jetzt richtig, habe, soweit du es verstanden hast, ähm so. Also zunächst einmal, Die Attacke findet statt, indem einem eine Nachricht zugeschickt wird. Das heißt, die haben eigentlich nur meine Telefonnummer und wissen oder vermuten, dass ich ein iPhone habe. Schicken mir jetzt eine Nachricht, also eine SMS. Die ein Link ist auf ein Bild auf ein PDF.
Linus Neumann
In diesem Beispiel ist es ein Link auf ein Bild, aber mein Verständnis ist eigentlich, dass das Bild auch in die ähm Nachricht einbauen könntest.
Tim Pritlove
Okay also so was wie eine MMS oder so.
Linus Neumann
Und dann würdest, dann würdest du nämlich die Apple-Infrastruktur nutzen, zum Zustellen der äh i-Message und dann macht auch wieder äh die Klage von Apple da sind. So würde ich das jetzt weiter interpretieren.
Tim Pritlove
Okay, die wissen, ich habe ein iPhone, klar, dann können sie mir auch direkt über i Messageprotokoll äh etwas schicken. Es kommt wie von einem anderen iPhone und da ist dann halt ein Bild drin, so. Natürlich möchte mein Telefon dann dieses Bild anzeigen und in dem Moment wird diese Bibliothek aktiv in diesem Dokument, was dann, ein PDF ist, ein PDF ist ja quasi so eine Art äh Container für alle möglichen Dinge, ne. Da können, kann Text drin sein, aber eben auch andere Bilder und die können dann in einem beliebigen Format sein, unter anderem halt auch im, ist unglaublich. Gif, ausgerechnet GIF auch noch, wenn also wirklich das Proloformat schlechthin überhaupt das einfachste, simpelste äh in zehn Sekunden erklärbare äh Dateiformat. Ja? Sie ja dann machen ist also ein Bild ist ja dann so quasi so eine ähm sagen wir mal so. Wenn ich äh dieser Algorithmus bin, dieser Bild auspack äh Algorithmus ja und und du gibst mir ein Buch zum Lesen und da ist dann so ein ähm, Fischers Fritze äh frischt frische Fische. So und jetzt habe ich's schon äh falsch gemacht, ne. Also so ein so ein Zungenbrecher drin und im Prinzip genauso ist dieses Bild für diese Software so ein so ein Zungenbrecher, weil dann einfach das Ding versucht, dieses Bild zu lesen, so nach dem Motto ja Gif und so weiter kenne ich, weiß ich ganz genau, wie das ist. Aber die Software nutzt dann einen Fehler aus und äh schafft es einerseits.
Linus Neumann
Und den den Fehler muss ich vielleicht noch ganz kurz noch mal ganz kurz erklären. Da kann ich und zwar einen einfachen Bufferoverflow. Ein Bufferoverflow heißt, irgendwo reserviert die Software ein Stück Speicher. Weil sie jetzt etwas entgegennimmt, was sie da reinschreibt.
Tim Pritlove
Was auspacken will.
Linus Neumann
Und jetzt jetzt kommt aber das, was sie kriegt, es ist größer. Das heißt, du schreibst jetzt, du sagst, ich möchte hier in den Speicher schreiben. Ich merke mir davor, ich brauche einen MB Speicher und jetzt kommen aber zwei, Was dann passiert ist tatsächlich, dass das Ding halt über die Speichergrenze hinaus schreibt. Das ist im also es ist im einfachsten Fall ein Bufferoverflow mal einfach erklärt. Die Frage ist, wie viel, kannst du da noch rüber schreiben ähm in diesen also über deinen dir zugeteilten Speicherbereich. Wie viel Platz hast du da, ne? Um dann noch etwas auch gezielt ausführen zu können. Da du hier aber in dem Bereich bist, der dir quasi ähm. Ein Bild entpackt, kommst du nicht unbedingt an dem Punkt jetzt auch einfach ein Kommando da hinzuschicken. Da nutzen Sie die weiteren Eigenschaften dieser JB zwei Funktionen, dass Sie damit weitermachen und sich dann eine VM bauen.
Tim Pritlove
In kleinen Schritten gehen. Ich find's ja immer bemerkenswert, dass diese Speicherbereiche, die da angefordert werden, um Bilder auszupacken da landen dann die Daten drin, dass die dann auch immer so ohne Weiteres ausführbar sind. Wobei ich das jetzt hier so verstehe, als ob das dann gar nicht mal erforderlich ist, also selbst wenn jetzt das Betriebssystem quasi verhindert, dass da unmittelbar direkt ausführender Code der so geschrieben ist, wie das für diesen Prozessor gedacht ist, gelandet, ja. Also das ist so ein bisschen mein Verständnis, dass so was nicht sofort ausführbar wäre, aber was Sie jetzt hier wahrscheinlich gemacht haben, ist, dass Sie dort gar nicht Code für den Prozessor äh äh reingeschrieben haben, sondern eigentlich mehr Code für diese Bibliothek, dass wenn die dann dadrauf arbeitet quasi, wie auf einem Bild sie letzten Endes missbraucht wird wie ein Computer, also dass man so quasi diese Bibliothek fernsteuert dadrüber mit Logik und da drin wiederum richtigen virtuellen Code schreiben kann. Also das ist wirklich echt mein blowing.
Linus Neumann
Also total krass und der der führt ja dann trotzdem auch noch und da da wird's dann auch wirklich einfach nur noch crazy. Der führt ja also dieser Code, den du dir in deiner eigenen laufen lässt, der der übernimmt ja dann trotzdem äh noch Zugriffe auf das äh IOS Betriebssystem dadrunter, ne? Die lesen ja dann Nachrichten aus und so weiter. Also das ist äh. Wie gesagt, es ist, man kann es, glaube ich, nur auf diesem auf dieser Ebene beschreiben, dass sie halt durch diesen äh also dass sie sich halt Gatter bauen konnten, durch dadurch wie dieser, Dekompressionsalgorithmus funktioniert und dadurch, was sie dem dann gefüttert haben, hatten sie irgendwann eine VM und die hat dann einfach irgendwelche Sachen ausgeführt. Völlig crav.
Tim Pritlove
Was könnte man Gutes in der Welt tun, wenn solch klugen Leute, Nicht unbedingt in kriminelle Strukturen eingebunden werden, sondern vielleicht bei arbeiten würden. Also es ist ähm offensichtlich kann man dort wirklich so dermaßen viel Kohle verdienen. Dass ich das äh lohnt so sein Leben für so was herzugeben.
Linus Neumann
Also der entscheidende Satz hier praktisch heißt das, es ist möglich. Und X nur logische Operatoren, also logische Memory, also Speicherregionen zu machen in freiwählbaren Offsets. Und zwar aus dem aktuellen Backing Buffer von dem JB Bitmap. Und weil dieser Speicher anbauend ist. Kannst du diese logischen Operationen ähm in Abituriens, machen und in dem Moment, wo du halt end-Or, X-Ohr und X-Norr auf Abiture Speicherinhalte ausführen kannst, kannst du halt alles machen. Dann musst du dir nur noch was dafür bauen, was dann am Ende das macht, was du willst. Völlig crazy. Also.
Tim Pritlove
Ist schon echt cool. Also die haben wirklich äh zutiefst verstanden, wie ein Computer funktioniert, aber sie haben ihn wirklich auf der niedrigstmöglichen Ebene auch gebaut. Also das ist wirklich so die Kernlogik mit mit der man anfängt so die womit die aller aller aller allerersten Computer überhaupt gebaut wurden und ähm auf dem Prinzip eigentlich auch alle normalen nicht Quantencomputer basieren Und das ist ja auf jeden Fall verdient Anerkennung. Also jetzt so Anerkennung im Sinne von. Habe da geil hinbekommen, auch wenn eure Ziele uns nicht passen.
Linus Neumann
Ja, das also ist auf jeden Fall ein krasser Shit und macht einem natürlich auch Sorge, weil wenn man das jetzt mal vergleicht mit, ne, dem Level. Ähm gleichzeitig, ja, also muss ich jetzt auch wieder dazu sagen, Kopf fängt wieder Diskussion an. Wenn also kein Angreifer macht sich mehr Mühe, als er muss und äh wer die sich so viel Mühe gegeben haben, Dann ist das schon ein relativ gutes ähm Zeichen für das iPhone. Hm. Und ich habe jetzt während du äh gesprochen hast, nochmal hier so ein bisschen in den Blockpost vom Citizon Lab vom von vor ein paar Monaten geschaut. Ähm, Da ist mir jetzt ein also äh mir ist noch nicht ganz klar, wie die bei den tatsächlichen Einsätzen in the Wild auf wirklich es hingekriegt haben. Dass das PDF ohne einen weiteren Klick dann gepast wurde. Ich weiß nicht, ob das dieses Preloading ausgenutzt hat oder ob sie eben an anderen Stellen, weil die haben wir zur SMS. Also da bin ich gerade noch ein bisschen unsicher, aber letztendlich, So, du öffnest dieses PDF und dein iPhone ist geoend. Fertig. Durch. Und das ist schon ja, also ist krasser Shit. Der äh Jürgen Schmidt hat äh in Heise kommentiert leider geil, Seid Arschlöcher, aber das habt ihr halt gut hingekriegt. Und das ist halt echt ähm. Ist einfach nur krass.
Tim Pritlove
Also es ist so ein bisschen um den mal den Vergleich auch zu diesem Lockforjay äh Desaster zu machen, so. Das ist so, äh dem zeigst du irgendwie einen Zettel, der steht drauf, mach hinten die Tür auf. Und dann mach da hinten die Tür auf. Hier kommt kommt so der äh DHL-Bote und äh äh zeigt ja irgendwie so das Etikett und du denkst, du liest das, wirst aber in dem Moment hypnotis. Genau bis so hypnotisiert und äh äh kannst du in in Trance äh empfängst du Botschaften aus äh fremden Welten Welten und dann tust du irgendwie all diese Dinge. Na ja.
Linus Neumann
Ja. Wir haben letzte Mal schon über die Telegram-Diskussion gesprochen. Die haben ja hier quasi schon aber vor vorerörtert in der sie bevor sie jetzt in der Öffentlichkeit äh geführt wird und jetzt kriegen wir natürlich noch eine weitere. Forderungen hinzu, die darf nie lange auf sich warten lassen, wenn irgendwas im Internet nicht gut ist. Pflichtdiskussion. Auch spannend, weil wir gerade erst in der letzten Sendung darüber gesprochen haben, dass die Kleinnamenpflicht von Facebook, gesetzwidrig ist oder unter Verdacht steht gesetzlich zu sein und vom BGH diskutiert wird. Und jetzt kommt die neue Bundestags, Bundestagspräsidentin oder Vizepräsident Präsidentin und sagt ja mit dem Internet. Wir brauchen jetzt mal wieder eine Kleinnampfpflicht. Hatten wir lange nicht mehr. Ich würde sagen, so die letzten sechs, acht Monate hatten wir keine kleineren Pflichtdiskussionen mehr.
Tim Pritlove
Aber jetzt haben wir ja neue neue Regierung als Parlament, neue Bestückung. Da kann man auch wieder die alten Diskussionen wieder äh aufflammen lassen. Bärbel Bass heißt die Dame und äh SPD Politikerin und ist halt jetzt die neue Präsidentin des Bundestages.
Linus Neumann
So und was ist das Problem an einer Kleinnamenpflicht im Internet hätte?
Tim Pritlove
Na ja, Pflicht heißt halt doch, dass dass Leute, die einen äh berechtigtes Schutzinteresse ihrer Persönlichkeit haben, dann äh gezwungen werden, diesen äh Schutz ohne Not aufzugeben, ne. Es gibt genug Leute, die, urteilt werden, dafür was sie einfach sind und nicht ändern können, ja, Sexuelle Orientierung, Geschlecht, alles mögliche und äh haben oft ein berechtigtes Interesse, auch eine Kommunikation zu führen, ohne das sofort ersichtlich ist, welche Identität dahinter steht. Und ähm von daher ist das das Problem mit einer klaren Namenpflicht.
Linus Neumann
Susan dazusagen, sie hat dann auch gesagt, sie die Diskussion steht noch am Anfang und bisher juristisch noch nicht irgendwie sauber umgesetzt oder sowas, ja, aber äh findet das schon grundsätzlich gut, ne? Ähm. Es geht hier am Ende darum, dass dass dass jede einzelne Nutzerin im Internet eben am Ende nicht mehr anonym ist und ähm alles, was du schreibst, tust oder sonst was, machst im Internet am Ende auf dich zurückführbar sein wird. Und das ist ähm, glaube ich eine eine äußerst schlechte Idee.
Tim Pritlove
Ein bisschen anders formulieren und sagen. Ende, ja? Bist du heutzutage sowieso schon fast immer irgendwie identifizierbar? Die Frage ist nur, wie lang ist dieser Weg dahin und wie viel äh Aufwand technischer Aufwand muss äh gefällt werden. So eine so eine totale absolute, knallharte, superanonymität bietet dir fast keinen Ort im Internet wirklich. Klarnamenpflicht heißt aber sofort, dass du quasi äh jegliche Anonymität vom Staat weg vergessen kannst. Das schon nochmal eine ganz andere Nummer.
Linus Neumann
Also das ist. Ne also der gibt ja dann immer unterschiedliche Ideen, was weiß ich, irgendwie äh äh Personalausweispflicht äh sind dann so Seehoferstyle Vorschläge, andere sagen dann, okay na ja äh. Machen so Sachen wie okay, wir haben jetzt die wir haben anonyme Sims. Mehr oder weniger vor ein paar Jahren verboten, dann versuchen wir jetzt die Klarnamenpflicht durch eine erzwungene Telefonnummernregistrierung irgendwie hinzukriegen, ne. Also irgendwelche Ideen, damit immer und es ist jedes Mal eine nicht so gute Idee, ja? Und ich glaube, was man entscheidend da einfach mal sagen muss, ist, ähm. Diese Probleme, die wir da haben, was weiß ich, auf Telegram und was nicht alles. Die kommen ja nicht da, die kommen ja nicht aus der Anonymität. Ganz im Gegenteil. Äh wir haben ja hier diese äh Frontal 1zwanzig, die dann da einfach ganz normal in eine Telegram-Gruppe gehen und die äh die Arbeit der Polizei machen, indem sie die die halt verfolgen, ne und, Ich sehe mhm. Ich sehe nicht, dass dass das jetzt die Anonymität, die die treibende Kraft hinter dem Hass im Netz ist. Ganz im Gegenteil, also schau dir die Bildredakteure an, die hat hetzen jeden Tag unter ihrem eigenen Namen. In Facebook gibt's eine Klarnamenpflicht, ja, gegen die gerade geklagt wird, weil die nicht den äh den den Gesetz der Bundesrepublik Deutschland entspricht. Ich sehe irgendwie nicht, dass jetzt ausgerechnet die Anonymität die Keimzelle äh des Hasses ist, ja, der existiert auch äh so leider weiter.
Tim Pritlove
Das das ist ein totaler Mythos ist das. Also ich meine, das ist äh erinner dich, das ist jetzt eine Diskussion, die gibt es seit den Anfängen eigentlich des. Des Netzes in der öffentlichen Wahrnehmung. Ja, das also am Anfang war die Wahrnehmung des Netzes ähm. Durch die Internetausdrucker, also die, die sozusagen nicht damit aufgewachsen sind. Und dann eben auch der Politik so oh das böse Internet, wo die Leute anonym unterwegs sind. Das Anonyme war in dem Sinne so gar nicht so sichtbar, ja? Also das war immer eine Erfindung in gewisser Hinsicht. Es gab. Pseudonyme Kultur, mit der sie so noch nicht vertraut waren, Nur dass dieses Pseudonyme ja erstmal nur bedeutet, ich arbeite nicht unbedingt jetzt erstmal mit meinem bürgerlichen eingetragenen Namen, aber ich habe schon einen Namen, an dem ich in irgendeiner Form erkennbar und im Zweifelsfall sogar auch identifizierbar bin. Und das hat sich dann schnell in so einer öffentlichen äh Nichtsblicker-Diskussion aufgeschaukelt mit das böse Internet, wo alle anonym unterwegs sind und das ist ja irgendwie die die Gefährdung. Ne, so das die Angst vor dem Unbekannten. Das ist das halt das ist da eigentlich so rein codiert. Ohne dass das gestimmt hat so und, in gewisser Hinsicht zieht sich diese Debatte bis in diese Diskussion immer noch fort, weil wie du's ja auch schon gesagt hast so, ist nicht so, dass jetzt keiner wusste, wer dieser wer sich hinter dem Namen Attila Hildmann. Befindet, ja. Attila Hildmann hatte, war Fernsehkoch oder was weiß ich, was er nicht noch alles gemacht hat. Der Typ äh bei einem Fernsehkoch, ne, der war der hatte einen Laden und hat irgendwie, keine Ahnung. Ich habe nehme mir an diesen äh Kulturen nicht teil, aber auf jeden Fall der war sichtbar. Man kannte den, der läuft rum und rennt rum und wie gesagt, ich bin Attila Hildmann mit A und mit H und deswegen bin ich irgendwie der neue Hitler. Also ja aber ja also wirklich also darum redet du dann alles ja wie aber wer ist das? Ist wirklich schwierig jetzt rauszubekommen wer der ist oder wo der wohnt. Das ist nicht das Problem. All diese ganzen Leute, die dort auf Facebook rumhetzen und so weiter ist überhaupt gar kein Problem, die zu identifizieren, Es wird noch nichts gemacht. Ich meine, die Leute werden ja noch nicht mal, wenn sie irgendwie vor dem Polizisten stehen und gegen das Gesetz verbrechen, wenn die irgendwie aufgehalten. Das ist ja irgendwie das Absurde. Also es ist äh totale Illusion.
Linus Neumann
Das entfaltet sich natürlich jetzt alles im Rahmen dieser Telegram äh Diskussion und ja das äh, spitzt sich jetzt zu, ja? Ich habe ja also als wir das letzte, Woche besprochen haben, war das noch so ein bisschen theoretisch, wo ich gesagt habe, na ja, die könnten DNS-Sperren machen, die könnten IP-Sperren machen. Die können versuchen Apple und Google irgendwie dazuzubringen. Diese App rauszudrücken und ähm jetzt, wird viel letzte Möglichkeit, Geoblocking, das ist ja nicht Geoblocking, das ist ja IP spenden, aber okay. Das äh erkläre ich habe ich einigen Journalistinnen auch schon erklärt, dass was der Unterschied zwischen Geoblocking oder Tischbären ist. Ähm. Da spitzt sich jetzt zu und ich bin mal gespannt, das kann echt bitter werden. Also ich wirklich, ich meine, üblicherweise blicke ich ja auf diese netzpolitische Geschehen mit so einer Erwartungshaltung, wo ich ungefähr weiß, wie das wahrscheinlich am Ende läuft. Ja? Aber ich bin echt mal gespannt, wie. Verschärft, sich jetzt ausgerechnet die neue Bundesregierung mit Telegram anlegen will. Ähm und zu welchen Maßnahmen die da greifen werden und ich. Ich habe fast die den Eindruck, dass die Bundesregierung einen Kürzeren ziehen wird, weil wenn die jetzt eher also das Zeug ernsthaft zu sperren in einer. Wahrscheinlich noch am besten mit Beginn des Lockdowns oder so?
Tim Pritlove
Na ja gut, die Frage ist äh äh die im Raum stand und immer noch steht, ist ja, Wie geht man mit einem Unternehmen vor, was hier ein öffentliche Diskursplattform anbietet? Das geht ja bei Telegram gar nicht mal so sehr um die Person zu Personen oder kleine Gruppenkommunikation.
Linus Neumann
Nee, sondern es geht um die Gruppenjahr. Ein wichtiger Punkt, den du auch da gerade bring.
Tim Pritlove
Sondern es geht geht um die Gruppen, die halt ja beliebig viele Teilnehmer haben können, die also im Prinzip öffentliche Kanäle sind wie Webseiten, Funktioniert anders, ne, aber es hat äh ein eine ähnliche äh Reichweite oder kann eine ähnliche Reichweite haben oder sogar weiter darüber hinaus gehen. Und natürlich. Äh unterliegt dieses Unternehmen in unserer Vorstellung hier den äh lokalen Regeln. Dazu haben wir diese Regeln ja auch und die gelten ja auch für alle anderen. Also warum sollten sie nicht auch für Telegram gelten? Problem ist nur, keiner weiß, wie man irgendwie Telegram habhaft werden kann und dann finde ich's durchaus legitim, dass man äh dokumentiert, okay, alles klar. Wenn ihr äh nicht bereit seid, auch nur ansatzweise diesen Regeln Folge zu leisten und eure Verpflichtungen einzugehen, die da heißen, wir müssen mal wissen, wer ihr seid und wie man äh wie man anrufen kann. Ne als Minimum. Ich meine, das ist ja wirklich das also das absolute Minimum, Sozusagen, da ist ja noch gar nichts passiert. Da weiß man einfach nur mal, mit wem man reden kann. Wenn das halt nicht gewährleistet ist, muss man sich natürlich dann schon fragen. Okay, also was ist dann sozusagen eure ähm Überlebensberechtigung? So, was was ist überhaupt eure Existenzberechtigung? Oder inwiefern sollten, Unternehmen wie Apple und Google durch ihre App Stores dazu beitragen, dass dass diese Existenz existiert. Also ich versuche jetzt nur die die Gedankenwelt ne ein eines juristisch politischen Menschen nachzuvollziehen, die ähm. Ich bin kein Jurist, deswegen äh kann ich den Teil ehrlich überhaupt nicht nachvollziehen, aber so die Debatte finde ich legitim, dass die geführt wird. So, die Frage ist, was was macht man was macht man damit jetzt so? Geht man dann zu Apple und Google und sagt so, ihr müsst jetzt diese App verbieten. Weil die einfach sich nicht an die Regeln hält und ihr müsst euch ja auch an die Regeln halten und äh ihr seid letzten Endes die Distributoren dieser Software, die sich nicht an die Regeln hält, also müsst ihr diese Regeln dann äh stattdessen durchsetzen.
Linus Neumann
Richtig, du hast aber also das ist absolut richtig, du hast nur jetzt also ähm ich sehe nicht, wie wie also was mich, interessiert ist, wie soll die ganze Sache nachher enden? Das geht ja dann bis einer heult. Und am Ende hat halt die Bundesregierung im Zweifelsfall die soundsoviel Millionen Telegram Nutzerinnen gegen sich.
Tim Pritlove
War gut hat sie ja jetzt auch schon, aber ähm.
Linus Neumann
Nee, nee, nee, nee, da gibt's einen entscheidenden Unterschied, Tim. Ähm es gibt eine ganze Menge Leute, die benutzen Telegram einfach als Messenger.
Tim Pritlove
Ja gut, aber dann äh dann ist das halt, dann muss man halt einen anderen nehmen. Na ja, also sorry, aber das ist ja nun eine einfache Entscheidung.
Linus Neumann
Du hast schon, du hast ja schon verstanden, was ich jetzt gerade sagen will, also.
Tim Pritlove
Ja gut, aber ich meine, es ist ja auch absolut legitim von Telegram zu erwarten, dass sie sich halt an unsere Regeln halten.
Linus Neumann
Mitunterregeln übrigens, gegen die wir selber protestiert haben, ne? Weil da ja auch diese mit äh Meldungen direkt ans BKA äh und so weiter. Solche Sachen drin sind, ne? Also es sind jetzt auch nicht unbedingt Regeln, die ich alle äh so gut finden würde.
Tim Pritlove
Nee, aber der es gibt einen Ansprechpartner für das Unternehmen, um mal Sachen zu klären, gegen die Regel habe ich jetzt erstmal äh so nix. Und dass sie halt jetzt äh äh gut ich meine klar man kann jetzt über die Ausführung dieses Netzwerkdurchsetzungsgesetzes darüber kann man natürlich trefflich äh klagen, ne aber ändert halt nichts an der Tatsache, dass es ja irgendein Weg, geben muss. Diese Umtriebe, die manche Kanäle so entwickeln, auch verfolgbar zu machen. Auf die eine oder auf die andere Art und Weise.
Linus Neumann
Wirklich systemtragender Staatsfunk hier ey. Wir kommen jetzt zum Cyber-Bunker. Ich habe keinen Bock mehr, dir zuzuentrieren. Wir kreuzen Cyber-Bunker. So.
Tim Pritlove
Okay. Der ist wie gesagt, das ist das ist jetzt so die die Logik dieser Debatte, ne? Die geführt wird so. Na ja, okay.
Linus Neumann
Wir kommen zum Cyber-Bunker. Denn hier geht es nämlich de facto ein bisschen um das gleiche äh oder um ein ähnlich gelagertes Problem. Äh wir erinnern uns, äh Cyber-Bunker äh hatte, ich weiß gar nicht, wann da die wann die den da äh die Leute verhaftet haben. Ich glaube, das war zwanzig neunzehn oder sowas. Äh Oktober zwanzig zwanzig dann der Prozessbeginn. Cyber Bunker, Leute, die ja Bulletproof-Hosting angeboten haben, also die haben eine eine äh, Ein Datenzentrum betrieben Data-Center und da haben sie irgendwie gesagt bei uns kommt keiner rein und äh um das äh zu unterstreichen, dass bei ihnen keiner reinkommt, haben sie diese Datenzentren in einen Bunker gebaut. Erstmal in, Holland irgendwann und dann nach Traben Trabach oder wie das hieß, so ein irgendsoein ähm äh Kaff ähm, gezogen und haben dort sich einen Bunker gekauf.
Tim Pritlove
Heißt et. Ja, Festung Montroyal.
Linus Neumann
Genau. So heißt der Bunker oder was? Nein.
Tim Pritlove
So so hieß dieser ja da also darin haben sie äh den Bunker irgendwie drin gehabt.
Linus Neumann
Bunker sind üblicherweise will die keiner haben, weil die relativ kleine Fenster haben und äh irgendwie ja schwer einen Nagel in die Wand zu kloppen, ne? Und die haben den haben sich diesen Bunker gekauft und, Ja, dann dort eine relativ homogene und recht eindeutige Kundschaft angezogen offenbar mit ihrem Angebot. Und äh da waren also relativ viele hidden Services gehostet und ähm der, überwiegende Teil der Inhalte, die dort gehostet waren, waren in irgendeiner Weise ähm illegal. So. Ähm unter anderem, glaube ich, mich zu erinnern, dass in den Anfangszeiten auch mal The Pirate Bay und Wiki Leaks bei bei den, Cyberbunker Leuten gehostet waren, aber das war noch zu alten Zeiten, als die noch in einem anderen Bunker waren. Ähm wenn ich mich da jetzt, wenn ich kann sein, dass ich mich täusche, aber ich bin mir eigentlich relativ sicher. Ähm dass sie unter anderem auch mal dort waren. Jetzt hatten sie die irgendwie, äh und und jetzt rechtlich stellt sich die Situation so dar, dass die ja nun mal einen Provider waren, nämlich ein Datenzentrum Provider beziehungsweise ein Server Provider, der sich aber nichts ähm nicht in die Daten, die seine Kundinnen und Kunden dort verarbeiten, eingemischt hat. Und jetzt wollten sie dir aber trotzdem irgendwie in den Knast bringen und die Frage ist, wie machst du das? Weil, so haben die sich auch ähm rechtlich dargestellt, siehe das Provider-Privileg haben, nämlich dass sie für die Inhalte, die ihre Kundinnen und Kunden auf ihren Geräten, was weiß ich, verarbeiten, bereitstehen und so weiter, nicht verantwortlich sind. Und jetzt hat die Staatsanwaltschaft, die im Prinzip über zwei ähm Winkel versucht zu also vor Gericht zu verurteilen zu lassen, Beihilfe zu Straftaten. Und ähm Bildung einer kriminellen Vereinigung. Und. Dieses Urteil war jetzt quasi auf kriminelle Vereinigung, haben sie bekommen als Urteil. Aber nicht ähm die den Vorwurf der Beihilfe. Der wurde ihnen nicht ähm zur. Äh Last gelegt, Das ist also quasi ein ein Schlag für die Staatsanwaltschaft gewissermaßen, weil die versucht haben natürlich über diese Beihilfegeschichte, den die zu Mittätern zu machen und das wäre aber eben auch der Teil gewesen, der halt sehr übel ähm, in Richtung der Providerhaftung gekommen wäre. Insofern hat das Gericht hier offenbar noch ein bisschen hm ja. Vorsicht walten lassen und verstanden, dass es eben gefährlich ist an die Providerhaftung zu. Heranzugehen, wenngleich dieses Hyba-Bunker-Vögel halt tatsächlich äh vieles getan haben dafür, dass die schöne Provider-Haftung angegriffen wird, ne, weil die Provider Haftung äh, hast du ja eigentlich mit der Begründung, dass du eben sagst, okay der überwiegende Teil dessen, was der Provider macht. Hatte erstens keine Kenntnis von, zweitens ist es überwiegend legal, das heißt, wenn man ihm etwas anzeigt, muss er darauf reagieren und diese Sachen dann eben offline nehmen und, ansonsten ist er aus der Haftung raus und hat ein Privileg hier obwohl er technisch vielleicht einen entscheidenden Beitrag zu der Straftat äh geleistet hat, ist er nicht äh in der Situation. Der Beihilfe schuldig zu sein, sonst könnte könnte sie Deutsche Telekom ja auch zumachen. Ja ähm tja.
Tim Pritlove
Das war dann wahrscheinlich das Hauptbedenken so. Ja eigentlich mussten wir da draufhauen aber dann können wir ja die Telekom, stimmt ja auch, ich meine das ist ja genau das Problem, was äh hier darunter äh steckt und vielleicht hat sich an der Stelle äh das äh diese Überlegung beim Gericht auch einfach durchgesetzt, dass sie sagen, Klar könnte man jetzt hier einfach mit Beihilfe draufhauen, aber was wäre die generelle hm, Auswirkungen davon, weil das würde ja dann bedeuten, dass eigentlich jeder, der in irgendeiner Form kriminelles Gut auf seinen Servern hat und dem nicht unbedingt nachgewiesen werden kann, dass er davon Kenntnis hatte. Ähm, sofort. Äh der Strick gedreht wird und damit trifft's natürlich dann irgendwie alle. Ne, weil ich meine, kein Provider weiß, was. Auf den Servern ist. Also vielleicht hast du von manchen Kenntnis und wir hatten ja neulich hier den Fall äh mit dem Provider in Berlin, der irgendwie die Server von Attila Hildmann. Hildmann, hat so. Der hatte schon Kenntnis davon, dass er sein Kunde war. Ist schon nochmal ein bisschen was anderes. So, aber wenn jetzt halt irgendjemand da einen Server macht und da irgendwelche illegalen Geschäfte drüber abwickelt, dann ist das ja nicht unbedingt so, dass bei dir sofort die Alarmglocken läuten und von daher äh ist es schon sinnvoll, dass jetzt hier eben konkret nur die kriminelle Struktur als solche nachgewiesen und dann eben auch bestraft wurde. Und ich, das Ganze als Providerprojekt.
Linus Neumann
Interessant ist die Begründung des Gerichts. Sie sagen also alle hatten positive Kenntnis von den gehosteten Seiten mit illegalen Inhalten. Bis auf äh Bunker, Manager und Buchhalter. Diese Kenntnis hätten sie zu unterschiedlichen Zeitpunkten unter anderem über die Bearbeitung von erlangt beziehungsweise über Anfragen seitens der Behörden im Rahmen von Ermittlungsverfahren gegen ihre Kunden, welche von den Angeklagten entweder überhaupt nicht, verspätet beantwortet wurden, ja? Äh also die wussten, was da abgeht und ähm. Jetzt äh, sagen Sie weiterhin die haben also alle einen Tatbeitrag im Rädchen des Getriebes gemacht und somit zum Gesamtziel der Gruppierung beigetragen, Und zwar hätten alle gewusst, dass die Kunden generell die Server für strafbare Handlungen nutzen, aber die generelle Kenntnis, dass illegale, gehostet werden, reicht nicht für den Gehilfenvorsatz, dass sie nämlich quasi konkret über eine konkrete Haupttat Bescheid gewusst hätten, Das wurde ihnen nicht nachge, und deswegen haben sie hier jetzt auch eben diese Beihilfe äh nicht bekommen. Der Oberstaatsanwaltschaft hat direkt angekündigt, er wird prüfen, ob er äh Revision einlegt. Ähm der Verteidiger des Hauptangeklagten sagt, es handelt sich nicht um eine kriminelle Vereinigung denn es gab kein Geschäftsmodell und weil das ohnehin juristisches Neuland sei äh erwartet er, dass man am Ende ohnehin vor dem, ähm Bundesgerichtshof steht. Wie gesagt, hier wird es ist. Hier ist ein relativ hohes Rechtsgut, diese Provider äh. Freistehendes Provider Privileg ist sehr wichtig für das gesamt funktionierendes Internets, wie es gerade ist. Wenn das fällt, haben wir ein Riesenproblem und, gleichzeitig ist es und diese Cyber-Bunker-Leute sind halt Arschlöcher, ne? Und man man will jetzt also es ist schon, man will mit denen wirklich nicht sympathisieren, Sitzt da jetzt eher und zittert, dass weil die Arschlöcher halt das ausgenutzt haben und sich benommen haben im Internet wie eine offene Hose, noch dazu, also das haben wir ohnehin schon gemacht, irgendwelche Angriffe und so. Das war halt echt ein bisschen komische Vögel und dann auch noch quasi, ne, das illegale Hosting zum Geschäftsmodell erheben. Das ist am Ende halt ein Angriff auf auf dieses Provider Privileg und da muss man natürlich jetzt hoffen, dass die. Dass die deutsche Justiz und auch die deutsche Legislative hier den coolen Kopf bewahrt und sagt alles klar, wir holen uns die in den Knast, irgendwie alle so irgendwie zwischen ich glaube fünf und sechs Jahren oder so was, äh über äh über die, Möglichkeiten, die wir haben, aber wir kratzen jetzt nicht am äh Provider-Privileg. Tja.
Tim Pritlove
Fünf fünf Jahre und neun Monate Haft und äh so in vier Jahre drei Monate. Der Rest so zwischen drei Jahren und zwei Jahren und vier Monate, also ja signifikant auf jeden Fall.
Linus Neumann
Andererseits interessant. Die haben den ja alle Server rausgetragen, und na ja, bei der ganzen Menge an Indizien und Beweisen, die sie, was weiß ich, das Ticketing-System, ne, wo sich dann die die Kunden beschweren, haben sie trotzdem nicht denen die Beihilfe zu den Straftaten nachweisen können. Zumindest nicht so, dass es das, Gericht überzeugt hat. Jetzt ist halt die Frage, was schreibst du für schreibst du in dein Ticketsystem? Ey sorry, ich kann hier gerade keinen Koks verkaufen, weil der Hiddenservice down ist oder sagst du mein Server ist down, ne?
Tim Pritlove
Keine Ahnung. Kennen die weiß nicht, was hat denn Attila Hildmann geschrieben?
Linus Neumann
Ey Leute, die Kriminellen haben meinen selber wieder. Was ist da los. Welche kriminellen Fragen die da nur beim Cyber-Punker.
Tim Pritlove
Meine Weltrevolution wurde vorübergehend ausgesetzt.
Linus Neumann
Okay, kommen wir mal weiter hier. Kommen wir zum Digital Services Act und Digital Markets Act. Und zwar äh. Zunächst mal DSA Ich zitiere jetzt mal so ein bisschen die Berichte von Patrick Breier, weil das ist jetzt wieder so etwas, ja, da gibt's dann so ein bisschen Berichterstattung, aber das ist so High-Level, weil das ist ja irgendwie so in den Ausschüssen und so, ne und da entstehen ja eigentlich die wichtigen Entscheidungen, Aber die werden noch nicht so so breit berichtet und äh da Patrick war ja unser Ansprechpartner für diese Themen ohnehin ist und bin ja auch wieder in die Sendung holen werden dazu. Ähm. Ja, der Ausschuss für Binnenmarkt und Verbraucherschutz hat jetzt seinen Bericht ähm, verabschiedet beziehungsweise äh angenommen und äh Folgendes sagen Sie. Äh zu den Upload-Filtern. Es sollen keine neuen Uploadfilter verpflichtend werden, ja. Ähm aber, Das ursprüngliche der ursprüngliche Plan war auch den freiwilligen Einsatz dieser Filter zu verbieten. Das haben sie nicht gemacht. Also es ändert sich in der Praxis nichts. Wer ein Uploadfilter hat, hat ihn, die werden jetzt nicht verboten oder behindert, ähm aber, gleichzeitig ähm es kommen keine neuen hinzu. Ne, schon mal halbwegs okay. Dann das versprochene Recht auf anonyme Internetnutzung, ja, um den ständigen Datenlex und dem Datenmissbrauch im Netz ein Ende zu setzen, soll nicht kommen. Äh. So staatliche Behörden sollen eben potenziell ohne Richterbeschluss umfassende Surfprotokolle der Userinnen anfordern können. Aber immerhin soll sichere Verschlüsselung garantiert werden, also Recht auf Verschlüsselung. Ähm na ja. Das sieht also nicht ganz so irre aus und eine flächendeckende Vorratsdatenspeicherung auf Internetportalen soll erstmal ausgeschlossen werden. Also hier Recht auf Anonymität wäre natürlich schon mal was Schönes gewesen und ansonsten versuchen sie, das klingt mir alles so ein bisschen, dass sie versuchen, dort dann doch am Status quo zu bleiben, ja und nicht irgendwie weit darüber hinauszuschließen, zu schießen, aber eben und zwar leider dann auch in keine Richtung.
Tim Pritlove
Aber kein Recht heißt jetzt auch nicht gleich Verbot.
Linus Neumann
Genau. Das meine ich, ne? Also es bleibt irgendwie alles so ein bisschen unreguliert dann jetzt in diesen Bereichen. Jetzt gucken wir mal Überwachungswerbung. Die systematische Überwachung und Erstellung von Persönlichkeitsprofilen der Internetuserin für Werbezwecke soll erlaubt bleiben. Hier wäre die Möglichkeit gewesen, mal wirklich eine fundamentale Änderung herbeizuführen. Aber immerhin soll die Möglichkeit geschaffen werden, sich im Browser generell dagegen entscheiden zu können. Es gab ja schon vor einiger Zeit dieses Donut Track Flag, was aber dann nie, wirklich technische Anwendung fand und Die Idee wäre jetzt, dass du im Browser einstellst, du Track und dann kriegst du auch diese ganzen Einwilligungsbanner nicht mehr. Das wäre potenziell, einen könnte natürlich ein wichtiger Fortschritt bleiben, wenn man wird werden, wenn man das jetzt in irgendeiner Form von, ne, die die EU definiert einen Standard und sagt, pass auf, wenn im Header äh dieses Ding ist, dann darf der Tracker nicht tracken. Wäre schon eine schöne Sache, ne.
Tim Pritlove
Ja und dann darf's auch gar nicht erst so und so weiter, diesen ganzen Scheiß für den ganzen Trekking Kram geben.
Linus Neumann
Dann ging es um um diese Löschungsgeschichten ähm und zwar primär ähm. Über Grenzen hinweg, selbst wenn sie im Land der Veröffentlichung völlig egal sind, ja, dass da auch darüber hatte der Patrick mit uns gesprochen. Also Viktor Orban kann zukünftig auch in Deutschland löschen auf Grundlage seiner eigenen Gesetze. Sollten Netzwerken verboten werden, werden sie aber nicht. Und die Internetplattform müssen Userin auch nicht fragen, bevor sie löschen, sondern können einfach löschen. Immerhin das Einzige, was äh er hier positiv hervorhebt, ist, eine automatisierte Sperrung von Nutzerinnen, die angeblich wiederholte Urheberrechts- oder Rechtsverstöße begangen haben, soll nicht kommen. Ja, das wollten sie auch noch quasi fordern. Hm und er freut sich immerhin. Im DMA über die Inter-Operabilitätsforderung, denn im da kommt jetzt schon die Idee vom ähm. Dass dass diese Internet äh diese Messengern soll dann eben doch äh von. Soll er doch noch herbeigeführt werden. Also da da wäre dann eben genau diese EU äh Bewegung und das Thema hatten wir gerade ähm ausführlich besprochen Also so viel von dort. Wir machen dann noch mal, ich wie gesagt, dieses Thema ist so umfassend. Ähm da muss man uns irgendwie Hilfe von Thomas äh und oder Patrick holen, um um das nochmal in Ruhe aufzuarbeiten, entweder Ende dieses oder Anfang nächsten Jahres. Und jetzt gibt's hier noch äh ein kleines Schätzchen zum Ende. Zwei Schätzchen kommen noch zum Ende. Und zwar einmal, gibt es in Österreich das epidemiologische Meldesystem. Und das ist ein zentrales Register für ansteckende Krankheiten. Da kannst du ähm da da sammeln die drin, wer Corona hat. Dadurch hat das jetzt natürlich viel ähm ähm. Viel Aufmerksamkeit bekommen oder viel mehr Nutzung, aber auch so Sachen wie äh Syphilis, Aids, Malaria und andere anzeigepflichtige Erkrankungen kannst du da eintragen, ja und üblicherweise hast du dann hast du ja weil die nicht äh pandemisch sind diese Krankheiten, hast du halt eine meldepflichtige Krankheit, dann kommt die Person eben in dieses epidemiologische Meldesystem, ja? Und jetzt passiert folgendes. Es gibt eine Firma. Die macht PCR. Das ist die Firma HG Labruck. Und die bekommt, also macht PCR-Tests, ja? Und jetzt werden halt die Zugänge zu diesem EMS-System werden. Kriegt nur eine Person und zwar in diesem Fall der Geschäftsführer. Ja und dieser Geschäftsführer kriegt jetzt einen Zugang zum EMS. Das ist, wenn ich das richtig verstanden habe, funktioniert das mit Zertifikaten. Ist er jetzt auch äh unerheblich? Denn diese Firma EMS, da zieht sich jetzt als erstes mal der Geschäftsführer irgendwann zurück. Äh diese Firma HG Laptop, der der äh zieht sich der Geschäftsführer zurück. Die behalten aber quasi diesen EMS-Zugang. Und diese Firma HG Laptr. Die ja eben PCR-Tests macht und dann im EMS das eintragen muss hat es aber dann nicht selber gemacht sondern das Eintragen an ein steirisches Subunternehmen ausgelagert und den dann quasi wieder dieses Zertifikat gegeben. Dieses steirische Subunternehmen erklärt, äh sie hätten diese Tätigkeit an eine weitere Firma Wienerfirma ausgelagert. Dieser Zugang, also dieses Zertifikat zum Zugang wurde ähm via unverschlüsselter E-Mail an verschiedene Mitarbeiter verschickt, ebenso wie Excel-Dateien die persönlichen Daten von covid-infizierten, die die Mitarbeiter dann von ihrem Privatrechner in dieses EMS eintragen sollten? So Mit diesem mit diesem Zugang, den das Labor ursprünglich mal bekommen hatte, konntest du jetzt von jedem beliebigen Gerät im ganzen Land aus Krankheiten für alle Personen mit österreichischer Staatsbürgerschaft eintragen. Nicht nur Coronainfektionen, auch Aids, vieles Malaria und so weiter und du kannst Namen und Adressen abfragen, äh wenn die, Betroffenen ihren Wohnort in zentralen. Melderegister sperren ließen. Also mit anderen Worten, selbst die es gesperrt haben, konnte es trotzdem noch drauf zugreifen. Weiterhin konntest du schauen, ob man in den letzten äh Wochen an Corona erkrankt ist. Wenn das so war, konnte man E-Mail-Adresse und Handynummer sehen.
Tim Pritlove
Oh warte. So viel auf einmal falsch, das ist wirklich äh krass.
Linus Neumann
Zertifikat, ja mit das den Zugriff äh erlaubt, ja, trägt den EMS-Labor. So, jetzt stellt sich auch echt die Frage, ob dieses Zertifikat jetzt so wirklich.
Tim Pritlove
Nur für dieses Labor gedacht war.
Linus Neumann
Genau, ja. Äh der HG Laptop wurde der Zugang nach Hinweis des Standard äh vom Gesundheitsministerium entzogen. Da sagt er ja, aber nur weil du dich da einträgst, kriegst du ja nicht sofort ein Genesungszertifikat, weil das wäre nämlich jetzt auch das Business gewesen, ne, neben dem riesigen äh Misstrauenspotential kannst du halt da irgendwie eintragen, alles klar, wir haben dieser Mensch hatte äh Corona kriegt Genesen Zertifikat ne. Also das ist äh auch wieder, ich meine, mir mir fällt natürlich auf, das sind klassische ähm, IT-Probleme, wenn du jetzt so ein System hast, wahrscheinlich hat ein paar Monate vorher kein Mensch sich um dieses EMS äh für dieses EMS interessiert ja? Aber jetzt musst du auf einmal vielen den Zugang dazu geben. Und dann passieren natürlich solche Dinge, dass da dass da nicht auf den ordentlichen, Prozess geachtet wird, man die ja Nutzermanagement macht und dass das einzelne also das das du da halt ein Zertifikat bekommst, was du dann irgendwie an Subunternehmen und das an Subunternehmen und das an seine Mitarbeiter, die vom Zuhause Rechner diesen Zugriff verteilt, ist ja absoluter Irrsinn. Ja? Aber so so laufen die Dinge halt leider, wenn man sie nicht ordentlich regelt. Ja und im ich ist jetzt ein sehr weit hergeholter Vergleich aber ähm. Ähnliche, Probleme haben wir ja hier auch mit den Impfzertifikaten, ne, dass du auf einmal sehr schnell dann doch sehr viele Menschen abfertigen musstest, deswegen sehr viele Leute Zugang auf diese Infrastruktur erhalten und da dann eben schwarze Schafe drunter sind. Also gewissermaßen gleiches Problem. Nur hier halt technisch die Grundlage dafür gelegt, indem man sagt, okay, alle dürfen darauf zugreifen oder es gibt halt irgendwie nur ein Zertifikat pro Unternehmen und das wird nicht irgendwie sinnvoll gemanagt oder aufbewahrt.
Tim Pritlove
Klar, ich meine dieses, Totale Katastrophe. Jetzt kann man natürlich schnell sagen, ja seht ihr mal, das ist ja das Problem, wenn man so eine zentrale Datenbank hat und das stimmt natürlich insofern, als das so eine zentrale Datenbank natürlich, Genau solche, möglichen Probleme mit sich bringt, wenn man sie denn nicht von vornherein ordentlich mitdenkt und meine Vermutung wäre äh in diesem Fall, dass diese Zertifikate quasi so gedacht waren für die Mitarbeiter, die im Rahmen, also auch in diesem innerhalb dieser rechtlichen Grenze, Äh ich weiß gar nicht, wo das aufgehangen ist, wahrscheinlich innerhalb einer Behörde, irgendeines Instituts. Ja, also die unmittelbar für dieses EMS zuständig sind und normalerweise eben solche Meldungen über Ärzte erfolgen so ah, hier ist meine aus dem Urlaub zurückgekommen, der hat jetzt irgendwie Cholera, Ah okay, dann sagen Sie mir mal wie der heißt. So, da wird in so einem zehn Minuten Telefongespräch ähm von einer ähm, autorisierten Mitarbeiterinnen dieses EMS, die dann halt so ein Zertifikat hat an ihrem Arbeitsplatzcomputer, die trägt das dann ein und dann, passt das auch schon. Jetzt kam irgendwie Corona und auf einmal hattest du's irgendwie mit 1tausend verschiedenen Unternehmen die PCR-Tests zu tun oder vielleicht auch erstmal nur ein paar hundert. Egal, auf jeden Fall vielen. Also auf einmal entstand eine extrem hoher Datenzugriffsbedarf, für Leute außerhalb dieser Struktur, weil zwangsläufig diese Struktur selbst das so nicht machen kann. Da kannst du ja nicht jetzt für jeden Menschen da anrufen. Für jeden einzelnen PCR-Test, der da durchgeführt wird, skaliert einfach nicht. Also haben Sie dann einfach die Methode, die Sie bisher hatten, Ja, ach ja dann müsst ihr das dann halt eintragen. Nur jetzt natürlich mehrere Sachen problematisch erstmal das, was wir jetzt hier schon unmittelbar gesehen haben, so dieses Weiterreichen des Zertifikats, dass das von Leuten verwendet wird, die das gar nicht haben sollten, ja, dass das irgendwie auch ungeschützt weitergeleitet wird, dass äh keinerlei Begrenzungen äh gab und natürlich, wie ich vermute, jetzt anhand dieser Schilderung, was für Datenauswertungen gemacht werden kann, dass natürlich der Zugriff dann mit diesem Zertifikat auch gleich vollständig und total war. Also man könnte dann sofort alles ändern und alles sehen. Was natürlich nicht geht, weil es auch vollkommen ausgereicht hätte bei diesem PCR-Test halt, okay, hier ist Personen identifiziert mit was weiß ich, Personalausweis, Nummer was auch immer. Ja, hat diesen Test und dann fließt das über eine definierte Schnittstelle äh automatisiert rein, und muss dann vielleicht noch irgendwie abgesegnet werden, obwohl sie übernommen werden, aber das ist nicht automatisch eine Erlaubnis damit verbunden ist, alle Daten abzurufen, aber das hat natürlich zu dem Zeitpunkt niemand äh gesehen und dann war eben auch niemand in der Lage, das so kurzfristig an die Bedingungen anzupassen und damit man das überhaupt noch bedienen konnte, ist man dann halt diesen Weg gegangen. Nachvollziehbar, wie es passiert ist, macht's nicht besser und ähm ist ein generelles Problem, aber das Problem resultiert eben auch einfach, aus mangelhafter, staatlicher digitalen Planung. Das sind eben genau diese Dinge, von denen wir immer reden, wenn wir sagen, der Staat muss sich einfach auf die digitale Welt einstellen, es muss mehr Kompetenz da sein, es muss im Zweifelsfall halt auch ein bisschen Überkapazität sein, um eben, wenn bestimmte äh Systeme besonderer Bedeutung zugeführt werden, wie eben in einer Pandemie so eine, zentrale Erfassungsstelle, die wir ja so in Deutschland gar nicht haben, aber in Österreich ist es ja dann entsprechend vergleichbar, dass dass man dann eben auch in der Lage ist, hochzuskalieren, dass man sagen kann, oha, okay, gut, wir brauchen jetzt eine Schnittstelle für diese ganzen PCR-Unternehmen. Ist ja nicht so, dass so was nicht leistbar wäre innerhalb von äh einem bestimmten Zeitraum. Da muss man dann nicht gleich so äh vorgeben.
Linus Neumann
Ja, das ist einfach nur peinlich und wenn wir schon bei peinlichen Dingen sind, ne, weil der Staat mal wieder was peinliches macht, ne. Wir haben ja, ID Wallet gehabt in Deutschland. War ein kurzer Moment der Glückseligkeit, wo wir diesen digital hatten wir den äh ID Wallet hatten wir, ja, geile Nummer. Irgendwie fünf Minuten gedauert, bis da irgendwie haarsträubende Schwachstellen drin gefunden wurden und dann konnten sie das Ding einklappen, ja? Ein lustiger Tag hatten wir einen schönen Nachmittag mit, ja. Jetzt gibt es eine ähm, Anfrage an das Bundeskanzleramt bei frag den Staat. Die ähm dort gestellt wurde. Und zwar ähm eine ganze Reihe an Fragen und Dokumenten, in denen in denen insbesondere eines sehr interessant ist, nämlich der IT-Sicherheitsbericht, GmbH, die Digital NALIN GmbH. Ist das Unternehmen, was gegründet wurde, um dieses ID Walleting zu machen, ne? Das war ja E-Satus und IBM zusammen, ja, die dann irgendwie gesagt haben, so und jetzt tatsächlich auch die zitieren hier auch an, aus E-Mails, die eben an E-Satus ging, die haben ja quasi für dieses Projekt die Digital and Avling GmbH äh gegründet, und hm jetzt schildern sie irgendwie in diesem IT-Sicherheitsbericht, wir mussten sie im Zweifelsfall der Bundesregierung oder den Bundeskanzleramt vorlegen, denn da kommt die IFG-Anfrage Antwort ja her. Mir ist jetzt nicht klar, wen der äh, an wen er adressiert ist, aber es ist im Prinzip einfach deren Bericht, was denn da auf aus ihrer Sicht äh passiert ist. Erstmal sagen sie wie geil das alles ist, was sie da gebaut haben und dann sagen sie. Sie wurden also von zwei Sicherheitsforschern offiziell über zwei Schwachstellen in Systemen informiert, die unabhängig zur ID Wallet und zugehöriger Infrastruktur betrieben werden? Ähm einmal unkonfigurierte Wordpress Installation auf ihrer Domain. So eine unkonfigurierte Installation auf deiner Dummheit und dann äh Möglichkeit eine Subdomain Takeover wo sie nämlich ähm ähm Supplemades hatten, die auf Microsoft Azure zeigen. Dort am anderen Ende eben keine virtuelle Maschine mehr war ähm und da konntest du dann, hättest du jetzt deine eigene hinlegen können, dann wärst du bei denen unter der Subdomain gewesen. Jetzt kommt der interessante Teil. Am vierundzwanzigsten, also ich zitiere aus diesem Bericht, ja, was die also schreiben. Am vierundzwanzigsten neunten zwanzig einundzwanzig, um bereits einundzwanzig Uhr vier. Erfolgte auf Twitter durch den Account at Flipkeyt der Aufruf Happy Hacking everyone. Gleichzeitig wurde unter dem Titel Helge Chain und er dem erneuten Aufruf Happy Hacking everyone auf GitHub eine Liste mit DNS-Auflösungen erstellt durch DNS-Zonentransfer. Zu von der AG verwalteten Domains publiziert. Der Begriff Helge Chain bezog sich dabei explizit auf Helge Braun, Mitglied des Deutschen Bundestages, Bundesminister für besondere Aufgaben und Chef des Bundeskanzleramtes und dessen, begleitenden Twitter-Posts zum Start des digitalen Führerscheinnachweises, sowie. Die generelle Abneigung der in Anführungszeichen Community, zu allen Technologien im Innovationsbereich Blockchain. Der gezielte Aufruf in eindeutig politischem Kontext mit Polemik und Hasstiraden. Indikator für eine Gruppenbildung, Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinität zu gezielten Ausweitung einer negativen, öffentlichen Meinungsmache und Provokation eines sogenannten in Anführungszeichen Shitstorms. Klammer auf, konzertierte, hier unten, Anti-Aktionszeichen oben von Aktivistinnen der jüngeren Vergangenheit hatten ähnliche Verläufe, Vergleiche Luca App, Ausstellung von Impfzertifikaten in Apotheken, HPI Schulcloud, Klammer zu. Schon mal lustig, weil hier ja letztendlich, hä, also die die Veröffentlichen hier eine eindeutige Schrottepp. Und werden dafür ähm, werden die die wird natürlich einer zynischen Kritik und einem einem gewissen Argwohn unterzogen, ihnen werden aber die Schwachstellen gemeldet, ja? Das ist ja das, also sie sagen hier, das ist ja eine politische Gegner mit Haking-Affinität. Sie wollen einen Shitstorm provozieren, ja unglaublich, ja? Also was was für ein Quatsch ist, ja und vor allem also eine eine üble Diskreditierung halt der äh Sicherheitsforscher, die Ihnen ja die Schwachstellen melden. Jetzt kommt äh jetzt geht's weiter hm. Die Verantwortlichen der Digital Enable GmbH und AG bezogen diese Informationen und unter anderem weitere Parameter, wie nachfolgend aufgelistet, in eine Risikobeurteilung ein. Es besteht ein öffentlicher Haking-Aufruf gegen die Systeme der Digital N-Abling GmbH und der Elysatus AG. Großer Begriff öffentlicher Haking-Aufruf. Als wenn Hacker irgendwie aufgerufen werden müssten, ne. Ich meine, du hast ja eine du hast ja eine ähm. Ausweis-Infrastruktur für eine Bundesrepublik geschaffen und jetzt bist du nervös, weil es einen öffentlichen Haking-Aufruf gibt, ja?
Tim Pritlove
Das hätte sonst nicht stattgefunden. Oh Mann ey zusammen zusammenro.
Linus Neumann
Nächster Spiegelstich. Offenkundig stehen die für die Digital in Abling GmbH im Kontext der ID Wallet betriebenen Systeme nicht isoliert im Fokus, sondern potenziell alle Systeme. Der Elsatos AG. Aufgrund der öffentlichen Äußerung einer versierten in Anführungszeichen Hacker-Community sind gezielte, konzertierte Haking-Angriffe auf alle Systeme möglich oder sogar wahrscheinlich. Aufgrund der negativen Intensität von Äußerungen und der teilweise politisch motivierten Diskussion besteht ein hohes Bedrohungspotential. Nicht weil du eine du nicht weil du eine Ausweisinfrastruktur gebaut hast die der Russe haben will oder so ne. Nein nein nein weil irgendjemand auf Twitter Happy Hacking äh geschrieben hat. Die anderen Systeme außerhalb des Kontextes, der ID Wallet werden mit angegriffen, um eine breite Front gegenüber der Digital Eving GmbH und der Elysatus AG aufzubauen. Überlegt war, dass akute Bedrohungsszenario lässt sich nicht mit einer einzelnen Maßnahme in kurzer Zeit adressieren, beispielsweise sind die NS Updates technisch beginnt, erst zeitlich verzögert aktiv. Und dann abzuwägen sind negative Reputationseffekte durch eine präventive Gesamtabschaltung gegenüber möglichen Seiteneffekten durch Angriffe. So, das waren quasi die Risikofaktoren und im letzten, ne, sie haben also jetzt, also um das noch mal zu übersetzen, sie haben ja jetzt gesagt, so oh Shit, nicht nur uns, sondern nicht nur all die Wallets, sondern alles, was da dran ist, gucken die sich auch an. Und wir müssen jetzt überlegen, was sind Repräsentationseffekte, wenn wir das Ding abschalten. Über möglichen Effekten durch Angriffe, ja? Das legen Sie jetzt vor. Jetzt muss ich ja zusagen. Also dass Sie denken äh die die wollen die das ganze Unternehmen hacken, ist natürlich Quatsch. Die Angreifer, in diesem Fall Sicherheitsforscher, die ja auch die Mails übrigens geschrieben haben, ja? Diese Supplemain Takeover ist ja die Schwachstelle, die Flüpfke, die den gemeldet hat. Ähm also der politische Gegner, der fröhlich und freundlich dir an deine, E-Mail-Adresse, die die Meldungen liefert über die Schwachstellen, die ihr findet, ja, dieser gemeine politische Gegner, warum schaut er unter den Subdomas der Unternehmen? Na ja, weil du da üblicherweise die Testinfrastrukturen findest. Also du du guckst dir natürlich an, okay die Wallet, was findest du, was gibt's da so? Und dann guckst du an, okay, hat vielleicht die haben die beteiligten Unternehmen nicht, vielleicht auch noch irgendwo was rumfliegen, wo man mal drauf schauen kann, Deswegen deswegen suchst du natürlich da, ist ja klar, wär's ja blöd dann aufzuhören und zu sagen, nee, nee, da beginnt ja das Unternehmen, da werden ja bestimmt nicht ihr haben oder weißt du ähm na ja. Das nur als kurze äh Erklärung, ja? Also du hast hier den den den den dümmsten politischen Gegner, der dich hacken will, dir gleichzeitig responsibles closers macht. Und. Jetzt kommt, also jetzt haben sie hier diese äh sieben Punkte und jetzt sagen sie, die Risikobeurteilung erfolgte durch die Verantwortlichen auf Seiten der Digital an GmbH und Ey Satus AG. In Abstimmung mit der Bundesdruckerei GmbH demzufolge unter besonderem Zeitdruck eine sich schnell aufbauende Angriffswelle von fachlich höchstversierten Angreifern mit extrem negativen, zu dem politisch motivierten Interessen würde, wurde für möglich gehalten, gemeinsam mit den Projektverantwortlichen und der Bundesdruckerei GmbH wurden am 2409. gegen 23 Uhr nach sorgfältiger Abwägung unter gegebenem Zeitdruck folgende, präventive Maßnahmen beschlossen und umgesetzt. Erstens. Offline-Setung, die am Standort langen befindlichen Systeme werden umgehend von der Internetverbindung getrennt, sowie verschiedene in Cloud-Infrastrukturen betriebene Systeme werden umgehend deaktiviert. Zweitens, gestaffelte Wiederinbetriebnahme. Es erfolgt über die folgende Tage eine prioritätsgeleitete Wiederinbetriebnahme der Systeme. Im Zuge dessen erfolgen zusätzliche Tests vor der erneuten Freigabe für die Online-Anbindung. Langen, 5undzwanzigsterNeun20, ein2und, So, warum habe ich den ganzen Kram jetzt noch vorgelesen?
Tim Pritlove
Sommer.
Linus Neumann
Weil öffentlich immer gesagt wurde, die haben das abgeschaltet, ähm weil das System der großen Last nicht widerstehen konnte. Und das war ja damals schon lustig, dass das halt, einfach nur Quatsch sein kann, ja weil äh ich glaube da hatte ich ja den den Tweet von Henrik Plotz äh zitiert, indem er auch sagt ähm ja hier die haben, 30 so Führerscheine ausgestellt, nicht pro Sekunde, sondern insgesamt. Und jetzt ist das System platt, ja, Und sie haben's halt abgeschaltet. So, das sind also jetzt hier zwei dann doch sehr interessante Fakten, weil diese Behauptung, das wäre unter der großen Last abgeschaltet worden und würde jetzt bald wieder hochgefahren mit größeren Ressourcen, die war eben unwahr. Ne und äh das ist natürlich so die Sache da, muss man ganz ehrlich sagen. Ich meine, ich kann schon verstehen, dass man ein System Not abschaltet, ja? Aber nicht unbedingt, weil irgendjemand was getwittert hat, ja ähm und vor allem nicht, sollte man nicht in einer solchen Situation sein, dass man ein ne, ein eine Ausweisinfrastruktur zusammen mit der Bundesdruckerei, Für die Bundesrepublik Deutschland baut? Und dann so nervös sein. Und so wenig sich das Ding angeguckt haben, dass wenn man es online nimmt und der Erste sagt, guck mal hier, der hat gar nichts im Griff, dass man's dann direkt wieder offline nehmen muss. Ja? Also ich wie gesagt es gibt Notabschaltungen, die sind manchmal nötig, ja? Aber doch nicht also wie ist dieses Projekt gemanagt, dass quasi zwei, drei Tweets, denen den Eindruck vermitteln. Sie müssen jetzt alles abschalten. Ja, das heißt ja, dass sie sich, dass sie überhaupt keinem vertrauen in die Sehnfrastruktur hatten. Ja? Also wenn du jetzt äh wenn du jetzt sagst, du du betreibst da irgendwas, ja? Jetzt sagt einer hucking, so dann dann hast du ja eigentlich eine eine Risikoabwägung, ein Sicherheitskonzept, dann weißt du, okay. Wir haben uns wir haben die wichtigsten Risiken geprüft. Wir wissen, da kann nicht viel kommen. Ähm. Wollen wir mal schauen. Wenn die was finden, können wir immer noch abschalten. Insbesondere jetzt am Anfang, wo das Scheißding eh noch keiner nutzt, aber dass du quasi äh wie man so schön sagt, äh Selbstmord aus Angst vor dem Tod begehst, das zeigt ja, dass du wirklich halt überhaupt gar kein Verständnis davon hast, äh was da, was du da überhaupt äh am Laufen hast. Und schaltest doch direkt alle Server von deiner Firma mit ab. Das ist schon ziemlich äh. Bemerkenswert, würde ich sagen.
Tim Pritlove
Ja und es ist auch auch total bemerkenswert, dass wenn dann, Solche Sicherheitsschwankungen von außen gemeldet werden, dass das dann auch einfach so von null auf hundert in so eine politische Lagerbeschimpfung geht, ja. Also Zusammenrottung des politischen Gegners.
Linus Neumann
Das ist bei diesen Blockchain-Spackos ja ohnehin ein bisschen so, ne. Also ich habe das ja schon gesagt, dass ich da auch irgendwie habe ich das hier nicht erwähnt, dass es da jemanden, wo man bei Xing LinkedIn und Twitter blocken musste. Der einzige Mensch, den ich jemals per LinkedIn bloggen muss. Ich wusste gar nicht, wie das geht. Musste erst mal googeln, wie mal jemand bei Linking Blog. Ey, irgendwie so, die sind halt völlig in diesem Ding drin, ja, und und und also. Weil sie immer wieder mit der negativen, mit der mit der gemeinen Frage konfrontiert werden, warum eine Blockchain, wenn es auch ohne geht, ja ähm, und auf die sie keine sinnvolle Antwort finden, ja? Sind die da teilweise echt krass emotional unterwegs, ja? Mhm. Während ja hier die Schwachstellen in diesem System völlig offensichtlich sind. Auch nix mit der Blockchain zu tun haben. Die Blockchain brauchst du halt nur nicht, ne? Also aber da sind die sind ist tatsächlich so, dass ich das da ähm. Tja ich weiß auch nicht, wie ich das so wie ich das jetzt irgendwie zusammenfassen soll. Ich meine, die haben da irgendeine fixe Idee gehabt. Die haben das wahrscheinlich auch gut gemeint Ne? Aber das ist halt, es ist halt nun mal leider Käse, was sie da gebaut haben und, tja dann dann dann kommen sie da in so eine Kriegsrhetorik ja. Das ist schon schon erstaunlich. Also.
Tim Pritlove
Ja, es macht so ein bisschen den Eindruck, dass ihr Haus, was sie sich da gebaut haben, einfach so ähm auf so Fleischspießchen steht, ja. Und die das in gewisser Hinsicht auch wissen, dass sie äh völlig verunsichert sind davon, dass es da sozusagen so eine grundsätzliche Kritik daran gibt, die ja auch. Fundiert ist, ja sozusagen die Legitimation und vielleicht eben auch die politische Legitimation, weil das ja qua Bundesregierung alles gefördert ist und so weiter äh in irgendeiner Form bedroht und sie ja genau über diese Versprechen wahrscheinlich das äh Ganze dann auch überhaupt erst in diesen Prozess reinbekommen haben. Da das alles technisch dann aber äh nicht nicht wirklich einen festen Anker äh hat, sondern immer auf diesen Fleischspießchen steht, ist dann im Prinzip jeder eine Bedrohung, der irgendwie erstmal auf das Offensichtliche hinweist. Und dann wird dann halt gegreift und wird dann irgendwie Art Hominem da irgendwie eingeschüchtert.
Linus Neumann
Das finde ich übrigens auch also das ist etwas, was ich jetzt mal so insgesamt dazu noch äh sagen muss, ne, wie, Mit Menschen, die Sicherheitslücken melden umgegangen wird. Das hat sich in diesem Jahr in meiner Wahrnehmung echt krass verändert. Ja ähm. Schauen wir uns an, ja wir haben ja hier mit äh Markus gesprochen, ne, Markus Mengenks, der die Luca-App-Sachen gemeldet hat. Dem haben sie ja auch, ziemlich üble Dinge unterstellt, ja? Äh unter anderem äh er hätte nicht ordentlich gemeldet und was nicht alles, ja, was ich ja, was ich ja schon, ehrverletzend finde. Schau dir an ähm hier das äh Vorgehen der CDU gegen Littlet Wittmann mit ihrer Connect-App. Ja äh also, mit der Connect-App der CDU ist ja nicht die App von Lilly, wird man ja nur gefunden, dass die eine offene ABI ist. Ähm und, Und und schau dir auch an, was weiß ich, zu welchen Versuchen dann doch relativ kläglicher Natur, sich die ähm Macher der Luca-App dann auch herablassen, ja? Und die Investoren. Das ist es ist irgendwie so eine ähm, Also es war früher so und es nee war auch nicht früher so. Aber du hast, nee, stimmt eigentlich nicht. Aber ich hatte ein paar Jahre den Eindruck. Dass man in der Vinolbility Disclower ähm inzwischen so ein bisschen erwachsen ist, ne. Ich mache das ja sehr viel für, CCC-Mitglieder, für Leute, die nicht CCC-Mitglied sind, die dann einfach hier sich äh beim CCC melden unter des Closia DE oder direkt bei mir und sagen, pass mal auf, ich habe das. Kannst du mal kurz was zu sagen? Ja und üblicherweise, gucke ich kurz über den Bericht, sage pass auf, das nochmal besser erklären nicht ganz verstanden und den und den Teil raus, weil das Quatsch oder unnützes Beiwerk, ja? Und dann kriege ich ja auch immer die Antworten mit, wie das so weiter verläuft. Schreiben Sie zurück und hier oder manchmal mache ich die Meldung ja auch für die Leute und üblicherweise kriegst du inzwischen schon, einfach eine in in in gewissermaßen professionelle Antwort, dass dir gesagt wird, vielen Dank für die Meldung. Äh wir haben folgende Maßnahmen ergriffen. Wir halten sie über weitere Maßnahmen auf dem Laufenden, äh danke sehr, ja? Und das ist so ein bisschen immer das, wo ich dann denke, na ja, okay, das ist die das ist die professionelle Antwort, die du bekommen kannst und dann hauen wir da ja auch jetzt nicht irgendwie übel weiter drauf, weil, ne Fehler machen und wenn die Leute irgendwie sich des Fehlers bewusst sind und damit ordentlich umgehen. Aber, Und es wurde ein gefühlt hatte ich den Eindruck in letzter Zeit seltener, dass so halt an so Leute gerätst, die völlig unsoverän damit umgehen. So ein bisschen, was ich erstmal als positiver für die Unterhaltung ein bisschen schade, aber erstmal als eine positive Entwicklung, gesehen habe, dass die Gesellschaft sich eben zum ja vernünftigen Umgang mit vernünftigen einerseits und auch aufrichtigen Umgang mit Sicherheitslücken hin entwickelt. Aber was du jetzt hier siehst, ist ja dann doch äh ein bisschen was anderes, ne?
Tim Pritlove
Das ist unangenehm, dass das äh so ist und ähm zeigt aber eigentlich auch nur, wie wichtig die Sicherheitsdebatte auch geworden ist. Ich glaube früher ne wurde dem Ganzen noch nicht so viel Aufmerksamkeit geschenkt, aber jetzt äh zeichnet sich eben auch, darüber dann eben auch so die Zukunft solcher Projekte dann auch ähm, davon abhängt. Und insofern ähm schade, dass das dann so unangenehm aufstößt bei euch, aber zeigt auf der anderen Seite auch, dass die ganze Sicherheitsdebatte mehr Aufmerksamkeit, zuteil wird.
Linus Neumann
Ja und aber auch offenbar, dass den also ich finde es dann halt ähm ja, also es ist schon auf eine Weise bedauerlich, weil also, okay, warum ich, warum ich das so so schwierig finde, was da passiert. Es gibt Leute, die bauen jetzt irgendwelche sicherheitsrelevanten Dinger, ja und die haben erkennbar keine Ahnung davon. So, dann kommt die Community in ihrer Freizeit hin. Und äh reibt dir das unter die Nase, ja? Ähm letztendlich ist das ein, sicherlich nicht immer angenehmer Vorfall äh oder Prozess für die Betroffenen, die da ihren Mist in die Welt gesetzt haben. Aber es ist eben auch ein notwendiger und reinigender Prozess, ja? Und es ist immer noch besser als wenn diese ID Wallet jetzt Verbreitung gefunden hätte und dann Menschen durch die die verwenden dadurch zu Schaden kommen. Ja? Ähm, Aber für die Öffentlichkeit. Sind ja quasi diese ganzen Angriffe oft nicht nachvollziehbar. Ja? Also da da ist es dann am Ende geht es darum ja hier, Dieser Hacker sagt äh Schwachstelle, die sagen nein Hacker Idiot, ja? Und jetzt geht's so bisher hat die Hackerszene einen tadellosen Ruf und den hat sie sicher vor allem dadurch erarbeitet, dass sie halt auch in der Regel nur Schwachstellen meldet, die wirklich welche sind, weil sie halt Ahnung haben, ja? Und natürlich auch untereinander checken. Wenn du aber jetzt, Wenn sich jetzt quasi die Unternehmen, die in meinen Augen eben völlig verantwortungslos irgendwelchen Mist in die Welt setzen ohne Sicherheitskonzept wer die sich jetzt quasi auf diese. Auf diesen Weg begeben sozusagen, ja hier, äh dass der politischer Gegner zusammenraut, Otto und so, ne, dann ähm ist das quasi ein eine Bewegung wieder weg von einem vernünftigen aufgeklärten Umgang mit, Technik und IT-Sicherheitsrisiken. Und das finde ich sehr beunruhigend, was wir da in den letzten äh Wochen und Monaten gesehen haben.
Tim Pritlove
Stimmt dir voll zu, dass es beunruhigend ist. Ich wollte nur den positiven Aspekt unterstreichen als Berufsoptimist, dass das eben letztlich auch davon zeugt, dass es eben auch alles mehr Bedeutung erlangt und der Kampf, auch mit etwas härteren Bandagen geführt wird und vielleicht eben auch auf eine Art und Weise, wie es überhaupt nicht angemessen ist. Sicherlichkeit kein Spaß.
Linus Neumann
Brauchen alle Gelassenheit durch Kompetenz. Die fehlt denen.
Tim Pritlove
Genau. Probiert's mal. Probiert's mal mit Gemütlichkeit, Leute.
Linus Neumann
Und Lockfor Jay.
Tim Pritlove
So lass Schluss machen jetzt.
Linus Neumann
Lange Sendung äh wir danken allen und äh bis dahin.
Tim Pritlove
Nee und das ist wahrscheinlich auch, ist das nicht unsere letzte Sendung in diesem Jahr?
Linus Neumann
Weiß ich nicht, mal gucken, vielleicht auch ist ja bald schon Weihnachten.
Tim Pritlove
Ja äh ja ist denn schon Weihnachten? Also äh ich würde mal meinen, da ich ähm Also ich also wenn du noch eine Sendung machen willst, dann vielleicht ohne mich. Ähm, Aber äh ich glaube können das Jahresende jetzt schon mal einleiten, es sei denn es kommt noch irgendwas total Wichtiges um die Ecke, was äh unbedingt jetzt über Weihnachten noch geschildert werden muss, aber ich vermute mal, wir machen im nächsten Jahr weiter.
Linus Neumann
Ja, okay, dann äh gehen wir mal davon aus, dass äh wenn du wenn es nicht langweilig wird, wäre erstmal keine Sendung mehr machen bisher nur.
Tim Pritlove
Genau, insofern können wir uns dann auch fürs äh Zuhören in diesem Jahr bedanken und ähm für all die ganze Unterstützung und Teilhabe äh vor allem, die ihr so äh uns gewährt habt, also durch ähm die Kommentare. Durch äh wohlwollende äh Kommentierung im, auf den äh öffentlicheren Kanälen ähm Tipps per E-Mail, ähm. Generelle Unterstützung und äh das Weitersagen und so und das man merkt das und das ist schön.
Linus Neumann
Ja, dem kann ich mich nur anschließen. Ja, jetzt auch insbesondere hier bei dieser ähm. Messenger Interoperabilitätsdiskussion auch wieder gesehen äh kluge Leute mit äh klugen Antworten und Ergänzungen. Ähm. Und auch so, das ist schon immer sehr erfreulich. Dass die Qualität an Auseinandersetzungen, die wir uns bewahren konnten in dieser in diesem schönen zweiten Jahr, der war nämlich.
Tim Pritlove
Und noch besser, ihr erspart uns äh Werbung äh für andere zu machen, indem ihr Werbung für uns macht. Das ist überhaupt einfach das Beste überhaupt so. Habt Spaß mit euren äh neuen Textilien und beim ähm, gefragt werden, wann was denn das jetzt äh wieder bedeutet. Was ihr da so auf der äh Brust tragt und ja. Wir freuen uns äh aufs nächste Jahr mit euch und äh machen weiter, wie ihr es gewohnt seid. Dann hoffentlich auch bald mal wieder irgendwie live irgendwo, aber, erstmal noch die Variante aussitzen. Omi Krohn hat gesagt, wir dürfen noch nicht. Leute, bis bald. Tschüss.
Linus Neumann
Bis denn, tschau tschau.

Shownotes

HTTP Status 416

Feedback

Finfisher Umstrukturierung

Messenger-Interoperabilität

Dokumentierter Kindesmissbrauch weiterhin online

Assange

log4j

NSO-Exploit

Klarnamenpflicht-Diskussion & Telegram-Showdown

Cyberbunker-Urteil

Digital Services Act / Digital Markets Act

EMS-Leak

ID wallet

62 Gedanken zu „LNP416 Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinität

  1. Ich beschäftige mich seit über 25 Jahre mit Java-Entwicklung, hauptsächlich im Backend und muss da jetzt mal meinen Senf dazugeben.

    Zunächst mal ein Dank. dass der Beitrag ohne generelles Java-Bashing auskam ;-)

    Als Entwickler erwarte ich, dass wenn ich eine Api oder eine Library benutze, ich nicht überrascht werde, d.h. wenn ich eine Funktion namens print(record) aufrufe, diese Funktion meinen Datensatz wirklich nur ausgibt und nicht dabei auch löscht. Bei einem SQL Framework ist hoffentlich jedem Entwickler klar dass der Code dahinter noch etwas mehr tut und die übergebenen Daten interpretiert und man daher Datenaus unbekannten „Quellen“ Benutzereingaben etc. validiert (Bobby; drop table). Bei einem logging Framework gehe ich allerdings davon aus, dass diese Framework die Daten die ich ihm übergebe so wie sie sind irgendwo hinschreibt. das irgendwo wird durch die Konfiguration des Frameworks bestimmt. Wenn ich also logger.info(„${env:user}“ schreibe, dann erwarte ich das dann im log ${env:user} steht und nicht mein username, das Auflösen der Variable soll nicht die Aufgabe des Frameworks sein. Mein Applikation bestimmt was im log steht, nicht das Framework.

    Was ich aber wirklich nicht verstehe, zumindest bei der Verwendung in Serversystemen, wie z.b. bei den erwähnten Apple Backends die plötzlich jndi: Anfragen sendeten, wieso dürfen solchen System einfach so auf das gesamte Internet und beliebige URL zugreifen?
    Die Anzahl der wirklich benötigten externen Resourcen sollte doch überschaubar sein (Datenbank, andere eigene Backends, Nameserver etc.) und sollte sich mit ein paar überschaubar Firewallregeln doch managen lassen.
    Fast alle Administratoren die ich bis jetzt in meinem Arbeitsleben kennenlernen durfte waren gegenüber den eigenen Webapplikationen sehr misstrauisch und haben erstmal alle Zugriff nach aussen gesperrt und generell nur einzelnen IP and Ports freigegeben. Bis zum 10.12 dachte ich noch dass das überall so Usus wäre ;-)

    • Hey,
      also das etwas mit Substitution ausgegeben wird ist nun nicht wirklich ungewöhnlich und das einfache Ersetzen von Parametern wie etwa Umgebungsvariablen etc. wäre auch überhaupt kein Problem. Das beliebige Code nachladen schon…

      Ich würde auch argumentieren, dass bei der Benutzung von Bibliotheken nicht zählt was man über das Verhalten einer Funktion denkt, sondern was die Dokumentation dazu sagt. Wenn da halt drin steht das print Substitution macht ist es halt ein print mit Substitution; was jetzt natürlich keine Verteidigung der Schwachstelle von log4j seins soll. Das ist tatsächlich etwas was man in der Regel nicht erwarten würde.

      • Das Entwickler nicht regelmässig Doku lesen ist doch auch bekannt ;-).
        Für gewöhnlich fängt man mit der Version 1.1.x an und überfliegt dann sogar die Doku zu 85%. Irgendwer aus dem Team setzt dann später mal die Versionsnummer in der pom.xml oder build.gradle hoch (sollte doch bei einem logging Framework wirklich unkritisch sein oder? ;-) ). Eventuell wird dann noch kurz ins Changelog geschaut ob es irgendwelche für das Projekt interessante neue Features gibt (JNDI Zugriff, brauch ich nicht, habe ich auch ein komisches Bauchgefühl, aber wenn wir das Feature nicht nutzen kann es ja kein Problem geben oder?).
        Das ist alles keine Entschuldigung, aber eine Erklärung

  2. Zu dem NSO-Exploit,
    ich würde zu der Aussage von Linus man könne nun alles mit dem Exploit machen, ergänzen: I.d.R. kann man damit alles machen, was die iMessage-App auch so machen dürfte. Weißt das System zusätzlich eine Schwachstelle auf, kann man tatsächlich alles machen. Wenn z.B. die iMessage App root-Rechte (oder wie sich das bei iOS nennt…) oder sogar Kernel-Privilegien ohne Isolation besitzt, ist das eine Schwachstelle im Betriebssystem. Keine Ahnung was hier der Fall ist. Hersteller sind ja bei ihren eigenen Apps oft großzügig mit den vergebenen Rechten.

    Man würde ja normalerweise erwarten, dass Apps nur die wirklich notwendigen Rechte haben und ansonsten komplett vom System abgeschottet sind. Sprich ein Schreiben in nicht zugewiesene Speicherbereiche (z.B. von anderen Apps oder Systemkomponenten) oder die Ausführung von priviligierten Prozessorbefehlen sollte die Hardware sofort verhindern (eine Exception werfen) und den entsprechenden Prozess sofort killen.

    Viele Grüße,
    Seb

  3. Ein unterschätztes Argument gegen Klarnamenpflicht: Es erzeugt eine Klassengesellschaft. Es gibt Menschen, die Max Müller heißen; es gibt Menschen, die Olaf Scholz heißen (aber nicht Kanzlerin sind); und es gibt Menschen mit einzigartigen Namen (ich gehöre dazu).

    Wenn ich mit Klarnamen Blödsinn im Internet schreibe, kann dieser sofort auf mich zurückgeführt werden und auch Jahre später noch gefunden werden – sowohl von Arbeitgeberin wie von Fremden, die mich belästigen wollen.

    Wenn Max Müller Blödsinn schreibt, kann er immer behaupten, das wäre gar nicht von ihm sondern von einem anderen Max Müller und das Gegenteil ist schwer nachweisbar.

    Bei Namensvettern von Prominenten ergeben sich ggf. nochmal ganz andere Probleme.

    Ich bin ohnehin gegen eine Klarnamenpflicht, aber wenn man das diskutiert, dann kommt mir dieses Argument immer zu kurz.

  4. Wenn ich das von log4j richtig verstehe wird auch nicht zwischen einen Format-String der solche Variablen-Ausdrücke haben kann und Parameter zu diesen String unterschieden, sondern es wird auch in den Parameter-Strings nach den Ausdrücken gesucht. Wenn das so stimmt ist das der größte Wahnsinn.

  5. @ Linus

    Zum Thema warum die Medien so schweigsam im Fall Assange sind:

    Da erinnere ich mich spontan an einen anderen Kommentar von mir unter LNP vor einigen Jahren. Da habe ich die Medien, vor allem die öffentlich-rechtlichen bei anderen Themen Kritisiert. Mein Hauptpunkt war: Sie setzen keine eigenen Themen!

    Es wird immer erst die Haltung der Bundesregierung abgewartet, bevor selbst etwas berichtet wird. Dann die Art und Weise wie berichtet wird: He said, she said. Denn man will ja „nur abbilden“ was wirklich passiert.

    Schwachsinn! Es bräuchte einen Journalismus mit Haltung. Und so etwas haben wir in Deutschland nicht. Was wir haben ist der äußere Mainstream mit Sendungen wie „Monitor“. Das ist dann das Alibi der Lückenpresse: Natürlich berichten wir über alles und jeden, auch mit Haltung, Damals am 56. Januar nachts um 26 Uhr, haben wir so richtig kritisches Zeug gesendet, ganze drölf Minuten lang!

    Ich hoffe Linus, dass du inzwischen den entscheidenden Punkt in meiner Kritik siehst und diese nicht wie damals zurückweist.

    Wir haben keine unabhängigen Medien, darum hörst du kaum was von Assange.

    Der „Journalismus“ ist doch betroffen! Warum reagiert der Journalismus nicht?

    Linus, die Frage stellt sich nicht, weil du Journalismus mit unseren Medien verwechselst.

  6. Während der NSO-Exploit in der Tat „leider geil“ ist, ist die Idee dahinter nicht so neu: Bereits auf dem 28C3 wurde die Technik von Vertretern der langsec.org-Initiative vorgestellt und mit Beispielen untermauert: https://media.ccc.de/v/28c3-4763-en-the_science_of_insecurity

    Ein Jahr später, auf dem 29C3, wurde die Technik ein weiteres Mal gründlich anhand eines einzelnen Beispiels vorgestellt: https://media.ccc.de/v/29c3-5195-en-executable_metadata_h264

    Das Stichwort zu dieser Technik ist „Weird Machine“ und dürftein Zukunft noch für so manche „Unterhaltung“ sorgen…

    Was mich bei dem NSO-Exploit noch interessieren würde: Wie schafft man es, diese Weird Machine in den Dienst des Exploits zu stellen? D.h. wie kann man damit Sytemfunktionen aufrufen?

  7. Also ich finde das Geräusch das ihr jetzt neu beim Kommentare vorlesen einblendet extrem unangenehm. Mir gefällt die Idee im Grundsatz gut aber nehmt ein anderes Geräusch bitte

  8. Zur Regulierung von Telegram/Klarnamenpflicht.
    Die (als advocatus diaboli(?)) von Tim vorgetragene Vorstellung davon, dass ein Messenger wie Telegram nur dann legitim sein könne, wenn er geltendes (deutsches) Recht einhält scheint mir bizarr. Das Argument hierfür scheint zu sein, dass alles was gegen Recht verstößt, was demokratisch beschlossen ist, pe se illegitim ist. Für so ein Prinzip findet man allerdings in der Vergangenheit und aktuell an jeder Ecke zahllose Gegenbeispiele. Ein Beispiel, eine außerhalb der EU gehostete Website, die Informationen zu abtreibenden Ärztinnen in Deutschland zur Verfügung stellt).

    Generell scheint es mir keinen starken Zusammenhang zwischen Gesetzen (demokratisch geformt oder nicht) und der Legitimität von Handlungen zu geben, aber selbst wenn man das glaubt, muss man den Einzelfall betrachten, um das zu beurteilen.

    Im Falle von Telegram scheinen mir regulative Maßnahmen besonders suspekt. Ja, es gibt dort konspirative, terroristische und sonstwie böse Gruppen, allerdings scheint mir das auch nicht wesentlich anders zu sein, als ein x-beliebiges, nicht in Deutschland gehostetes, Forum.
    Im Gegensatz zu Facebook/Twitter/Instagram gibt es (glaube ich) auch keinen Algorithmus der Inhalte kuratiert und somit Schaden über normale Vernetzungseffekte hinaus verursacht. Das Problem der ganzen Idioten auf Telegram ist kein primär technisches; jedenfalls keins das über die Probleme der frühen 90er hinausgeht, sondern ein Problem der Gesellschaft, die es schafft derart viele Idioten zu produzieren. Den Rassismus und die völlige faktische Fehlgeleitetheit wird man vermute ich nicht sonderlich reduzieren, wenn man hier eingreift, der Schaden, der dadurch entsteht wird allerdings vermutlich echt sein.

  9. Moin,

    der NSO Exploid ist vom Prinzip das Gleiche wie die Leute die in Minecraft Computer bauen nur, dass der NSO Exploid noch auf das Betriebssystem auf dem Minecraft bzw dann die Bibliothek läuft drauf zugreifen kann oder?

  10. Da die Log4J Schwachstelle ja offensichtlich so einfach auszunutzen ist, könnte man die nicht auch dazu nutzen, die verwundbaren Systeme zu updaten? Wahrscheinlich stelle ich mir das zu einfach vor, aber das war so mein Gedanke.

    • Ja zu einfach. :) Im Zweifel würde ich nicht davon ausgehen das man als Außenstehender mit Remotezugriff auf ein System auch versteht wie man das (einigermaßen geräuschlos) updaten kann. Alleine auf Produktivsystemen auf denen ich (berechtigterweise) unterwegs war, unterscheidet sich das korrekte Vorgehen selbst innerhalb der gleichen Firma manchmal gewaltig. Man weiß ja bei dieser Lücke auch vorher nie, welchen Teil der Infrastruktur man mit dem Angriffs-Payload erwischt. Ich sage nicht das es unmöglich ist, da den Job der Systemadministratorinnen zu übernehmen. Aber in diesem Fall muss man den dann auch machen. Und das ist, wie die letzten Tage gezeigt haben, selbst bei Komplettzugriff und moderater bis guter Systemkenntnis, ein eher aufwändiger Prozess.
      tldr: „Enterprise“-Webserver sind keine Telekom Fritzboxen mit Standarteinstellungen. :)

    • Ja, diese Idee hatte schon jemand: https://github.com/Cybereason/Logout4Shell

      Allerdings hat das mehrere Probleme:
      – Rechtlich ist es vorsichtig ausgedrückt zumindest in Deutschland/von Deutschland aus sehr schwierig so etwas legal zu nutzen und fremde Systeme „zu impfen“.
      – Die „Impfung“ hält nur bis zum nächsten Neustart der Anwendung.
      – Vermutlich hat jede nennenswerte Malware genau das schon getan und sich dann auf den kompromittierten Systemen schlafen gelegt.

  11. Klarnamenpflicht?

    Gibt’s ja in ‚echt‘ quasi nie – z.B. nicht wenn ich über die Straße gehe, nie wenn ich mich nicht ausweise. Außer ich habe den Perso an der Brust. Das wäre Klarnamenpflicht.

    Wieso also (nur) im Netz? Weil die, die es wollen, glauben, davon nicht betroffen zu werden. Schäuble meinte im Sommer, es gäbe im Netz „… Schweinereien, die es so „in der realen, analogen Welt“ nicht gebe. …“. An Geldkoffer, Ruanda, Srebrenica, Auschwitz, Kambodscha, Kindesmißbrauch und Glyphosat, denkt er & Co. nicht.

    Eine Lösung? Publizieren auf der eigenen Domain. IndieWeb/Posse. Disclaimer: https://seppo.app

  12. Ich wundere mich ein bisschen ueber diese Telegram-Debatte. Klar, wenn auf Telegram jemand zu einer Straftat aufruft, sollte man dem nachgehen koennen. Aber stellt euch mal vor Telegram *wuerde* eine Postaddress oder eine Telefonnummer im Impressum angeben: der Postkasten wuerde voll laufen, die Telefone heisst klingeln, weil dann Behoerden aus aller Welt anrufen wuerden.

    Wie ist das eigentlich bei Signal oder Threema? Die koennen ja anscheinend gar keine Benutzerdetails herausgeben, weil nix gespeichert wird. Wer weiss, wie viele Bombenbauanleitungen da taeglich ueber den Aether gehen, man weiss es nicht :-)

    Falls Telegram auf richtig Ende-zu-Ende-Verschluesselung umstellt (bzw. die Keys nicht mehr auf dem Server vorgehalten werden), dann koennen sie auch was ins Impressum schreiben und jede Anfrage mit „wir haben keine Benutzerdaten“ automatisch beantworten, genau wie die anderen Messenger-Dienste auch. Das Problem ist doch nicht Telegram oder Signal oder Facebook, oder was auch immer, sondern dass Leute halt Straftaten verueben, oder planen. Wenn jetzt XY gesperrt wird, weichen die Leute auf was anderes aus, ist doch immer das gleiche Spiel.

    Disclaimer: ich mag Telegram auch nicht, verstehe auch nicht, warum das so beliebt ist, aber finde das muessig hier die Betreiber von Telegram in die Pflicht zu nehmen. Die Frage *warum* die Leute sich so radikalisieren und demokratiefeindliche Ansichten entwickeln, wird IMHO etwas zu selten gestellt. „Stell Dir vor der grosse Reset passiert auf Telegram und niemand geht hin“ :-)

    Ansonsten: super Sendung, wie immer, danke fuer eure Regelmaessigkeit!

    • Der funktionale Unterschied von Telegram ist, dass du dort Channels suchen und beitreten kannst.
      Bei den anderen Chat-Diensten musst du eher eingeladen werden. Das verlangsamt das Wachstum und damit die Radikalisierungsgeschwindigkeit in den Gruppen.

      • Das mag für die Entstehung solcher Gruppen gelten, aber nicht für das „Umziehen“ von Telegram zu anderen Anbietern. Wenn es erst wird mit einem potentiellen „Verbot“ von Telegram, wird in den entsprechenden Gruppen dazu aufgerufen werden, sich einen anderen Messenger herunterzuladen und dort einer neuen Gruppe beizutreten.

        • Das wird aber auch nicht bei WhatsApp, Facebook oder Threema stattfinden. (Und wahrscheinlich auch nicht bei Signal, da kenne ich die technischen Details aber nicht gut genug. Vermutlich kann man aber auch dort Kommunikation unterbinden?)
          Ein Screenshot eines Nutzer aus der Gruppe, schon ist die Gruppe (und damit das Kapital des Hetzers) gelöscht.

          Aber natürlich, nach Telegram wird der nächste Messenger kommen, der kein Problem damit hat, sowas zu hosten. Kandidaten in der Startlöchern gibt’s ja genug.

  13. Zum Thema log4j: Könnte man das ungewollte Feature nicht dazu nutzen, dass ein Code ausgeführt wird, der das Framework selbst updated (also eine Autoupdate Funktion basteln, die genau einmal funktionieren kann)?

    Natürlich kann man nicht wissen wo es überall verwendet wird und was genau geloggt wird, aber vielleicht könnte man einen Teil der Anfälligkeit damit schon mal erschlagen – unabhängig wann und ob der Hersteller halndelt (Aufruf einer Homepage, Umbenennen des iPhones, starten einer LiveCD im Netzwerk o.ä als Nutzeraktion).

    Bin kein Programmierer und weiß nicht mit welchen Rechten Java läuft – ist nur ne Idee…

    • Ja, diese Idee hatte schon jemand: https://github.com/Cybereason/Logout4Shell

      Allerdings hat das mehrere Probleme:
      – Rechtlich ist es vorsichtig ausgedrückt zumindest in Deutschland/von Deutschland aus sehr schwierig so etwas legal zu nutzen und fremde Systeme „zu impfen“.
      – Die „Impfung“ hält nur bis zum nächsten Neustart der Anwendung.
      – Vermutlich hat jede nennenswerte Malware genau das schon getan und sich dann auf den kompromittierten Systemen schlafen gelegt.

  14. [1:46:50] Zum Thema Telegram:
    Danke, Linus, dass Du an dieser Stelle klarstellst, dass ihr gegen viele dieser Regeln seid, die Telegram (wie alle anderen) einhalten soll. Der Verstoß von Telegram gegen diese Regeln wiegt zumindest meiner Empfindung nach weniger schwer als der Verstoß vieler dieser Regeln an sich gegen ein freies und selbstbestimmtes digitales Leben. Ich nutze neben anderen Messengern Telegram selbst für 1:1 Kommunikation und private/kleine Gruppen und bin der Meinung, jeder sollte das Recht haben, frei, sicher und verschlüsselt zu kommunizieren (Ja ich weiß, dass Telegram kein Paradebeispiel für Verschlüsselung ist). Dass unserer Regierung, die in der Vergangenheit oft genug gezeigt hat, dass sie gern alles über jeden wissen möchte, es nicht gefällt, dass Telegram nicht nach ihren Regeln spielt ist verständlich. Ich finde es aber bedenklich, dass in der ganzen Debatte darum überhaupt nicht hinterfragt wird, ob der Staat diese Möglichkeiten, die er versucht durchzusetzen überhaupt haben sollte. Die radikalisierten Gruppen im Kontext der Coronapandemie werden hier, wie sonst gerne KiPo oder Terrorismus als Rechtfertigung für diese Regelung genutzt und das wird überwiegend blind geglaubt. Würde man Telegram in irgendeiner Weise verbieten, würde das a) viele dieser Leute in solchen Gruppen in ihren Ansichten bestärken b) mal wieder alle treffen, die sich nichts zu Schulden haben kommen lassen und c) dafür sorgen, dass die Gruppen einen anderen Messenger nutzen. Letztlich brauchen die Betreiber solcher Gruppen und Kanäle nur schreiben, dass „die da oben“ jetzt Telegram verbieten weil „sie Angst vor der Wahrheit/Protesten/… haben“ und man sich doch bitte Messager XYZ herunterladen soll.
    Die allgemeine Unzufriedenheit mit und das Misstrauen gegenüber der Regierung mag sich zwar in einer solchen Gruppe als Blase verstärken, die Anonymität darin ist aber nicht ursächlich dafür. Die vielen Fehler unserer Regierung der letzten Jahre haben dazu geführt, dass die Basis für solche Bewegungen geschaffen wurde. Jetzt versucht man dem Problem wie immer mit noch mehr Überwachung entgegenzutreten. In der Berichterstattung zu solchen Gruppen und Protesten werden auch gemäßigte Kritiker der Coronamaßnahmen in einen Topf mit Querdenkern, Impfgegnern, Coronaleugnern und Nazis geschmissen, wodurch deren Radikalisierung nur befeuert wird.

    • @ewi Und was würdest du damit erreichen wollen? Die Mails die raus gehen wurden ja schon von G-Mail verarbeitet unabhängig davon ob sie den eigenen Server erreicht haben oder nicht. Daher verstehe ich Sinn und Zweck des ganzen nicht so wirklich. Allerhöchstens um ein Statement zu setzen, allerdings im Berufsalltag wenig praktikabel.

  15. Zur Messenger-Interoperabilität: Die Crypto-Probleme sind ja interessant, aber darum geht es doch erstmal gar nicht. Der erste Kommentator macht da aus meiner Sicht einen wichtigen Fehler: Ich vertraue meinem Anbieter nämlich gar nicht (und viele andere auch nicht). Ich habe nur aktuell keine bessere Alternative um z.B. mit meiner Mutter zu kommunizieren. Angenommen ich vertraue Threema und Signal, habe aber auch Whatsapp, weil für mich wichtige Menschen da sind. Wenn wir jetzt Interoperabilität hätten, bräuchte ich nur noch z.B. Signal zu installieren und kann trotzdem mit allen Whatsapp- und Threema-Leuten kommunizieren. Whatsapp vertraue ich damit immer noch nicht, spare mir aber wenigstens die Installation auf meinem Handy.

    Darüber hinaus könnte Interoperabilität auch die Kontaktsuche vereinheitlichen. In der Praxis checke ich aktuell (persönlich) immer erst Signal, dann Telegram und zur Not halt Whatsapp. Threema vergesse ich irgendwie immer, ganz zu schweigen von Matrix, XMPP/Conversations, … all das fände ich eigentlich besser als Whatsapp, aber es ist einfach nicht praktikabel, alles einzeln durchforsten zu müssen.

    Auch wenn die Crypto-Probleme interessant und toll und kompliziert sind, geht es hier ja darum einen Weg aus dem Whatsapp-Lock-In zu finden. Solange die meisten Leute eine grundsätzlich nicht vertrauenswürdige Plattform benutzen, auch wenn die Ende-zu-Ende verschlüsselt, haben wir eh verloren. Praktikabler wäre es vielleicht, wenn nur Anbieter mit z.B. >15% mit anderen interoperabel werden müssen. Gerne können die die Details auch untereinander mit staatlichem und/oder zivilgesellschaftlichem Beisitz aushandeln, solange die Leute nicht mehr auf die Plattform gezwungen werden.

    • (Annahme: Du schriebst zwar „erster Kommentator“, meinst aber mich)

      Moin, ich mache da keinen Fehler, denn auch ich vertraue meinem zentralisierten Anbieter nicht. Deshalb fordere ich ja auch im Kommentar die Möglichkeit einer Kreuzverifikation über sichere Zweitkanäle.
      Nur ist es aktuell eben Fakt, dass die verbreitetsten E2E Messenger eben ein trust-on-first-use auf Basis des durch den Anbieter vermittelten Keys durchführen, und dieses ohnehin nur bedingt vertrauenswürdige Modell wird auch nicht schlechter wenn mehrere Entitäten mit konkretem Nutzer*innenbezug daran beteiligt werden. Nur das war mein Punkt.

      Grüße, 1 XMPP Server admin

  16. Ich fands ein bisschen schade, dass Linus die Telegram-Diskussion so schnell abgewürgt hat, denn IMO hattet ihr beide durchaus Argumente.

    Auf der einen Seite hat Linus halt den Punkt, dass sehr viele Leute – ich z.B. auch – Telegram einfach als Messenger einsetzen. Ein „Verbot“ würde ziemlich sicher mehr schaden als nutzen; zumal das Problem davon ja nicht weggeht. Zumal es wahrscheinlich unverhältnismäßig und damit auch rechtlich schwierig wäre; siehe auch dieser Kommentar von Julia Reda: https://heise.de/-6298929

    Auf der anderen Seite kann man Tims Argument nicht einfach wegwischen, finde ich. Denn die Frage ist legitim: Wie gehe ich mit ausländischen Firmen um, die hier relevant sind, sich aber nicht an geltendes Recht halten?
    Mich hätte schon interessiert, was Linus Gegenargument gewesen wäre; gerade wenn man das ganze mal etwas unabhängig von Telegram betrachtet.

    Denn ich finde es allgemein betrachtet nicht per se schlecht, wenn ein Staat geltendes Recht in seinem Hoheitsgebiet durchsetzt – notfalls halt durch ein Import-/Verkaufsverbot. Ich glaube nicht, dass das bei Telegram der richtige Weg wäre. Aber Tim wegen dieses Arguments als „staatstragend“en Systemlakaien oder so darzustellen fand ich schon seltsam.

    LG, Sandra

  17. Zum Thema Interoperabilität:
    Mich erinnert das stark an Internet Standards (natürlich wie z. B. Mail). Wenn Hersteller früher möglichst viele Nutzer haben wollten, haben die sich in IETF Gremien zusammengefunden und einen Standard vereinbart. Ich beobachte seit ungefähr LDAP, dass Hersteller erkennen, dass sie stattdessen auf Netzwerkeffekte bauen können. Zuerst gibt es zwar 3 Standards für paged searches, aber im Kern sprechen alle LDAP. Dann baut Microsoft noch 20 Features dazu und Software, die dafür geschrieben ist, tut plötzlich nicht mehr mit anderen LDAP Servern. Mit Identity Federation Standards danach war es noch viel gruseliger und irgendwann ist halt nur noch SAML übrig geblieben. Heute werden Dienste einfach so ins Internet geworfen.
    Ihr habt sicher Recht, dass die Bereitschaft von Herstellern, Dinge mit anderen Herstellern zu standardisieren gering ist. Aber vielleicht ist genau das der Punkt. Vielleicht muss die EU nicht den Standard definieren, aber die Firmen zwingen, sich in einem Standardisierungsgremium mit geeigneter Governance zu beteiligen und auf einen Mindeststandard für Interoperabilität zu einigen.

    Und zum Umgang mit Sicherheitsforschern:
    In meiner Wahrnehmung sind es vor allem diese kleinen Goldgräber-Klitschen, die sich besonders negativ hervortun. Wenn man mit den Großen am Markt spricht, wissen die doch mittlerweile, wie der Hase läuft. Aber die Lucas und ID Wallets dieser Welt sind da dünnhäutiger.
    Und „politisch motiviert“? Ja natürlich, der Wunsch, dass unsere digitale Ausweis-Infrastruktur nicht von Dilettanten gebaut wird, ist eine politische Forderung, der ich mich total anschließen kann.

  18. Zum unsouveränen Umgang mit Sicherheitslücken würde ich vor allem auch die Auftraggeber, bzw eben die staatlichen Stellen mal in die Verantwortung nehmen.

    Selbst bei 0815 Unternehmensoftware ist es mittlerweile Standard, das die Umsetzung von Maßnahmen zur IT-Security und zum Datenschutz sehr viel Raum im Vertragswerk, den Ausschreibungen und der Umsetzung einnimt. Geschweige den, dass es ebenfalls Standard ist das schon nur im Intranet erreichbare Anwendungen nur für ein paar hundert Nutzer erst nach Pentest inkl. Behebung von Sicherheitslücken live gehen (bei entsprechenden Schutzbedarf).

    Bei einer bundesweiten Anwendung die im Internet steht darf man als Auftraggeber auch mal ruhig 50-100k EUR in die Hand nehmen um Experten nach Lücken suchen zu lassen, bevor das Ding an das Netz geht.

  19. Hallo Tim, Hallo Linus,
    Eine Verständnisfrage zu dem Pegasus Thema. Das Problem des Angriffs ist doch nur ein Problem wenn ich Nachrichten von Leuten Anzeige die ich nicht kenne oder verstehe ich das falsch? Oder haben die das so programmiert dass sie sich auch noch als jemand bekanntes aus meinem Telefonbuch ausgeben können bzw können die Telefonnummern ownen. Wenn das so wäre dann würde ich sagen aua… Wenn meine Annahme zutrifft dass das nur bei Nachrichten geht bzw bei Nachrichten ein Problem ist wo ich vor der Entscheidung stehe – traue ich jetzt diesen Kommunikationspartner oder nicht dann ist doch auch wieder das Thema dran was ihr immer Predigt… Klicke nicht auf jeden Scheiß der dir angezeigt wird. Die Frage mag jetzt sehr naiv klingen vielleicht habe ich auch Teile Eurer Erklärungen nicht verstanden und ihr habt das im vorderen Teil alles schon dargestellt. Ich bin absolut kein Hacker sondern einfach nur interessiert. Vielen Dank für eure tollen Sendungen und das tolle T-Shirt. Viele liebe Grüße und schöne Weihnachtstage.
    Euer Moritz

  20. Vielen Dank für die Sendung.

    Ich habe noch ein kleines Kommentar zu der log4j Lücke.
    Es wir im Internet relativ viel darüber philosophiert, dass es sich hier um gewünschte Funktionalität handelt und man bei der Spezifikation nur nicht weit genug gedacht hat, dass diese auch missbraucht werden kann.

    Meine Vermutung ist eher, dass das Feature eigentlich nur dafür gedacht ist, dass es in der log4j Konfiguration genutzt werden kann.
    Der eigentlich bug ist hier, meiner Meinung nach, dass User Input interpretiert wird. Ich erwarte von einer log Bibliothek, dass die Parameter, dich ich zum loggen übergebe (euer Beispiel: User Agent) einfach nur 1:1 als String übergeben wird.
    Das selbe Prinzip, wie SQL injection vermieden wird (named paremeters, statt strings zusammenbauen).
    Das hier ein Problem ist, zeigt auch die DoS Schwachstelle, die danach gefunden wurde, wo ein log String unendlich rekursiv interpretiert wurde.
    Die Ursache ist nicht minder schlimm und ich habe leider auch keine Lösung an die Open Source Community wie das generell gelöst werden kann.

  21. Mir scheint es herrscht ein zunehmender politischer Konformismus im Logbuch, ist wohl das Alter, bei Holgi ging es schon vor ein paar Jahren los.

  22. zu Telegram:
    Ich beobachte an diversen Stellen, dass moralisch völlig klar zu sein scheint, dass Telegram den Gesetzen der Bundesrepublik Deutschland unterliegt.
    Woher kommt diese Annahme?

    Telegram betreibt kein Business in Deutschland. Die Betreiber sind (soweit bekannt) keine Staatsbürger, es gibt keinerlei Infrastruktur oder sonstigen Bezug dieser Firma nach Deutschland. Einzig die Verwendung der deutschen Sprache in der App stellt diesen Bezug her.
    (Ich weiß, ich mache hier die große Debatte „wo bin ich im Internet“ auf).

    Dass die legitimierte deutsche Regierung diesem Dienst Pflichten auferlegt, gut und schön. Aber wieso sollte sich dieser Dienst daran halten müssen? Wieso sollte sich sonst irgendeine russische/arabische Firma an Regulierungen des Auslands halten müssen?
    Google und Facebook ist etwas anderes, die haben einen Sitz ist der EU und verkaufen hier etwas.

    Für mich ist ziemlich klar, dass die Telegram-Nutzer hier eine Dienstleistung aus Russland/Dubai importieren. Die Konsequenz kann nur sein, diesen Import durch entsprechende geschlossene Grenzen, d.h. Internet-Sperren, zu verhindern.
    Ob wir diesen Weg wirklich gehen wollen?

    • Sie vertreiben ihre Software über die deutschen App Stores auf iOS und Google Play und sind damit selbstverständlich bewusst im deutschen Markt vertreten. Damit gelten natürlich auch alle rechtlichen Pflichten. Völlig scheißegal wo der Laden sitzt, wen er beschäftigt oder wie viele Server hier rumstehen.

      Bei Facebook wollen wir ja auch, dass sie für den Schaden haften, den sie hier anrichten. Warum sollte das bei Telegram anders sein?

      • Das ist in der Tat ein guter Punkt!

        Für mich ist das Fazit damit klar: Die AppStores müssen Telegram rausschmeißen.
        So entgehen sie selbst der Beihilfe/Störerhaftung für das rechtswidrige Verhalten Telegrams und helfen gleichzeitig Telegram noch, sich nicht weiterhin rechtswidrig zu verhalten.

        Wieso der Facebook-Vergleich hinkt steht oben schon.

  23. Der Russe hat sich ja letztens beim Versuch, Telegram zu sperren, grandios blamiert. [Wikipedia](https://de.wikipedia.org/wiki/Telegram#Russland) schreibt:

    „Wegen der nicht offengelegten Schlüssel erlaubte ein Gericht der Behörde am 13. April 2018 die Blockierung des Dienstes.[115]

    Daraufhin wechselte Telegram ständig die IP-Adressen, über die es seinen Datenverkehr abwickelt, und griff dabei auch auf Drittanbieter wie Amazon Web Services oder Google Cloud zurück. In der Folge wurden auch Websites wichtiger russischer Medien und Unternehmen blockiert, die ihre Angebote auf deren Dienste ausrichteten. Betroffen sind neben Amazon und Google unter anderem auch die VTB-Bank, die staatliche Videoagentur Ruptly, Odnoklassniki.ru, Spotify, Viber, Mastercard, SoundCloud, FIFA und diverse Online-Spieleplattformen; zuletzt auch gezielt Google-Dienste wie Gmail oder die Google-Suche.[116] Die Aufsichtsbehörde Roskomnadsor hat dabei auch Teile ihrer eigenen Website blockiert.[117]“

    Die Vermutung, dass Deutschland da nicht erheblich erfolgreicher sein wird, scheint nicht besonders weit hergeholt. Andererseits würden heutzutage großflächige Netzsperrenkollateralschäden bei den ganzen AWS-Outages kaum auffallen!

  24. Hallo,
    ich habe auch noch einen kleinen Kommentar zu eurem Log4J Beitrag. Ich finde euren Podcast toll, aber in dem Fall sind mir ein paar Sachen aufgefallen, wo ich glaube, dass ihr vielleicht nicht ganz so tief drin seid, bzw. unklar ist wo es eure Meinung ist und wo es Fakten sind. Das fand ich schade.

    Zum Thema Apache Foundation: Die Foundation stammt aus einer Zeit vor GitHub und Co. Als solche hat(te) sie primär die Aufgabe Infrastruktur bereitzustellen. Tim meinte, es sei ihre Aufgabe auch security audits und co durchzuführen. Ich denke, dass damit ein solches Projekt massiv überfordert wird. Am Ende stecken dort Entwickler, durchaus viele von Firmen dafür bezahlt ihre Zeit rein um für alle etwas zur Verfügung zu stellen. Es sagt sicher niemand nein, wenn Linus seine Expertise nutzt um dort Sicherheitslücken „garantiert“ zu finden (das fand ich ein sehr starkes Statement. Wenn dem so ist, Hut ab. Ich befürchte, dass es nicht ganz so einfach ist. Das lehrt mich auch meine Erfahrung in dem Bereich ;-)). Allerdings ist ein solches Unterfangen typischerweise sehr kostenintensiv und muss regelmäßig wiederholt werden. Eine Foundation nach dem Vorbild von Apache, die auf Spenden angewiesen ist ist damit überfordert. Selbst andere Foundations (Eclipse, Linux, …) machen so etwas meines Wissens nach nicht. Dort kauft man im Zweifel die Dienstleistung von anderen Firmen ein, bei denen man sich Support kauft. Davon profitieren dann wieder alle.
    Viele (zumindest große) Firmen wissen ziemlich genau welche SW sie einsetzen. Sogar in welcher Version. Ich kann von uns sagen, dass bei uns SW einen open source inbound (und auch outbound für contributions) Prozess durchlaufen müssen. Dieser prüft hauptsächlich Lizenzvertretbarkeiten und Verletzungen, aber auch auf bekannte Schwachstellen. Dazu gibt es große Datenbanken, ähnlich wie bei NPM. Hier werden auch Abhängigkeiten aufgelöst und durchsucht. Öffentlich ist für Java Maven Central sehr verbreitet.

    Zu Beginn euerer Diskussion hatte ich auch von Linus des Eindruck, dass er meinte, dass man besser Libs nicht verwenden würde, oder nur dann wenn man deren Funktion vollständig durchdrungen hat. Dies halte ich für eine unhaltbare Aussage. Zum einen glaube ich nicht, dass wir in einer besseren Welt wären, wenn jeder Feld- Wald- und Wiesenprogrammierer sich seinen eigenen Kram bauen würde. Weder was Security, noch was Wartbarkeit angeht. Zum anderen: Wo will man da anfangen? Baue ich dann auch mein OS selber? Darauf baue ich ja auf? Den Compiler? Die Sprache? Wo ich allerdings dabei bin: Man muss ein Verständnis haben, was ich mir alles anziehe und drüber nachdenken. Aber am Ende ist es eine Abwägung. Vollständig durchdringen kann man das bei der Komplexität heutiger Systeme nicht mehr. Und tendenziell wird das in den nächsten Jahren durch statistische Systeme (KI/ML) noch mehr zunehmen.

    Security hat ja bekanntlich mehrere Layer. Was mir unklar ist, warum es anscheinend vielen Servern erlaubt ist frei ins Internet zu kommen. Jedem Anwender in einer großen Firma wir ein Proxy vor die Nase gesetzt. Das ist aber ein anderes Thema…

    Danke euch für eure Arbeit. Schöne Weihnachten und einen guten Rutsch!

  25. Re: Warum setzen sich die Journalisten nicht mehr ein für Assange.

    1. Assange wird oft nicht als Journalist wahrgenommen. Das liegt nicht nur daran, dass Kampagnen und offizielle Aussagen den Eindruck verstärkt haben, dass er eher Hacker oder Aktivist als Journalist sei, sondern auch, dass viele Journalisten vom Begriff “Journalismus” eine veraltete Definition haben. In Redaktionen sitzen immer noch vor allem Menschen, die ihren Job Pre-Wikileaks gelernt haben. Wer später eingestiegen ist, hat nicht unbedingt die gesamt Bandbreite des Journalismus im digitalen Alter auf dem Schirm. Ich habe selbst etwa um die Zeit der Snowden-Leaks Journalismus studiert (also nach den größeren WL-Leaks), da ging es um Glossen und Kolumnen, Kamera halten, Print-Porträts und -Reportagen und Hörfunk-Features – evtl. mal auch darum, wie man etwas auf WordPress veröffentlicht. Der Journalismus, mit dem wir als Tech-Szene meistens zu tun haben, bleibt die Ausnahme, so schnell geht das nicht. Das macht es umso einfacher für Journalisten, die Aussagen, Assange sei nur ein Hacker/Aktivist, zu schlucken und das Problem zu ignorieren.

    2. Assange selbst hat sich gegenüber der Presse oft sehr abwertend geäußert. Zudem gibt es viele etablierten Journalisten, die sich in ihrer Position davon bedroht fühlen, dass Menschen, die nicht klassische Journalisten sind, manchmal sogar erfolgreicher sind mit Recherchen. Der antagonistische Kontext “Wikileaks vs mainstream press” und “Journalist vs Techie” hilft nicht.

    3. Dass es immer schwierig ist, sich für einen Mensch einzusetzen, der Frauen vergewaltigt und Trump unterstützt haben soll, auch wenn er daneben gute Sachen gemacht hat, muss ich euch nicht erklären. Assange selbst bzw. der Wikileaks-Twitter-Account, von dem man ausgehen kann, dass er von Assange betrieben wurde, hat sich zudem mit vielem problematischen Äußerungen, sehr unbeliebt gemacht.

    4. Die “offizielle” Kampagne (damit meine ich die Pro-Assange-Kampagne vom engeren Assange-Kreis) scheint als Hauptaussage zu kommunizieren, dass Assange ein Held und Opfer ist, der alles richtig gemacht hat und doch eigentlich nur zurück zu seiner Familie will. Die Kampagne sollte eigentlich heißen: Er ist zwar nicht perfekt, aber es geht hier um einen Präzedenzfall im Bereich der internationalen Pressefreiheit und deswegen sollten wir uns alle gemeinsam für ihn einsetzen. Wenn es um einen Mensch wie Assange geht, der sich in vielen Punkten kontrovers verhalten hat, kann man keine “100% with us or you’re against us”-Linie fahren, weil Menschen sich damit nicht identifizieren können. Das ist einer der Kommunikationsfehler, die Wikileaks schon seit Jahren macht.

    Das alles heißt natürlich nicht, dass Journalisten sich nicht für Assange und dadurch für die Pressefreiheit einsetzen sollten, sondern erklärt nur, warum nur wenige Menschen überhaupt tiefer in das Thema einsteigen.

    • 5. Die Situation um Assange ist für den Durchschnittsbürger ziemlich unspektakulär. Der sitzt halt irgendwo fest (Botschaft, Gefängnis, …) und irgendjemand verlangt die Auslieferung (Schweden, USA, …) um ihn wegen irgendwas vor Gericht zu bringen (Vergewaltigung, Geheimnisverrat, …).

      Man muss das schon detailliert dran bleiben, um da überhaupt die Entwicklungen zu verstehen.

  26. Eure beiden verbleibenden (bzw hier erwähnten) Punkte wider die Messengerinteroperabilität überzeugen mich nich so.

    Der Gesetzgeber schreibt doch keine Protokolle. Der Gesetzgeber bestimmt nicht, welche Chemikalien ein Klärwerk nutzt, sondern bestimmt nach welchen (anderweitig festgelegten) Grenzwerten Trinkwasser sauber zu sein hat. Das Gesetz framed, worum es geht, die Details sind Sache eines Gremiums (eh klar) – da sehe ich in diesem Kontext keine lawtech-Probleme kommen.

    Dass die Marktteilnehmer vielleicht nicht interoperieren wollen ist komplett irrelevant, wenn sie müssen! (Wassn das fürn verqueres Argument?)
    Und ein Nichtmitspielen hat womöglich den gegenteiligen Effekt des heute vorliegenden Zustandes, den es zu überwinden gilt: Die Leute gehen weg statt zu bleiben weil sie nicht mehr bleiben müssen – wenn es nicht ordentlich interoperabel geht, gehen sie dorthin wo das besser funktioniert (weil „whatsapp ist ja eh böse“). Und was Minimalkonsens des Protokolls werden wird – alder, die machen alle dat selbe (außer – OMG – Sticker)! Klar, bei komplexeren Dingen wie Gruppenvideokonferenz gibt es erheblich mehr tech und laufende Entwicklung, Optimierung und Qualitätsunterschiede, aber warum genau spräche das gegen eine Gesetzgebung, dass Du das in einem offenen Protokoll machen musst?

    So long.
    Schöne Bescherung allerseits!

  27. Hi, zu log4j:

    Werden von der Apache Software Foundation eigentlich selbständige Audits ihrer Software durchgeführt, sobald sie breit eingesetzt wird?

    Wenn nicht, wäre das nicht ein guter Ansatzpunkt?

  28. Frohe Weihnachten.
    Aber bitte macht kein Hörspiel aus LNP. Es ist ein Dialog, und dieser funktioniert für mich seit Jahren perfekt. Gerade das Gefühl eines Live-Auftritts mit allen kleinen Fehlern und Imperfektionen machen den Reiz für mich aus.
    Also: Bitte keine Geräusche mehr rein mischen, wenn ihr vorlest oder zitiert. Danke.

  29. Ich möchte mir einen kleinen Beitrag zum Thema CWA geben.
    Ich war selbst im Einsatz bei einer Veranstaltung einer Spielstätte mit Orchester und einer Gesamtkapazität von circa 600 Plätzen. Wie es bei klassische Musik üblich ist, werden diese auch gern von älteren Menschen besucht. Zunächst möchte ich die Sichtweise eines Besuches oder einer Besucherin schildern. Da sich hier um eine 2G plus Veranstaltung handelte, ist ein negativer Test mit nicht mehr als 24 Stunden zuvor notwendig. Hier beginnt schon mal die Schwierigkeiten. An einem Sonntag sind die Teststation, bei Temperaturen von -10°, im Freien und es gibt natürlich lange Schlangen. Herauszufinden wo welche Teststationen oder Apotheken geöffnet sind ist für jemanden älteren der sein Internet vielleicht nur über ein Smartphone bezieht schon eine Herausforderung.

    Warum finde ich diese nicht zentral in der CWA inklusive der möglichen Verbindung mit ÖPNV oder einer Umkreissuche. Warum kann ich dort nicht auch gleich einen Termin buchen? Warum werden da nicht automatisch die Ergebnisse übermittelt? Man muss sich vorstellen dass Menschen mit kleinen Aufklebern mit QR kurz vor Beginn der Veranstaltung kommen und diese mit beschlagene Brille und wenig Erfahrung im Umgang mit Technik scannen müssen und teilweise auf ihr TestErgebnis warten obwohl die Veranstaltung schon fast beginnt.
    Hier bin ich schon beim zweiten Punkt.
    Sowohl die Tests und deren Auswertung als auch Einlass uns Scan werden häufig von niedrig entlohnt Pauschalkräften durchgeführt die häufig daraus auch keine große Motivation ableiten und natürlich auch nicht immer eine entsprechende umgehende umfassende Einweisung erhalten haben.
    Nun zum eigentlichen Debakel. Man stelle sich vor man möchte innerhalb 1 Stunde 180 Personen kontrollieren. Dabei gibt es verschiedene Möglichkeiten die Personalien festzustellen ist sicher noch die einfachste. Ausweis Reisepass Fahrerlaubnis Schüler Ausweis. Alles mit Lichtbild kann gelingen. Jetzt kommen ausgedruckte Zettel oder PDFs aus MailEingang mit Testergebnissen zum Einsatz. Hier ist es notwendig zu schauen war der Test per se negativ und es ist die Person die den Test Fall nicht länger als 24 Stunden gemacht hat. Das alles könnte natürlich wunderbar wie oben beschrieben in der CWA abgebildet werden. Sollte aber jemand den Test, dass kaum jemandem zuzumuten ist, weil dies bei der Anmeldung schon explizit an Angeklickt werden muss, in der CWA enthalten sein, sieht dieser Test, welcher auch als Zertifikat bezeichnet wird genauso blau aus wie der Rest und ist kaum zu unterscheiden. Und hier ist auch schon der größte Kritikpunkt. Wenn ich aus einer Gruppe von zehn Personen jemanden vor mir habe der mit beschlagene Brille sein Handy rausgekramt und dazu noch etliche Zettel oder Portmonees ist es kaum möglich wirklich jeder impftZertifikat korrekt zu checken, denn ich bräuchte einen Öffnung des richtigen! Zertifikats und müsste schauen die wievielte Impfung wann erfolgt ist um dann auch zu wissen wie viel Zeit seitdem vergangen sein muss. Im Zweifel weiß niemand welches Zertifikat (Test oder Impfung) doch gerade angezeigt wird. Die einzelnen Zertifikate sind zu groß so dass immer einen scrollen notwendig ist was ich als Scanner natürlich nicht auf fremde Handys machen darf und vielleicht auch nicht ohne Gummihandschuh (die dann wieder nicht zum scrollen taugen) machen möchte. Somit fehlt bei fast allen Displaygrößen ein kleiner Rand des QR Codes um diesen überhaupt zu scannen. Nach meiner Auffassung ist es auch gar nicht notwendig so einen riesigen QR-Code zu haben. Man könnte diese in verschiedenen Farben anlegen und sicher auch mit Piktogrammen in der Mitte versehen. Darauf wurde großzügig verzichtet zu lasten der Übersichtlichkeit und der Möglichkeit diese zu unterscheiden und zu prüfen. Wie würde es mir wünschen? Ich wünsche mir dass es einen vorzeigbaren QR-Code gebe der mir, wenn ich diesen mit der CovPass Check App scanne alle Daten die vielleicht sogar regional relevant sind sofort anzeigt und entsprechend meinen Vorgaben die ich eventuell in der Check App eingestellt habe mit einem grünen Haken oder roten Kreuz anzeigt. D.h. konkret reicht der ImpfStatus aus oder ist der Status genesen ausreichend lang schon vorhanden und gibt es einen Test der innerhalb der vorgeschriebenen Zeit negativ absolviert worden ist. Ich glaube es wäre doch möglich dass eine App so etwas leistet und trotzdem keine Daten fälschlicherweise verteilt. Zudem ist zu bemängeln, dass fast wie immer zu kleine Schriftarten gewählt sind und diese auch nicht so angeordnet sind dass sie immer wieder an der gleichen Stelle entsprechende Information bieten. Gleiches gilt für das von Apotheken ausgestellte impftZertifikat welches auch gern als Nachweis bei fehlendem Smartphone vorgelegt wird. Da ist der Name auf der nicht neben dem Datum der Impfung und der Angabe wie viel Impfungen erfolgt sind. Alles in Summe ist zu klein. Dafür gibt es Information die man nur einmal braucht und welche durch eine Schnittkante abgetrennt werden könnten so dass danach die wesentlichen Informationen in ausreichender Größe für jeden sichtbar sein könnten. Hier auch an alle Programmierer! Versuch doch bitte immer die größtmögliche Schriftgröße oder Lesbarkeit grundsätzlich herzustellen. Denk an ältere Menschen, denkt an Menschen mit Behinderung, denk an Menschen mit Brillen. Nehmt eure Apps und zeigt sie alten Nachbarn oder Verwandten und beobachtet wie sie damit umgehen. Und verändert, was nicht lesbar ist. Mein Resümee heißt. Es könnte so einfach sein aber man fragt sich ob irgendjemand der an der CWA Entwicklung beteiligt war sich irgendwo mal hingestellt hat und versucht hat genau so ein Vorgang wie ich beschrieben habe abzubilden oder testweise Selbst durchzuführen.

  30. Zum Impfausweis :

    In der EU Richtlinie ist vorgeschrieben, dass Wallet-Funktion und Check-Funktion im gleichen Backend realisiert werden. So könnte man die Apps nicht verwechseln.

    Dazu wird vorgeschrieben dass beim Speichern eines QR Codes auf dem Handy eine TAN eingegeben wird. So kann man nicht aus Versehen oder auch unberechtigt mit Absicht einen fremden QR Code auf seinem Handy speichern.

    Quelle : https://www.q-perior.com/fokusthema/digitaler-impfnachweis-technische-grundlagen-der-eu-und-die-ausgestaltung-der-laender/

    Grüße Bernd

  31. Themenvorschlag:

    Schaut auch doch bitte mal die „Chayns App“ an. Ich musste diese App kürzlich installieren, weil ich leider an Heiligabend einen 2G+-Nachweis brauchte. Die Gestaltung der App erweckt den Eindruck, dass es hier um mehr geht als nur die Abwicklung von Schnelltests.
    Die Anwendung „Ticketing“ und „Reservierung“ nennen sie ja schon selbst.

    https://app.chayns.de/
    https://apps.apple.com/de/app/chayns/id646297077
    https://play.google.com/store/apps/details?id=com.Tobit.android.Slitte60021089891&hl=de&gl=US

  32. Zum Thema EMS-Leak. Tim meint das wir in Deutschland keine Zentrale Erfassungsstelle haben. Das stimmt so nicht.

    Deutschland sollte seit dem 01.01.2022 ein ähnliches System haben (Live gang wurde verschoben). Aktuell gibt es noch den Vorgänger der nur Corona kann. Das Deutsches Elektronisches Melde- und Informationssystem für den Infektionsschutz (DEMIS). Hier wird der Zugang auch über Zertifikate geregelt. Jedes Labor bekommt hier auf jeden fall sein eigenes Zertifikat. Genau so die Gesundheitsämter in Deutschland. Hoffentlich kommt keine Privatperson an so ein Zertifikat.

    Leider scheint es so das die Zertifikate nicht an IP/IPNetze der Labore/Unternehmen gebunden sind. Die Dokumentation ließt sich so, dass es an die Telematik Infrastruktur angebunden werden soll/ist. Stand jetzt, kann ich den Produktions Server von jedem Endpunkt aus aufrufen.

    Interessant finde ich auch das die Melde Informationen (Labor/Person) usw. frei gewählt werden kann und nicht durch das JWT-Token des Logins kommt. Immerhin gibt es eine Unterscheidung zwischen Labor und Gesundheitsamt.

    https://wiki.gematik.de/display/DSKB/DEMIS-Wissensdatenbank
    https://www.rki.de/DE/Content/Infekt/IfSG/DEMIS/DEMIS_node.html
    https://www.gesetze-im-internet.de/ifsg/__6.html

    Aber es könnte schlimmer sein. Man könnte das FAX weiter nutzen.

    Grüße,

    Mike

  33. Hier ist eine Beschreibung, die Protestierenden in Belarus die Architektur von Telegram Schwierigkeiten bereitet hat:

    (A-Radio) Ausführliches Gespräch mit ABC Belarus zum Aufstand in Belarus 2020
    Länge: 1:07 h

    Anfang Oktober 2021 führte The Final Straw Radio ein Interview mit zwei Anarchist*innen von Anarchist Black Cross Belarus. Hier hört ihr unsere Übersetzung ins Deutsche. Thematisch geht es um den Aufstand in Belarus 2020, die Nachwirkungen und die bis heute andauernde Repression.
    https://www.freie-radios.net/112842
    ==> ca. ab Minute 40

  34. Danke für diese sehr heftige Folge!
    Eine Frage, die mich seit längerem umtreibt: Sind wir einfach zu „doof“, russische oder chinesische Trojaner zu entdecken, oder muss man rein empirisch gesehen tatsächlich annehmen, dass diese Instrumente vorwiegend von westlichen Firmen entwickelt werden?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.