Security des tages

Nutzt hier jemand die libexpat?

Die Entwickler der quelloffenen XML-Parser-Bibliothek Expat (libexpat) haben eine kritische Sicherheitslücke geschlossen, die Angreifern das Einschleusen und Ausführen von Schadcode ermöglicht (CVE-2022-23852, CVSS 9.8 laut National Vulnerability Database, Risikoeinstufung kritisch). Die Bibliothek wird von zahlreichen Projekten genutzt, weshalb viele Systeme dadurch verwundbar sind

Diese bibliotek habt ihr fast überall drin, wo XML geparst wird…

Aber linux ist doch sicher, oder?

Das kleine fehlerchen in polkit (früher als policykit bekannt), das eine beliebige ausweitung von benutzerrechten ermöglicht, liegt seit dem jahr 2009 für „kreative anwendungen“ offen:

Die Ausnutzung der entdeckten Lücke versetzt einen lokalen unprivilegierten User mit wenig Aufwand in der Lage, volle Root-Rechte auf einer Maschine zu erlangen. Dazu muss nicht einmal der Polkit-Daemon laufen. So schreibt denn auch der Entdecker Gordon ‘Fyodor’ Lyon, Schöpfer von Nmap, diese Lücke sei der »Traum eines jeden Angreifers«

Aber dafür ist der angriff auch nicht so schwierig, sondern eher eine übung für aufgeweckte kinder. Wer polkit auf BSD einsetzt, hat allerdings nichts zu befürchten, denn dort weigert sich der kernel, ein execve() auszuführen, wenn argc 0 ist. Linux ist da leider ein bisschen flexibler… 🤭️

(Warum eigentlich?)

Guhgell und ändräut des tages

QR-Codes in freier Wildbahn sind grundsätzlich verdächtig – besonders Misstrauen ist angezeigt, wenn man sie mit der Camera-App eines Pixel-Handys unter Android 12 ausliest. Algorithmen der App verändern beim Auslesen von QR Codes darin enthaltene Links leicht und schlagen dann sehr ähnliche, aber falsche Webadressen zum Öffnen vor. Ein Klick, und der User landet bestenfalls bei einer Fehlermeldung, schlimmstenfalls direkt in den Armen eines gewieften Angreifers

Lasst uns überall „künstliche intelligenz“ verbauen, haben sie gesagt. Dann sind unsere dinger nicht nur „smart“, sondern auch noch „intelligent“, haben sie gesagt.

Mein tipp für leute, die unbedingt einen mobilkompjuter der größten privatwirtschaftlichen überwachungsfirma der welt durch ihr ganzes leben tragen wollen und jetzt doch finden, dass solche auch von kriminellen ausbeutbaren fehler ein bisschen weit gehen: nehmt einfach eine freie äpp, wo scheißguhgell nicht drin rumgepfuscht hat! Kostet nichts. Und da sind auch keine versteckten guhgell-produktmerkmale drin. Und wer sein zeug unbedingt aus dem guhgell-äppstohr beziehen will: hier lang. Ich finde die TU darmstadt jedenfalls vertrauenswürdiger als scheißguhgell. Aber wenn man ein wischofon mit sich rumträgt, hat man sich von den ideen der privatsfäre und des eigentums an bezahlten geräten ja schon längst verabschiedet… alles so schön bunt und flutsch hier, das ist viel wichtiger.

Security des tages

Teure autos zu klauen, ist dank der „industriestandards“ in der kompjutersicherheit nicht mehr so schwierig:

Dem 19-jährigen Sicherheitsforscher David Colombo ist es gelungen, weltweit 25 Tesla-Fahrzeuge unter seine Kontrolle zu bringen. Anschließend konnte er bei den betroffenen Gefährten unter anderem das Sicherheitssystem (den Sentry Mode) deaktivieren oder auch Türen und Fenster entriegeln. Selbst das Starten des Fahrzeugs sei ihm auf diesem Weg möglich gewesen, betont der Hacker auf Twitter.

Was den Angriff besonders unerfreulich macht: Eine physische Nähe ist dafür nicht notwendig. Genau genommen sind die Betroffenen über 13 Länder verstreut. Allerdings gibt es auch eine gute Nachricht: Der dafür verantwortliche Fehler ist zumindest nicht direkt in der Tesla-Software zu finden. Und doch zeigt sich eine in der Praxis nicht zu unterschätzende Gefahrenquelle. Gegenüber Bloomberg betont der in Bayern lebende Sicherheitsexperte nämlich, dass der Fehler an einer Drittsoftware liege, die Zugangsinformationen zum Tesla-Konto auf unsichere Weise abspeichern würde. Das heißt, er ist wohl über ein bei einer anderen App gespeichertes Zugriffs-Token in den Account der betroffenen Nutzer gekommen, womit er dann in Folge die Kontrolle über deren Fahrzeuge übernehmen konnte

Freut ihr euch auch schon so auf die ersten erpressungstrojaner für autos? Mit meldungen wie „wenn sie nicht sterben möchten und wieder die gewohnte bremswirkung haben möchten, geben sie mir jetzt zweitausend øre in bitcoin“? Natürlich während der motor sein bestes gibt, scheißegal, ob man das gas tritt oder nicht.

Das ist nur noch eine frage der zeit.

Im moment sind verschlüsselungstrojaner für kriminelle noch einfacher und ergiebiger, aber irgendwann bringts das nicht mehr, weil zumindest die unternehmen vernünftige datensicherungsstrategien haben werden und auch vorher mal testen, ob man die datensicherung problemlos zurückspielen kann. Daran, dass einfach mal was anderes als windohs, ixtschäjhnsch, meikrosoft offißß und autluck eingesetzt wird, kann ich leider nicht glauben. Die schmerzen können offensichtlich gar nicht schlimm genug werden, dass man davon wieder abkehrt, nachdem man schon so viele schmerzen wegen dieser gärenden scheiße ertragen hat. Da wäre ja die ganze schmerzinvestizjon sinnlos!!1!

Aber irgendwann sind autos das näxste ziel für die kriminellen, weil menschen, die im auto sitzen und auf einmal keine kontrolle mehr haben, sehr zahlungsbereit sein werden. Und es gibt ja so viele autos auf der welt, alle gebaut von unternehmen, die sich noch weniger gedanken um kompjutersicherheit machen als meikrosoft…

Oh, meine glaskugel ist runtergefallen! 🔮️

Benutzt hier jemand wördpress?

Angreifer könnten sich wohl persistent mit einer XSS-Attacke auf einer WordPress-Website verewigen. Dabei wird in der Regel Schadcode auf einem Server gespeichert und beim Besuch der Seite ausgeliefert. In zwei anderen Fällen klingt es so, als könnten Angreifer eigene SQL-Befehle ausführen

Weia! Spielt mal schnell den fix ein!

Security des tages

c’t deckt auf:
Sicherheitslücke in elektronischer Patientenakte

2022 bekommt jeder Kassenpatient eine elektronische Patientenakte. Darin gespeicherte Dateien könnten Viren enthalten und Arztpraxen und Kliniken infizieren

Um die clickbäjht gleich mal ein bisschen weniger lecker zu machen: man kann dort in eine krankenakte mit einem bisschen trickserei auch ZIP-archive hochladen, weil nur der mimetype geprüft wird. Und ein ZIP-archiv kann natürlich alles enthalten. Schadsoftwäjhr zum beispiel. Auch mal mit irreführendem namen, damit ein medizinspezjalist, der kein kompjuterspezjalist ist, auch darauf klicki-klicki macht, ist ja ein sicheres system. Oder eine ZIP-bombe. (Wer nicht weiß, was das ist, kann ja mal versuchen, die eben verlinkte datei vollständig zu entpacken. Sie enthält übrigens keine schadsoftwäjhr, kann aber trotzdem einen kompjuter lahmlegen.)

Und wie man daran sieht, dass nur der mimetype geprüft wird, wurde auf security überhaupt kein wert gelegt. Einem solchen system kann man alles unterjubeln. (Mal schauen, wann ärzte damit beginnen, über ein solches system kinderraubfickmordkopien zu tauschen.) Deshalb ist der artikel auch nicht nur clickbäjht, obwohl die überschrift ein bisschen… na ja… ist. Ich hätte sie auf die schnelle aber auch nicht viel anders formuliert, nur das unappetitlich-bildzeitungige „deckt auf“ weggelassen. Die möglichkeit, dass krankenhäuser mit schadsoftwäjhr übernommen werden können, ist übel genug.

Diese ganzen digitalen leuchtturmprojekte in der BRD aber auch immer!!1!

„Cyber cyber“ des tages

Webseite des Bundesfinanzhofs nach Log4j-Angriff offline

Aufgrund eines Angriffs auf die Log4Shell-Schwachstelle haben die Behörden die Webseite abgeschaltet. Das interne Netz sei jedoch nicht betroffen

Wie, hat die ci-ca-cyberwehr der bundeswehrmacht nicht diese ganzen gefährlichen sicherheitsschwachstellen vorher erschießen können? Tja, dann wird eben rumgecybert.

Programmiert in java, haben sie uns gesagt…

…denn das ist sicher, solide und verständlich, haben sie uns gesagt:

Auch mit der gesamten Codebasis und einem Index darauf kann man nicht vorhersagen, was eine gegebene Java Codebase tun wird, wenn man sie startet. Es braucht auch noch Konfigurationsdateien […] Oder jedenfalls ist das, was wir denken sollen: Mit den Properties und der Codebasis können wir endlich versuchen zu verstehen, was Java tut. Und das wäre auch beinahe so, aber JNDI ist genau angetreten, dieses Problem zu beheben: Directory Lookups!

Statt also die Anwendung und ihre Konfiguration zu paketieren und dann die Pakete in Produktion zu installieren, können wir nun mit JNDI die Konfiguration vom Netz lesen. Das heißt, die eigentlichen Konfigurationsdateien, die uns sagen, was die Anwendung tut, sind… nicht mehr da. Fortschritt!

[…] Aber im Ernst: Viele behandeln den log4j-Exploit wie einen Bug, einen Programmierfehler, eine Verletzung einer Spezifikation. Genau das ist jedoch nicht der Fall: Es funktioniert – wortwörtlich – endlich einmal alles wie spezifiziert und dokumentiert: All die Modularität und dynamische Erweiterbarkeit von Java hat ganz wunderbar und genau wie geplant zusammengearbeitet und funktioniert. Darauf haben wir dekadenlang hingearbeitet!

Ob menschen wohl noch einmal kapieren werden, dass komplexität in der softwäjhrentwicklung das genaue gegenteil von sicherheit und robustheit ist? Nein, menschen werden auch weiterhin durch schmerzen lernen. Nur ohne das lernen.

Übrigens: dieser pätsch, den sie neulich noch überall angepriesen haben, um das klaffende sicherheitsloch zu schließen, funkzjoniert nicht.

Kurz verlinkt

Trügerische Sicherheit:
Virenscanner-Apps sind schlichtweg überflüssig

[…] Die meisten Virenscanner-Apps können locker mit Schadsoftware mithalten, da sie mehr Daten an den Anbieter oder Marketing-Unternehmen übermitteln, als für die Funktionserbringung notwendig […] Einzig der quelloffene Malware-Scanner Hypatia verzichtet auf die Integration von Tracking-Bibliotheken. Alle anderen Anbieter machen zum Teil exzessiven Gebrauch davon. Ein insgesamt erschreckendes Ergebnis

Javascript des tages

Ich gebe mal weiter an Fefe. Aber keine tischkanten in gebissnähe! Es sind diesmal richtige SCHMERZEN.

Für die, die es nich wissen: npm ist der paketmänätscher für node.js, eine laufzeitumgebung, die javascript außerhalb des webbrauser ausführen kann. Wird insbesondere auf dem sörver eingesetzt. Was kann da schon schiefgehen, wenn jeder hansel jeden beliebigen kohd unterschieben kann. Und eine kohding-kultur, in der auch noch die überflüssigsten module 430.000 mal in der woche runtergeladen werden, macht das problem nicht gerade kleiner. Wenn ein geringer aufwand zur übernahme von milljonen sörvern mit schadsoftware führt, dann ist der cyber-cyber-angriff zwangsläufig.

Javascript des tages

Entwickler, die sich jüngst die Pakete coa oder rc aus dem Repository von npm für die JavaScript-Laufzeitumgebung Node.js heruntergeladen haben, haben ihren Computer mit hoher Wahrscheinlichkeit mit Schadcode infiziert. Problematisch ist, dass beide Pakete zusammengenommen pro Woche mehr als 20 Millionen mal heruntergeladen werden

Huch!

Netzpolitik punkt org wurde von kriminellen „funkzjonserweitert“:

Am Samstag, den 6. November 2021, lieferte unsere Website ein bösartiges Skript aus, das in manchen Fällen versucht hat, durch Drive-By-Angriffe Nutzer:innen zur Installation von Schadsoftware zu bringen […] ein bösartiges Skript, das manchen Leser:innen beim Besuch der Seite ein Fenster anzeigte, dass sie vermeintlich ihren Browser aktualisieren sollen. Diese Fenster haben auf Websites weitergeleitet, auf denen Schadsoftware verteilt wird. Soweit wir wissen, betraf das Windows-Nutzer:innen, die Seiten waren auf die jeweils verwendeten Browser Chrome und Firefox angepasst

Seht ihr, deshalb gewährt man nicht jeder webseit das recht, javascript im brauser auszuführen, obwohl es keinen technischen grund dafür gibt!

Phishing des tages

Gebt jedem neben eurer mäjhladresse und einem passwort auch noch eure klingeling telefonnummer, damit es nicht mehr reicht, wenn eure mäjhladressen und passwörter mal veröffentlicht werden, haben sie uns gesagt. Dann könnt ihr euch in einem zweistufigen verfahren anmelden und alles wird viel sicherer, haben sie uns gesagt.