Big Drama Date, Ärger am Cyberkusch - Alles rund ums Thema Hacks/Leaks/Datensicherheit/...

Auf das am naheliegendsten kommt man halt oft zuletzt.

 

Du hast schon insofern Recht, dass IT-Sicherheit halt so selbstverständlich sein muss, wie eben Sicherheit in anderen Ingenieursbereichen wie z.B. bei der Elektrotechnik und im Maschinenbau. Aber gerade Microsoft würde ich jetzt nicht vorwerfen, dass die das Thema nicht ernst nehmen.

Davon abgesehen ist Software was Abhängigkeiten und Seiteneffekte angeht halt einfach komplexer als ne Metallpresse, sodass Software nie richtig fehlerfrei ist.

 

Doch, gerade Microsoft muss man das gerade in diesem Fall vorwerfen.

https://www.golem.de/news/exchange-...durch-textdatei-ausgetauscht-2103-154797.html

Bei so einer Firma will man doch in die Cloud gehen.

Microsoft hat die Lücke ohne Vorwarnung wochenlang offengelassen, wusste schon Anfang Januar darüber Bescheid: https://www.golem.de/news/exchange-...t-zwei-monaten-von-zero-days-2103-154780.html

Wir sind mittlerweile an einem Punkt, wo es nicht unwahrscheinlich ist, dass der nächste große Krieg über Cyber-Attacken geführt wird. Der Point of no Return ist wahrscheinlich bereits weit überschritten. Und genau diese Einstellung hat uns dahin gebracht. Es ist ja nicht mal die Software, die "nie richtig fehlerfrei ist". Schon die CPUs sind komplett voller Sicherheitslücken, die Hardwareplattform darunter auch. Es ist ein Fass ohne Boden. Man muss jedes Gerät mit einem Microchip als verwundbar ansehen, völlig egal ob es das Medizingerät im Krankenhaus, der eigene PC oder das Internet of Shit-Device ist.

https://www.bloomberg.com/opinion/a...t-a-world-conflict-like-none-ever-seen-before

 

Ok überzeugt, ich dreh mich um 180° und stimme dir zu.

Was das Thema Komplexität und Lücken angeht... der Fehlerfall muss halt mit eingeplant werden. Jeder elektrische Schaltkreis ist im Grunde unter der Annahme aufgebaut, dass klar ist, dass dieser durch einen Fehler versagt und in dem Fall gibt es es dann halt Redundanzen und verschiedene Sicherheitsnetze. Der kürzlichen Hack des Wasserwerks in den USA war halt, weil man nen Prakikanten irgendwann mal nen Passwort zur Steuerung geben hat, das nie geändert hat und noch dazu keine richtigen Berechtigungen gesetzt hat. Da hilft dir halt auch die beste Software der Welt nichts.

 

Es ist sicher eine sehr komplexe Lage und natürlich gibt es auch auf der menschlichen Bedienerseite unfassbar viele Fehler. Aber bei so Sachen wie dem Exchange-Server-Vorfall, da kannst du eigentlich so gut aufgestellt sein wie du willst, da bist du schlichtweg machtlos. Brauchst dann halt Backups und musst die Systeme bestenfalls neu aufbauen, aber selbst das ist massiver Aufwand.

Es hat schon seinen Grund wieso der Exchange-Server als so schwer administrierbar gilt und wieso es seitens Microsoft auch nicht leichter wird. Böse Zungen behaupten ja, man möchte damit die Kunden zu Microsoft 365 holen, aber da Microsoft selbst entsprechende Empfehlungen gibt, ist das halt sogar sehr wahrscheinlich. In der Cloud ist der Vendor Lock-In dann noch größer und Microsoft kann beliebig an der Preisschraube drehen...

 

https://www.golem.de/news/deutsche-...sselbe-schicksal-wie-de-mail-2103-154876.html

Hätte ja keiner ahnen können

 

https://www.zeit.de/digital/interne...bsi-schwachstelle-mail-server/komplettansicht

deutsche Unternehmen:

 

Gibt doch noch gar kein fertiges Produkt. Davon abgesehen; was genau soll das jetzt sein?

Ja, an der ein oder anderen Stelle würden, vielleicht mal verbindliche Vorgaben helfen. Z.B. eine Verpflichtung zu regelmäßigen Sicherheitspatches. Das Problem in Deutschland mit der Gesetzgebung in dem Bereich ist, dass halt häufig einfach vorgeschrieben wird, irgendwas zu dokumentieren. Bei so einer ISO 27001 Zertifizierung entstehen ja auch nur Papierberge und kein Stück Code.

In meinen vergangenen Projekten hatte ich sogar das Glück, dass dei Entwickler das Thema IT-Sicherheit sehr ernst genommen haben und ich das als Projektleiter auch gemacht habe. Da gab es dann aber halt das Problem des Legacy Codes (Was in Deutschland jetzt ja auch nicht selten ist), und oh Wunder zu wenig Investment. Da kriegst du beim Kunden der mit dem Produkt nen mittleren 7stelligen Umsatz macht, nicht durchgesetzt, dass man mal 50 PT in die Hand nimt um den Patchprozess so zu ändern, das wir Updates erzwingen können. Der Kunde hat es nichtmal geschafft die Endkunden die dann teilweise halt noch mit 2-3 Jahre alten Versionen rumrennen, anzuschreiben, dass Sie doch mal bitte ein Update aufspielen. Selbst für die LDAP Funktion für 5 PT zu geizig und gleichweise wundert man sich, warum der Absatz sinkt.

Der Kunden ist übrigens eins dieser Unternehmen, das DE-Mail mit versaut hat.

 

https://www.golem.de/news/bundesreg...t-erreicht-soll-aber-bleiben-2103-155194.html

 

Welch Überraschung.

Danke CDU, danke Kohl, für nichts.

 

Ich frage mich gerade ob irgendeine Bundesregierung (egal welche) in den letzten 50 Jahren überhaupt schon mal ein selbst gestecktes Ziel innerhalb der selbst gewählten Frist erreicht hat?

Und vielleicht sogar noch im selbst geplanten Budget geblieben ist (OK, spätestens jetzt befinde ich mich gedanklich nicht mehr in Deutschland, sondern in Phantasien). :nem:

 

https://www.golem.de/news/schulen-b...nen-euro-fuer-lte-router-aus-2103-155223.html

Welch zukunftsträchtige Lösung.

 

https://twitter.com/netzpolitik/status/1378405462127865859

Ups ... ^^

 

Neue Exchanhe Lücken
https://www.bsi.bund.de/SharedDocs/...21-207541-1032.pdf?__blob=publicationFile&v=2

 

Und die Amerikaner so: Nur bei einem Anbieter? Wir können überall mithören!

https://www.golem.de/news/interne-u...e-telefongespraeche-abhoeren-2104-155839.html

 

https://www.golem.de/news/interne-e-mails-facebook-moechte-datenlecks-normalisieren-2104-155876.html
Das man mal paar Infos und Daten verliert oder maseenhaft abgeschnorchelt werden ist Normal und sollte auch solche Banalität und Gegebenheit angesehen werden. Immer so einen medialen Aufschrei bei Datenlecks braucht es echt nicht. Danke Facebook, wieder etwas gelernt

 

Schnaufte sehr:
https://signal.org/blog/cellebrite-vulnerabilities/

Cellebrite bietet Lösungen zum Auslesen von Smartphones an. Seit neuestem mit Signal-Support. Eines ihrer Produkte ist vom Laster gefallen und wurde von den Signal-Leuten gefunden und analysiert.

Blogbeitrag sehr zu empfehlen.

 

https://www.golem.de/news/graue-fle...-von-vectoring-kann-fliessen-2104-156019.html

 

Argh!

 

Sehenswerte Zusammenfassung zum Thema Mirai.
https://www.youtube.com/watch?v=uletKRPMnuo

 

Digitale Kompetenz der Bundestagsverwaltung ...

https://twitter.com/fragdenstaat/status/1394718942195769355

Was zum ...

 

1. Es geht auch um https-Adressen
2. Es geht um externe Links im allgemeinen, nicht tagesschau im Speziellen.
3. Externen Internetzugriff zu sperren ist, wenn er nicht notwendig ist, eine ziemlich effektive Sicherheitsoption

 

Mich stellt mehr die Frage weshalb die Verwaltung so dermassen eingschränkt ist. Ich weiss nur aus dem Schweizer Verwaltungsnetz, zu welchem man auch als Armeeangehöriger Zugriff haben kann, sind nahezu alle anständigen Webseiten erlaubt. Unanständig sind zum Beispiel Dropbox und Gamestar.
Es gibt sicher Teilnetze in denen weniger möglich ist, aber ich bezweifle mal, dass das schweizer Äquivalent zur Bundestagsverwaltung in ihrer normalen Officeumgebung nicht auf die Nachrichtenseite eines öffentlich rechtlichen zugreifen kann.
Falls doch sollte man einen zweiten Client haben um entsprechende Anfragen schlau beantworten zu können.

 

Augen auf was man so fotografiert bzw. was auf dem Bild zu sehen ist
https://www.golem.de/news/kriminali...d-kaese-foto-zum-verhaengnis-2105-156755.html

 

Hat ja CSI potential, wo die wie irre in sau schlechte Fotos zoomen und ein super aufgelösgtes bild generieren.

Die FInger sind ja sau unscharf auf dem Foto

 

Ich schätze mal das ist nicht das Originalfoto sonder eine runterskalierte Version.

Edit: ja https://www.merseyside.police.uk/ne...jailed-as-part-of-national-operation-venetic/

 

ist ja kein wunder fast jedes einiger Masen moderne Handy hat ja 4k oder noch besser Auflösung bei Bildern und 6k und 8 k ist ja aufm Vormarsch. das das Bild für die Webseite runter skaliert wird ist ja klar so nen 4k Bild hat auch mal seine 12-50mb für ne News Webseite einfach zu viel.

Aber könnte lustig werden in Zukunft wenn es an heißt das man in Video auch Finger Bluren muss wegen DSGVO

 

Mn hat doch schon die Fingerabrücke von Wolfgang "schwarze Konten" Schäuble von Fotos nachgebaut ... das ist jetzt echt nix neues

 

https://www.hardwareluxx.de/index.p...mentar-deinstalliert-die-luca-app-update.html

Erst Dachte ich: Ja gut, soll mal einer versuchen. Irgedein dummer Anwender wird alles mit Ja wegklicken und schwupps, war es das.
Und hoffen, dass die Behörden/Länder endlich mal dazulernen.
Behörden: Das die IT ordentlich aufgestellt gehört und zumindest die von Microsoft empfohlenen Gruppenrichtlinien genutzt werden.
Länder: Das die nicht unmengen an Kohle für den Bullshit raushauen.

Aber dann dachte ich, wenn die Gesundheitsämter lahmgelegt werden, dauert meine Impfung ja noch länger

 

Deinstalliert? Nie installiert.

 

So nämlich!

 

Das sich da immer noch nichts geändert hat obwohl seit Wochen bekannt ist einfach nur erbärmlich von Seiten der Behörde und der Regierung. Es gibt seit Wochen die CWA mit der gleichen Funktion die sicher ist und nichts, muss in Läden immer noch die doofen Zettel.

 

Auf Hardwareluxx steht, dass die Luca App in einigen Ländern Pflicht ist.
Ist das so?
Wie kann denn eine App verpflichtend sein?

 

Also in NRW und nur davon kann ich sprechen ist sie nicht verpflichtend.
Wenn das aber stimmt WTF, wir haben die CWA die vom Bund extra entwickelt wurde genau für so Sachen da kann man doch nicht einfach eine dahergelaufene App verpflichten die ein Daten Leck nachdem andren hat oder immer noch das gleiche keine Ahnung.

 

Bin auch NRWler.
Kann kaum verpflichtend sein.
Was macht ein alter Mensch ohne Smartphone?

Super ärgerlich, wieviele Millionen verschwendet werden.
Schulen hätten das Geld besser gebrauchen können.

 

Der Fix von der Luca App sieht jetzt so aus
https://twitter.com/mrtoto/status/1397467675295617025



weil das ist das Ergebnis
https://twitter.com/Wasserbombe/status/1397600383804092417

 

Hätte ich auch für ein paar Millionen hinbekommen

 

Eh egal, die Gesundheitsämter, haben eh schon gesagt, dass die mit dem Bums nichts anfangen können.