00:00:05: Bitte korrigieren wir das ganz schnell.

00:00:08: Ich wage es noch mal

00:00:09: ganz schnell!

00:00:10: Ich muss hier arbeiten, ich kann es mir nicht leisten, ständig auf Lohn an Scheiß zu warten, den die Pläne auf ihre Reihe

00:00:18: kriegt!".

00:00:26: Hallo und herzlich willkommen.

00:00:27: Folge Achtzig vom Wartungsfenster vom Zwei-Zwünsten-Fiften-Zwei-Tausend-Sächsen-Szwanzig mit mir dabei

00:00:33: Die Claudia

00:00:34: Und ich bin der Patrick.

00:00:35: Glückauf hallo

00:00:36: Hallo zusammen

00:00:38: So da sind wir wieder.

00:00:39: Wir haben ja versprochen dass wir wieder da sind Einfach sprechen, was wir auch halten müssen.

00:00:44: Genau!

00:00:45: Wir wurden übrigens vom Wolfgang von dem Engineering Kiosk lobend erwähnt, dass wir nach einem Jahr Pause wieder weitergemacht haben.

00:00:52: Ja, aber wir haben ein Waldchen gebraucht... Aber

00:00:55: ne?

00:00:56: Also wir haben es gemacht.

00:00:57: Genau.

00:00:58: Mama didn't raise no cuter,

00:00:59: ne?

00:00:59: Es gab auch keinen Punkt wo wir gesagt haben, boah nee, lass mal nicht weitermachen.

00:01:04: Wir wollten eigentlich immer die ganze Zeit, aber manchmal ist das Leben halt wirklich...

00:01:07: Wir sind hier umzuliefern Genau.

00:01:10: Ja, etwas mehr in den Händen nicht ganz vier Wochen seit der letzten Aufnahme und ja was soll ich sagen?

00:01:16: Irgendwie alles fackelt, alles brennt.

00:01:17: Ach

00:01:18: überall!

00:01:18: Überall.

00:01:19: Ganz schlimm.

00:01:20: Gerade hier heute aktuell.

00:01:23: Heute gestern...

00:01:25: Tatsächlich noch ein bisschen eher.

00:01:27: Es ist jetzt nicht wieder irgendwo ein Wahl gestrandet aber so was ähnliches halt.

00:01:34: Wobei, das wäre ja mal lustig wenn irgendwelche Boomer dazu mal KI Musik machen würden.

00:01:42: Ja?

00:01:42: Dass irgendwelchen Finanzdienst da ist, da Hops genommen werden.

00:01:48: Hey du kannst ja mal versuchen.

00:01:49: Fütter doch mal die KI, guck mal was rauskommt.

00:01:53: Ich mach das!

00:01:55: Vielleicht muss ich ja nicht mehr arbeiten

00:01:57: gehen.

00:01:57: Dann spielst du nächstes Mal vor hier, ja?

00:01:59: Ja, ich mach das.

00:01:59: Ich mach das!

00:02:00: Ja, kommen wir direkt mal zum ersten Thema, ne?

00:02:03: Was ist passiert heute Morgen, also... naja eigentlich meine Tochter lässt sich immer vom Radio wecken aber immer so laut dass ich das halt auch dann höre.

00:02:16: Und es waren dann die Nachrichten heute morgen und es ging die Meldung rum, dass die Uniklinik Kölnopfer oder ein Dienstleister der Uni-Klinik Kölnen, Opfer eines Cyberangriffs geworden ist.

00:02:31: Jetzt kann ja ein Dienstleister für den Krankenhaus erstmal alles Mögliche sein?

00:02:36: Korrekt!

00:02:37: Weil da werden ja durchaus viele Sachen ausgelagert.

00:02:39: Interessant wurde es dann aber als es dann hieß das hat dann ja Patientendaten und Patientenkommunikationen weggekommen ist Zumindest in den WDR.

00:02:50: zwei Nachrichten von heute Morgen war halt erst mal nur die Rede von der Uni Klinik Köln, aber naja bei der Recherche für das Thema fiel dann direkt auf.

00:02:58: Das waren jetzt nicht nur die Uni Klinge Kölne sondern tatsächlich mehrere Uni Klingen und du hast es ja gerade schon gesagt ne?

00:03:09: Die lagern gerne mal Verwaltungsaufgaben aus, an externe Dienstleister und das ist eben auch dann die Abrechnung von Privat- und Wahlerztlichen Leistungen.

00:03:19: Wir machen übrigens normale Hausärzte, Zahnärzte jetzt hier drauf?

00:03:25: Ja ganz häufig.

00:03:26: Genau,

00:03:27: typischerweise sieht man das halt nicht weil man als Kassenpatient eigentlich nie Rechnungen bekommt außer bei Wahlleistungen.

00:03:34: Ja gut doch von Zahnerzten kriegt man schon mal aber das ist da meistens auch über so ein Dienstlecher.

00:03:39: Das ist klar.

00:04:08: War auch Diagnose?

00:04:13: Ja,

00:04:13: wobei... Zumindest wird es ja Behandlungsverläufe werden ersichtlich sein weil da muss drin stehen was da abgerechnet wird.

00:04:21: Also typischerweise so Daten die halt gebraucht werden.

00:04:24: Also sagen wir mal einfach empfindliche Daten

00:04:28: von Menschen.

00:04:28: Genau keine Daten, die wir zum Beispiel in den Litfastolle nageln würden.

00:04:34: Und genau das, dass solche Sachen halt von Dienstleistern verarbeitet werden.

00:04:39: Das ist eben dann am vierzehnten April ... ... zwanzig.

00:04:42: Also tatsächlich schon eigentlich ein Monatär über Monatäer ... ... ist im saarländischen Abrechnungsdienstleister Unimet zum Problem geworden, denn diese wurden Opfer eines Cyberangriffs und damit auch mindestens diverse Unikliniken.

00:05:00: Was ist passiert?

00:05:01: Ja, April vierzehnte Kriminelle greifen eben auf Systeme von Uni mit zu und laut.

00:05:10: also badische Zeitung hatte dann gemeldet unter anderem wohl auch die Berliner Charité.

00:05:16: Und der Angriff muss man ganz klar sagen das war halt gegen diesen Zahlungsdienstleister nicht gegen die Kliniken selber.

00:05:25: Das heißt klinische Systeme Labor-Infektsysteme Krankenhaus- und Informationssysteme Packs und so weiter waren da jetzt nicht von betroffen.

00:05:34: Und also um den XXI, XXII haben dann halt auch mehrere Unikliniken die Öffentlichkeit informiert nachdem sie halt erst vor am achtzenden Mai, also quasi über einen Monat nach dem eignischen Angriff von Unimete belastbare Angaben zum Ausmaß bekommen haben.

00:05:52: Okay.

00:05:54: Ja gut!

00:05:54: Das bedarf natürlich immer da einer gewissen Auswertung, mal zu sehen.

00:05:58: Da gab es einen Angriff aber zu sehen was wurde da... Was ist da abgeflossen?

00:06:01: Das dauert wahrscheinlich schon mal in der Reise.

00:06:03: Das

00:06:03: ist total interessant!

00:06:05: Also wir haben hier mal ein paar Zahlen.

00:06:07: also stand Zweiundzwanzigfünfter bei der Uniklinik Köln.

00:06:10: das war auch eine Zahl die heute morgen im WDR zwei zu hören war ca.

00:06:14: Dreißigtausend Betroffene.

00:06:16: und von diesen dreißig tausenden Betroffenen sind bei sieben zwanzigtaussend zweieinhalb achtundneunzig Allgemeine Daten halt abhandengekommen.

00:06:24: Name, Adresse, behandelnde Arzt, Rechnungsnummer ... Bei eighthundertdreienvierzig Personen sind zu dem Gesundheitsdaten abhandgekommen also Inhalte aus Patientenkommunikation mit dem Abrechnungsdienstleister und bei fünf Personen tatsächlich Finanzdaten wie E-Bahn oder Kontenummer.

00:06:42: Ah okay.

00:06:44: Ich fand mich interessant dass sie das so detailliert raus ...

00:06:47: Also so detaliert.

00:06:48: konnten die das benennen?

00:06:49: Ja zumindest

00:06:49: für die Uniklinik Köln Also Uniklinik Freiburg, fifty-fünfzigtausend Betroffene.

00:06:57: Da auch tendenziell eher Stammdaten in neunhundert Fällen Rechnungs und Diagnose Daten.

00:07:03: Uniklienektübingen, fünftausende Betroffe.

00:07:05: Ja.

00:07:06: Interessant da, tausend zweihundert mit Gesundheitsdaten aber dreitausend achthundert Mitfinanzdaten wobei man jetzt auch wieder nicht sagen kann okay was sind Finanzdaten?

00:07:14: Sind das wirklich E-Bahnkontonomer oder sowas halt?

00:07:18: Das müsste dann wieder E-Bahn-Konto-Nummer sein.

00:07:22: Uniklinik Heidelberg Mannheim, elftausend Betroffene.

00:07:25: Auch da wieder Stammdaten bei ca.

00:07:26: zwei tausend siebenhundert Rechnungsdaten.

00:07:29: Uniclinik Hul, tausendsächs hundert davon halt dreihundert mit rechnungsrelevanten Daten.

00:07:35: Universitätsklinikum des Saarlandes in Homburg, tauseinzwanzigzechzig.

00:07:41: Also da nur vierhundert mit Diagnose und Behandlungs-Infos.

00:07:46: Was ich total witzig finde, ich habe eine Uniklinik... also der Charité hatten wir weiter oben schon mal, das hat die badische Zeitung berichtet dass die Charité betroffen war.

00:07:54: aber ich ganz persönlich vermisse einen Uniklink in dieser Aufzählung.

00:07:59: Und zwar die Uniklitik Mainz.

00:08:00: Warum?

00:08:01: Weil ich selber mehrfach von der Uniklink Mainz, da ist meine meiner Töchter mal behandelt worden von der Uniklinik meines Rechnungen bekommen habe, die über Uni-Met gelaufen sind.

00:08:15: Oder vielleicht war es nicht betroffen?

00:08:18: Vielleicht ... Man weiß ja nicht so genau, welche Daten da weggekommen sind.

00:08:24: oder ist ein bestimmter Zeitraum, vielleicht ist ein Archiv weggekommen oder vielleicht sind das Dinge, die schon ...

00:08:29: Ja, genau, da ist die Frage,

00:08:30: woher

00:08:31: kommen die Daten?

00:08:32: So genau wird man das auch nicht rauskriegen, aber wenn mitgerechnet hat wir reden hier von offiziell Bekannten ungefähr hunderttausend.

00:08:38: Datensätze.

00:08:38: Überlich

00:08:39: noch mehr tausend, ne?

00:08:40: Also das finde ich schon total spannend!

00:08:42: Die Betroffenenkliniken haben die Datenübermittlungen auch eingestellt an die Uni-Met... Ich meine so weit natürlich

00:08:46: logisch.

00:08:47: Datenschutzbehörden BSI sind auch nicht informiert.

00:08:50: Das übliche Strafanzeigenstaatsamwaltschaft la la la So.

00:08:52: und jetzt kommt das Spannende.

00:08:53: und da bin ich dann auch mal persönlich gespannt weil ich habe ja auch mal Rechnung für Uni-Med bekommen.

00:08:59: also betroffene Patienten werden individuell mit Brief oder per Brief informiert.

00:09:03: Wer kein Brief erhält ist nicht betroffen.

00:09:07: Also bin ich mal gespannt, vielleicht kriege ich auch noch ein Briefchen.

00:09:10: Mal gucken!

00:09:10: Frage ist, wie lange so was dauert?

00:09:12: Weil hundertausend da sitzen...

00:09:14: Ja gut das muss ja schon irgendwie zeitnah passieren, die können jetzt sagen drei Monate oder so.

00:09:18: Der Uni-Med selber hat auf Medienanfragen bisher nicht reagiert.

00:09:23: Eine Veröffentlichung der Daten

00:09:24: ist aus Experten

00:09:28: wohl nicht geplauder ist nicht wahrscheinlich.

00:09:34: Was natürlich?

00:09:36: Das ist jetzt so ein bisschen die Einordnung, wobei das eine Disclaimer-Leute.

00:09:40: Da ist jetzt hier die Einordnung von interessierten Laien.

00:09:46: Es ist ja auch wieder so ein klassisches Supply Chain Angriffsszenario und ich meine wir haben ja auch Kunden im hellsten Umfeld.

00:09:55: und klar Abrechnungsdienstleister sind die einen was wir natürlich ganz häufig sehen Labordienstleisters.

00:10:02: Also nicht.

00:10:02: jedes Krankenhaus hält sich ja noch den Luxus von einem eigenen Labor.

00:10:07: Manchmal ist es ja so, dass Labordienstleister dann halt Labore in den entsprechenden Häusern betreiben.

00:10:12: Ja ganz reifig!

00:10:15: Also auch Labordienzleister könnten natürlich auch ein lohnenswertes Ziel sein.

00:10:22: Weil ich mich nicht erinnere, haben wir das gehabt?

00:10:26: Was?

00:10:26: Also gab es da bekannte Fälle von Labordiensleistern?

00:10:29: Bekannte

00:10:30: fälle wüsste ich jetzt kein...

00:10:32: Ja, deswegen ...

00:10:33: Nee, nee.

00:10:34: Aber es ist halt ... Klar natürlich du hast in so Krankenhäusern oder generell so ein ... im Unternehmens- oder aus dem Gesundheitsbereich hast du dich ganz viel, ne?

00:10:43: Weil ganz ehrlich, kaum einer von denen betreibt seine Küche noch selber.

00:10:47: Kaum einer von den betreibt so Reinigungstätigkeiten noch selber, Wäscherei und sowas.

00:10:53: Das macht ja keiner mehr selber.

00:10:54: Da ist ja alles aus Galagandinsleister.

00:10:56: Wobei das wahrscheinlich unkritisch ist, weil ich glaube keine Sau interessiert sich dafür, welches der drei Minüs du jetzt bestellt hast.

00:11:03: Aber Labor ist halt schon auch wieder interessant,

00:11:06: ne?!

00:11:06: Weil Labor sind natürlich auch wieder Gesundheitsdaten...

00:11:08: Ja genau!

00:11:09: Aber es sind ja gut, was heißt interessant für einen Angreifer?

00:11:13: Ist das etwas Erpressbares oder Blutzocker ist aber nicht hier.

00:11:18: Genau, da kriegst du dann irgendwann besorgte Anrufe von irgendwelchen osteuropäischen Leuten.

00:11:23: Ja also wir haben hier mal übelere Sachen... Also das sieht ja ganz schlecht aus!

00:11:27: Ganz schlimm, ganz schlimm.

00:11:28: müssen ich jetzt mal ihr Ehrbe regeln.

00:11:34: Verstehst was ich meine ne?

00:11:35: Also inwieweit würdest Du sagen sind Labor Daten ein lohnenswertes Ziel für selber

00:11:42: anrufen?

00:11:42: nicht aber klar so adressdaten gerade in kombination mit finanzdaten das ist natürlich perfekt für fishing.

00:11:51: Ja auch schockern rufe der dieses hier.

00:11:53: ne ich hatte einen autohunfall mutter du musst mir geld überweisen

00:11:57: genau weil.

00:11:58: deine mutter kennt dich ja auch nicht einer stimme am telefon.

00:12:04: Ich denke schon, Also, hoffe ich.

00:12:07: Ich hab das noch nie ausprobiert.

00:12:09: Aber gut ... Da muss man natürlich mal gucken, was jetzt dabei rauskommt.

00:12:14: Ob diese Daten irgendwo wieder auftauchen?

00:12:19: Problematisch dabei, ne?

00:12:21: Es war ungefähr ... sind fünf Wochen vergangen zwischen Angriff und Informationen an die Öffentlichkeit.

00:12:30: Unimit brauchte halt auch echt fünf Wochen, um dann irgendwie so herauszupopeln, was da an Datenabhand gekommen ist.

00:12:38: Weil die DSGVO, sie sieht ja bei solchen Datenpangen grundsätzlich eine Meldepflicht innerhalb von seventy Stunden.

00:12:43: Ja das ist aber... Leine

00:12:44: unverzügliche Informationen der Betroffene an, ne?

00:12:46: Ja, wo?

00:12:47: du sagst es eben, dass da Worten hat ja einen Monat gedauert circa bis die Unimete informiert hat und da hatte ich ja noch gesagt, ja gut so lange kann das ja forensisch, aber nur nochmal klargestellt, die haben gar nicht informiert.

00:13:00: Korrekt!

00:13:01: Die haben nicht nur nicht zu dem Zeitpunkt am Anfang schon sagen können, wie viel abgeflossen ist.

00:13:07: Sie haben gar nicht informiert.

00:13:09: Dann nehme ich alles zurück was ich gesagt habe.

00:13:10: das darf eigentlich nicht sein.

00:13:12: Also theoretisch DSG VOR Verstoß ja und Gesundheitswesen bleibt halt weiterhin ein ganz ganz ganz attraktives Ziel für Cyber Angriffe kann man halt nur die ganzen Unternehmen der Gesundheitsbranche anregen animieren da auf ihrer Cybersack

00:13:33: Auf jeden Fall.

00:13:34: Ich meine, Patienten-Daten sind das eine.

00:13:36: Aber ja, man muss halt Ausfälle um jedem Preis vermeiden.

00:13:41: Das heißt, im Krankenhaus ist leichter erpressbar als so manches Unternehmen.

00:13:49: Ja, sind halt auch besonders sensible Daten.

00:13:51: Die da wegkommen.

00:13:52: Das Problem ist viele Prozesse im Krankenhaus in IT getrieben.

00:13:55: und wenn dann da wirklich mal irgendwie Shutdown ist wegen Cybervorfall ... Das meint ich.

00:13:58: Dann kannst du das Krankenhaus direkt abmeldet?

00:14:00: Das meinte ich ja.

00:14:01: D.h.,

00:14:01: wir dürfen jetzt hier bitte ein paar Bitcoins ein.

00:14:04: Genau!

00:14:05: Die Masche.

00:14:07: So kommt es für immer darauf an.

00:14:08: also... Wenn man so den Gesundheitspacken glauben darf haben wir ja eh viel so viele Krankenkäuser.

00:14:14: Das ist in Köln halt schon immer... Also ich weiß nicht, Kölne ist natürlich sehr groß.

00:14:17: Wir haben auch sehr viele Krankenhäuser.

00:14:19: Wenn ich jetzt mal so in mein ländlichen Bereich gucke, da haben wir nicht mehr ganz so viele Krankenhauser und wenn ich mir vorstelle dass dann halt so ein Klinikumächer nicht oder sowas mal sagt, ne?

00:14:26: Heute nicht mehr!

00:14:27: Und auch morgen nicht mehr und übermorgen auch nicht.

00:14:30: Aber das wäre schon ziemlich ins Desaster.

00:14:32: Weil du hast im Kreis halt nichts mehr.

00:14:34: Das sind allgemeine kliniken Anführungsstriche.

00:14:36: Es gibt ja spezialisierte Kliniken.

00:14:37: davon gibt es definitiv nicht genug in Deutschland.

00:14:40: also wer auch immer behauptet es gibt zu viele Klinik in Deutschland der Den möchte ich gern mal treffen.

00:14:46: Besitzig!

00:14:52: Das bleibt doch ganz spannend, wir werden das Thema beim nächsten Mal nochmal aufgreifen und gucken was Hitler in der Zwischenzeit getan hat... Ich werde berichten wenn ich einen Briefchen bekomme.

00:15:00: Ja.

00:15:02: Macht das?

00:15:03: Dann...

00:15:03: Thema wieder aufgreifend.

00:15:04: Genau, Thema wiederaufgreifen.

00:15:05: Wir müssen Boos zu tun.

00:15:06: Wir haben Fehler gemacht.

00:15:07: Ja genau.

00:15:08: Wenn man es haltschiss gesagt...

00:15:09: Wir haben zu Unrecht auf sich Tricks eingeschlagen.

00:15:12: Wir hatten uns vertan.

00:15:13: Total Leid.

00:15:15: Möglicherweise haben wir in der letzten Folge den Eindruck erweckt, Citrix sei das zweite Unternehmen gewesen gegen dass die CISPE eine EU-Wettbewerbsbeschwerde eingereicht hat.

00:15:29: Das war

00:15:30: falsch!

00:15:32: Asche

00:15:32: auf unser Haupt!

00:15:35: Ja, gut.

00:15:35: Passiert den besten.

00:15:36: Wir sprachen ja eigentlich über Broadcom.

00:15:39: Genau, über den einen Bulli und dann dachten wir natürlich

00:15:42: an... Aber der andere Bulli war dann eigentlich Markus Soft.

00:15:45: Richtig!

00:15:48: Die haben nämlich ... Wann haben sie offen auf dem Sack bekommen?

00:15:51: In zweiundzwanzig.

00:15:53: Und weswegen?

00:15:56: Wegen ihrer Lizenzpolitik.

00:15:57: Also die Kunden wurden faktisch in Richtung Asia ... gedrängelt.

00:16:05: Ach was?

00:16:05: Ja, ach!

00:16:07: Ist auch heute nicht mehr so, ne überhaupt nicht.

00:16:09: Nee, aber man hat sich ja geinigt, ne.

00:16:11: Also in den Falschig-Vierentzwanzig hat sich alles ein bisschen... Microsoft hat dann ... äh ... zwanzig Millionen Euro an dem Verband

00:16:18: gezahlt

00:16:19: und da sollte sogar, sogar Mitglied.

00:16:21: also ich finde das ist ja überhaupt keine Ohne.

00:16:23: Zwanzig Million

00:16:24: für eine Microsoft.

00:16:24: Das ist so

00:16:26: genau Kaffeekasse.

00:16:27: Rundungsfehler.

00:16:30: Genau, zwanzich Millionen an dem Verband.

00:16:32: Ja und vor allen Dingen Dass der Verband sich damit dann von der Backe schaffen.

00:16:36: Egal, egal.

00:16:38: Also ich meine sagen wir mal so es kommt ja ein bisschen da... Microsoft kann mir auch gerne zweizig Millionen geben, gar kein Problem.

00:16:44: Ich sehe dann auch davon ab weiter über die zu schimpfen.

00:16:50: Du musst auch zu härtere Mitteln greifen.

00:16:51: du musst anfangen sie winzig weich zu nennen oder so?

00:16:53: Winzig

00:16:54: weisch!

00:16:55: Nee so alt bin ich noch nicht Verwinnt sich weich bin ich noch nicht.

00:16:58: oder auch für microsoft mit dem dollarzeichen statt dem ester bin ich auch nicht alt genug.

00:17:03: Also egal wie schnell wir jetzt weitermachen, wir werden niemals zu boomern werden brauchst du keine sorgen machen das passiert so nicht.

00:17:10: Aber vielleicht greife ich meine idee mit den kiosongs nochmal auf.

00:17:14: Vielleicht gibt es dann einen kleinen distrack für gegenbrot kommen.

00:17:18: ja genau das läuft ja auch immer noch.

00:17:23: und

00:17:24: Ja, das ist gegen World Count.

00:17:25: Ja

00:17:25: genau, denk daran!

00:17:27: Don't be bullied.cisp.cloud.

00:17:31: Genau.

00:17:35: Gut jetzt haben wir den ersten... Unimet war eine ganz frische Nummer.

00:17:40: Jetzt haben wir Boose getan, dass wir hier Citrix zu Unrecht in die Ecke an den Pranger gestellt haben.

00:17:50: Ja was ist denn in den letzten vier Wochen noch in Arsch gegangen?

00:17:53: Das Internet in Deutschland.

00:17:54: Ach alles!

00:17:55: Wir haben doch gesagt es hat alles gebrannt das Internet in Deutschland.

00:17:58: Was hast du dann nicht

00:17:59: mitbekommen?!

00:18:02: Als ich gelesen habe, habe ich gefragt warum hab' ich jetzt eigentlich nicht mitbekommen.

00:18:04: Okay, du hast das auch nicht mitbekommen?

00:18:07: Ich hab's auch noch

00:18:08: nicht mit bekommen.

00:18:09: Ja vielleicht... Beziehungsweise

00:18:11: ist

00:18:11: es ja auch nicht TikTok.de, ne?

00:18:16: Genau!

00:18:16: Nur wenn TikTok sich geht dann sagen wir, dass Internet ist kaputt.

00:18:19: Was macht man denn abends um ein, zwanzig Uhr irgendwas?

00:18:21: ich bitte

00:18:21: dich.

00:18:22: Aber pass auf, das könnte jetzt bei uns schon so sein wie bei den Boomans die sagen, wenn Facebook nicht geht, dass das Internet kaputt ist.

00:18:28: ihr guckt mich nicht so an.

00:18:31: Du hast gesagt, dass das Internet kaputt ist.

00:18:32: Ich hab nicht gesagt, es ist Internet kaput.

00:18:35: Ja,

00:18:36: ja.

00:18:36: Wir sollten erklären.

00:18:37: Dann erklär mal was eigentlich ... Was ist denn der Internet?

00:18:40: Wir haben ja wieder zwei Dinge gehabt.

00:18:44: Letztes Mal haben wir noch berichtet von den Detrust-Vorfällen und etwas sehr Ähnliches hat kurz danach die Suissein eralt.

00:18:55: Ach nein!

00:18:57: Also eine andere große ... Hände ich

00:18:59: mal auf die Schweißverlass.

00:19:00: Nee, ähm... Und ja das andere war ein DNS-Sek Ausfall bei der Dienung ne?

00:19:12: Aber aber also DNS-Sec, reites den Security und Signaturen und dann wieder eine Zertifikate, diese Scheiße mit den Zertifikaten, die macht das Internet kaputt.

00:19:25: Ah, da haben wir nicht einfach überall Zertfikate.

00:19:26: Vierzialaufzeit!

00:19:28: Ach, einfach unendlich.

00:19:29: Unendlich?

00:19:30: Genau.

00:19:32: Ich weiß gar nicht.

00:19:33: Warum eigentlich Zertifikate?

00:19:36: Das Internet ist doch mal mit dem Gedanken des gegenseitigen Vertrauens entstanden.

00:19:41: Protokolle wie SMTP, BGP... Man vertraut sich doch!

00:19:47: Wo ist das Vertrauen hier?

00:19:49: Ja, ja, ja.

00:19:51: Auch so Routen untereinander.

00:19:52: Doch, doch.

00:19:52: Eigentlich ist da schon noch ziemlich viel Vertrauen, nur halt nicht den Anwender gegenüber.

00:19:57: Denne sollte man eh nicht vertrauen.

00:20:00: Die tippen überall drauf.

00:20:01: Aber so, jetzt Back on Topic ...

00:20:04: Was

00:20:04: ist bei der Swissside abgebrannt?

00:20:06: Wo haben die Schweizer nicht schnell genug reagiert?

00:20:11: Wir haben das sehr ausführlich mal über die Detrust erzählt und dass dort ein formeller Fehler bei dem erstellen bestimmte Zertifikate

00:20:21: aufgetreten

00:20:22: war

00:20:23: oder im Prozess ... Sie hatten einen kleinen Prozessfloor.

00:20:26: Sagen wir es mal so!

00:20:28: Genau SwissSign hat hier einen Compliance-Bug im Bugzilla von Mozilla eröffnet.

00:20:37: Und zwar ging es da um das Feld Common Name für S-Map Zertifikate, weil das falsch in der eigenen ... In der eigenen ja CPR nennt sich das, nennen die das noch?

00:20:52: Also

00:20:52: Certificate Policy and Requirements nur für S MAP Zertifikatem.

00:20:55: Genau also sie haben Silber quasi ein Fehler in ihren eigenen Baselines gemeldet, als Backgemeldet.

00:21:03: Okay, Common Name ja gut da muss halt die E-Mail Adresse rein?

00:21:06: Was haben sie da reingeschrieben?

00:21:07: was eigentlich...

00:21:08: Ja SwissSign hat da den Vornamen Nachnamen reingeschrieben statt E-mail Adresse.

00:21:14: Das macht für einen S-Meinem Z-Figart

00:21:16: wenig Sinn.

00:21:17: Naja aber der Common Name ist ja auch so'n Ding.

00:21:21: ich meine so lang.

00:21:22: Ich meine, da hast du auch alternative Antragstellern namen.

00:21:24: Wenn dadurch die E-Mail Adresse drinsteht ist das doch für erst mal einem auch wieder okay.

00:21:28: Jetzt müssen wir doch mal kurz darüber reden.

00:21:30: was ist denn eigentlich?

00:21:31: warum ist in der Kommande so wichtig?

00:21:33: Ja, der Common Name ist ja heute eigentlich egal.

00:21:35: Weil die ganzen Browser eigentlich nur noch in das Saanfeld reingucken, ne?

00:21:37: Das ist auch etwas wo immer wieder Leute darüber stolpern, die ZFI-Karte oder CSRs erstellen und dann das Sa... also quasi den Common Name nicht doch mal in das Subject Alternative Namesfeld reinschreiben und sich dann wundern warum die ganzen modernen Browser sagen... Ne!

00:21:53: Ja, aber weißt du... Was mich daran wundert ist, warum hat denn die Welt sich so sehr daran gewöhnt das alles in den Subjectname reinzuschreiben und nicht direkt in den Sahnen?

00:22:03: Weil es stand doch immer schon so fest per RFC.

00:22:07: Also es war doch schon immer so dass das Wichtigere der der sahen war oder oder vertrue ich mich.

00:22:12: da war nur eine Anpassung.

00:22:14: Ich glaube das cap-forum hatte an dieser Stelle irgendwann mal nachgeschärft.

00:22:17: Ja, es wurde nicht enforced.

00:22:18: Aber ich glaube in der RFC könnte das sogar schon immer dringend, dann müsste

00:22:22: man nochmal nachgucken.

00:22:23: bevor wir jetzt wieder Bullshit erzählen und dafür gekämpft werden sagen wir jetzt lieber nichts.

00:22:28: aber gut sie haben da halt also ähnliches ne?

00:22:30: Sie haben auch wieder so ein Policy-Problem gehabt und hab Buse getan hieß natürlich auch wieder alle ausgestellten ZFI Karte... mussten halt zurückgerufen werden innerhalb von hundertzwanzig Stunden, ja da ja der ja da.

00:22:45: Wir hatten wieder einen Kunden, der davon betroffen war, der also für eine dreistätige Anzahl User Neues beim Z-Fickarte rausrotzen musste.

00:22:53: Das war schon ein bisschen... naja nicht ganz so geil!

00:22:56: So

00:22:58: das war Klops Eins Ja aber ich glaube der den, der ein bisschen schlimmer DNS Sack Fail der Dänik.

00:23:10: Nämlich am Abend des fünften Mai, so gegen einundzwanzigfünfzig, häuften sich Meldungen und das Fun Fact?

00:23:18: Das habe ich auf Reddit gesehen.

00:23:20: Ja da sind die Domains nicht erreichbar.

00:23:25: Und auch dann natürlich mit Domains verbundene Dienste.

00:23:33: Die Fehler usach mir.

00:23:33: jetzt kein Angriff, auch wenn das am Anfang halt durchaus kolportiert wurde.

00:23:37: Sondern da hat einfach jemand einen kleinen DNS-Sech-Flaw eingebaut und mich bei der DENIG selbst nämlich der SOA Eintracht.

00:23:47: also der Start of Authority für die DE Zone war ungültig signiert.

00:23:56: Ja,

00:23:56: oh

00:23:57: ja!

00:23:57: Das war so richtig meh ne?

00:24:01: Ganz kurz, wie das im Internet funktioniert.

00:24:03: Es gibt die Rootserver.

00:24:04: Die kennen dann halt die autoritiven Nameserver für Punkt DE zum Beispiel und die autoritativen Namserver für DE kennen dann wieder entsprechend die weiteren Nameserver z.B.

00:24:13: für Wattungsfenster.de oder sonst irgendwas.

00:24:18: Und naja man konnte das auch schön mit Dick nachvollziehen da gab es einen Signaturfehler ERSIC with Mal from Sick Nature Found.

00:24:31: Das eigentliche Problem war dann, dass Resolver die DNS-Sec validieren.

00:24:38: Dann gesagt haben Punkt der E ist nicht vertrauenswürdig und damit brannte dann alles.

00:24:44: Das heißt viele nutzen natürlich DNS-Resolver von Google also Quad-Aid, Cloudflare, Quad One.

00:24:51: Die waren betroffen.

00:24:53: Es gab auch ein paar provider eigene DNS-Resolver, die das Problem auch hatten.

00:24:58: Aber das ganze war dann auch Ich sag mal kurz nach Mitternacht schon wieder erledigt.

00:25:03: Also die D-Denik hatte das dann irgendwie kurz vor, dreiundzwanzig Uhr hatten sie es schon angeschlagen und gesagt ja wir haben da ein Problem.

00:25:14: Es gab halt auch einen Workaround.

00:25:15: also wenn du betroffen warst, dann konntest du halt einfach quasi einen nicht validierenden DNS Server eintragen und dann kannst du halt wieder surfen.

00:25:23: Das war nicht der Problem.

00:25:25: Ja okay.

00:25:27: War jetzt nicht für jeden machbar!

00:25:28: ... muss man ganz klar sagen.

00:25:29: Das ist klar!

00:25:31: Ich glaube, Quad-Nine war auch gar nicht betroffen.

00:25:32: Also wer Quad-Nein genutzt hat, der konnte wohl surfen... ... aber Quad-Aid, Quad One also der Cloudflare und der Google DNS die hatten da definitiv Probleme.

00:25:42: Hat halt einer irgendwie Bockmist gebaut.

00:25:44: Aschauv ihr Haupt?

00:25:45: Die Denik hatte oder hat angekündigt dass es dann eine Nachuntersuchung geben wird.

00:25:49: Da habe ich jetzt nicht mehr ganz verfolgt.

00:25:55: Ja, aber war ja auf schnell behoben.

00:25:58: Ja, ein paar Stunden war halt erst mal.

00:26:00: irgendwie brannte alles.

00:26:03: Nach näherem Nachdenken werde ich das wahrscheinlich auch deshalb nicht mitbekommen haben weil schon im Bett lag Aber

00:26:10: für Deutsche Zeitzone eine sehr glückliche Uhrzeit.

00:26:14: Das haben nicht viele nicht viel bekommen.

00:26:16: Du hast du viel auf punkt.de.

00:26:20: wenn ich mal so grob überlege über einen Tag verteilt DHL schon mal, wenn ein Paket kommt.

00:26:29: Habe ich eine DHL-App da?

00:26:30: Ich surfne nicht bei DHL.

00:26:31: Ja, aber

00:26:31: es wird ja auch mit DHLDE... Ja!

00:26:34: ...wird DHL auch arbeiten.

00:26:35: Aber ich sitze

00:26:35: hier nicht um ein zwanziofünfzig auf der Couch und öffne die DHL App, die

00:26:39: öffnet sich

00:26:39: nur, wenn da irgendwie ne rote Eins steht.

00:26:41: Ja aber

00:26:41: stell dir vor du würdest... Du müsstest noch mal im Zug irgendwo hinfahren, dann wären wahrscheinlich deutsche Bahnen.

00:26:46: Die waren glaube ich auch...

00:26:48: Die waren auch betroffen?

00:26:49: Klar.

00:26:49: Um einzwanzio fünfzig fahre ich nirgendwo mit der deutschen Bahn hin.

00:26:52: Nee, ich auch nicht, aber soll Leute geben.

00:26:54: Mein Beileid Ähm, ja.

00:26:59: Was können wir daraus lernen?

00:27:01: Ja gut, das war jetzt... Das, ja, wollte ich grad sagen irgendwie selbst gemacht, ne?

00:27:06: Genau!

00:27:06: War kein Angriff, war keinen ausgenutzter Back.

00:27:09: Ja, war einfach...

00:27:10: Ja und wenn man das mit Zwischzahlen weiß, ist auch streng genommen kein Ausfall.

00:27:14: Das war lästig aber kein Ausfalls, so.

00:27:18: Ja wobei ich das natürlich interessant finde.

00:27:21: Warum find' ich das interessant?

00:27:23: Natürlich der zeitliche zusammen der zeitlichen Zusammenfall mit.

00:27:29: Na, wer hat's?

00:27:31: Mit Detrust.

00:27:31: Ich kann jetzt nicht auf Detrust entschuldigen was natürlich dann auch da wieder gezeigt hat.

00:27:37: naja so Prozesse und Dokumentationen und Policies ja da guckst du halt.

00:27:43: Na ja, eigentlich gerade in dem Zusammenhang solltest du da eigentlich besser drüber gucken.

00:27:47: Aber zwei Fälle in so kurzer Zeit die das offen waren lassen mich vermuten, dass das auch andere möglicherweise nicht so gut im Griff haben oder der ein oder andere vielleicht drübergucken sollte?

00:27:59: Ich hätte ja noch angemerkt... Du sagst jetzt zwei ich würde sagen drei weil Detrus ist ja noch ein zweites Mal gekommen

00:28:07: Die hatten ja zwei Klöpse.

00:28:09: Ja, ja!

00:28:09: Also erst das was wir darüber erzählt haben und dann haben auch die offensichtlich irgendeinen Flourny in S-Malm-Zertifikaten noch gefunden.

00:28:17: Wo wir wirklich Kunden hatten, die nicht, keine Ahnung, hundert oder zweihundert sondern eher mal so tausend Zertifikate neu klimpern mussten für S-Maim.

00:28:29: In dem Fall kannst du froh sein wenn ihr halt irgendwie ein Software hast mit einer Schnitzel zu einer CA... wo das dann automatisch gemacht wird.

00:28:36: Ja, aber so automatisch ist es ja nicht also automatisch.

00:28:39: die Software sieht ja nur dass Zertifikat noch gültig würde sich nicht bemühen erneuzt zu ziehen.

00:28:44: Du musst es halt zurückrufen.

00:28:45: Das war trotzdem nämlich ein Problem.

00:28:48: Dann hättest du erwarten müssen bis das Zertifikat revoked wurde.

00:28:53: Wenn du also dafür sorgen willst, dass der Anwender nicht irgendwie mal ohne Zerntifikat schickt und da steht dann musste schon als Admin was händisch machen.

00:29:02: Ja gut, aber das machst du dann im Zweifelsfall.

00:29:04: Also jetzt in unserem Fall ist ja ganz häufig so Northbound-Proxy oder Zertifikon irgendwie sowas in die Richtung.

00:29:10: Jetzt stell dir mal vor, du bist so ein Laden und hast es beim Zertifikat wirklich... also so wie man's eigentlich macht, wirklich auf den Geräten!

00:29:19: Das muss ich mir noch nicht groß vorstellen.

00:29:20: Dann bist du richtig

00:29:21: gefickt ey!

00:29:25: Ganz ehrlich wenn das irgendwer da draußen machen macht für mehr als zehn Leute der ist eben ... mit einem Klammerbeutel.

00:29:33: Also nein!

00:29:34: Na ja, aber eigentlich ist es ja richtig... Weil End to end ist End-to-End

00:29:38: und nicht Gateway zu Gateway.

00:29:39: weil wenn ich Gateway zu gateway dann kann ich auch sagen Ja fuck it, da mache ich einfach ne?

00:29:45: Es kommt

00:29:45: ja auch drauf an was für ein Laden du bist.

00:29:47: Ja, Probleme hat auch Palo Alto.

00:29:50: Ah, reichlich,

00:29:51: ne?

00:29:51: Was haben die denn schon wieder gemacht?

00:29:52: Erzähl mal!

00:29:53: Ja, das übliche.

00:29:55: Was kann bei Firewalls, was kann bei Paloalto so schon passiert sein?

00:29:58: Eine Sicherheitslücke immer wieder

00:30:00: Mal wieder.

00:30:01: Ja, mal wieder!

00:30:02: Ja, es tut mir leid.

00:30:04: Was glaubst du eigentlich?

00:30:05: Was passiert wenn Palo Alto mal auf... Wahrscheinlich gibt's so ein Intern bei Palo Alto und der macht dann einfach so Steuerung A, Steuerung C für den ganzen PenOS-Quelcode und lässt ihn dabei so Claude Mütos mal reinfallen?

00:30:21: Ja, wer weiß.

00:30:24: Nein.

00:30:26: Also Paloalto die Fireballs sind ja schon Die früher, die sind verbreitet.

00:30:32: Ich finde sie auch immer noch geil?

00:30:33: Ganz

00:30:34: schnuckelig!

00:30:36: Aber die haben schon Dinge wo ich die Finger verlassen würde.

00:30:38: zum Beispiel halt so dieses Captive Portal vorne hier.

00:30:41: wie heißt das Secure Global Secure...

00:30:44: Global Secures

00:30:45: irgendwas.

00:30:47: Einfach weil das sieht nach vorn herum sehr schick aus, nach hinten rum müssen wir es aber dann wieder.

00:30:51: SSL VPN und wir alle wissen was es mit SSLVPN auf sich hat.

00:30:56: Hoff' ich ist nicht schön.

00:31:00: Sie hatten in Global Protect auch die eine oder andere echt krasse Sicherheitslücke, muss man ganz klar sagen.

00:31:04: Ja genau!

00:31:05: Aber sie haben jetzt mal wieder einen neuen Kommer-Drei gehabt?

00:31:07: Ja genau...eine neuen kommer drei, CVSSV ...vier?

00:31:16: Drei oder vier?

00:31:17: Vier!

00:31:18: Macht nicht so ein Riesenunterschied, aber ich wollte es nochmal erwähnt haben wir sind jetzt bei vfj angekommen.

00:31:25: Das ist ein Bufferoverang gewesen, ne?

00:31:29: Bufferovoflow.

00:31:31: Also Wer fragt, wie kriegen

00:31:33: Sie das hin?

00:31:34: Also in so einer Komponente, also es ging, glaube ich, das Authentizierungsportal.

00:31:38: Wie kriegt man da einen Puffer-Überlauf hin?

00:31:41: Ja gut, für allgemeinen Pufferoberlauf funktioniert es klar.

00:31:45: aber na, das heißt du findest eine Funktion die Speicherbereiche reinschreiben kann, die nicht dafür vorgesehen sind und ja es wird auch ein freier Wildbahn ausgenutzt ist.

00:31:57: wie gesagt betroffen sind übrigens Panos zehn zwei Elf, eins, zwei.

00:32:05: Also alles?

00:32:06: Alles eigentlich auf der PA-Serie und auf der virtuellen selbstverständlich auch weil irgendwie am Ende ist es ja doch wieder PanOS.

00:32:15: nicht betroffen sind die Cloud Next Generation Firewalls

00:32:21: Prisma und Panorama.

00:32:22: Ja!

00:32:23: Ah guck mal da hat das Land Niedersachsen ja Glück dass Panorama nicht betroffend ist.

00:32:28: müssen sie nur den ganzen anderen Booms patchten den sie jetzt mit Paloalte gekauft haben.

00:32:32: Gut, aber kam am ... Wann haben Sie die veröffentlicht?

00:32:35: Am fünften Mai.

00:32:38: Ähm... Und sie sahen Angriffe oder dass die Lücken in freier Wildbahn ausgenutzt wurden.

00:32:44: und wann haben sie dann den Patch rausgehauen?

00:32:48: Das war ... Warte mal das hatte ... Es kam die ersten Fixes, es kam irgendwie um am thirteenth Mai.

00:32:54: also es gibt Workarounds.

00:32:55: wir haben Workarounts im Fohlen natürlich ja Die aktivieren, wenn du es nicht brauchst.

00:33:05: Ist klar ist immer der beste Weg.

00:33:08: Wenn du eine Funktion nicht brauchts dann scheit sie ab.

00:33:12: Und wenn du's wirklich brauchst aber das auf vertrauenswürdige Zonen beschränken kannst was auch immer Vertrauens- würdige Zohnen sind streng genommen.

00:33:22: Hey wir sind im Internet.

00:33:23: ja da sind alle nett und alle freundlich?

00:33:26: Nein nein im Laden sind alle nette und allefreundliche.

00:33:28: wollen Sie damit sagen?

00:33:30: also Was sind denn vertrauenswürdige Zonen?

00:33:32: Erklär mir das mal im Netzwerk.

00:33:34: Ist das noch diese ...

00:33:36: Du kannst jedem Vertrauen im Internet und im Netzwerken.

00:33:41: Nein, also... Diese Burggrabengeschichte, die noch so übrig ist gedanklich, aber es ist doch ja im Laden nicht sicherer als ...

00:33:48: Also alle Firewalls kennen ja dieses Konzept von vertrauenschwürdigen und weniger vertrauengestrittenen Zonen.

00:33:55: Aber ganz ehrlich, ne Zero Trust, du traust erst mal gar keinem.

00:34:01: Captive

00:34:04: Portal nach intern macht ja auch wenig Sinn, oder?

00:34:06: Was für einen Sinn ergibt das in vertrauenswürdig.

00:34:12: Du kannst ja bei Palo ja Policies auf User legen und klar die müssen sich dafür authentifizieren.

00:34:19: Also, da könnte ich mir das vorstellen.

00:34:21: Es sei denn du hast natürlich dann irgendwie so einen lustigen Agent der auf Domain-Controllern sitzt und dir das Event noch abgrast

00:34:26: und dann der

00:34:27: Firewall sagt Jo, der darf!

00:34:29: Der ist authentiziert.

00:34:30: Ja, ich weiß nicht ob Palo Alto das nicht an Saas macht.

00:34:32: Nee, das machen sie genauso.

00:34:33: Nee Watch Guard macht es auch so.

00:34:34: Und Sofos macht das auch so?

00:34:36: Ja deswegen... Ich hab' das noch nie bei Watch Guard... Nein.

00:34:39: Ich habe das bei Sofus mal implementieren müssen und mich mit Palo mal implementiren müssen.

00:34:44: Das ist nicht schön.

00:34:45: Ja, es ist sehr lange her oder?

00:34:47: Ich glaube heute würdest du dich mit Händen und Füßen wehren.

00:34:50: Das kommt drauf an.

00:34:51: also wenn sie sagen... Also A werde ich dafür bezahlt dann sage ich denen immer noch das eine Scheißidee.

00:35:01: Wenn Sie sagen ich möchte dass wir trotzdem haben Dann kriegen sie das auch.

00:35:05: Es ist ja nicht so, dass ich dann sage Nö Natürlich würde ich das gerne häufiger machen, aber du mal bezahlen die Leute ja dafür.

00:35:15: Ja und die wenigsten Kunden sind im Business-Umfeld so ein bisschen stehen halt so selten auf solche Sachen wie ich bezahle dich dafür und du erniedrigst mich.

00:35:26: Das ist im Business Umfeld leider sehr sehr selten.

00:35:29: Nein, ich denke gerade darüber nach gewissermaßen... Da geht auch nicht jeder gleich mit um.

00:35:35: Also die meisten unserer Kunden werden wir sagen, ja kannst du schon so machen aber ist eine scheiß Idee.

00:35:42: Die mögen das also die finden das gut weil dann erzählen wir warum das blöde Idee ist und dann sagen wir haste eigentlich recht schnell lass mir das

00:35:50: wichtig ist.

00:35:50: ja wir sagen es ist ne Scheiß Idee.

00:35:52: aber wir sagen auch warum ist das ne Scheiss Idee?

00:35:53: Ja

00:35:54: ich habe keinen Bock darauf.

00:35:55: nein selbstverständlich Legitim.

00:36:00: Interessant ist natürlich, wenn man auch mit anderen Dienstleistern am Tisch sitzt und man sagt das ist eine scheiß Idee.

00:36:04: Man erklärt warum das eine scheiße Idee ist?

00:36:05: Und der andere Seite, ich will es aber trotzdem so haben!

00:36:08: Ja natürlich.

00:36:09: oder wenn du einfach über da legst dass etwas ja ne schlechte Idee ist und der Andere sagt nö das sehe ich anders.

00:36:20: Sich entspannt zurücklehnt und der Kunde macht dann macht's dann trotzdem weil der andere Dienstleiste hat er gesagt nö ist nicht so.

00:36:29: Man kann Menschen nicht vor sich selber schützen.

00:36:33: Ganz ehrlich, wenn du jetzt sagst ... Ich rauch jetzt Crack?

00:36:37: Dann kann ich sagen, das ist eine Scheißidee!

00:36:39: Wenn du sagst, ich möchte dir trotzdem gerne Crack rauchen, dann ... Ich kann dich ja nicht davon abhalten.

00:36:44: Also nicht dass...

00:36:46: Was?

00:36:46: Ich erwege gerade mein Kaffee zu streichen.

00:36:48: Genau.

00:36:51: Ich streiche meinen Kaffees, damit ich Crack konsumieren kann.

00:36:53: Das ist eine super Idee.

00:36:56: Ich bin ja schüttert, was hast du gedacht?

00:36:57: Ja.

00:37:01: Okay, was haben wir noch?

00:37:03: Es gab die empfohlenen Workarounds.

00:37:05: Genau, das macht

00:37:06: es aus

00:37:07: wenn's nicht geht und beschränkt den Zugriff auf vertrauenswürdige Zonen haben dann auch... Wenn man das macht darf man auch den CVS Score auf acht Komma sieben

00:37:19: Acht Komma sieben ist halt immer noch scheiße.

00:37:21: Ist immer noch verdammt hoch, genau

00:37:23: weil der punkt ist ja leer.

00:37:24: eine neun Komma drei sagt ja aus es ist eben über netzwerk für einen nicht autifizierten angreifer möglich Rout rechte zu erlangen.

00:37:32: jetzt muss man sich vielleicht auch mal angucken das ist völlig dass was so was ich so krass finde ein buffer overflow also oder auch einer eine out of bounds write vulnerability das ist ja ganz ganz klassischer fehler in einer software entwicklung.

00:37:46: Es ist genau das, was du vorher gesagt hast.

00:37:48: Also ein Programm schreibt ja dann in einen Speicherbereich der eigentlich nicht davor gesehen ist.

00:37:54: Genau zu viele Daten also mehr Daten als der Speicher-Bereich eigentlich.

00:37:58: Und ich glaube wir kommen gleich mal mal einem anderen Zusammenhang auf das Gleiche.

00:38:01: und naja wenn du Routrechte auf der Kiste hast, dann ist erst einmal Feierabend.

00:38:04: Ja klar.

00:38:07: Und gut auch CVSS IV sagt dann natürlich alles von neun bis zehn ist kritisch.

00:38:15: Das ist halt schon ein ziemlicher Klops und ich finde, das ist dann halt also.

00:38:18: Ich habe mir jetzt bin ich ehrlich nicht mehr genau angeguckt wie... Wie die Veröffentlichung dieser Sicherheitslücke passiert ist.

00:38:25: weil typischerweise ist es ja so wenn du solche kritischen Sicherheitslücken hast Dann ist es halt so dass erst mal die Patches kommen Und dann geht der Hersteller hin und sagt hey Leute wir haben da ein Problem.

00:38:36: Ja Dass Du Die Sicherheits Lücke Raushaust oder Dass die bekannt wird und du hast nicht sofort Patches ist ja eher ungewöhnlich.

00:38:47: Ja,

00:38:50: es kommt halt drauf an wie die Lücke bekannt wird.

00:38:53: ne?

00:38:53: Wenn man selber bei der Hersteller sie selber rausgibt dann hat er für gewöhnliche Patches ja.

00:38:57: Ja

00:38:58: genau.

00:39:00: Und tatsächlich Paloate auch im Januar XXV schon mal eine andere schwerwiegende Sicherheitslücke.

00:39:06: da ging's halt darum dass man halt Firewalls in Wartungsmodus treten konnte.

00:39:11: Da kommt jetzt das nächste und ja, ist halt auch so eine Häufung.

00:39:14: Also wenn wir jetzt mal auf Firewall-Hersteller gucken dann siehst du halt dummerweise sehr oft FortiGate, du siehst sehr oft Palo Alto, du Siehst sehr often Checkpoint.

00:39:25: WatchGuard war jetzt auch in der Vergangenheit häufiger dabei.

00:39:28: Das ist sicherlich bei anderen Herstellern nicht anders.

00:39:33: aber Ja ne Firewall mit einer kritischen Remote Code Execution, das ist so das schlimmstmögliche Szenario, was so passieren kann.

00:39:46: Was ist denn ein anderes schlimmstmögliches Szenario?

00:39:51: Moment.

00:39:51: das ist jetzt eine sehr offene Frage!

00:39:54: Schlimmstmögliche Szenare ist doch wenn dein...

00:39:55: Windows Updates oder was meinst du jetzt?

00:39:58: Also ich sag mal so schlimmst mögliche Scenare ist, wenn dein guter Alter Windows Server two-thousand Jahre auf einmal nicht mehr funktioniert.

00:40:05: Jaaa aber wie soll ich das jetzt sagen?

00:40:12: Da hätte man ja schon mal vorher sich mit beschäftigen können.

00:40:15: Hätte, hätte Fahrradkette!

00:40:18: Ja also wenn das jetzt ein Disaster ist dann... Ja, schlimm genug.

00:40:25: Was ist passiert?

00:40:26: Jetzt ist es soweit und Sie haben es lange angekündigt.

00:40:29: RCv wird jetzt abgeknipst.

00:40:32: Das heißt mit den April Updates.

00:40:37: Also muss anders anfangen, es fing ja an mit den januar-updates.

00:40:41: Da kam nämlich eine Funktion hinzu die bestimmte event log einträge baut wenn rcv lock ins passieren.

00:40:52: Also der erste Schritt für Microsoft zur Abschaltung von RCv.

00:40:57: Vorher war das relativ umständig, die raus zu pflücken aus den Event-Logs.

00:41:01: Du hast halt eine Anmeldeversuche, also die Anmeldereignisse durchfiltert auf irgendwie Hexzahlen ein, sieben, eins, acht.

00:41:12: Das waren dann die entsprechenden Encryption Types im Logon-Event.

00:41:17: War das die Encryption Types für RCV?

00:41:20: Und das war immer sehr umständlich.

00:41:21: kannst du dann immer schön mit gelb in event und filter filter xml.

00:41:25: so was habe ich ein paar mal gemacht.

00:41:27: dankenswerter weise gibt es jetzt einen event der dass er direkt sagt das sind die events zweihundert was war zwanzig

00:41:33: bis zweihundert

00:41:34: neun.

00:41:34: Dankeschön zwarteis.

00:41:35: bis zwei hundert neun, und seit januar sieht man die wenn rcv im netzwerk passiert.

00:41:41: genau Warum wollen wir eigentlich kein RC-IV mehr haben?

00:41:44: Ja, genau.

00:41:45: Es ist alt und es ist alt.

00:41:49: Also Kerber Roasting ist ja ein Szenario bei dem der Angreifer Kerberos Service Tickets für Dienstkonten anfordert... ...und diese Tickets sind halt in der Passwartage des Dienstkontoes verschlüsselt.

00:42:01: Und jetzt kommt das Problem.

00:42:02: also RC-Vier, also Rufus Cipher Vier isst ein Algorithmus aus den Achtzigern

00:42:09: mit

00:42:09: bekannten kryptografischen Schwächen und der ist seit jahren.

00:42:13: Seit Jahren wird er schon als unsicher eingestuft, blieb aber halt in Active Directory halt ja jahrelang aus kompatibilitätsgründen aktiv?

00:42:27: Und jetzt hat Microsoft mal gesagt so alte Schwänze werden abgeschnitten und damit starten wir im Januar.

00:42:33: zwei tausend sechsten zwanzig mit so einer ordetphase.

00:42:35: genau das war die ordet phase.

00:42:37: Ja, und jetzt in April Updates ist es soweit.

00:42:42: Es wurde scharf geschaltet.

00:42:44: also es wird jetzt AES wird jetzt näher.

00:42:46: gut AES ja ich wollte gerade sagen AES wir zum Standard aber das kannst du so streng genommen nicht sagen das ist ja schon eine Weile vorher passiert.

00:42:55: Aber er konnten ohne ein explizit gesetztes Attribut.

00:43:01: da gibt's dieses lustige MSD supported encryption Types In der Active Directory, wenn da nicht drinsteht dass dieser Account noch rcv sprechen darf.

00:43:13: Dann funktioniert nicht mehr plus deine.

00:43:17: du musst es natürlich auch auf der Domain Controller Ebene auch noch aktiviert halten.

00:43:22: bei vielen Kunden gehen wir ja schon proaktiv hin und versuchen das auszumerzen seit mehreren Jahren und entsprechend kann es auch sein Wenn das schon nicht mehr erlaubt ist dann braucht sich auch wenn man sich keinen Kopf machen.

00:43:37: Wir sprechen natürlich dann wirklich nur vor Umgebungen, wo Systeme laufen die noch kein IES können.

00:43:43: und das letzte, wo das Erfieber war es war aber im Jahr zwei Tausend Drei.

00:43:47: Streckstrich Windows XP natürlich.

00:43:49: Richtig oder halt eine andere Systeme?

00:43:50: Es gibt natürlich so ein paar Nass-Systeme, Linux-Ssystemen

00:43:53: usw.,

00:43:53: die möglicherweise auch... Wenn Sie Kerberos sprechen halt nur RCv als einzigen Cypher für Kerberas Supporten.

00:44:04: Und man sollte jetzt, also wie gesagt mit den April Updates haben sie halt RC-V abgeknipst.

00:44:13: Da gab es dann noch ein Fallback.

00:44:14: Man konnte das nochmal wieder aktivieren.

00:44:17: aber

00:44:18: im

00:44:18: Juli, in dem Jahr ist es im Jahr auch noch mehr als unterstützter Verschlüsselungstyp auf Domain Controller gesperrt.

00:44:28: Es gibt dann auch keinen Rollback mehr außer... Du konfigurierst explizit auf Computerkonten dieses MSDS Supported Encryption Types und sagst ja, äh da bitte RCv.

00:44:44: Ja ich überlebe auch gerade.

00:44:48: wir haben ja grade gesagt ne Server two thousand drei schrägstrich XP.

00:44:52: gibt es noch andere Szenarien wo wir RCv noch begegnen könnten.

00:44:58: In alten Domänen wenn niemals das KGB TGT Passwort also wenn Domänen vor, ... ja.

00:45:06: ... und einfach immer nur immer wieder hoch migriert wurden neue Domain-Controller rein auch dann kann es sein dass der KGB tgt selber kein jetzt noch keinen AES kann.

00:45:17: Ja?

00:45:19: Das heißt da muss man einen Passwort Rollover einmal machen.

00:45:22: Wenn der ist nämlich nicht kann dann kann der Rest der Welt es auch nicht.

00:45:24: betrifft aber auf alle Benutzerkonten

00:45:27: Genau, korrekt.

00:45:28: Zu die ein Kennwort haben was niemals geändert wurde?

00:45:31: Ja genau also das vor des zu Zeiten erstellt wurde.

00:45:34: Wenn man der KAW TGT wird ja immer ganz am Anfang erstellt und wenn der halt immer wieder mit geschleift wurde dann... Das muss man tatsächlich mal ändern.

00:45:44: Benutzerkonten, ja wenn die Domäne mit Server-Servatrosen III aufgesetzt wurde, als Benutzerkonto sind die Leute möglicherweise auch schöner

00:45:52: nennen.

00:45:52: Es gibt so eine Art Bescheidesservice-Konten ne

00:45:56: Ja, oder Servicekonten an die man die dran geht.

00:45:59: Also grundsätzlich da auch ne ... ja dass man mindestens einmal seit... ...zweitausend acht irgendwie ein Passwort Rollover gemacht haben müsste sollte.

00:46:08: und jetzt jetzt kommen wir wieder zu dem Bildungsauftrag den wir haben.

00:46:12: Ja Juli sechsundzwanzig ACV wird abgeknipst.

00:46:17: Dann rennen.

00:46:18: also es wird Unternehmen geben wo dann irgendwas anfängt zu fackeln was noch gebraucht wird?

00:46:24: Und dann könnt ihr hingehen, wenn ihr zum Beispiel noch Server.

00:46:28: Zwar zwei tausend drei habt Windows XP Kisten habt die an ad hängen und die weiterhin am AD hängen müssen.

00:46:35: Dann nehmt ihr diese Computerkonten geht in Active Directory und Computer erweiterte Ansicht einschalten und dann bearbeitet ihr das msds supported encryption Types Attribut ja konfiguriert dort entsprechend wieder.

00:46:51: ich glaube es ist Null X absehn achtzehnt oder siebzehn.

00:46:55: Ah, das eine ist irgendwie H-Magnus und das andere ist.

00:47:00: Okay, das ist dann... Ja ich weiß ja auf den Kopf nicht.

00:47:03: Aber ihr könnt dann explizit für diese Computerkonten mit der RCv aktivieren.

00:47:08: Wenn ihr das getan habt geht ihr bitte sofort zu eurem Hausjustizier, Legal oder sonst irgendwas.

00:47:18: lasst durch die Unterlagen für eures Cyber Security Versicherung geben und zündet diese an!

00:47:25: Weil die braucht ihr dann nicht mehr.

00:47:27: Ja, ist so.

00:47:28: Ist hinfällig da?

00:47:29: Genau.

00:47:30: Also solche Dinge ... im Schadensfall kann einem das so sein.

00:47:37: Das Cyber-Sec-Versicherung sind sehr guter drin, genau rauszufinden was passiert ist und wenn sie irgendwas finden, muss mit dem Angriff nichts zu tun haben aber den Eindruck erweckt dass Sie das Thema Security nicht ernst genommen habt, werden Sie sagen, zahlen wir nicht.

00:47:50: Das können Versicherungen halt leider ...

00:47:52: Ja, das ist richtig und ich glaube auch.

00:47:54: Ich befürchte auch selbst mit seitenweise Risikobewertung.

00:48:00: Tra-la-la kannst du dich damit nicht rausreden?

00:48:02: Genau.

00:48:02: also auch wir werden ja immer mal wieder gefragt ob wir halt eine Risikoreinschätzung zu bestimmten Sachverhalten schreiben.

00:48:12: es gibt ja auch Fälle wo man halt Risiko akzeptieren kann.

00:48:17: wenn ich jetzt gebeten werden würde ... zur Aktivierung von RCv über Juli, ... ... für ein Risikobewertung zu schreiben, würde ich den Kunden fragen ob er dumm ist.

00:48:30: Ah!

00:48:31: Ja... Weißt du wo es auch glaube ich bis heute immer noch Standard ist?

00:48:37: Wo?

00:48:37: Bei AD Trusts.

00:48:38: Ja ja, Trusts genau.

00:48:39: Du musst nämlich wenn du Trusts baust immer noch sagen,... ... der möchte der Kanai sein.

00:48:44: Ist das immer noch so?

00:48:45: Weil ab irgendeinem Punkt war's ja auch so dass wenn nicht.... Ja, wenn das alles ... Wenn man sich nicht einigen konnte, dass der KBTGT immer aufhört, wie viel zurückfällt.

00:48:58: Das haben sie erst vor zwei, drei Jahren geändert.

00:49:01: D.h.,

00:49:02: er fällt jetzt immer auf Eiers zurück standardmäßig.

00:49:06: Haben Sie das dann in dem Zuge nicht auch geändert?

00:49:08: Ich bin mir nicht sicher, aber ich weiß, da ist der Haken noch da.

00:49:12: Das werden Sie an der Stelle, wenn Sie es nicht angepackt haben!

00:49:15: Ja, ja, ich bin relativ sicher, dass die das nicht angepackt haben.

00:49:20: Wir haben eine Umgebung mit Trust, die ist noch nicht so alt.

00:49:25: Das heißt doch da musste ich den Haken setzen wegen der ICF hier.

00:49:31: Also liebe Kinder...

00:49:33: Ja aber was ist denn eigentlich wenn jetzt IS-Nicht geht und die ICF nicht geht?

00:49:42: Was passiert denn dann?

00:49:43: Dann springt der Deckel der Mülltonne auf und NTLM springt raus.

00:49:49: Du sagst, hallo!

00:49:50: Hello there!

00:49:56: Ja... Ja genau dann kommt die NTLm wieder zum Zuge.

00:50:02: Da sind sie ja auch dran das Auszumerzen?

00:50:05: Ja wobei ich wenn du dich heutzutage umguckst, du siehst halt immer noch unfassbar viel NTLmm Ähm, aber ganz, ganz wenig ACV.

00:50:16: Weil üblicherweise wenn das, wie gesagt, wenn Passport immer mal geändert wurde und KWCGT immer angepackt wurde dann ist es heute normalerweise ... Das

00:50:23: heißt nicht einfach daran weil NTLM halt Fallback ist, wenn Kerberos generell nicht funktioniert?

00:50:30: Ja genau.

00:50:31: Und da reicht es ja schon eine Firewall steht dazwischen die nicht richtig konfiguriert ist also theoretisch auch einfach die Line-of-Site zum KDC ist nicht da.

00:50:41: Dann fällt sie halt Automatisch auf NTLm zurück

00:50:45: Und irgendwie habe ich Drucker auch in Verdacht.

00:50:49: Immer.

00:50:50: Druckerdruckserver, irgendwas ist da immer was entweder im Schreit

00:50:55: oder?

00:50:56: Ja Leute denkt an die Umwelt einfach Drucker abschaffen.

00:51:01: Einfach, wir haben auch so, gibt hier so ein Baumaschinenhersteller.

00:51:05: Da können wir Kontakte herstellen wenn ihr da drüber fahren wollt nochmal oder einfach mit dem

00:51:11: Wacker.

00:51:11: Ich habe ja gerade noch einen Ausbildungsvertrag unterschrieben.

00:51:13: ich hatte schon total insätze wie viel Papier ich da wieder in der Hand hatte.

00:51:17: Das ist fassbar

00:51:19: ey!

00:51:19: Ich gleich wieder am Baum pflanzen zuhause.

00:51:22: Ja, dann gab's noch eine zweite lustige Geschichte.

00:51:24: Da bin ich auch in Verbindung mit einem Kunden grüßig hinaus und Michael drüber gestolpert hat.

00:51:29: Bei dem Kunden haben wir so ein paar PHAs, so ein Paar privileged administration workstations die halt auch so bisschen schwer weggesperrt sind.

00:51:35: Also so richtig?

00:51:36: Ja

00:51:36: ja, mit kein Internet und so.

00:51:38: Nicht alles was Leute PHA nennen ist ein PHA.

00:51:40: aber ich glaube das sind da wirklich... Das

00:51:42: sind wirklich PHAs genau.

00:51:43: also da gibt es keine Internet und sowas.

00:51:44: Aber die müssen auch gepatcht werden, das muss ja so sein.

00:51:47: Und mit den Januar-Updates trat ein Problem auf dass erst ein paar Wochen später offiziell bestätigt wurde nämlich in Umgebungen ohne direkte Internetverbindung schlägt das herunterladen von Windows Updates über Vesusfehl Ich habe kein Internet, ich hab ein Vesus.

00:52:07: Dafür hab'

00:52:08: ich ja einen Vesos?

00:52:09: Genau!

00:52:09: Dafür hab', ich ja ein VESOS und Fun fact das haben wir ausprobiert.

00:52:13: es ist nicht nur so dass es mit einem Vesous ist sondern du kannst dieses Update auch nicht per Hand installieren.

00:52:18: also wir haben dieses Update aus dem Update-Katalog untergetragen.

00:52:21: Wir haben es quasi in diese Umgebung rüber getragen Ja und haben gesagt hier installier und nö.

00:52:27: Das schlägt dann nämlich mit nem Fehler Nullix.

00:52:30: Achthundert Eintausend Und Zwei Fehl

00:52:34: Ja, und das hast du dann in den Fehler-Anhilitator reingeworfen.

00:52:39: Also

00:52:40: ein bisschen zu Historie.

00:52:41: also mit dem Preview Update Januar XX, da gab es eine Änderung im Verhalten was Timeouts angeht beim Starten von Downloadvorgängen.

00:52:55: Die Updates im Februar XX, die konnten dann noch runtergeladen werden.

00:53:01: Ab März bis Mai schlug das dann fehl und die Geräte konnten dann halt weder über Windows Update noch über den Vesus irgendwie gepatched werden.

00:53:14: Also auch wenn du den Ding an Internet gegeben hättest, hätten sie keine Updates runterladen können.

00:53:19: Und jetzt kommt was Cooles!

00:53:21: Jetzt kommen wieder unser Freund Günther Bohrn.

00:53:25: Da gab es nämlich am dreizehnten Mai tatsächlich die ersten Berichte zu diesen Vesus-Download-Fehlern.

00:53:31: Und am fünftzehnten mai hat Microsoft das Problem offiziell bestätigt und hat ein KIR, einen Known Issue Rollback veröffentlicht.

00:53:41: Du kriegst so eine MSI installierst, findest du in der lokalen GPU dann entsprechend einen Rollback den du aktivieren kannst?

00:53:52: Total witzig!

00:53:53: Das ist witzig, aber du siehst auch keinen zeitlichen Zusammenhang zwischen den Einträgen in Borns IT-Block und Microsoft.

00:54:03: Nein wir wollen damit nicht den Eindruck erwecken dass man in Redmond Günther Borns Block gelesen hat.

00:54:08: Scheiße!

00:54:10: Da schmeißen wir jetzt ein ganzes Dev Team drauf.

00:54:12: das muss gefixt werden sonst...

00:54:16: Grund

00:54:17: dafür waren die Betroffenen Clients Eine CRL Prüfung nicht durchführen konnten, weil sie gar nicht den Zugang hatten.

00:54:25: Sagen wir doch einfach mal so einem Windows ist zu... ...nein neun und neunzig Prozent der Zeit eine CRL eigentlich egal.

00:54:34: Seien wir doch ehrlich!

00:54:35: Aber bei so

00:54:36: was?

00:54:37: Das ist schon witzig, weil tatsächlich

00:54:38: das leider an vielen Stellen mangelhaft.

00:54:43: Also gibt ja auch so, also Chrome oder Edge jucken sich auch so CL und USCP juckt die ja nicht.

00:54:50: Windows Betriebssystem ja schon ne?

00:54:54: Ja man ja manchmal ja das Betrieb system schon das kann schon sein.

00:54:59: Und es gibt dann auch ein Workaround dass man eben entsprechend diesen diese CL Prüfung für den System Account deaktivieren kann.

00:55:13: Dann kann man halt auch wieder, äh... dieses Update installieren.

00:55:17: Ach das ist ja lustiger!

00:55:18: Also man kann das für den Account-System kann man sehr empfüllen.

00:55:22: Hakeyusers.default.

00:55:29: Ja gut, aber es ist ja dann ein known issue.

00:55:33: Es hat einen fix und

00:55:35: muss man natürlich jetzt auch wieder ein bisschen einordnen weil ich sag

00:55:38: mal hinterkommen

00:55:40: wir ordnen das jetzt kurz ein.

00:55:42: also rcv

00:55:44: sinnvoll

00:55:46: lange angekündigt ja trotzdem brannte gunter borns it block Weil Admin sagt kaputt, Microsoft ja da ja da.

00:55:58: Obwohl man sagen konnte hey seit Januar hättet ihr eigentlich diese Events sehen müssen.

00:56:02: Ja also auf Microsoft wurde eingeschlagen obwohl sie etwas richtig gemacht haben und die admins einfach nur nicht ihren Job gemacht haben.

00:56:11: so jetzt aber dann fail zwei ja zurecht auf Microsoft eingeprügelt.

00:56:18: Also Auch hat das Block von Günther wieder gebrannt und ja diesmal zurecht.

00:56:31: Und naja aber jetzt haben wir auf Microsoft eingeschlagen, aber wir sind ja noch nicht fertig, wir haben ja noch ein paar.

00:56:40: Ach ja auch nein!

00:56:42: Boah,

00:56:44: jetzt geht's weiter.

00:56:45: Also vier Wochen ist vielleicht dann doch zu lang?

00:56:49: Ja, wir müssen wieder alle zwei Wochen und vielleicht müssen wir uns mal nicht so auf Security und irgendwelche Fails konzentrieren.

00:56:57: Vielleicht erzähl ich aber auch wieder lustige Sachen.

00:57:00: Das hier ist kein Happy-Podcast mehr!

00:57:02: Nee,

00:57:03: nee... also da müssen wir thematisch messen und nächstes Mal ein bisschen weil wer hat ja dann noch so ein paar kleinere Issues Bei Linux-System.

00:57:14: Jetzt fragt man, wie Linux ... Welche Linux ist?

00:57:18: alle?

00:57:19: Wirklich alle!

00:57:20: Und ganz ehrlich, da ist vom Server bis zum Toaster alles dabei.

00:57:26: Wir haben also im Zeitraum April, Mai innerhalb von zwei Wochen drei richtig fette Kernelwannabilities gehabt.

00:57:33: Wo ein normaler Benutzer ohne Rotrechte innerhalb von wenigen Sekunden Ja, zum Rotwirt.

00:57:41: Und wie sich das für vernünftige Sicherheitslücken gehört?

00:57:46: Haben die auch alle coole Namen!

00:57:48: Nämlich Copy Fail, Dirty Frag und Fragnesia.

00:57:54: Fragnisia.

00:57:55: Okay, wahrscheinlich nicht.

00:57:57: Ich weiß es

00:57:58: nicht.

00:57:58: Pass auf.

00:57:59: Die gehören zur gleichen Fehlerklasse als die seit-tausend zwanziger Lücke.

00:58:04: Dirty Pipe oder noch ältere Dirty Cow.

00:58:09: Dirty.

00:58:12: Ja, okay.

00:58:13: Bei KAU, COW großgeschieben also copy on write.

00:58:19: Das ist aber... Da hab ich mich jetzt wo du das sagst?

00:58:23: Ich erinnere mich so viel daran.

00:58:25: Lange her!

00:58:27: Ja lange her.

00:58:29: Gut, das positive erstmal es ist keine ausnutzbare Remote Code Execution Ja, sondern ich brauche wirklich lokalen Access.

00:58:41: Also ich muss halt irgendwie auf dieser Büchse per Konsole, per SSH, per Telnet irgendwie drauf sein.

00:58:47: Hast du gerade Telnet gesagt?

00:58:48: Ja gut im Prinzip.

00:58:55: Es ist ja auch wirklich... also wir sagten grade alle, es sind wirklich alle Linux-Distributum betroffen.

00:59:02: Ist

00:59:02: eine Kernelvalabilität und da ist natürlich dann alles mit dabei.

00:59:06: Ich sage mal ab!

00:59:07: Wir hatten ein Jahreszahl rausgehauen, ne?

00:59:09: Seit zwei tausend siebzehn.

00:59:11: Ja genau.

00:59:13: Also weiß vielleicht gibt es noch älteres System.

00:59:16: Da kommt noch mehr!

00:59:18: Also Punkt ist ja der, wir sagen jetzt gerade lokalen Zugriff.

00:59:21: Ja okay SSH, Telnet, lokal...ja es reicht aber auch schon.

00:59:24: dann irgendwie so eine CACD Pipeline, Computer Container, irgendeine Web App und zack bist du halt auf der Kiste drauf und kannst dir dann über diese Lücke halt via Local Privilege Escalation die Route rechte holen.

00:59:37: Alles Kernel IVIV-Cent oder Neuer und das ist glaube ich so Zwei-Sechzehn-Zwei-Sebzehn ist betroffen.

00:59:46: Und was für uns natürlich wichtig ist, wir reden jetzt von Linux-Disportionen.

00:59:49: Aber eigentlich sind die Kölnewalle billig hier.

00:59:51: Das heißt alles wo irgendwie Linux-Kräuende draufläuft und es betroffen.

00:59:53: Also jetzt zum Beispiel auch Nutanix AHAV, AOS, das Betroffen...

00:59:58: ...AOS CX Bitches... AROBA

01:00:00: AOS Cx

01:00:01: Ja natürlich, Cisco wird auch betroffen sein, behaupt ich

01:00:03: jetzt mal.

01:00:04: Alcatel?

01:00:05: Alcatel garantiert!

01:00:06: Genau,

01:00:07: Alcateloosend Enterprise also Ailswitches sind garantiert auch betroffene.

01:00:10: Firewalls ja der komplette Blumenstrauß.

01:00:15: Und jetzt, wenn man sich das ganze mal anguckt.

01:00:21: Copy Fail, das ist der CVI-Ei-Skruf, sieben Komma

01:00:27: acht.

01:00:28: Ja, siebem Komma Acht!

01:00:33: Aber es sind keine neun Komma...

01:00:35: Genau, also ist ein Fehler im Modul all give ahead?

01:00:41: In der linux krypto api und durch eine kombination von sockets.

01:00:46: Und suscalls kann halt ein unprivilegiert also normaler benutzer ganz gezielt vier bytes in den page cache schreiben, also in dem rennbereich wo der kernel aus über datan cached und indem er dann zum beispiel ne set u ad binary also zu zum beispiel im pagecash manipuliert wird bei der nächsten beim nächsten aufruf.

01:01:13: Der eigene code ausgeführt und zack bist du rot.

01:01:15: also der das ist keine racekondition oder so sondern das schlicht einfach.

01:01:21: ja

01:01:22: umgehungstrick

01:01:23: ja einfach scheiße.

01:01:25: siebenhundertzwanzig weit python script reicht aus.

01:01:29: Genau.

01:01:30: Ich habe irgendwie sieben, zwei und dreißig Beid zu hell oder so.

01:01:32: was hab ich noch als Titel irgendwo gelesen?

01:01:35: Ja genau also Dirty Frag kam dann... Also das ist der See wie ihr i... Ähm, dreiundvierzig zwei acht vier aus zweitausend sechsten zwanzig beziehungsweise dreintau... Dreinvierzig fünf Null Null.

01:01:47: die kamen dann am siebten Mai Und es ist ungefähr eine Woche danach.

01:01:52: ähm Was da ein bisschen hässlich war, ist der Woche nach Copy-Fan entdeckt worden.

01:01:57: War das Embargo?

01:01:59: Wurde eben durch Dritte gebrochen bevor Patches rauskam.

01:02:02: Also Proof of Concept Exploit war halt vor den Vendor Patches heraus.

01:02:07: Ja, das ist schon kacke!

01:02:08: Das ist Kacke.

01:02:10: und in dem Fall waren es dann auch zwei Schwachstellen also eine Verkettung von zwei Exploits einmal in IPsec ESP und einmal RPC.

01:02:22: Wenn das kombiniert wurde, dann konnte man eben entsprechend auch pagecash also write primitive auf dem pagecache erhalten.

01:02:34: Interessant deutifrag funktionieren natürlich da es eben andere schwachstellen nutzt auf systemen die sage ich mal wo halt eine mitigation gegen copy fail schon angewendet wurde.

01:02:48: Mitigation bei Copy Fail war eben das Modul, I'll give add zu deaktivieren.

01:02:57: Konnte man einfach in der Mod Probe die entsprechend dann ein entsprechendes Confile erstellen.

01:03:02: Problem dabei so Lux SSH TLS können davon beeinträchtigt sein.

01:03:09: Die Mitigation war dann Dirty Frack ähnlich, halt ESP-vier, ESP sechs RPC Module deaktivieren.

01:03:17: Damit habe ich mir dann im Zweifelsfall natürlich auch IPsec VPN Funktionalitäten abgeknipst.

01:03:24: und ja Fragnigia Auch wieder ähnlich ist eine Variante dann von von Dirty FRAG Im ESP in TCP Sub System.

01:03:37: da gibt es dann auch ein Ein redhead advisory von.

01:03:42: das haben wir verlinkt.

01:03:46: Interessanterweise gibt es ein paar Distributionen, die das betroffene Modul gar nicht mitliefern.

01:03:50: ich hätte gesehen so amazon linux und bottle rock hat liefert das gar nicht mitte.

01:03:55: also da scheinen dann auch nicht alle Systeme betroffen zu sein.

01:03:58: aber ja ordentlicher blessed radius.

01:04:02: Jetzt, du hattest eingangs gesagt, im Copy-Fail kam so Ende April Anfang Mai dann Dirty Frack.

01:04:10: Ich glaube Patches für Copy-fail kamen vor zwei Wochen oder so ne?

01:04:16: Also das üblicherweise die Kernel Updates kamen auch erst vor zwei wochen, ne?

01:04:21: Ja genau, es hat alles ein bisschen gedauert.

01:04:25: Ja gut, Dirty Frag ist ja da brauchst du keine Kernelupdates für aber...ja oder?

01:04:34: Ich glaube separatikabster für dann nicht.

01:04:37: Das weiß ich nämlich nicht, also ich weiß nicht ob es da überhaupt schon Patches für gibt.

01:04:42: Das habe ich mir nicht mitbekommen.

01:04:43: Ich hab's über Copy-Fell mit bekommen aber nicht für...

01:04:46: Ja das ist halt schon interessant ne?

01:04:47: Weil das sind drei Lücken die alle ungefähr in der gleichen Fehlerklasse gehören.

01:04:53: und Huinbu Kim, also der hat Copy-Fail.

01:04:57: Also das war der Typ, der halt Dirty Frack, sag ich mal ausbaldowert hat gefunden hat.

01:05:03: Der hat halt Copy-fail als Inspiration genommen und dann wie man das so macht, so nach ähnlichen Lücken gesucht... Und das zeigt eigentlich naja wenn einer so ein Back gefunden wurde, der nach einem bestimmten Muster funktioniert?

01:05:17: Dann sollten Hersteller halt auch mal gucken links und rechts ist da vielleicht noch was möglich.

01:05:24: Da kommen natürlich auch so was wie Claude Mythos oder sowas ins Spiel, weil ich glaube wenn... Ich meine das ist ja jetzt doch sehr geschlossen.

01:05:31: Es ist halt nur bestimmte Unternehmen zugänglich.

01:05:33: aber ich glaube, wenn das mal durchschlägt dann haben wir noch ganz andere Probleme.

01:05:38: Insbesondere wenn dann das Responsible Disclosure halt

01:05:40: nicht funktioniert.

01:05:41: Ja ganz genau!

01:05:42: Das ist eine miesige Geschichte ne?

01:05:47: Und ja, da muss man halt mal gucken.

01:05:49: Da ist jeder jetzt auch angehalten, so durch seine Infrastruktur durchzugucken und entsprechend mal zu patchen.

01:05:55: weil ganz ehrlich, da habt ihr hier noch zu tun?

01:05:58: Ich habe... Da kürzte ich mit jemandem anders auf ein paar Lieblingsmaschinen geguckt in einem ganz anderen Kontext vorgestern oder so war ein anderer Dienstleister Ich sag ihn so mit SSH und Lock and Root.

01:06:16: Und ich so, hab mal nichts gesagt erstmal.

01:06:21: Und er sagt auch guck mal hier existieren.

01:06:24: aber was habe ich denn hier?

01:06:25: Ja du weißt ja standardmäßig ist das aus ne?

01:06:28: Ja ja nee ich mach mir es immer an.

01:06:30: Sag nix, sag nix!

01:06:34: Und dann Finger von alleine anzuerzählen.

01:06:36: Ja mein Chef hat auch gesagt die Sommer hier die ... die Zwarhundert Linux-Kisten, die wir da irgendwie haben.

01:06:42: Die müsste ich jetzt ja auch mal patchen wegen Copy-Fail.

01:06:44: aber ich habe gesagt, da brauchen wir gar nicht weil wir keine unprivilegierten News, sondern wir haben nur den Roots.

01:06:50: Geil!

01:06:55: Ich bin da kein...

01:06:56: ich

01:06:56: bin wirklich... ich kann wirklich nicht viel mit Linux aussehen ist es.

01:07:01: Aber nein.

01:07:04: Da wusste ich nicht so genau wie ich der reagieren soll.

01:07:07: Ich hab mich gemütet und aus dem Fenster geschaut.

01:07:14: Ja, das ist wahrscheinlich auch die einzige sinnvolle Maßnahme dabei.

01:07:21: Eigentlich ja... Nein!

01:07:23: Das ist tatsächlich in meinen Augen absolut daneben.

01:07:28: Es gibt Gründe warum Routelocken per SSH, per Default abgeschaltet ist.

01:07:34: Es gibt viele gute Gründe warum der Route-Account per se vielleicht deaktiviert sein sollte ja?

01:07:39: Wir haben Sachen wie Sudo, wir haben Sachen die du hättest oder so.

01:07:43: Ey Leute es muss

01:07:45: nicht

01:07:46: sein!

01:07:46: Na ich meine wenn man gerade anfängt irgendwie am Anfang seiner Nütze sich da die ersten Male reinnirte dann weiß man das alles nicht.

01:07:54: Da muss man erstmal ein bisschen was drüber lernen und ein bisschen etwas sehen.

01:07:58: Das war bei dem Kollegen aber nicht nicht der Fall.

01:08:00: Ja, das sind die gleichen Leute, die dann auch so was wie S.E.

01:08:03: Linux abschalten?

01:08:06: Das ist mein favorite Pet-Peef!

01:08:08: S.e Linux... Nein, ich hab doch ... Nee, die letzten paar Jahre habe ich S. E. Linux immer geschafft anzulassen.

01:08:18: Sehr gut, sehr gut.

01:08:18: Somit auch der Tour Live und so weiter kann man ...

01:08:20: Na ja, das ... Ich bin halt immer noch fasziniert.

01:08:22: also wir hatten ja schon vor, keine Ahnung, ja, dreißig Jahren hatten wir ja oder, da heißt er mal so, fünfzehn Jahren.

01:08:28: Wir hatten halt AirBug auf Unix So richtig

01:08:30: erbackt und ja.

01:08:33: Da fragt man sich schon, warum es das nicht heute auch noch gibt.

01:08:36: Was

01:08:36: ist eigentlich mit Clear Pass?

01:08:40: Ist nicht betroffen.

01:08:40: Ist nicht getroffen!

01:08:41: Nein, Clear Pass ist nicht betroffene.

01:08:43: also Aruba hat die gekleiert was noch in Klärung sind Aruba Instant Access Points Also IAPs Auf Instant On habe ich nicht geachtet ehrlicherweise

01:08:54: Ja.

01:08:55: aber du kannst ja davon ausgehen dass alles wo irgendwo Linux drauf ist Betroffenes oder vieles halt ne Und das ist ja tatsächlich relativ viel Netzwerk-Equipment.

01:09:02: Also wir wissen auch hier die Alcatel Stellar Access Points, auch ein Linux drauf ne?

01:09:07: Die werden natürlich auch betroffen sein.

01:09:09: also da müsste jetzt tatsächlich mal bei den Herstellern eurer Raval einfach mal die entsprechenden Portale im Auge behalten, die entsprechende Sicherheitsmeldungen mal abonnieren um zu gucken was dann Updates kommt.

01:09:20: und Ja es ist eine Local Privilege Escalation und trotzdem gehört das gepatched Punkt.

01:09:25: Da gibt's ehrlich gesagt keinen Kein Grund, das nicht zu tun.

01:09:29: Ich hab meine Kisten so weit es geht alle schon.

01:09:32: Schon hier patcht und ja aber gut da habe ich

01:09:36: auch.

01:09:37: Du hast ja selber ein paar Kundengüsten.

01:09:39: haben wir auch

01:09:40: gepatched?

01:09:41: Nee, dass eigentlich haben wir da alles durchgepatchet.

01:09:45: Ja ja, Kundenkisten haben wir also

01:09:47: auch gepatcht.

01:09:47: Ist ja schön, dass du deine privaten Kisten patchst!

01:09:50: Wir haben auch ne falls ihr unsere Kunden zu hören, dann wir haben eure auch gepatching.

01:09:53: Genau.

01:09:54: Also zumindest für die bei meiner Service machen... An den anderen gehen wir nur vorbei, da gucken wir und sagen...

01:10:02: Da hast du aber ein Problem.

01:10:03: Da müsste man auch mal in der Patch installieren.

01:10:07: Genau.

01:10:08: Aber kann man nicht so einen Augenblick?

01:10:09: Ja.

01:10:10: Oh, so sad!

01:10:12: So sad!

01:10:12: Was

01:10:12: muss ich denn machen um in der patch zu installieren, wenn ich Service buche?

01:10:18: Kannst mal nicht.

01:10:18: Bring mal ein paar Kekse mit, genau.

01:10:21: Ich kann's ja Münzen einwerfen.

01:10:23: Genau, Münzen-Einwerfen oder Kohlerkracher.

01:10:25: bei guten Freunden noch

01:10:26: Kohler kracher

01:10:28: Aber du wär gut.

01:10:29: Jetzt hab ich Lust auf Kohlerkoche,

01:10:31: verdammt!

01:10:32: Ja das ist eine sehr gute Idee.

01:10:33: bei so viel Scheiße in den letzten vier Wochen brauchen wir gar keine Aufreger der Woche?

01:10:37: Nö, aufgeregt haben wir uns wieder,

01:10:40: jetzt geht's mal hoch.

01:10:42: Ich sag dir Klaudia, da ist hier kein Happy-Podcast mehr ne?

01:10:45: Dann musst du dran ändern.

01:10:47: Das ist ein tiefes Teil der Tränen.

01:10:50: Wir haben trotzdem noch Spaß an der Sache.

01:10:52: Genau, wir kommen wieder.

01:10:53: Willkommen wieder.

01:10:53: Keine Frage!

01:10:54: Bewertet uns schön bei iTunes und auf dem Plattform eurer Wahl, ne?

01:10:57: Wir brauchen noch ein paar Fünf-Sterne-Bewertungen.

01:10:59: Wer keine fünf Sterne geben will soll gar nicht bewerten mir eine E-Mail schreiben warum er keine fünf Sternen geben will... Also Feedback

01:11:05: nennt man das.

01:11:06: Ja.

01:11:08: Genau.

01:11:08: Und wer Sticker haben möchte der kann mal in die Shownots gucken ganz runter scrollen.

01:11:12: da steht eine Adresse da könnt ihr einen an euch feinkierten Rückumschlag hinschicken und dann schicken wir euch Sticks.

01:11:16: Das machen wir.

01:11:17: Genau.

01:11:17: und wer doch nicht genug von uns hat oder von mir hat der kann auch nochmal der Techniktechnik Faxinformatiker.

01:11:23: Hint, hint!

01:11:23: Da gibt's noch eine Folge, die veröffentlicht werden sollte.

01:11:29: Genau.

01:11:30: und dann hören wir uns in Belde wieder.

01:11:34: Im Belden genau.

01:11:35: Und sagen jetzt, wir kündigen es nicht an.

01:11:38: Aber bald.

01:11:39: Bald.

01:11:40: Wir kommen wieder keine Frage.

01:11:41: Bis dahin.

01:11:42: Tschüss.

01:11:42: Machs gut.

01:11:43: Tschüß.