Dnext

#benutzthierjemand

January 10, 2023 8:56am

[l] Benutzt hier jemand Threema? Die Applied Cryptography Group der ETH Zürich hat mal das Protokoll analysiert und mehrere gravierende Schwachstellen gefunden.

Das ist bemerkenswert, denn Threema hat bereits mehrere Audits hinter sich. Die haben aber offenbar eher auf Code-Qualität als auf die Protokolle geguckt, jedenfalls haben die diese Probleme nicht gefunden.

Threema hat in der Zwischenzeit ein neues Protokoll ausgerollt, das Forward Secrecy für die E2E-Krypto schaffen soll. Das war aber noch nicht Teil dieses Audits, kann also auch noch Probleme dieses Kalibers haben.

Sehr schön finde ich, dass hier wirklich ein Audit des Protokolls durchgeführt wurde, nicht bloß jemand einen Fuzzer laufen gelassen hat, wie es heute üblich zu sein scheint, besonders in akademischen Umgebungen, wo man so schnell und leicht Papers und Aufmerksamkeit generieren kann.

Ich mag auch die Lessons Learned von dem Team, u.a. "ordentliche Crypto-Libraries wie NaCl nehmen macht noch kein sicheres Protokoll". Und dann kommt folgende Lektion, die ich sehr wichtig finde:

Proactive, not reactive security: our inability to find an attack on a protocol does not imply it is secure. New attacks could be found at any moment and known attacks only get stronger over time if left unaddressed. Often, secure systems and protocols follow a design-release-break-patch process (a reactive approach). This is inconvenient for users and often requires the maintenance of backwards compatibility. Developers should instead adopt a proactive approach, where the system or protocol is formally analyzed during the design stage.

Ob nun formale Beweisführung hilft, sei mal dahingestellt. Ich bin da eher zurückhaltend in meinen Erwartungen, denn wenn der Beweis komplexer ist als das Protokoll, wieso trauen wir dann dem Beweis, wenn wir dem Protokoll nicht getraut haben?

Aber dass man Dinge vielleicht mal vor dem Release ordentlich machen sollte, und nicht diesen agile "ja klar ist es Scheiße aber wir patchen dann halt die übelsten Wunden im Feld nach" hat jetzt meiner Meinung nach echt genug Schaden angerichtet und kann mal in Rente gehen.

Wenn ihr Papers lesen könnt, lest nicht nur die Webseite sondern auch das Paper. Die kryptografischen Fehler, die die gemacht haben, sollten alle in ihr Repertoire aufnehmen, damit die niemand nochmal macht. Threema hat eine Stellungnahme veröffentlicht, die so defensiv geschrieben ist, dass sie es schafft, den Laden noch schlechter aussehen zu lassen als er eh schon rüberkam. Sie hätten auch einfach sagen können: Die Findings sind valide, wir haben Fehler gemacht, und es tut uns leid. Wir geloben Besserung. Stattdessen lauter "das ist doch bloß theoretisch" und "das betrifft die aktuelle Version nicht" (die, die nach dem Melden dieser Lücken veröffentlicht wurde!).

#fefebot #benutzthierjemand

December 8, 2022 7:56pm

[l] Benutzt hier jemand Visual Studio Code?

Ist mir ja ein völliges Rätsel, wieso das jemand einsetzen würde. Das ist wie das Ergebnis von einem Trinkspiel, ob jemand NOCH MEHR Angriffsoberfläche in mein Arbeitsgerät eingebaut kriegt.

A remote code execution vulnerability exists in VS Code 1.71 and earlier versions for malicious notebooks. These notebooks could use command uris to execute arbitrary commands, including potentially dangerous commands

You had me at "command url".

Mit anderen Worten: Das war kein Unfall und kein Hack. Jemand hat dieses Feature für Remote Code Execution eingebaut und jetzt wundern sich alle, dass jemand darüber Remote Code Execution macht.

Ich frage mich ja bei sowas immer, wie häufig und doll eine Organisation eigentlich auf der Weltbühne verkacken muss, bevor die Leute aufhören, denen ihren Scheiß abzukaufen.

Ach komm, Fefe, da machen wir noch schnell ein paar Lagen Schlangenöl drüber, mit cloud-basierter KI zur Anomalieerkennung. Dann berichtet Heise darüber, als sei das normal, sowas zu brauchen. Und dann sind die Leute wieder eingeschläfert und kaufen die nächste Iteration von unserem Scheiß. Und auf dem Weg holen wir noch eine Schuldumkehr raus. Wie, du hattest keinen Antivirus laufen? Na DANN ist das DEINE Schuld!!1!

#fefebot #benutzthierjemand #microsoft

December 1, 2022 11:56am

[l] Benutzt hier jemand Lastpass?

Die sind im August gehackt worden. Dieser neue Incident ist jetzt auf Backend-Systemen in der Cloud, die Lastpass nutzt. Stellt sich raus: Die haben nach dem letzten Incident ihre Passwörter nicht geändert.

Da willste doch Kunde sein, bei so einer Firma! Security by Yolo!

#fefebot #benutzthierjemand

November 30, 2022 11:56am

[l] Benutzt hier jemand ping unter FreeBSD?

Der Bug ist ein Stack Overflow, der über das Netz ausnutzbar ist.

Eigentlich wäre dieser Bug so der übelste Fall von Sicherheitsproblem, aber er eignet sich auch zur Illustrierung von Sicherheitsmaßnahmen über die Jahre.

ping droppt als erstes seine Privilegien, nachdem es den raw socket geholt hat. Damit kriegt der Angreifer nicht mehr Root-Rechte wie früher sondern die Rechte des aufrufenden Users, hat allerdings auch Zugriff auf den offenen raw socket.

Außerdem hat FreeBSD ein Self-Sandboxing-Mechanismus eingeführt.

The ping process runs in a capability mode sandbox on all affected versions of FreeBSD and is thus very constrainted in how it can interact with the rest of the system at the point where the bug can occur.

Das heißt konkret, dass ein Angreifer z.B. keine anderen Prozesse aufrufen kann, um beispielsweise eine Reverse Shell zu installieren.

Auch wenn es sich häufig nicht so anfühlt, haben wir doch eine Menge erreicht über die Jahre. Nur halt nicht beim Entfernen der Bugs. Nur beim Ausnutzen-Verhindern.

#fefebot #benutzthierjemand

November 23, 2022 1:56pm

[l] Benutzt hier jemand einen Katzenfütterungsautomaten? Mit WLAN?

OK, da muss ich ja direkt mal fragen: Warum? Seid ihr eigentlich alle bekloppt?!

Ich spreche das an, weil die Polizei Gelsenkirchen diese Story hier verbreitet hat:

Eine 23 Jahre alte Gelsenkirchenerin hat am vergangenen Samstagmorgen, 19. November 2022, 0.17 Uhr, die Polizei gerufen und eine Strafanzeige wegen Verletzung der Vertraulichkeit des Wortes gestellt. Den Beamten gegenüber gab sie an, dass ein unbekannter Tatverdächtiger Ton- und Videoaufnahmen aus ihrer Wohnung gefertigt und sie teilweise bereits in einem sozialen Netzwerk veröffentlicht habe. Für die Aufnahmen nutzte er einen Katzenfütterungsautomaten, der in der Wohnung stand und über ein Wlan-Zugang verfügt.

Wenn es nach mir ginge, würde man ja aus Firmen, die sowas in Umlauf bringen, Parkplätze oder gleich Krater machen. Solange da jetzt gegen unbekannt ermittelt und dann eingestellt wird, wird das immer nur noch schlimmer werden. (via)

#fefebot #benutzthierjemand

October 25, 2022 12:56pm

[l] Benutzt hier jemand sqlite?

On vulnerable systems, CVE-2022-35737 is exploitable when large string inputs are passed to the SQLite implementations of the printf functions and when the format string contains the %Q, %q, or %w format substitution types. This is enough to cause the program to crash. We also show that if the format string contains the ! special character to enable unicode character scanning, then it is possible to achieve arbitrary code execution in the worst case, or to cause the program to hang and loop (nearly) indefinitely.

#fefebot #benutzthierjemand

October 14, 2022 4:56pm

[l] Benutzt hier jemand WLAN unter Linux?

It would appear that there is a set of memory-related vulnerabilities in the kernel's WiFi stack that can be exploited over the air via malicious packets

Ja super!

#fefebot #benutzthierjemand #linux

September 28, 2022 8:56am

[l] Benutzt hier jemand expat zum XML-Parsen?

libexpat before 2.4.9 has a use-after-free in the doContent function in xmlparse.c

Tauschen wir aus, läuft alles wieder? Nee, expat wird gerne und häufig in andere Projekte übernommen. Die haben dann eine verwundbare Kopie in ihrem Source Tree. Einfach die Shared Library updaten ist möglicherweise nicht genug.

Wisst ihr, ich beobachte ja mit einer gewissen Genugtuung die Supply Chain-Panik um mich herum gerade. Ich hab das schon immer so zu halten versucht, dass ich möglichst wenige externe Libraries reinnehme in meine Projekte. Als ich mal XML parsen musste, habe ich mir daher lieber selbst einen nicht-generischen recursive descent-Parser geschrieben.

Der kann nicht allgemein XML parsen sondern nur die konkrete Ausprägung, und kann auch ganz viele Dinge nicht, z.B. keine Element Expansion, keine Schema-Validierung (das Schema ist hart einkodiert), hat keine Rekursionstiefeprobleme, etc pp.

Was habe ich dafür geerntet, von Leuten, denen ich das erzählt habe? Augenrollen. Wieso DAS denn, Fefe? Nimm doch expat!

Wobei expat zumindest von der Größe her tatsächlich relativ attraktiv aussah. libxml alleine ist größer als der Rest meines Projektes.

Tja, und so sitze ich jetzt hier, gucke mir eure Supply-Chain-Apokalypse an, und bin mit meinen eigenen Projekten nicht betroffen. Indirekt bin ich natürlich doch betroffen, denn ich verwende Firefox, und Firefox verwendet expat.

Seufz.

#fefebot #benutzthierjemand

July 20, 2022 8:56pm

[l] Benutzt hier jemand Atlassian Confluence? Und hat vielleicht irgendwann mal die App "Questions for Confluence" installiert?

Nun, der installiert einen Backdoor-Admin-Account mit hardkodiertem Password.

Was hat Atlassian zu ihrer Verteidigung vorzubringen?

This account is intended to aid administrators that are migrating data from the app to Confluence Cloud.

Oh ach soooo ist das! Wir machen die On-Prem-Geschichten schrittweise immer kaputter, bis auch der letzte von euch renitenten Pennern endlich unser Cloud"angebot" annimmt!1!!

#fefebot #benutzthierjemand

July 4, 2022 6:56pm

[l] Benutzt hier jemand "ADAudit Plus"? Das ist ein Compliance-Tool für Active Directory.

The CVE-2022-28219 vulnerability enables malicious actors to easily take over a network for which they already have initial access. Malicious actors could exploit this vulnerability to deploy ransomware, exfiltrate sensitive business data, or disrupt business operations.

They could also then go on to exploit XML External Entities (XXE), Java deserialization, and path traversal vulnerabilities to wreak additional havoc, according to an in-depth analysis this week by Horizon3.ai.

Das ist nicht gut, wenn der Bericht nach "da kann jemand alles kopieren und verschlüsseln" noch weiter geht.

#fefebot #benutzthierjemand

June 27, 2022 11:56am

[l] Benutzt hier jemand OpenSSL auf X86_64 Rechnern mit AVX512? Dann spielt mal diesen Patch ein.

#fefebot #benutzthierjemand

June 22, 2022 2:56pm

[l] Benutzt hier jemand Splunk?

Splunk Enterprise deployment servers in versions before 9.0 let clients deploy forwarder bundles to other deployment clients through the deployment server. An attacker that compromised a Universal Forwarder endpoint could use the vulnerability to execute arbitrary code on all other Universal Forwarder endpoints subscribed to the deployment server.

Ja Scheiße, Bernd! Hätte ich das gestern gewusst, hätte ich das in meine Folien eingebaut. Da ist eine Folie bei: Wenn Sie Network Monitoring machen, müssen Sie den Agenten und Sensoren und deren Cloud trauen. Die kommen in Ihrer Firma überall hin. Wenn die jemand hackt, der auch.

Aber mir glaubt sowas ja immer keiner. Die glauben ja auch noch alle, dass Schlangenöl nicht die Angriffsoberfläche erhöht.

#fefebot #benutzthierjemand

April 10, 2022 8:56am

[l] Benutzt hier jemand Software von Nvidia oder Adobe? Dann habt ihr euch möglicherweise ein node.js eingetreten, über das sich ein Angreifer vergleichsweise trivial Systemprivilegien holen kann.

Wer hätte das gedacht, dass das eine furchtbar schlechte Idee ist, Web-Pfuscher als Programmierer anzustellen, nur weil man nicht das Geld für kompetente Programmierer ausgeben will?

#fefebot #benutzthierjemand #twitter

I was gonna do a talk about this class of vulnerability but I dont have the time nor the health, so I'll just drop 0day:

Hopefully someone can run with this instead and make a tool or talk

Node.JS processing and private node.js packaging is not just present in Adobe...

A 💦🧵 https://t.co/QTWwHpwrKs
— Greg Linares (@Laughing_Mantis) April 7, 2022

November 16, 2021 4:56pm

[l] Benutzt hier jemand Github oder NPM?

Ja wie, sieht doch gut aus? Blablah darüber, wie wichtig ihnen Security ist, und was sie alles investieren für Security und so? Jahaa, das, meine Damen und Herren, ist wie Verzweiflung im Krisenmanagement aussieht.

Wenn man nämlich weiß, wonach man suchen muss, findet man folgende Absätze weiter unten im Kleingedruckten:

a vulnerability that would allow an attacker to publish new versions of any npm package using an account without proper authorization

Ja, richtig gelesen, liebe Leser! Mit einem Account konnte man jedes Paket überschreiben, nicht nur die eigenen.

Wie lange gab es das Problem? Gut, dass ihr fragt! Die Antwort könnte allerdings die Bevölkerung verunsichern!

This vulnerability existed in the npm registry beyond the timeframe for which we have telemetry to determine whether it has ever been exploited maliciously.

Das muss man sich mal auf der Zunge zergehen lassen. Das ganze NPM-Infrastrukturkartenhaus müsste man jetzt eigentlich mal kontrolliert sprengen und alles neumachen.

Sehr geil auch, wie sie euch dann nochmal 2FA andrehen wollen, obwohl das nichts geholfen hätte hier. Reine PR, genau wie das mit dem CO2-Fußabdruck, den euch BP ans Ohr schwatzen wollte. Damit ihr nicht darüber nachdenkt, wieso BP eigentlich nichts tut, sondern euch fragt, was ihr tun könntet. Genauso macht Github das hier jetzt auch. Erzählt euch was von 2FA, damit ihr nicht darüber nachdenkt, wie so das so epochal verkacken konnten. Github ist sogar noch ein bisschen krasser, weil sie die ganze Zeit den Eindruck zu erwecken versuchen, ihr Telemetrie-Sammeln sei ein Security-Feature. Was für eine bodenlose Frechheit, ey.

#fefebot #benutzthierjemand

November 8, 2021 1:56pm

[l] Benutzt hier jemand Cisco-Geräte?

Nein, nein, keine Sorge. Diesmal waren es keine hartkodierten Backdoor-Passwörter. Diesmal waren es "unintentional debugging credentials". Das ist was GANZ anderes!!1!

Diesmal war es keine Absicht!1!!

So glaubt uns doch!

Oh, warte, das war noch nicht alles!

The other critical hole is CVE-2021-40113, which can be exploited by an unauthenticated remote attacker to perform a command injection attack on the equipment's web-based management portal, thanks to insufficient validation of user-supplied input.

Einmal mit Profis!

"A successful exploit could allow the attacker to execute arbitrary commands on an affected device as the root user."

Was macht die Security-Abteilung bei Cisco eigentlich beruflich?

#fefebot #benutzthierjemand #cisco

September 14, 2021 12:56pm

[l] Benutzt hier jemand Travis CI?Stellt sich raus: Keine gute Idee.

Ich sage euch, die Leichtigkeit, mit der die Leute ihren Kram in die Cloud schieben, ist immer wieder atemberaubend.

Als ob das nicht dein Problem ist, wenn bei denen dann was kaputt geht!?

#fefebot #benutzthierjemand #twitter

Between the 3 Sept and 10 Sept, secure env vars of *all* public @travisci repositories were injected into PR builds. Signing keys, access creds, API tokens.

Anyone could exfiltrate these and gain lateral movement into 1000s of orgs. #security 1/4https://t.co/i23jFzAjjH
— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 14, 2021

July 12, 2021 2:56pm

[l] Benutzt hier jemand die Luca-App?

Da gibt es jetzt eine "In-App Rating"-Funktion. Warum? Das ist ja wohl das nutzloseste des Überflüssigen?

Naja nee. Die Leute da draußen glauben, sie würden darüber das Restaurant bewerten, nicht die App.

So ist die App gerade von 2 auf 4 Sterne gestiegen, über Leute, die dachten, sie würden gute Restaurants bewerten.

#fefebot #benutzthierjemand #twitter

Wie geil, #LucaApp klettert mit Bewertungen von 2 auf über 4, weil die Nutzer beim neuen "in-app rating" denken, sie würden Restaurants bewerten.

Gewusst wie, Chapeau an die Entwickler 🤪 pic.twitter.com/ltmGwGeZZG
— Marcus Mengs (@mame82) July 11, 2021