00:00:26: Hallo und herzlich willkommen.

00:00:27: Folge Achtzig vom Wartungsfenster, aufgenommen am 22.05.2026, mit mir dabei

00:00:33: Die Claudia

00:00:34: Und ich bin der Patrick.

00:00:35: Glückauf hallo

00:00:36: Hallo zusammen

00:00:38: So da sind wir wieder.

00:00:39: Wir haben ja versprochen dass wir wieder da sind Einfach sprechen, was wir auch halten müssen.

00:00:44: Genau!

00:00:45: Wir wurden übrigens vom Wolfgang von dem Engineering Kiosk lobend erwähnt, dass wir nach einem Jahr Pause wieder weitergemacht haben.

00:00:52: Ja, aber wir haben ein Weilchen gebraucht... Aber

00:00:55: ne?

00:00:56: Also wir haben es gemacht.

00:00:57: Genau.

00:00:58: Mama didn't raise no quitter,

00:00:59: ne?

00:00:59: Es gab auch keinen Punkt wo wir gesagt haben, boah nee, lass mal nicht weitermachen.

00:01:04: Wir wollten eigentlich immer die ganze Zeit, aber manchmal ist das Leben halt wirklich...

00:01:07: Wir sind hier, um zu liefern. Genau.

00:01:10: Ja, etwas mehr in den Händen nicht ganz vier Wochen seit der letzten Aufnahme und ja was soll ich sagen?

00:01:16: Irgendwie alles fackelt, alles brennt.

00:01:17: Ach

00:01:18: überall!

00:01:18: Überall.

00:01:19: Ganz schlimm.

00:01:20: Gerade hier heute aktuell.

00:01:23: Heute gestern...

00:01:25: Tatsächlich noch ein bisschen eher.

00:01:27: Es ist jetzt nicht wieder irgendwo ein Wal gestrandet, aber so was ähnliches halt.

00:01:34: Wobei, das wäre ja mal lustig wenn irgendwelche Boomer dazu mal KI Musik machen würden.

00:01:42: Ja?

00:01:42: Dass irgendwelche Finanzdienstleister da sind, die Hops genommen werden.

00:01:48: Hey du kannst ja mal versuchen.

00:01:49: Fütter doch mal die KI, guck mal was rauskommt.

00:01:53: Ich mach das!

00:01:55: Vielleicht muss ich ja nicht mehr arbeiten

00:01:57: gehen.

00:01:57: Dann spielst du nächstes Mal vor hier, ja?

00:01:59: Ja, ich mach das.

00:01:59: Ich mach das!

00:02:00: Ja, kommen wir direkt mal zum ersten Thema, ne?

00:02:03: Was ist passiert heute Morgen, also... naja eigentlich meine Tochter lässt sich immer vom Radio wecken aber immer so laut dass ich das halt auch dann höre.

00:02:16: Und es waren dann die Nachrichten heute morgen und es ging die Meldung rum, dass die Uniklinik Köln, oder ein Dienstleister der Uni-Klinik Köln,, Opfer eines Cyberangriffs geworden ist.

00:02:31: Jetzt kann ja ein Dienstleister für ein Krankenhaus erstmal alles Mögliche sein?

00:02:36: Korrekt!

00:02:37: Weil da werden ja durchaus viele Sachen ausgelagert.

00:02:39: Interessant wurde es dann aber als es dann hieß das hat dann ja Patientendaten und Patientenkommunikationen weggekommen ist Zumindest in den WDR.

00:02:50: zwei Nachrichten von heute Morgen war halt erst mal nur die Rede von der Uni Klinik Köln, aber naja bei der Recherche für das Thema fiel dann direkt auf.

00:02:58: Das waren jetzt nicht nur die Uni-Klinik Köln, sondern tatsächlich mehrere Unikliniken und du hast es ja gerade schon gesagt ne?

00:03:09: Die lagern gerne mal Verwaltungsaufgaben aus, an externe Dienstleister und das ist eben auch dann die Abrechnung von Privat- und wahlärztlichen Leistungen.

00:03:19: Wir machen übrigens normale Hausärzte, Zahnärzte jetzt hier drauf?

00:03:25: Ja ganz häufig.

00:03:26: Genau,

00:03:27: typischerweise sieht man das halt nicht weil man als Kassenpatient eigentlich nie Rechnungen bekommt außer bei Wahlleistungen.

00:03:34: Ja gut doch von Zahnerzten kriegt man schon mal aber das ist da meistens auch über so ein Dienstleister.

00:03:39: Das ist klar.

00:04:08: War auch Diagnose?

00:04:13: Ja,

00:04:13: wobei... Zumindest wird es ja Behandlungsverläufe werden ersichtlich sein weil da muss drin stehen was da abgerechnet wird.

00:04:21: Also typischerweise so Daten die halt gebraucht werden.

00:04:24: Also sagen wir mal einfach empfindliche Daten

00:04:28: von Menschen.

00:04:28: Genau keine Daten, die wir zum Beispiel an die Litfaßsäule nageln würden.

00:04:34: Und genau das, dass solche Sachen halt von Dienstleistern verarbeitet werden.

00:04:39: Das ist eben dann am vierzehnten April passiert.

00:04:42: Also tatsächlich schon — eigentlich über einen Monat her — ist der saarländische Abrechnungsdienstleister unimed zum Problem geworden, denn diese wurden Opfer eines Cyberangriffs und damit auch mindestens diverse Unikliniken.

00:05:00: Was ist passiert?

00:05:01: Ja, am 14. April griffen Kriminelle auf Systeme von unimed zu, und laut

00:05:10: also badische Zeitung hatte dann gemeldet unter anderem wohl auch die Berliner Charité.

00:05:16: Und der Angriff muss man ganz klar sagen das war halt gegen diesen Abrechnungsdienstleister nicht gegen die Kliniken selber.

00:05:25: Das heißt klinische Systeme Labor-Infosysteme, Krankenhausinformationssysteme, PACS und so weiter waren da jetzt nicht von betroffen.

00:05:34: Und um den 21., 22. Mai haben dann halt auch mehrere Unikliniken die Öffentlichkeit informiert, nachdem sie halt erst am 18. Mai, also quasi über einen Monat nach dem eigentlichen Angriff, von unimed belastbare Angaben zum Ausmaß bekommen haben.

00:05:52: Okay.

00:05:54: Ja gut!

00:05:54: Das bedarf natürlich immer da einer gewissen Auswertung, mal zu sehen.

00:05:58: Da gab es einen Angriff aber zu sehen was wurde da... Was ist da abgeflossen?

00:06:01: Das dauert wahrscheinlich schon mal eine Weile.

00:06:03: Das

00:06:03: ist total interessant!

00:06:05: Also wir haben hier mal ein paar Zahlen.

00:06:07: Also, Stand 22. Mai, bei der Uniklinik Köln:

00:06:10: das war auch eine Zahl die heute morgen im WDR zwei zu hören war ca.

00:06:14: Dreißigtausend Betroffene.

00:06:16: Und von diesen dreißigtausend Betroffenen sind bei 27.298 allgemeine Daten abhandengekommen.

00:06:24: Name, Adresse, behandelnde Arzt, Rechnungsnummer ... Bei 843 Personen sind zudem Gesundheitsdaten abhandengekommen also Inhalte aus Patientenkommunikation mit dem Abrechnungsdienstleister und bei fünf Personen tatsächlich Finanzdaten wie IBAN oder Kontenummer.

00:06:42: Ah okay.

00:06:44: Ich fand mich interessant dass sie das so detailliert raus ...

00:06:47: Also so detaliert.

00:06:48: konnten die das benennen?

00:06:49: Ja zumindest

00:06:49: für die Uniklinik Köln. Also: Uniklinik Freiburg, ca. 54.000 Betroffene.

00:06:57: Da auch tendenziell eher Stammdaten in neunhundert Fällen Rechnungs und Diagnose Daten.

00:07:03: Uniklinik Tübingen, ca. 5.000 Betroffene.

00:07:05: Ja.

00:07:06: Interessant da, 1.200 mit Gesundheitsdaten, aber 3.800 mit Finanzdaten, wobei man jetzt auch wieder nicht sagen kann okay was sind Finanzdaten?

00:07:14: Sind das wirklich IBAN-/Kontonummern oder sowas halt?

00:07:18: Ja, das wären dann IBAN oder Kontonummern.

00:07:22: Uniklinik Heidelberg Mannheim, elftausend Betroffene.

00:07:25: Auch da wieder Stammdaten bei ca.

00:07:26: zwei tausend siebenhundert Rechnungsdaten.

00:07:29: Uniklinik Ulm, 1.600, davon halt 300 mit rechnungsrelevanten Daten.

00:07:35: Universitätsklinikum des Saarlandes in Homburg, ca. 1.020.

00:07:41: Also da nur vierhundert mit Diagnose und Behandlungs-Infos.

00:07:46: Was ich total witzig finde, ich habe eine Uniklinik... also der Charité hatten wir weiter oben schon mal, das hat die badische Zeitung berichtet dass die Charité betroffen war.

00:07:54: Aber ich ganz persönlich vermisse eine Uniklinik in dieser Aufzählung.

00:07:59: Und zwar die Uniklinik Mainz.

00:08:00: Warum?

00:08:01: Weil ich selber mehrfach von der Uniklinik Mainz — da ist eine meiner Töchter mal behandelt worden — Rechnungen bekommen habe, die über unimed gelaufen sind.

00:08:15: Oder vielleicht war es nicht betroffen?

00:08:18: Vielleicht ... Man weiß ja nicht so genau, welche Daten da weggekommen sind.

00:08:24: oder ist ein bestimmter Zeitraum, vielleicht ist ein Archiv weggekommen oder vielleicht sind das Dinge, die schon ...

00:08:29: Ja, genau, da ist die Frage,

00:08:30: woher

00:08:31: kommen die Daten?

00:08:32: So genau wird man das auch nicht rauskriegen. Aber wenn man alles zusammenzählt, reden wir hier von offiziell bekannten ungefähr hunderttausend

00:08:38: Datensätze.

00:08:38: Überlich

00:08:39: noch mehr tausend, ne?

00:08:40: Also das finde ich schon total spannend!

00:08:42: Die Betroffenenkliniken haben die Datenübermittlungen auch eingestellt an die unimed... Ich meine so weit natürlich

00:08:46: logisch.

00:08:47: Datenschutzbehörden und BSI sind auch informiert worden.

00:08:50: Das übliche Strafanzeigenstaatsamwaltschaft la la la So.

00:08:52: und jetzt kommt das Spannende.

00:08:53: und da bin ich dann auch mal persönlich gespannt weil ich habe ja auch mal Rechnung für unimed bekommen.

00:08:59: also betroffene Patienten werden individuell mit Brief oder per Brief informiert.

00:09:03: Wer kein Brief erhält ist nicht betroffen.

00:09:07: Also bin ich mal gespannt, vielleicht kriege ich auch noch ein Briefchen.

00:09:10: Mal gucken!

00:09:10: Frage ist, wie lange so was dauert?

00:09:12: Weil hundertausend da sitzen...

00:09:14: Ja gut das muss ja schon irgendwie zeitnah passieren, die können jetzt sagen drei Monate oder so.

00:09:18: Der unimed selber hat auf Medienanfragen bisher nicht reagiert.

00:09:23: Eine Veröffentlichung der Daten

00:09:24: ist aus Experten

00:09:28: wohl eher nicht geplant — ist nicht wahrscheinlich.

00:09:34: Was natürlich?

00:09:36: Das ist jetzt so ein bisschen die Einordnung, wobei das eine Disclaimer-Leute.

00:09:40: Da ist jetzt hier die Einordnung von interessierten Laien.

00:09:46: Es ist ja auch wieder so ein klassisches Supply Chain Angriffsszenario und ich meine, wir haben ja auch Kunden im Healthcare-Umfeld.

00:09:55: und klar Abrechnungsdienstleister sind die einen was wir natürlich ganz häufig sehen Labordienstleisters.

00:10:02: Also nicht.

00:10:02: jedes Krankenhaus hält sich ja noch den Luxus von einem eigenen Labor.

00:10:07: Manchmal ist es ja so, dass Labordienstleister dann halt Labore in den entsprechenden Häusern betreiben.

00:10:12: Ja, ganz häufig!

00:10:15: Also auch Labordienstleister könnten natürlich ein lohnenswertes Ziel sein.

00:10:22: Weil ich mich nicht erinnere, haben wir das gehabt?

00:10:26: Was?

00:10:26: Also gab es da bekannte Fälle von Labordiensleistern?

00:10:29: Bekannte

00:10:30: fälle wüsste ich jetzt kein...

00:10:32: Ja, deswegen ...

00:10:33: Nee, nee.

00:10:34: Aber es ist halt ... Klar natürlich du hast in so Krankenhäusern oder generell so ein ... im Unternehmens- oder aus dem Gesundheitsbereich hast du dich ganz viel, ne?

00:10:43: Weil ganz ehrlich, kaum einer von denen betreibt seine Küche noch selber.

00:10:47: Kaum einer von den betreibt so Reinigungstätigkeiten noch selber, Wäscherei und sowas.

00:10:53: Das macht ja keiner mehr selber.

00:10:54: Da ist ja alles ausgelagert an Dienstleister.

00:10:56: Wobei das wahrscheinlich unkritisch ist, weil ich glaube keine Sau interessiert sich dafür, welches der drei Menüs du jetzt bestellt hast.

00:11:03: Aber Labor ist halt schon auch wieder interessant,

00:11:06: ne?!

00:11:06: Weil Labor sind natürlich auch wieder Gesundheitsdaten...

00:11:08: Ja genau!

00:11:09: Aber es sind ja gut, was heißt interessant für einen Angreifer?

00:11:13: Ist das etwas Erpressbares? Ein Blutzucker-Wert — interessiert den jetzt wirklich jemanden?

00:11:18: Genau, da kriegst du dann irgendwann besorgte Anrufe von irgendwelchen osteuropäischen Leuten.

00:11:23: Ja also wir haben hier mal übelere Sachen... Also das sieht ja ganz schlecht aus!

00:11:27: Ganz schlimm, ganz schlimm.

00:11:28: Muss ich jetzt mal mein Erbe regeln.

00:11:34: Verstehst was ich meine ne?

00:11:35: Also inwieweit würdest Du sagen sind Labor Daten ein lohnenswertes Ziel für selber

00:11:42: anrufen?

00:11:42: nicht aber klar so adressdaten gerade in kombination mit finanzdaten das ist natürlich perfekt für Phishing.

00:11:51: Ja, auch so Schockanrufe in die Richtung hier.

00:11:53: ne, ich hatte einen Autounfall, Mutter, du musst mir Geld überweisen —

00:11:57: genau weil.

00:11:58: deine Mutter kennt dich ja auch nicht an einer Stimme am Telefon.

00:12:04: Ich denke schon, Also, hoffe ich.

00:12:07: Ich hab das noch nie ausprobiert.

00:12:09: Aber gut ... Da muss man natürlich mal gucken, was jetzt dabei rauskommt.

00:12:14: Ob diese Daten irgendwo wieder auftauchen?

00:12:19: Problematisch dabei, ne?

00:12:21: Es war ungefähr ... sind fünf Wochen vergangen zwischen Angriff und Informationen an die Öffentlichkeit.

00:12:30: unimed brauchte halt auch echt fünf Wochen, um dann irgendwie so herauszupopeln, was da an Datenabhand gekommen ist.

00:12:38: Weil die DSGVO, sie sieht ja bei solchen Datenpannen grundsätzlich eine Meldepflicht innerhalb von 72 Stunden.

00:12:43: Ja das ist aber... Leine

00:12:44: unverzügliche Informationen der Betroffene an, ne?

00:12:46: Ja, wo?

00:12:47: Du sagst es eben — das hat ja einen Monat gedauert, circa, bis unimed informiert hat und da hatte ich ja noch gesagt, ja gut so lange kann das ja forensisch, aber nur nochmal klargestellt, die haben gar nicht informiert.

00:13:00: Korrekt!

00:13:01: Die haben nicht nur nicht zu dem Zeitpunkt am Anfang schon sagen können, wie viel abgeflossen ist.

00:13:07: Sie haben gar nicht informiert.

00:13:09: Dann nehme ich alles zurück was ich gesagt habe.

00:13:10: das darf eigentlich nicht sein.

00:13:12: Also theoretisch DSGVO-Verstoß ja und Gesundheitswesen bleibt halt weiterhin ein ganz ganz ganz attraktives Ziel für Cyber Angriffe kann man halt nur die ganzen Unternehmen der Gesundheitsbranche anregen und animieren, da auf ihre Cybersecurity

00:13:33: Auf jeden Fall.

00:13:34: Ich meine, Patienten-Daten sind das eine.

00:13:36: Aber ja, man muss halt Ausfälle um jedem Preis vermeiden.

00:13:41: Das heißt, im Krankenhaus ist leichter erpressbar als so manches Unternehmen.

00:13:49: Ja, sind halt auch besonders sensible Daten.

00:13:51: Die da wegkommen.

00:13:52: Das Problem ist viele Prozesse im Krankenhaus in IT getrieben.

00:13:55: und wenn dann da wirklich mal irgendwie Shutdown ist wegen Cybervorfall ... Das meint ich.

00:13:58: Dann kannst du das Krankenhaus direkt abmeldet?

00:14:00: Das meinte ich ja.

00:14:01: D.h.,

00:14:01: wir dürfen jetzt hier bitte ein paar Bitcoins ein.

00:14:04: Genau!

00:14:05: Die Masche.

00:14:07: So kommt es für immer darauf an.

00:14:08: also... Wenn man so den Gesundheitspacken glauben darf haben wir ja eh viel so viele Krankenkäuser.

00:14:14: Das ist in Köln halt schon immer... Also ich weiß nicht, Kölne ist natürlich sehr groß.

00:14:17: Wir haben auch sehr viele Krankenhäuser.

00:14:19: Wenn ich jetzt mal so in mein ländlichen Bereich gucke, da haben wir nicht mehr ganz so viele Krankenhauser und wenn ich mir vorstelle dass dann halt so ein Klinikumächer nicht oder sowas mal sagt, ne?

00:14:26: Heute nicht mehr!

00:14:27: Und auch morgen nicht mehr und übermorgen auch nicht.

00:14:30: Aber das wäre schon ziemlich ins Desaster.

00:14:32: Weil du hast im Kreis halt nichts mehr.

00:14:34: Das sind allgemeine kliniken Anführungsstriche.

00:14:36: Es gibt ja spezialisierte Kliniken.

00:14:37: davon gibt es definitiv nicht genug in Deutschland.

00:14:40: also wer auch immer behauptet es gibt zu viele Klinik in Deutschland der Den möchte ich gern mal treffen.

00:14:46: Besitzig!

00:14:52: Das bleibt doch ganz spannend, wir werden das Thema beim nächsten Mal nochmal aufgreifen und gucken was sich in der Zwischenzeit getan hat... Ich werde berichten wenn ich einen Briefchen bekomme.

00:15:00: Ja.

00:15:02: Macht das?

00:15:03: Dann...

00:15:03: Thema wieder aufgreifend.

00:15:04: Genau, Thema wiederaufgreifen.

00:15:05: Wir müssen Boos zu tun.

00:15:06: Wir haben Fehler gemacht.

00:15:07: Ja genau.

00:15:08: Wenn man es haltschiss gesagt...

00:15:09: Wir haben zu Unrecht auf Citrix eingeschlagen.

00:15:12: Wir hatten uns vertan.

00:15:13: Total Leid.

00:15:15: Möglicherweise haben wir in der letzten Folge den Eindruck erweckt, Citrix sei das zweite Unternehmen gewesen gegen dass die CISPE eine EU-Wettbewerbsbeschwerde eingereicht hat.

00:15:29: Das war

00:15:30: falsch!

00:15:32: Asche

00:15:32: auf unser Haupt!

00:15:35: Ja, gut.

00:15:35: Passiert den besten.

00:15:36: Wir sprachen ja eigentlich über Broadcom.

00:15:39: Genau, über den einen Bully und dann dachten wir natürlich

00:15:42: an... Aber der andere Bully war dann eigentlich Microsoft.

00:15:45: Richtig!

00:15:48: Die haben nämlich ... Wann haben sie offen auf dem Sack bekommen?

00:15:51: In zweiundzwanzig.

00:15:53: Und weswegen?

00:15:56: Wegen ihrer Lizenzpolitik.

00:15:57: Also die Kunden wurden faktisch in Richtung Azure gedrängt.

00:16:05: Ach was?

00:16:05: Ja, ach!

00:16:07: Ist auch heute nicht mehr so, ne überhaupt nicht.

00:16:09: Nee, aber man hat sich ja geinigt, ne.

00:16:11: Also in den Frühjahr 2024 hat sich alles ein bisschen... Microsoft hat dann ... äh ... zwanzig Millionen Euro an dem Verband

00:16:18: gezahlt

00:16:19: und da sollte Microsoft sogar CISPE-Mitglied werden.

00:16:21: also ich finde das ist ja überhaupt keine Ohne.

00:16:23: Zwanzig Million

00:16:24: für eine Microsoft.

00:16:24: Das ist so

00:16:26: genau Kaffeekasse.

00:16:27: Rundungsfehler.

00:16:30: Genau, zwanzich Millionen an dem Verband.

00:16:32: Ja und vor allen Dingen Dass der Verband sich damit dann von der Backe schaffen.

00:16:36: Egal, egal.

00:16:38: Also ich meine sagen wir mal so es kommt ja ein bisschen da... Microsoft kann mir auch gerne zweizig Millionen geben, gar kein Problem.

00:16:44: Ich sehe dann auch davon ab weiter über die zu schimpfen.

00:16:50: Du musst auch zu härtere Mitteln greifen.

00:16:51: du musst anfangen sie winzig weich zu nennen oder so?

00:16:53: Winzig

00:16:54: weisch!

00:16:55: Nee so alt bin ich noch nicht Verwinnt sich weich bin ich noch nicht.

00:16:58: oder auch für microsoft mit dem dollarzeichen statt dem ester bin ich auch nicht alt genug.

00:17:03: Also egal wie schnell wir jetzt weitermachen, wir werden niemals zu boomern werden brauchst du keine sorgen machen das passiert so nicht.

00:17:10: Aber vielleicht greife ich meine idee mit den kiosongs nochmal auf.

00:17:14: Vielleicht gibt es dann einen kleinen Diss-Track für Broadcom.

00:17:18: ja genau das läuft ja auch immer noch.

00:17:23: und

00:17:24: Ja, das ist gegen World Count.

00:17:25: Ja

00:17:25: genau, denk daran!

00:17:27: dontbebullied.cispe.cloud

00:17:31: Genau.

00:17:35: Gut jetzt haben wir den ersten... unimed war eine ganz frische Nummer.

00:17:40: Jetzt haben wir Buße getan, dass wir hier Citrix zu Unrecht in die Ecke an den Pranger gestellt haben.

00:17:50: Ja was ist denn in den letzten vier Wochen noch in Arsch gegangen?

00:17:53: Das Internet in Deutschland.

00:17:54: Ach alles!

00:17:55: Wir haben doch gesagt es hat alles gebrannt das Internet in Deutschland.

00:17:58: Was hast du dann nicht

00:17:59: mitbekommen?!

00:18:02: Als ich gelesen habe, habe ich gefragt warum hab' ich jetzt eigentlich nicht mitbekommen.

00:18:04: Okay, du hast das auch nicht mitbekommen?

00:18:07: Ich hab's auch noch

00:18:08: nicht mit bekommen.

00:18:09: Ja vielleicht... Beziehungsweise

00:18:11: ist

00:18:11: es ja auch nicht TikTok.de, ne?

00:18:16: Genau!

00:18:16: Nur wenn TikTok sich geht dann sagen wir, dass Internet ist kaputt.

00:18:19: Was macht man denn abends um ein, zwanzig Uhr irgendwas?

00:18:21: ich bitte

00:18:21: dich.

00:18:22: Aber pass auf, das könnte jetzt bei uns schon so sein wie bei den Boomans die sagen, wenn Facebook nicht geht, dass das Internet kaputt ist.

00:18:28: ihr guckt mich nicht so an.

00:18:31: Du hast gesagt, dass das Internet kaputt ist.

00:18:32: Ich hab nicht gesagt, es ist Internet kaput.

00:18:35: Ja,

00:18:36: ja.

00:18:36: Wir sollten erklären.

00:18:37: Dann erklär mal was eigentlich ... Was ist denn der Internet?

00:18:40: Wir haben ja wieder zwei Dinge gehabt.

00:18:44: Letztes Mal haben wir noch berichtet von den D-Trust-Vorfällen und etwas sehr Ähnliches hat kurz danach die SwissSign eralt.

00:18:55: Ach nein!

00:18:57: Also eine andere große ... Hände ich

00:18:59: mal auf die Schweißverlass.

00:19:00: Nee, ähm... Und ja das andere war ein DNSSEC Ausfall bei der Dienung ne?

00:19:12: Aber aber also DNSSEC, reites den Security und Signaturen und dann wieder eine Zertifikate, diese Scheiße mit den Zertifikaten, die macht das Internet kaputt.

00:19:25: Ah, da haben wir nicht einfach überall Zertfikate.

00:19:26: Vierzialaufzeit!

00:19:28: Ach, einfach unendlich.

00:19:29: Unendlich?

00:19:30: Genau.

00:19:32: Ich weiß gar nicht.

00:19:33: Warum eigentlich Zertifikate?

00:19:36: Das Internet ist doch mal mit dem Gedanken des gegenseitigen Vertrauens entstanden.

00:19:41: Protokolle wie SMTP, BGP... Man vertraut sich doch!

00:19:47: Wo ist das Vertrauen hier?

00:19:49: Ja, ja, ja.

00:19:51: Auch so Routen untereinander.

00:19:52: Doch, doch.

00:19:52: Eigentlich ist da schon noch ziemlich viel Vertrauen, nur halt nicht den Anwender gegenüber.

00:19:57: Denne sollte man eh nicht vertrauen.

00:20:00: Die tippen überall drauf.

00:20:01: Aber so, jetzt Back on Topic ...

00:20:04: Was

00:20:04: ist bei der SwissSign abgebrannt?

00:20:06: Wo haben SwissSign nicht schnell genug reagiert?

00:20:11: Wir haben das sehr ausführlich mal über die D-Trust erzählt und dass dort ein formeller Fehler bei dem erstellen bestimmte Zertifikate

00:20:21: aufgetreten

00:20:22: war

00:20:23: oder im Prozess ... Sie hatten einen kleinen Prozess-Flub.

00:20:26: Sagen wir es mal so!

00:20:28: Genau SwissSign hat hier einen Compliance-Bug im Bugzilla von Mozilla eröffnet.

00:20:37: Und zwar ging es da um das Feld Common Name für S/MIME-Zertifikate, weil das falsch in der eigenen ... In der eigenen ja CP/CPS nennt sich das, nennen die das noch?

00:20:52: Also

00:20:52: Certificate Policy and Requirements nur für S/MIME-Zertifikaten.

00:20:55: Genau, also sie haben selbst quasi einen Fehler in ihren eigenen Baselines gemeldet — als Bug gemeldet.

00:21:03: Okay, Common Name ja gut da muss halt die E-Mail Adresse rein?

00:21:06: Was haben sie da reingeschrieben?

00:21:07: was eigentlich...

00:21:08: Ja SwissSign hat da den Vornamen Nachnamen reingeschrieben statt E-mail Adresse.

00:21:14: Das macht für einen S/MIME-Zertifikat

00:21:16: wenig Sinn.

00:21:17: Naja aber der Common Name ist ja auch so'n Ding.

00:21:21: ich meine so lang.

00:21:22: Ich meine, da hast du auch alternative Antragstellern namen.

00:21:24: Wenn dadurch die E-Mail Adresse drinsteht ist das doch für erst mal einem auch wieder okay.

00:21:28: Jetzt müssen wir doch mal kurz darüber reden.

00:21:30: was ist denn eigentlich?

00:21:31: warum ist in der Kommande so wichtig?

00:21:33: Ja, der Common Name ist ja heute eigentlich egal.

00:21:35: Weil die ganzen Browser eigentlich nur noch in das SAN-Feld reingucken, ne?

00:21:37: Das ist auch etwas wo immer wieder Leute darüber stolpern, die S/MIME-Zertifikat oder CSRs erstellen und dann das Sa... also quasi den Common Name nicht doch mal in das Subject Alternative Namesfeld reinschreiben und sich dann wundern warum die ganzen modernen Browser sagen... Ne!

00:21:53: Ja, aber weißt du... Was mich daran wundert ist, warum hat denn die Welt sich so sehr daran gewöhnt das alles in den Subject Alternative Name reinzuschreiben und nicht direkt in den SAN?

00:22:03: Weil es stand doch immer schon so fest per RFC.

00:22:07: Also es war doch schon immer so, dass das Wichtigere der SAN war — oder irre ich mich?

00:22:12: da war nur eine Anpassung.

00:22:14: Ich glaube das CA/B Forum hatte an dieser Stelle irgendwann mal nachgeschärft.

00:22:17: Ja, es wurde nicht enforced.

00:22:18: Aber ich glaube in der RFC könnte das sogar schon immer dringend, dann müsste

00:22:22: man nochmal nachgucken.

00:22:23: bevor wir jetzt wieder Bullshit erzählen und dafür gekämpft werden sagen wir jetzt lieber nichts.

00:22:28: aber gut sie haben da halt also ähnliches ne?

00:22:30: Sie haben auch wieder so ein Policy-Problem gehabt und hab Buse getan hieß natürlich auch wieder alle ausgestellten S/MIME-Zertifikat... mussten halt zurückgerufen werden innerhalb von hundertzwanzig Stunden, ja da ja der ja da.

00:22:45: Wir hatten wieder einen Kunden, der davon betroffen war, der also für eine dreistätige Anzahl User Neues beim S/MIME-Zertifikat rausrotzen musste.

00:22:53: Das war schon ein bisschen... naja nicht ganz so geil!

00:22:56: So

00:22:58: das war Klops Eins Ja aber ich glaube der den, der ein bisschen schlimmer DNS Sack Fail der DENIC.

00:23:10: Nämlich am Abend des fünften Mai, so gegen 21:50 Uhr, häuften sich Meldungen und das Fun Fact?

00:23:18: Das habe ich auf Reddit gesehen.

00:23:20: Ja da sind die Domains nicht erreichbar.

00:23:25: Und auch dann natürlich mit Domains verbundene Dienste.

00:23:33: Die Fehler usach mir.

00:23:33: jetzt kein Angriff, auch wenn das am Anfang halt durchaus kolportiert wurde.

00:23:37: Sondern da hat einfach jemand einen kleinen DNSSEC-Flaw eingebaut und mich bei der DENIC selbst nämlich der SOA-Eintrag.

00:23:47: also der Start of Authority für die DE Zone war ungültig signiert.

00:23:56: Ja,

00:23:56: oh

00:23:57: ja!

00:23:57: Das war so richtig meh ne?

00:24:01: Ganz kurz, wie das im Internet funktioniert.

00:24:03: Es gibt die Rootserver.

00:24:04: Die kennen dann halt die autoritiven Nameserver für Punkt DE zum Beispiel und die autoritativen Namserver für DE kennen dann wieder entsprechend die weiteren Nameserver z.B.

00:24:13: für wartungsfenster.de oder sonst irgendwas.

00:24:18: Und ja, man konnte das auch schön mit dig nachvollziehen — da gab es einen Signaturfehler: RRSIG with No Signature Found.

00:24:31: Das eigentliche Problem war dann, dass Resolver die DNSSEC validieren.

00:24:38: Dann gesagt haben Punkt der E ist nicht vertrauenswürdig und damit brannte dann alles.

00:24:44: Das heißt: viele nutzen natürlich DNS-Resolver von Google, also 8.8.8.8, Cloudflare, 1.1.1.1.

00:24:51: Die waren betroffen.

00:24:53: Es gab auch ein paar provider eigene DNS-Resolver, die das Problem auch hatten.

00:24:58: Aber das ganze war dann auch Ich sag mal kurz nach Mitternacht schon wieder erledigt.

00:25:03: Also die DENIC hatte das dann kurz vor 23 Uhr schon angeschlagen und gesagt ja wir haben da ein Problem.

00:25:14: Es gab halt auch einen Workaround.

00:25:15: also wenn du betroffen warst, dann konntest du halt einfach quasi einen nicht validierenden DNS Server eintragen und dann kannst du halt wieder surfen.

00:25:23: Das war nicht der Problem.

00:25:25: Ja okay.

00:25:27: War jetzt nicht für jeden machbar!

00:25:28: ... muss man ganz klar sagen.

00:25:29: Das ist klar!

00:25:31: Ich glaube, Quad-Nine war auch gar nicht betroffen.

00:25:32: Also wer 9.9.9.9 genutzt hat, der konnte wohl surfen... ... aber 8.8.8.8 und 1.1.1.1 — also Cloudflare und Google DNS — die hatten da definitiv Probleme.

00:25:42: Hat halt einer irgendwie Bockmist gebaut.

00:25:44: Asche auf ihr Haupt.

00:25:45: Die DENIC hatte oder hat angekündigt dass es dann eine Nachuntersuchung geben wird.

00:25:49: Da habe ich jetzt nicht mehr ganz verfolgt.

00:25:55: Ja, aber war ja auf schnell behoben.

00:25:58: Ja, ein paar Stunden war halt erst mal.

00:26:00: irgendwie brannte alles.

00:26:03: Nach näherem Nachdenken werde ich das wahrscheinlich auch deshalb nicht mitbekommen haben weil schon im Bett lag Aber

00:26:10: für Deutsche Zeitzone eine sehr glückliche Uhrzeit.

00:26:14: Das haben nicht viele nicht viel bekommen.

00:26:16: Du hast du viel auf punkt.de.

00:26:20: wenn ich mal so grob überlege über einen Tag verteilt DHL schon mal, wenn ein Paket kommt.

00:26:29: Habe ich eine DHL-App da?

00:26:30: Ich surfne nicht bei DHL.

00:26:31: Ja, aber

00:26:31: es wird ja auch mit DHLDE... Ja!

00:26:34: ...wird DHL auch arbeiten.

00:26:35: Aber ich sitze

00:26:35: hier nicht um ein zwanziofünfzig auf der Couch und öffne die DHL App, die

00:26:39: öffnet sich

00:26:39: nur, wenn da irgendwie ne rote Eins steht.

00:26:41: Ja aber

00:26:41: stell dir vor du würdest... Du müsstest noch mal im Zug irgendwo hinfahren, dann wären wahrscheinlich deutsche Bahnen.

00:26:46: Die waren glaube ich auch...

00:26:48: Die waren auch betroffen?

00:26:49: Klar.

00:26:49: Um einzwanzio fünfzig fahre ich nirgendwo mit der deutschen Bahn hin.

00:26:52: Nee, ich auch nicht, aber soll Leute geben.

00:26:54: Mein Beileid Ähm, ja.

00:26:59: Was können wir daraus lernen?

00:27:01: Ja gut, das war jetzt... Das, ja, wollte ich grad sagen irgendwie selbst gemacht, ne?

00:27:06: Genau!

00:27:06: War kein Angriff, war keinen ausgenutzter Back.

00:27:09: Ja, war einfach...

00:27:10: Ja und wenn man das mit Zwischzahlen weiß, ist auch streng genommen kein Ausfall.

00:27:14: Das war lästig aber kein Ausfalls, so.

00:27:18: Ja wobei ich das natürlich interessant finde.

00:27:21: Warum find' ich das interessant?

00:27:23: Natürlich der zeitliche zusammen der zeitlichen Zusammenfall mit.

00:27:29: Na, wer hat's?

00:27:31: Mit D-Trust.

00:27:31: Ich kann jetzt nicht auf D-Trust entschuldigen was natürlich dann auch da wieder gezeigt hat.

00:27:37: naja so Prozesse und Dokumentationen und Policies ja da guckst du halt.

00:27:43: Na ja, eigentlich gerade in dem Zusammenhang solltest du da eigentlich besser drüber gucken.

00:27:47: Aber zwei Fälle in so kurzer Zeit die das offen waren lassen mich vermuten, dass das auch andere möglicherweise nicht so gut im Griff haben oder der ein oder andere vielleicht drübergucken sollte?

00:27:59: Ich hätte ja noch angemerkt... Du sagst jetzt zwei ich würde sagen drei weil D-Trust ist ja noch ein zweites Mal gekommen

00:28:07: Die hatten ja zwei Klöpse.

00:28:09: Ja, ja!

00:28:09: Also erst das was wir darüber erzählt haben und dann haben auch die offensichtlich irgendeinen Flaw in S/MIME-Zertifikaten noch gefunden.

00:28:17: Wo wir wirklich Kunden hatten, die nicht, keine Ahnung, hundert oder zweihundert sondern eher mal so tausend Zertifikate neu klimpern mussten für S/MIME.

00:28:29: In dem Fall kannst du froh sein wenn ihr halt irgendwie ein Software hast mit einer Schnitzel zu einer CA... wo das dann automatisch gemacht wird.

00:28:36: Ja, aber so automatisch ist es ja nicht also automatisch.

00:28:39: die Software sieht ja nur dass Zertifikat noch gültig würde sich nicht bemühen erneuzt zu ziehen.

00:28:44: Du musst es halt zurückrufen.

00:28:45: Das war trotzdem nämlich ein Problem.

00:28:48: Dann hättest du erwarten müssen bis das Zertifikat revoked wurde.

00:28:53: Wenn du also dafür sorgen willst, dass der Anwender nicht irgendwie mal ohne Zerntifikat schickt und da steht dann musste schon als Admin was händisch machen.

00:29:02: Ja gut, aber das machst du dann im Zweifelsfall.

00:29:04: Also jetzt in unserem Fall ist ja ganz häufig so NoSpamProxy oder Zertifikon irgendwie sowas in die Richtung.

00:29:10: Jetzt stell dir mal vor, du bist so ein Laden und hast es beim Zertifikat wirklich... also so wie man's eigentlich macht, wirklich auf den Geräten!

00:29:19: Das muss ich mir noch nicht groß vorstellen.

00:29:20: Dann bist du richtig

00:29:21: gefickt ey!

00:29:25: Ganz ehrlich wenn das irgendwer da draußen machen macht für mehr als zehn Leute der ist eben ... mit einem Klammerbeutel.

00:29:33: Also nein!

00:29:34: Na ja, aber eigentlich ist es ja richtig... Weil End to end ist End-to-End

00:29:38: und nicht Gateway zu Gateway.

00:29:39: weil wenn ich Gateway zu gateway dann kann ich auch sagen Ja fuck it, da mache ich einfach ne?

00:29:45: Es kommt

00:29:45: ja auch drauf an was für ein Laden du bist.

00:29:47: Ja, Probleme hat auch Palo Alto.

00:29:50: Ah, reichlich,

00:29:51: ne?

00:29:51: Was haben die denn schon wieder gemacht?

00:29:52: Erzähl mal!

00:29:53: Ja, das übliche.

00:29:55: Was kann bei Firewalls, was kann bei Palo Alto so schon passiert sein?

00:29:58: Eine Sicherheitslücke immer wieder

00:30:00: Mal wieder.

00:30:01: Ja, mal wieder!

00:30:02: Ja, es tut mir leid.

00:30:04: Was glaubst du eigentlich?

00:30:05: Was passiert wenn Palo Alto mal auf... Wahrscheinlich gibt's so ein Intern bei Palo Alto und der macht dann einfach so Steuerung A, Steuerung C für den ganzen PAN-OS-Quelcode und lässt ihn dabei so Claude Mythos mal reinfallen?

00:30:21: Ja, wer weiß.

00:30:24: Nein.

00:30:26: Also Palo Alto die Firewalls sind ja schon Die früher, die sind verbreitet.

00:30:32: Ich finde sie auch immer noch geil?

00:30:33: Ganz

00:30:34: schnuckelig!

00:30:36: Aber die haben schon Dinge wo ich die Finger verlassen würde.

00:30:38: zum Beispiel halt so dieses Captive Portal vorne hier.

00:30:41: wie heißt das Secure Global Secure...

00:30:44: Global Secures

00:30:45: irgendwas.

00:30:47: Einfach weil das sieht nach vorn herum sehr schick aus, nach hinten rum müssen wir es aber dann wieder.

00:30:51: SSL VPN und wir alle wissen was es mit SSLVPN auf sich hat.

00:30:56: Hoff' ich ist nicht schön.

00:31:00: Sie hatten in Global Protect auch die eine oder andere echt krasse Sicherheitslücke, muss man ganz klar sagen.

00:31:04: Ja genau!

00:31:05: Aber sie haben jetzt mal wieder einen neuen Kommer-Drei gehabt?

00:31:07: Ja genau...eine neuen kommer drei, CVSSV ...vier?

00:31:16: Drei oder vier?

00:31:17: Vier!

00:31:18: Macht nicht so einen Riesenunterschied, aber ich wollte es nochmal erwähnt haben — wir sind jetzt bei CVSSv4 angekommen.

00:31:25: Das ist ein Buffer Overflow gewesen, ne?

00:31:29: Buffer Overflow.

00:31:31: Also Wer fragt, wie kriegen

00:31:33: Sie das hin?

00:31:34: Also in so einer Komponente, es ging, glaube ich, um das Authentifizierungsportal.

00:31:38: Wie kriegt man da einen Puffer-Überlauf hin?

00:31:41: Ja gut, für allgemeinen Pufferoberlauf funktioniert es klar.

00:31:45: aber na, das heißt du findest eine Funktion die Speicherbereiche reinschreiben kann, die nicht dafür vorgesehen sind und ja es wird auch ein freier Wildbahn ausgenutzt ist.

00:31:57: wie gesagt betroffen sind übrigens PAN-OS zehn zwei Elf, eins, zwei.

00:32:05: Also alles?

00:32:06: Alles eigentlich auf der PA-Serie und auf der virtuellen selbstverständlich auch weil irgendwie am Ende ist es ja doch wieder PAN-OS.

00:32:15: nicht betroffen sind die Cloud Next Generation Firewalls

00:32:21: Prisma und Panorama.

00:32:22: Ja!

00:32:23: Ah guck mal da hat das Land Niedersachsen ja Glück dass Panorama nicht betroffend ist.

00:32:28: müssen sie nur den ganzen anderen Booms patchten den sie jetzt mit Palo Alto gekauft haben.

00:32:32: Gut, aber kam am ... Wann haben Sie die veröffentlicht?

00:32:35: Am fünften Mai.

00:32:38: Ähm... Und sie sahen Angriffe oder dass die Lücken in freier Wildbahn ausgenutzt wurden.

00:32:44: und wann haben sie dann den Patch rausgehauen?

00:32:48: Das war ... Warte mal das hatte ... Es kamen die ersten Fixes irgendwie am 13. Mai.

00:32:54: also es gibt Workarounds.

00:32:55: Wir haben Workarounds — im Zweifel natürlich: deaktivieren, wenn du es nicht brauchst.

00:33:05: Ist klar ist immer der beste Weg.

00:33:08: Wenn du eine Funktion nicht brauchst, dann schalte sie ab.

00:33:12: Und wenn du's wirklich brauchst aber das auf vertrauenswürdige Zonen beschränken kannst was auch immer vertrauenswürdige Zonen streng genommen sind.

00:33:22: Hey wir sind im Internet.

00:33:23: ja da sind alle nett und alle freundlich?

00:33:26: Nein nein im Laden sind alle nette und allefreundliche.

00:33:28: wollen Sie damit sagen?

00:33:30: also Was sind denn vertrauenswürdige Zonen?

00:33:32: Erklär mir das mal im Netzwerk.

00:33:34: Ist das noch diese ...

00:33:36: Du kannst jedem Vertrauen im Internet und im Netzwerken.

00:33:41: Nein, also... Diese Burggrabengeschichte, die noch so übrig ist gedanklich, aber es ist doch ja im Laden nicht sicherer als ...

00:33:48: Also alle Firewalls kennen ja dieses Konzept von vertrauenschwürdigen und weniger vertrauengestrittenen Zonen.

00:33:55: Aber ganz ehrlich, ne Zero Trust, du traust erst mal gar keinem.

00:34:01: Captive

00:34:04: Portal nach intern macht ja auch wenig Sinn, oder?

00:34:06: Was für einen Sinn ergibt das in vertrauenswürdig.

00:34:12: Du kannst ja bei Palo ja Policies auf User legen und klar die müssen sich dafür authentifizieren.

00:34:19: Also, da könnte ich mir das vorstellen.

00:34:21: Es sei denn du hast natürlich dann irgendwie so einen lustigen Agent der auf Domain-Controllern sitzt und dir das Event noch abgrast

00:34:26: und dann der

00:34:27: Firewall sagt Jo, der darf!

00:34:29: Der ist authentiziert.

00:34:30: Ja, ich weiß nicht ob Palo Alto das nicht ähnlich macht.

00:34:32: Nee, das machen sie genauso.

00:34:33: Nee Watch Guard macht es auch so.

00:34:34: Und Sofos macht das auch so?

00:34:36: Ja deswegen... Ich hab' das noch nie bei Watch Guard... Nein.

00:34:39: Ich habe das bei Sofus mal implementieren müssen und mich mit Palo mal implementiren müssen.

00:34:44: Das ist nicht schön.

00:34:45: Ja, es ist sehr lange her oder?

00:34:47: Ich glaube heute würdest du dich mit Händen und Füßen wehren.

00:34:50: Das kommt drauf an.

00:34:51: also wenn sie sagen... Also A werde ich dafür bezahlt dann sage ich denen immer noch das eine Scheißidee.

00:35:01: Wenn Sie sagen ich möchte dass wir trotzdem haben Dann kriegen sie das auch.

00:35:05: Es ist ja nicht so, dass ich dann sage Nö Natürlich würde ich das gerne häufiger machen, aber du mal bezahlen die Leute ja dafür.

00:35:15: Ja und die wenigsten Kunden sind im Business-Umfeld so ein bisschen stehen halt so selten auf solche Sachen wie ich bezahle dich dafür und du erniedrigst mich.

00:35:26: Das ist im Business Umfeld leider sehr sehr selten.

00:35:29: Nein, ich denke gerade darüber nach gewissermaßen... Da geht auch nicht jeder gleich mit um.

00:35:35: Also die meisten unserer Kunden werden wir sagen, ja kannst du schon so machen aber ist eine scheiß Idee.

00:35:42: Die mögen das also die finden das gut weil dann erzählen wir warum das blöde Idee ist und dann sagen wir haste eigentlich recht schnell lass mir das

00:35:50: wichtig ist.

00:35:50: ja wir sagen es ist ne Scheiß Idee.

00:35:52: aber wir sagen auch warum ist das ne Scheiss Idee?

00:35:53: Ja

00:35:54: ich habe keinen Bock darauf.

00:35:55: nein selbstverständlich Legitim.

00:36:00: Interessant ist natürlich, wenn man auch mit anderen Dienstleistern am Tisch sitzt und man sagt das ist eine scheiß Idee.

00:36:04: Man erklärt warum das eine scheiße Idee ist?

00:36:05: Und der andere Seite, ich will es aber trotzdem so haben!

00:36:08: Ja natürlich.

00:36:09: oder wenn du einfach über da legst dass etwas ja ne schlechte Idee ist und der Andere sagt nö das sehe ich anders.

00:36:20: Sich entspannt zurücklehnt und der Kunde macht dann macht's dann trotzdem weil der andere Dienstleister hat er gesagt nö ist nicht so.

00:36:29: Man kann Menschen nicht vor sich selber schützen.

00:36:33: Ganz ehrlich, wenn du jetzt sagst ... Ich rauch jetzt Crack?

00:36:37: Dann kann ich sagen, das ist eine Scheißidee!

00:36:39: Wenn du sagst, ich möchte dir trotzdem gerne Crack rauchen, dann ... Ich kann dich ja nicht davon abhalten.

00:36:44: Also nicht dass...

00:36:46: Was?

00:36:46: Ich erwege gerade mein Kaffee zu streichen.

00:36:48: Genau.

00:36:51: Ich streiche meinen Kaffees, damit ich Crack konsumieren kann.

00:36:53: Das ist eine super Idee.

00:36:56: Ich bin ja schüttert, was hast du gedacht?

00:36:57: Ja.

00:37:01: Okay, was haben wir noch?

00:37:03: Es gab die empfohlenen Workarounds.

00:37:05: Genau, das macht

00:37:06: es aus

00:37:07: wenn's nicht geht und beschränkt den Zugriff auf vertrauenswürdige Zonen haben dann auch... Wenn man das macht darf man auch den CVSS-Score auf acht Komma sieben

00:37:19: Acht Komma sieben ist halt immer noch scheiße.

00:37:21: Ist immer noch verdammt hoch, genau

00:37:23: weil der punkt ist ja leer.

00:37:24: Eine 9.3 sagt ja aus: es ist über das Netzwerk für einen nicht authentifizierten Angreifer möglich, Root-Rechte zu erlangen.

00:37:32: jetzt muss man sich vielleicht auch mal angucken das ist völlig dass was so was ich so krass finde ein buffer overflow also oder auch einer eine out of bounds write vulnerability das ist ja ganz ganz klassischer fehler in einer software entwicklung.

00:37:46: Es ist genau das, was du vorher gesagt hast.

00:37:48: Also ein Programm schreibt ja dann in einen Speicherbereich der eigentlich nicht davor gesehen ist.

00:37:54: Genau zu viele Daten also mehr Daten als der Speicher-Bereich eigentlich.

00:37:58: Und ich glaube wir kommen gleich mal mal einem anderen Zusammenhang auf das Gleiche.

00:38:01: und naja wenn du Root-Rechte auf der Kiste hast, dann ist erst einmal Feierabend.

00:38:04: Ja klar.

00:38:07: Und gut auch CVSS v4 sagt dann natürlich alles von neun bis zehn ist kritisch.

00:38:15: Das ist halt schon ein ziemlicher Klops und ich finde, das ist dann halt also.

00:38:18: Ich habe mir jetzt bin ich ehrlich nicht mehr genau angeguckt wie... Wie die Veröffentlichung dieser Sicherheitslücke passiert ist.

00:38:25: weil typischerweise ist es ja so wenn du solche kritischen Sicherheitslücken hast Dann ist es halt so dass erst mal die Patches kommen Und dann geht der Hersteller hin und sagt hey Leute wir haben da ein Problem.

00:38:36: Ja Dass Du Die Sicherheits Lücke Raushaust oder Dass die bekannt wird und du hast nicht sofort Patches ist ja eher ungewöhnlich.

00:38:47: Ja,

00:38:50: es kommt halt drauf an wie die Lücke bekannt wird.

00:38:53: ne?

00:38:53: Wenn man selber bei der Hersteller sie selber rausgibt dann hat er für gewöhnliche Patches ja.

00:38:57: Ja

00:38:58: genau.

00:39:00: Und tatsächlich Palo Alto auch im Januar XXV schon mal eine andere schwerwiegende Sicherheitslücke.

00:39:06: da ging's halt darum dass man halt Firewalls in Wartungsmodus treten konnte.

00:39:11: Da kommt jetzt das nächste und ja, ist halt auch so eine Häufung.

00:39:14: Also wenn wir jetzt mal auf Firewall-Hersteller gucken dann siehst du halt dummerweise sehr oft FortiGate, du siehst sehr oft Palo Alto, du Siehst sehr often Checkpoint.

00:39:25: WatchGuard war jetzt auch in der Vergangenheit häufiger dabei.

00:39:28: Das ist sicherlich bei anderen Herstellern nicht anders.

00:39:33: aber Ja ne Firewall mit einer kritischen Remote Code Execution, das ist so das schlimmstmögliche Szenario, was so passieren kann.

00:39:46: Was ist denn ein anderes schlimmstmögliches Szenario?

00:39:51: Moment.

00:39:51: das ist jetzt eine sehr offene Frage!

00:39:54: Schlimmstmögliche Szenare ist doch wenn dein...

00:39:55: Windows Updates oder was meinst du jetzt?

00:39:58: Also ich sag mal so schlimmst mögliche Scenare ist, wenn dein guter Alter Windows Server two-thousand Jahre auf einmal nicht mehr funktioniert.

00:40:05: Jaaa aber wie soll ich das jetzt sagen?

00:40:12: Da hätte man ja schon mal vorher sich mit beschäftigen können.

00:40:15: Hätte, hätte Fahrradkette!

00:40:18: Ja also wenn das jetzt ein Disaster ist dann... Ja, schlimm genug.

00:40:25: Was ist passiert?

00:40:26: Jetzt ist es soweit und Sie haben es lange angekündigt.

00:40:29: RC4 wird jetzt abgeknipst.

00:40:32: Das heißt mit den April Updates.

00:40:37: Also muss anders anfangen, es fing ja an mit den januar-updates.

00:40:41: Da kam nämlich eine Funktion hinzu die bestimmte event log einträge baut wenn RC4 lock ins passieren.

00:40:52: Also der erste Schritt für Microsoft zur Abschaltung von RC4.

00:40:57: Vorher war das relativ umständig, die raus zu pflücken aus den Event-Logs.

00:41:01: Du hast halt die Anmeldereignisse durchgefiltert auf irgendwie Hex-Werte — 0x17, 0x18.

00:41:12: Das waren dann die entsprechenden Encryption Types im Logon-Event.

00:41:17: Das waren die Encryption Types für RC4.

00:41:20: Und das war immer sehr umständlich.

00:41:21: Kannst du dann immer schön mit Get-WinEvent und FilterXML machen.

00:41:25: so was habe ich ein paar mal gemacht.

00:41:27: dankenswerter weise gibt es jetzt einen event der dass er direkt sagt das sind die events zweihundert was war zwanzig

00:41:33: bis zweihundert

00:41:34: neun.

00:41:34: Dankeschön zwarteis.

00:41:35: bis zwei hundert neun, und seit januar sieht man die wenn RC4 im netzwerk passiert.

00:41:41: genau Warum wollen wir eigentlich kein RC4 mehr haben?

00:41:44: Ja, genau.

00:41:45: Es ist alt und es ist alt.

00:41:49: Also Kerberoasting ist ja ein Szenario bei dem der Angreifer Kerberos Service Tickets für Dienstkonten anfordert... ...und diese Tickets sind halt in der Passwort-Hash des Dienstkontoes verschlüsselt.

00:42:01: Und jetzt kommt das Problem.

00:42:02: also RC4, also RC4 isst ein Algorithmus aus den Achtzigern

00:42:09: mit

00:42:09: bekannten kryptografischen Schwächen und der ist seit jahren.

00:42:13: Seit Jahren wird er schon als unsicher eingestuft, blieb aber halt in Active Directory halt ja jahrelang aus kompatibilitätsgründen aktiv?

00:42:27: Und jetzt hat Microsoft mal gesagt: so alte Zöpfe werden abgeschnitten, und damit starten wir im Januar

00:42:33: zwei tausend sechsten zwanzig mit so einer Audit-Phase.

00:42:35: genau das war die Audit-Phase.

00:42:37: Ja, und jetzt in April Updates ist es soweit.

00:42:42: Es wurde scharf geschaltet.

00:42:44: also es wird jetzt AES wird jetzt näher.

00:42:46: gut AES ja ich wollte gerade sagen AES wir zum Standard aber das kannst du so streng genommen nicht sagen das ist ja schon eine Weile vorher passiert.

00:42:55: Aber er konnten ohne ein explizit gesetztes Attribut.

00:43:01: da gibt's dieses lustige msDS-SupportedEncryptionTypes encryption Types In der Active Directory, wenn da nicht drinsteht dass dieser Account noch RC4 sprechen darf.

00:43:13: Dann funktioniert RC4 nicht mehr. Plus:

00:43:17: du musst es natürlich auch auf der Domain Controller Ebene auch noch aktiviert halten.

00:43:22: bei vielen Kunden gehen wir ja schon proaktiv hin und versuchen das auszumerzen seit mehreren Jahren und entsprechend kann es auch sein Wenn das schon nicht mehr erlaubt ist dann braucht sich auch wenn man sich keinen Kopf machen.

00:43:37: Wir sprechen natürlich dann wirklich nur von Umgebungen, wo Systeme laufen, die noch kein AES können.

00:43:43: Und das Letzte, wo das relevant war, war Windows Server 2003.

00:43:47: Streckstrich Windows XP natürlich.

00:43:49: Richtig oder halt eine andere Systeme?

00:43:50: Es gibt natürlich so ein paar NAS-Systeme, Linux-Systeme

00:43:53: usw.,

00:43:53: die möglicherweise auch... Wenn Sie Kerberos sprechen halt nur RC4 als einzigen Cypher für Kerberos Supporten.

00:44:04: Und man sollte jetzt, also wie gesagt mit den April Updates haben sie halt RC4 abgeknipst.

00:44:13: Da gab es dann noch ein Fallback.

00:44:14: Man konnte das nochmal wieder aktivieren.

00:44:17: aber

00:44:18: im

00:44:18: Juli, in dem Jahr ist es im Jahr auch noch mehr als unterstützter Verschlüsselungstyp auf Domain Controller gesperrt.

00:44:28: Es gibt dann auch keinen Rollback mehr außer... Du konfigurierst explizit auf Computerkonten dieses msDS-SupportedEncryptionTypes und sagst ja, äh da bitte RC4.

00:44:44: Ja, ich überlebe das auch gerade so.

00:44:48: Wir haben ja gerade gesagt: Windows Server 2003 / XP.

00:44:52: gibt es noch andere Szenarien wo wir RC4 noch begegnen könnten.

00:44:58: In alten Domänen wenn niemals das krbtgt Passwort also wenn Domänen vor, ... ja.

00:45:06: ... und einfach immer nur immer wieder hoch migriert wurden neue Domain-Controller rein auch dann kann es sein, dass das krbtgt-Konto selbst noch kein AES kann.

00:45:17: Ja?

00:45:19: Das heißt da muss man einen Passwort Rollover einmal machen.

00:45:22: Wenn das krbtgt kein AES kann, dann kann der Rest der Welt es auch nicht.

00:45:24: betrifft aber auf alle Benutzerkonten

00:45:27: Genau, korrekt.

00:45:28: Zu die ein Kennwort haben was niemals geändert wurde?

00:45:31: Ja genau — also das, was zu früheren Zeiten erstellt wurde.

00:45:34: Das krbtgt-Konto wird ja immer ganz am Anfang erstellt und wenn der halt immer wieder mit geschleift wurde dann... Das muss man tatsächlich mal ändern.

00:45:44: Benutzerkonten, ja wenn die Domäne mit Server-Servatrosen III aufgesetzt wurde, als Benutzerkonto sind die Leute möglicherweise auch schöner

00:45:52: nennen.

00:45:52: Es gibt so eine Art beschränkte Service-Konten, ne?

00:45:56: Ja, oder Servicekonten an die man die dran geht.

00:45:59: Also grundsätzlich da auch ne ... ja dass man mindestens einmal seit... ...zweitausend acht irgendwie ein Passwort Rollover gemacht haben müsste sollte.

00:46:08: und jetzt jetzt kommen wir wieder zu dem Bildungsauftrag den wir haben.

00:46:12: Ja, Juli 2026: RC4 wird abgeknipst.

00:46:17: Dann rennen.

00:46:18: also es wird Unternehmen geben wo dann irgendwas anfängt zu fackeln was noch gebraucht wird?

00:46:24: Und dann könnt ihr hingehen, wenn ihr zum Beispiel noch Server.

00:46:28: Zwar zwei tausend drei habt Windows XP Kisten habt die an ad hängen und die weiterhin am AD hängen müssen.

00:46:35: Dann nehmt ihr diese Computerkonten geht in Active Directory und Computer erweiterte Ansicht einschalten und dann bearbeitet ihr das msDS-SupportedEncryptionTypes Attribut ja konfiguriert dort entsprechend wieder.

00:46:51: Ich glaube, es ist 0x18 oder 0x17.

00:46:55: Das eine ist irgendwie der AES128-Wert und das andere AES256.

00:47:00: Okay, das ist dann... Ja ich weiß ja auf den Kopf nicht.

00:47:03: Aber ihr könnt dann explizit für diese Computerkonten mit der RC4 aktivieren.

00:47:08: Wenn ihr das getan habt, geht ihr bitte sofort zu eurem Hausjuristen, Legal oder sonst irgendwas,

00:47:18: lasst durch die Unterlagen für eures Cyber Security Versicherung geben und zündet diese an!

00:47:25: Weil die braucht ihr dann nicht mehr.

00:47:27: Ja, ist so.

00:47:28: Ist hinfällig da?

00:47:29: Genau.

00:47:30: Also solche Dinge ... im Schadensfall kann einem das so sein.

00:47:37: Das Cyber-Sec-Versicherung sind sehr guter drin, genau rauszufinden was passiert ist und wenn sie irgendwas finden, muss mit dem Angriff nichts zu tun haben aber den Eindruck erweckt dass Sie das Thema Security nicht ernst genommen habt, werden Sie sagen, zahlen wir nicht.

00:47:50: Das können Versicherungen halt leider ...

00:47:52: Ja, das ist richtig und ich glaube auch.

00:47:54: Ich befürchte auch selbst mit seitenweise Risikobewertung.

00:48:00: Tra-la-la kannst du dich damit nicht rausreden?

00:48:02: Genau.

00:48:02: also auch wir werden ja immer mal wieder gefragt ob wir halt eine Risikoreinschätzung zu bestimmten Sachverhalten schreiben.

00:48:12: es gibt ja auch Fälle wo man halt Risiko akzeptieren kann.

00:48:17: wenn ich jetzt gebeten werden würde ... zur Aktivierung von RC4 über Juli, ... ... für ein Risikobewertung zu schreiben, würde ich den Kunden fragen ob er dumm ist.

00:48:30: Ah!

00:48:31: Ja... Weißt du wo es auch glaube ich bis heute immer noch Standard ist?

00:48:37: Wo?

00:48:37: Bei AD Trusts.

00:48:38: Ja ja, Trusts genau.

00:48:39: Du musst nämlich wenn du Trusts baust immer noch sagen,... ... der möchte der Kanai sein.

00:48:44: Ist das immer noch so?

00:48:45: Weil ab irgendeinem Punkt war's ja auch so: wenn man sich nicht einigen konnte, fiel der krbtgt-Fallback auf RC4 zurück.

00:48:58: Das haben sie erst vor zwei, drei Jahren geändert.

00:49:01: D.h.,

00:49:02: er fällt jetzt immer auf AES zurück standardmäßig.

00:49:06: Haben Sie das dann in dem Zuge nicht auch geändert?

00:49:08: Ich bin mir nicht sicher, aber ich weiß, da ist der Haken noch da.

00:49:12: Das werden Sie an der Stelle, wenn Sie es nicht angepackt haben!

00:49:15: Ja, ja, ich bin relativ sicher, dass die das nicht angepackt haben.

00:49:20: Wir haben eine Umgebung mit Trust, die ist noch nicht so alt.

00:49:25: Das heißt doch da musste ich den Haken setzen wegen der RC4 hier.

00:49:31: Also liebe Kinder...

00:49:33: Ja aber was ist denn eigentlich wenn jetzt AES nicht geht und die RC4 nicht geht?

00:49:42: Was passiert denn dann?

00:49:43: Dann springt der Deckel der Mülltonne auf und NTLM springt raus.

00:49:49: Du sagst, hallo!

00:49:50: Hello there!

00:49:56: Ja... Ja genau dann kommt die NTLM wieder zum Zuge.

00:50:02: Da sind sie ja auch dran das Auszumerzen?

00:50:05: Ja wobei ich wenn du dich heutzutage umguckst, du siehst halt immer noch unfassbar viel NTLM Ähm, aber ganz, ganz wenig AES.

00:50:16: Weil üblicherweise wenn das, wie gesagt, wenn Passport immer mal geändert wurde und krbtgt immer angepackt wurde dann ist es heute normalerweise ... Das

00:50:23: heißt nicht einfach daran weil NTLM halt Fallback ist, wenn Kerberos generell nicht funktioniert?

00:50:30: Ja genau.

00:50:31: Und da reicht es ja schon eine Firewall steht dazwischen die nicht richtig konfiguriert ist also theoretisch auch einfach die Line-of-Site zum KDC ist nicht da.

00:50:41: Dann fällt sie halt Automatisch auf NTLM zurück

00:50:45: Und irgendwie habe ich Drucker auch in Verdacht.

00:50:49: Immer.

00:50:50: Druckerdruckserver, irgendwas ist da immer was entweder im Schreit

00:50:55: oder?

00:50:56: Ja Leute denkt an die Umwelt einfach Drucker abschaffen.

00:51:01: Einfach, wir haben auch so, gibt hier so ein Baumaschinenhersteller.

00:51:05: Da können wir Kontakte herstellen wenn ihr da drüber fahren wollt nochmal oder einfach mit dem

00:51:11: Wacker.

00:51:11: Ich habe ja gerade noch einen Ausbildungsvertrag unterschrieben.

00:51:13: ich hatte schon total insätze wie viel Papier ich da wieder in der Hand hatte.

00:51:17: Das ist fassbar

00:51:19: ey!

00:51:19: Ich gleich wieder am Baum pflanzen zuhause.

00:51:22: Ja, dann gab's noch eine zweite lustige Geschichte.

00:51:24: Da bin ich auch in Verbindung mit einem Kunden zufällig drüber gestolpert.

00:51:29: Bei dem Kunden haben wir so ein paar PAWs — Privileged Admin Workstations — die halt auch so bisschen schwer weggesperrt sind.

00:51:35: Also so richtig?

00:51:36: Ja

00:51:36: ja, mit kein Internet und so.

00:51:38: Nicht alles was Leute PAW nennen ist ein PAW.

00:51:40: aber ich glaube das sind da wirklich... Das

00:51:42: sind wirklich PAWs genau.

00:51:43: also da gibt es keine Internet und sowas.

00:51:44: Aber die müssen auch gepatcht werden, das muss ja so sein.

00:51:47: Und mit den Januar-Updates trat ein Problem auf dass erst ein paar Wochen später offiziell bestätigt wurde nämlich in Umgebungen ohne direkte Internetverbindung schlägt das Herunterladen von Windows Updates über WSUS fehl. Ich habe kein Internet? Ich hab ein WSUS!

00:52:07: Dafür hab'

00:52:08: ich ja einen WSUS?

00:52:09: Genau!

00:52:09: Dafür hab', ich ja ein WSUS und Fun fact das haben wir ausprobiert.

00:52:13: es ist nicht nur so dass es mit einem WSUS ist sondern du kannst dieses Update auch nicht per Hand installieren.

00:52:18: also wir haben dieses Update aus dem Update-Katalog untergetragen.

00:52:21: Wir haben es quasi in diese Umgebung rüber getragen Ja und haben gesagt hier installier und nö.

00:52:27: Das schlägt dann nämlich mit nem Fehler Nullix.

00:52:30: Achthundert Eintausend Und Zwei Fehl

00:52:34: Ja, und das hast du dann in den Error Code Lookup reingeworfen.

00:52:39: Also

00:52:40: ein bisschen zu Historie.

00:52:41: Also mit dem Preview Update Januar 2026 gab es eine Änderung im Verhalten, was Timeouts beim Starten von Downloadvorgängen angeht.

00:52:55: Die Updates im Februar 2026 konnten dann noch runtergeladen werden.

00:53:01: Ab März bis Mai schlug das dann fehl und die Geräte konnten dann halt weder über Windows Update noch über den WSUS irgendwie gepatched werden.

00:53:14: Also auch wenn du den Ding an Internet gegeben hättest, hätten sie keine Updates runterladen können.

00:53:19: Und jetzt kommt was Cooles!

00:53:21: Jetzt kommt wieder unser Freund Günter Born.

00:53:25: Da gab es nämlich am dreizehnten Mai tatsächlich die ersten Berichte zu diesen WSUS-Download-Fehlern.

00:53:31: Und am fünftzehnten mai hat Microsoft das Problem offiziell bestätigt und hat ein KIR, einen Known Issue Rollback veröffentlicht.

00:53:41: Du kriegst eine MSI, installierst die, findest in der lokalen GPO dann entsprechend einen Rollback, den du aktivieren kannst.

00:53:52: Total witzig!

00:53:53: Das ist witzig, aber du siehst auch keinen zeitlichen Zusammenhang zwischen den Einträgen in Borns IT-Blog und Microsoft.

00:54:03: Nein wir wollen damit nicht den Eindruck erwecken dass man in Redmond Günter Borns Blog gelesen hat.

00:54:08: Scheiße!

00:54:10: Da schmeißen wir jetzt ein ganzes Dev Team drauf.

00:54:12: das muss gefixt werden sonst...

00:54:16: Grund

00:54:17: dafür waren die Betroffenen Clients Eine CRL Prüfung nicht durchführen konnten, weil sie gar nicht den Zugang hatten.

00:54:25: Sagen wir doch einfach mal so einem Windows ist zu... ...nein neun und neunzig Prozent der Zeit eine CRL eigentlich egal.

00:54:34: Seien wir doch ehrlich!

00:54:35: Aber bei so

00:54:36: was?

00:54:37: Das ist schon witzig, weil tatsächlich

00:54:38: das leider an vielen Stellen mangelhaft.

00:54:43: Also: Chrome oder Edge — die juckt eine CRL nicht. Und OCSP juckt die ja auch nicht.

00:54:50: Windows Betriebssystem ja schon ne?

00:54:54: Ja man ja manchmal ja das Betrieb system schon das kann schon sein.

00:54:59: Und es gibt dann auch einen Workaround: man kann die CRL-Prüfung für den SYSTEM-Account deaktivieren.

00:55:13: Dann kann man halt auch wieder, äh... dieses Update installieren.

00:55:17: Ach das ist ja lustiger!

00:55:18: Also man kann das für den Account-System kann man sehr empfüllen.

00:55:22: HKEY_USERS\.DEFAULT.

00:55:29: Ja gut, aber es ist ja dann ein known issue.

00:55:33: Es hat einen fix und

00:55:35: muss man natürlich jetzt auch wieder ein bisschen einordnen weil ich sag

00:55:38: mal hinterkommen

00:55:40: wir ordnen das jetzt kurz ein.

00:55:42: also RC4

00:55:44: sinnvoll

00:55:46: lange angekündigt ja trotzdem brannte Günter Borns IT-Blog Weil Admin sagt kaputt, Microsoft ja da ja da.

00:55:58: Obwohl man sagen konnte hey seit Januar hättet ihr eigentlich diese Events sehen müssen.

00:56:02: Ja also auf Microsoft wurde eingeschlagen obwohl sie etwas richtig gemacht haben und die admins einfach nur nicht ihren Job gemacht haben.

00:56:11: so jetzt aber dann fail zwei ja zurecht auf Microsoft eingeprügelt.

00:56:18: Also Auch hat das Block von Günther wieder gebrannt und ja diesmal zurecht.

00:56:31: Und naja aber jetzt haben wir auf Microsoft eingeschlagen, aber wir sind ja noch nicht fertig, wir haben ja noch ein paar.

00:56:40: Ach ja auch nein!

00:56:42: Boah,

00:56:44: jetzt geht's weiter.

00:56:45: Also vier Wochen ist vielleicht dann doch zu lang?

00:56:49: Ja, wir müssen wieder alle zwei Wochen und vielleicht müssen wir uns mal nicht so auf Security und irgendwelche Fails konzentrieren.

00:56:57: Vielleicht erzähl ich aber auch wieder lustige Sachen.

00:57:00: Das hier ist kein Happy-Podcast mehr!

00:57:02: Nee,

00:57:03: nee... also da müssen wir thematisch messen und nächstes Mal ein bisschen weil wer hat ja dann noch so ein paar kleinere Issues Bei Linux-System.

00:57:14: Jetzt fragt man, wie Linux ... Welche Linux ist?

00:57:18: alle?

00:57:19: Wirklich alle!

00:57:20: Und ganz ehrlich, da ist vom Server bis zum Toaster alles dabei.

00:57:26: Wir haben also im Zeitraum April, Mai innerhalb von zwei Wochen drei richtig fette Kernel-Vulnerabilities gehabt.

00:57:33: Wo ein normaler Benutzer ohne Root-Rechte innerhalb von wenigen Sekunden zum Root wird.

00:57:41: Und wie sich das für vernünftige Sicherheitslücken gehört?

00:57:46: Haben die auch alle coole Namen!

00:57:48: Nämlich Copy Fail, Dirty Frag und Fragnesia.

00:57:54: Fragnisia.

00:57:55: Okay, wahrscheinlich nicht.

00:57:57: Ich weiß es

00:57:58: nicht.

00:57:58: Pass auf.

00:57:59: Die gehören zur gleichen Fehlerklasse wie die 2022er Lücke

00:58:04: Dirty Pipe oder noch ältere Dirty Cow.

00:58:09: Dirty.

00:58:12: Ja, okay.

00:58:13: Bei CoW — COW großgeschrieben — also Copy-on-Write.

00:58:19: Das ist aber... Da hab ich mich jetzt wo du das sagst?

00:58:23: Ich erinnere mich so viel daran.

00:58:25: Lange her!

00:58:27: Ja lange her.

00:58:29: Gut, das positive erstmal es ist keine ausnutzbare Remote Code Execution Ja, sondern ich brauche wirklich lokalen Access.

00:58:41: Also ich muss halt irgendwie auf dieser Büchse per Konsole, per SSH, per Telnet irgendwie drauf sein.

00:58:47: Hast du gerade Telnet gesagt?

00:58:48: Ja gut im Prinzip.

00:58:55: Es ist ja auch wirklich... also wir sagten grade alle, es sind wirklich alle Linux-Distributionen betroffen.

00:59:02: Ist

00:59:02: eine Kernel-Vulnerability und da ist natürlich dann alles mit dabei.

00:59:06: Ich sage mal ab!

00:59:07: Wir hatten ein Jahreszahl rausgehauen, ne?

00:59:09: Seit zwei tausend siebzehn.

00:59:11: Ja genau.

00:59:13: Also weiß vielleicht gibt es noch älteres System.

00:59:16: Da kommt noch mehr!

00:59:18: Also Punkt ist ja der, wir sagen jetzt gerade lokalen Zugriff.

00:59:21: Ja okay SSH, Telnet, lokal...ja es reicht aber auch schon.

00:59:24: dann irgendwie so eine CI/CD-Pipeline, ein Container, irgendeine Web-App und zack bist du halt auf der Kiste drauf und kannst dir dann über diese Lücke halt via Local Privilege Escalation die Route rechte holen.

00:59:37: Alles ab Kernel v6.1 — und das ist, glaube ich, seit Kernel 2.6.17 so — ist betroffen.

00:59:46: Und was für uns natürlich wichtig ist, wir reden jetzt von Linux-Distributionen.

00:59:49: Aber eigentlich sind die Kernel-Vulnerability hier.

00:59:51: Das heißt alles wo irgendwie Linux-Kernel draufläuft und es betroffen.

00:59:53: Also jetzt zum Beispiel auch Nutanix AHV, AOS, das Betroffen...

00:59:58: ...AOS CX Bitches... AROBA

01:00:00: AOS Cx

01:00:01: Ja natürlich, Cisco wird auch betroffen sein, behaupt ich

01:00:03: jetzt mal.

01:00:04: Alcatel?

01:00:05: Alcatel garantiert!

01:00:06: Genau,

01:00:07: Alcatel-Lucent Enterprise — also OmniSwitches — sind garantiert auch betroffen.

01:00:10: Firewalls ja der komplette Blumenstrauß.

01:00:15: Und jetzt, wenn man sich das ganze mal anguckt.

01:00:21: Copy Fail, das ist der CVI-Ei-Skruf, sieben Komma

01:00:27: acht.

01:00:28: Ja, siebem Komma Acht!

01:00:33: Aber es sind keine neun Komma...

01:00:35: Genau, also ein Fehler im Modul af_alg —

01:00:41: In der linux krypto api und durch eine kombination von sockets.

01:00:46: Und suscalls kann halt ein unprivilegiert also normaler benutzer ganz gezielt vier bytes in den page cache schreiben, also in dem rennbereich wo der kernel aus über datan cached und indem er dann zum beispiel ne set u ad binary also zu zum beispiel im pagecash manipuliert wird bei der nächsten beim nächsten aufruf.

01:01:13: Der eigene code ausgeführt und zack bist du rot.

01:01:15: also der das ist keine racekondition oder so sondern das schlicht einfach.

01:01:21: ja

01:01:22: umgehungstrick

01:01:23: ja einfach scheiße.

01:01:25: ein 720-Zeilen-Python-Script reicht aus.

01:01:29: Genau.

01:01:30: Ich habe irgendwie 732 Bytes gelesen oder so.

01:01:32: was hab ich noch als Titel irgendwo gelesen?

01:01:35: Ja genau, also Dirty Frag kam dann — das sind CVE-2026-43284 und CVE-2026-43500.

01:01:47: die kamen dann am siebten Mai Und es ist ungefähr eine Woche danach.

01:01:52: Was da ein bisschen hässlich war: das Embargo wurde, eine Woche nach CopyFail,

01:01:57: War das Embargo?

01:01:59: Wurde eben durch Dritte gebrochen bevor Patches rauskam.

01:02:02: Also Proof of Concept Exploit war halt vor den Vendor Patches heraus.

01:02:07: Ja, das ist schon kacke!

01:02:08: Das ist Kacke.

01:02:10: und in dem Fall waren es dann auch zwei Schwachstellen also eine Verkettung von zwei Exploits einmal in IPsec ESP und einmal RPC.

01:02:22: Wenn das kombiniert wurde, dann konnte man eben entsprechend auch pagecash also write primitive auf dem pagecache erhalten.

01:02:34: Interessant: Dirty Frag funktioniert natürlich auch auf Systemen, wo eine Mitigation gegen CopyFail schon angewendet wurde.

01:02:48: Mitigation bei CopyFail war eben: das Modul af_alg deaktivieren.

01:02:57: Konnte man einfach in der modprobe die entsprechend dann ein entsprechendes Config-File erstellen.

01:03:02: Problem dabei: Linux SSH und TLS können davon beeinträchtigt sein.

01:03:09: Die Mitigation war dann Dirty Frag ähnlich: halt ESP-4, ESP-6, RPC-Module deaktivieren.

01:03:17: Damit habe ich mir dann im Zweifelsfall natürlich auch IPsec VPN Funktionalitäten abgeknipst.

01:03:24: Und ja, Fragnesia — auch wieder ähnlich — ist eine Variante von Dirty Frag im ESP-in-TCP-Subsystem.

01:03:37: da gibt es dann auch ein Ein Red Hat Advisory von.

01:03:42: das haben wir verlinkt.

01:03:46: Interessanterweise gibt es ein paar Distributionen, die das betroffene Modul gar nicht mitliefern.

01:03:50: Ich habe gesehen: Amazon Linux und Bottlerocket liefern das betroffene Modul gar nicht mit.

01:03:55: also da scheinen dann auch nicht alle Systeme betroffen zu sein.

01:03:58: Aber ja — ordentlicher Blast Radius.

01:04:02: Jetzt, du hattest eingangs gesagt, im Copy-Fail kam so Ende April Anfang Mai dann Dirty Frack.

01:04:10: Ich glaube Patches für Copy-fail kamen vor zwei Wochen oder so ne?

01:04:16: Also das üblicherweise die Kernel Updates kamen auch erst vor zwei wochen, ne?

01:04:21: Ja genau, es hat alles ein bisschen gedauert.

01:04:25: Ja gut, Dirty Frag ist ja da brauchst du keine Kernelupdates für aber...ja oder?

01:04:34: Ich glaube, separate Kernel-Patches gibt es dann nicht.

01:04:37: Das weiß ich nämlich nicht, also ich weiß nicht ob es da überhaupt schon Patches für gibt.

01:04:42: Das habe ich mir nicht mitbekommen.

01:04:43: Ich hab's über Copy-Fell mit bekommen aber nicht für...

01:04:46: Ja das ist halt schon interessant ne?

01:04:47: Weil das sind drei Lücken die alle ungefähr in der gleichen Fehlerklasse gehören.

01:04:53: Und Hyunwoo Kim — also der hat CopyFail

01:04:57: Das war der Typ, der halt Dirty Frag — sag ich mal — ausgeheckt, also gefunden hat.

01:05:03: Der hat halt Copy-fail als Inspiration genommen und dann wie man das so macht, so nach ähnlichen Lücken gesucht... Und das zeigt eigentlich naja wenn ein Bug nach einem bestimmten Muster funktioniert,

01:05:17: Dann sollten Hersteller halt auch mal gucken links und rechts ist da vielleicht noch was möglich.

01:05:24: Da kommen natürlich auch so was wie Claude Mythos oder sowas ins Spiel, weil ich glaube wenn... Ich meine das ist ja jetzt doch sehr geschlossen.

01:05:31: Es ist halt nur bestimmte Unternehmen zugänglich.

01:05:33: aber ich glaube, wenn das mal durchschlägt dann haben wir noch ganz andere Probleme.

01:05:38: Insbesondere wenn dann das Responsible Disclosure halt

01:05:40: nicht funktioniert.

01:05:41: Ja ganz genau!

01:05:42: Das ist eine miesige Geschichte ne?

01:05:47: Und ja, da muss man halt mal gucken.

01:05:49: Da ist jeder jetzt auch angehalten, so durch seine Infrastruktur durchzugucken und entsprechend mal zu patchen.

01:05:55: weil ganz ehrlich, da habt ihr hier noch zu tun?

01:05:58: Ich habe... Da kürzte ich mit jemandem anders auf ein paar Lieblingsmaschinen geguckt in einem ganz anderen Kontext vorgestern oder so war ein anderer Dienstleister Ich sag ihn so mit SSH und Lock and Root.

01:06:16: Und ich so, hab mal nichts gesagt erstmal.

01:06:21: Und er sagt auch guck mal hier existieren.

01:06:24: aber was habe ich denn hier?

01:06:25: Ja du weißt ja standardmäßig ist das aus ne?

01:06:28: Ja ja nee ich mach mir es immer an.

01:06:30: Sag nix, sag nix!

01:06:34: Und dann Finger von alleine anzuerzählen.

01:06:36: Ja mein Chef hat auch gesagt die Sommer hier die ... die Zwarhundert Linux-Kisten, die wir da irgendwie haben.

01:06:42: Die müsste ich jetzt ja auch mal patchen wegen Copy-Fail.

01:06:44: aber ich habe gesagt, da brauchen wir gar nicht weil wir keine unprivilegierten News, sondern wir haben nur den Roots.

01:06:50: Geil!

01:06:55: Ich bin da kein...

01:06:56: ich

01:06:56: bin wirklich... ich kann wirklich nicht viel mit Linux aussehen ist es.

01:07:01: Aber nein.

01:07:04: Da wusste ich nicht so genau wie ich der reagieren soll.

01:07:07: Ich hab mich gemütet und aus dem Fenster geschaut.

01:07:14: Ja, das ist wahrscheinlich auch die einzige sinnvolle Maßnahme dabei.

01:07:21: Eigentlich ja... Nein!

01:07:23: Das ist tatsächlich in meinen Augen absolut daneben.

01:07:28: Es gibt Gründe warum Root-Login per SSH, per Default abgeschaltet ist.

01:07:34: Es gibt viele gute Gründe warum der Root-Account per se vielleicht deaktiviert sein sollte ja?

01:07:39: Wir haben Sachen wie Sudo, wir haben Sachen die du hättest oder so.

01:07:43: Ey Leute es muss

01:07:45: nicht

01:07:46: sein!

01:07:46: Na, ich meine: wenn man gerade anfängt und sich zum ersten Mal an Linux herantastet, dann weiß man das alles nicht.

01:07:54: Da muss man erstmal ein bisschen was drüber lernen und ein bisschen etwas sehen.

01:07:58: Das war bei dem Kollegen aber nicht nicht der Fall.

01:08:00: Ja, das sind die gleichen Leute, die dann auch so was wie S.E.

01:08:03: Linux abschalten?

01:08:06: Das ist mein favorite Pet-Peef!

01:08:08: S.e Linux... Nein, ich hab doch ... Nee, die letzten paar Jahre habe ich SELinux immer geschafft anzulassen.

01:08:18: Sehr gut, sehr gut.

01:08:18: Soweit auch der Tour de France und so weiter kann man...

01:08:20: Na ja, das ... Ich bin halt immer noch fasziniert.

01:08:22: also wir hatten ja schon vor, keine Ahnung, ja, dreißig Jahren hatten wir ja oder, da heißt er mal so, fünfzehn Jahren.

01:08:28: Wir hatten halt AirBug auf Unix So richtig

01:08:30: erbackt und ja.

01:08:33: Da fragt man sich schon, warum es das nicht heute auch noch gibt.

01:08:36: Was

01:08:36: ist eigentlich mit Clear Pass?

01:08:40: Ist nicht betroffen.

01:08:40: Ist nicht getroffen!

01:08:41: Nein, Clear Pass ist nicht betroffene.

01:08:43: Also Aruba hat ClearPass geclearet — was noch in Klärung ist: Aruba Instant Access Points, also IAPs. Auf Instant On habe ich ehrlichgesagt nicht geachtet.

01:08:54: Ja.

01:08:55: aber du kannst ja davon ausgehen dass alles wo irgendwo Linux drauf ist Betroffenes oder vieles halt ne Und das ist ja tatsächlich relativ viel Netzwerk-Equipment.

01:09:02: Also wir wissen auch hier die Alcatel Stellar Access Points, auch ein Linux drauf ne?

01:09:07: Die werden natürlich auch betroffen sein.

01:09:09: Also da müsste man jetzt tatsächlich mal bei den Herstellern eurer Wahl einfach mal die entsprechenden Security-Portale im Auge behalten,, die entsprechende Sicherheitsmeldungen mal abonnieren um zu gucken was dann Updates kommt.

01:09:20: und Ja es ist eine Local Privilege Escalation und trotzdem gehört das gepatched Punkt.

01:09:25: Da gibt's ehrlich gesagt keinen Kein Grund, das nicht zu tun.

01:09:29: Ich hab meine Kisten so weit es geht alle schon.

01:09:32: Schon hier patcht und ja aber gut da habe ich

01:09:36: auch.

01:09:37: Du hast ja selber ein paar Kundengüsten.

01:09:39: haben wir auch

01:09:40: gepatched?

01:09:41: Nee, dass eigentlich haben wir da alles durchgepatchet.

01:09:45: Ja ja, Kundenkisten haben wir also

01:09:47: auch gepatcht.

01:09:47: Ist ja schön, dass du deine privaten Kisten patchst!

01:09:50: Wir haben — falls ihr unsere Kunden seid und zuhört — eure auch gepatcht.

01:09:53: Genau.

01:09:54: Also zumindest für die bei meiner Service machen... An den anderen gehen wir nur vorbei, da gucken wir und sagen...

01:10:02: Da hast du aber ein Problem.

01:10:03: Da müsste man auch mal in der Patch installieren.

01:10:07: Genau.

01:10:08: Aber kann man nicht so einen Augenblick?

01:10:09: Ja.

01:10:10: Oh, so sad!

01:10:12: So sad!

01:10:12: Was

01:10:12: muss ich denn machen um in der patch zu installieren, wenn ich Service buche?

01:10:18: Kannst mal nicht.

01:10:18: Bring mal ein paar Kekse mit, genau.

01:10:21: Ich kann's ja Münzen einwerfen.

01:10:23: Genau, Münzen einwerfen oder Kohlrabi mitbringen.

01:10:25: bei guten Freunden noch

01:10:26: Kohler kracher

01:10:28: Aber du wär gut.

01:10:29: Jetzt hab ich Lust auf Kohlrabi,

01:10:31: verdammt!

01:10:32: Ja das ist eine sehr gute Idee.

01:10:33: bei so viel Scheiße in den letzten vier Wochen brauchen wir gar keine Aufreger der Woche?

01:10:37: Nö, aufgeregt haben wir uns wieder,

01:10:40: jetzt geht's mal hoch.

01:10:42: Ich sag dir, Claudia: das hier ist kein Happy-Podcast mehr, ne?

01:10:45: Dann musst du dran ändern.

01:10:47: Das ist ein tiefes Tal der Tränen.

01:10:50: Wir haben trotzdem noch Spaß an der Sache.

01:10:52: Genau, wir kommen wieder.

01:10:53: Willkommen wieder.

01:10:53: Keine Frage!

01:10:54: Bewertet uns schön bei iTunes und auf dem Plattform eurer Wahl, ne?

01:10:57: Wir brauchen noch ein paar Fünf-Sterne-Bewertungen.

01:10:59: Wer keine fünf Sterne geben will soll gar nicht bewerten mir eine E-Mail schreiben warum er keine fünf Sternen geben will... Also Feedback

01:11:05: nennt man das.

01:11:06: Ja.

01:11:08: Genau.

01:11:08: Und wer Sticker haben möchte der kann mal in die Shownots gucken ganz runter scrollen.

01:11:12: Da steht eine Adresse — da könnt ihr einen an euch adressierten frankierten Rückumschlag hinschicken und dann schicken wir euch Sticker.

01:11:16: Das machen wir.

01:11:17: Genau.

01:11:17: Und wer nicht genug von uns hat, der kann auch nochmal den Technik-Podcast „Der Faxinformatiker" hören.

01:11:23: Hint, hint!

01:11:23: Da gibt's noch eine Folge, die veröffentlicht werden sollte.

01:11:29: Genau.

01:11:30: Und dann hören wir uns in Bälde wieder.

01:11:34: In Bälde, genau.

01:11:35: Und sagen jetzt, wir kündigen es nicht an.

01:11:38: Aber bald.

01:11:39: Bald.

01:11:40: Wir kommen wieder keine Frage.

01:11:41: Bis dahin.

01:11:42: Tschüss.

01:11:42: Machs gut.

01:11:43: Tschüß.