Kantorkel vom CCC hatte in der Corona Zeit ein bisschen Langeweile und hat ein paar offenen Servern gefunden. Diese Geschichte findet sich auch schon hier als Mitteilung beim CCC. Aber besonders schön ist es, wenn dies auch als Podcast erzählt wird.
Besonders interessant finde ich, dass hier eigentlich oft nur die Best Practices nicht beachtet wurden. Das kann also jedem mal passieren. Aber trotzdem erschreckend.
Schlagwort: Sicherheitslücken
NSO Pegasus iPhone Exploit
Der NSO Exploit für das iPhone ist tatsächlich technisch echt beeindruckend gelöst. Ich sag mal so: Ein NAND Gatter zum Ausführen von Code innerhalb eines Buffer Overflows ist wirklich hart beeindruckend. Mehr findet sich auch in diesem Heise Kommentar dazu.
Ich finde aber auch die Erklärung von Linus und Tim sehr schön auf den Punkt gebracht in der Logbuch Netzpolitik Folge. Einfach dort den Player starten und man hört direkt ab dem NSO Kapitel.
Der Xerox Vortrag ist natürlich auch weiterhin passend dazu:
Log4j Sicherheitslücke
Es gibt mal wieder eine Sicherheitslücke. Diesmal in der weit verbreiteten Java-Logging Bibliothek "Log4j" wie Heise berichtete.
Wenn man die Liste der Firmen anschaut, welche diese Bibliothek mutmaßlich einsetzen ist das auch leicht erschreckend. Hinzu kommt, dass Java eben auch mehr oder weniger die Hauptprogrammiersprache ist, wenn es um Geschäftsanwendungen geht. Eben weil es dazu auch schon sehr viele Bibliotheken gibt.
Dieser XKCD zum Thema Dependency bringt es wirklich gut auf den Punkt. Irgendjemand schreibt eine ziemlich gute Bibliothek und viele Programmierer nutzen diese einfach. Das ist durchaus legitim, man nennt es auch Open Source Software. Allerdings hatten wir doch schon mal mit Heartbleed Lücken in der OpenSSL Bibliothek das gleiche Szenario. Irgendjemand kümmert sich in seiner Freizeit unbezahlt um eine Bibliothek, die wiederum sehr viele große Firmen einfach kostenfrei nutzen. Vermutlich bekommt dieser Programmierer nicht mal irgendeine Form des Dankes zurück. Und dann wundern wir uns, wenn irgendwann mal eine Sicherheitslücke gefunden wird und plötzlich das ganze Internet davon betroffen ist. 
Die gesammelten Memes dazu sind jedenfalls goldig.
Dieser Tweet fasst die Situation auch nochmal gut zusammen. Besonders bemerkenswert finde ich die Tatsache, dass ausgerechnet die Minecraft Leute diesen Bug entdeckt haben. 
Das kam wirklich unerwartet. Scheinbar ist die Mod Community dort mittlerweile auch sehr gut in solchen Dingen. 
"How to RCE billions of Java apps by fuzzing Minecraft" was not in my bingo card for this century.
— Alesandro Ortiz ?????? (@AlesandroOrtizR) December 12, 2021
Ich bin echt gespannt, was nun alles bei uns in der Firma davon betroffen ist und wie schnell man das Problem abstellen kann.
Update vom 13.12.2021:
Heise hat schon einen Artikel mit Lösungsvorschlägen veröffentlicht.
Golem hat natürlich auch einen Beitrag dazu veröffentlicht.
Schöne neue Welt (Sicherheitslücken in vernetzten Alarmanlagen)
Sobald man an Dinge Internet anklemmt werden sie automatisch smart. Zumindest scheint das zu gelten, wenn man gerade den ganzen IoT (Internet of Things) Quatsch mitbekommt.
Trotzdem gilt auch da was im normalen Internet via PC oder Smartphone gilt: Verschlüsselung und vernünftige Authentifizierung ist notwendig um sich an den System anzumelden.
Warum das gerade Hersteller von Alarmanlagen nicht beachten ist schon erstaunlich: Artikel bei Heise