 Herzlich willkommen zur Security-Safari in Borkenland. Es ist mir eine große Ehre, euch auf unserem Hexen-Channel jetzt eine besondere Reise ankündigen zu können. Wir hatten ja heute Mittag schon die Kaffee-Fort in Starknet und jetzt gehen wir auf Safari in Sporkenland. Die beiden Schwachstellendom-Töre, die mir und Hattie nehmen uns mal wieder mit auf die Reise quer durch die Schwachstellen in der IT-Security. Mit dabei sind, ich zitiere, Zero Days in Microsoft Exchange und diversen VPN-Lösungen, 21 Sack-Nägel im E-Mail-Server, Exem und feine Zugriffsbeschränkungen auf Gesundheitsdaten in diversen mit COVID-19 bezogener Software. Also buntes Programm. Aber keine Angst. Der Vortrag ist besonders auch darauf ausgelegt, dass Personen, die bisher mit IT-Sicherheit noch nicht so viel zu tun hatten, mitgenommen werden. Es ist wirklich eine ganz entspannte Safari, die mit Sicherheit auch sehr, sehr viel Spaß macht. Eine Warnung gibt es dennoch. Es wird gegen Ende des Vortrags auch um digitale Überwachung von Menschen, also insbesondere Frauen gehen und Menschenrechtsverletzungen. Wenn ihr momentan die Kraft dazu nicht habt, bleibt vielleicht nicht bis zum Ende, nehmt euch jemanden an die Seite. Das ist überhaupt kein Problem. Ihr könnt den Talk ja auch noch zu einem anderen Zeitpunkt schauen. Für Fragen während des Vortrags haben wir ein Signal Angel. Das ist diesmal Zuckerkeks auf Twitter und im IRC und auch auf Rocket und wird die Fragen dann von euch sammeln. Und im Anschluss gibt es ein Q&A im Big Blue Button in der awesome Aida. Und da werden wir dann die Antworten besprechen. Dort könnt ihr auch noch mal Live-Fragen stellen und die mir und Hattie werden sie dann beantworten. Und jetzt ganz, ganz viel Spaß auf der Safari. Ja, hallo allerseits. Herzlich willkommen schön, dass euch unseren Talk über Security-Safari in Borkenblendt anhören wollt. Ein kleiner Talk über was in der IT 2021 so ein bisschen nicht ganz hingehaut hat. Zuerst eine kleine Content-Fahrung. Und zwar ist es so, dass wir an einer Stelle über digitale Überwachung von Menschen sprechen werden, spezifisch auf Smartphones. Insbesondere geht es darum auch um Partnerinnen, die überwacht werden. Also falls das für jemanden problematisch ist dann, ja, es wird davor auch noch mal einen kurzen Hinweis geben. Das heißt, ihr könnt es auch dann aus dem Talk aussteigen. Ja, also ganz kurz zu uns. Also zuerst zu mir. Also ich bin der Dimir. Ich bin seit 2016 im Chaos und Ödokup Wien tätig dort. Ja, unter anderem bei der Privacy-Videos und vor allem auch bei Chaos noch Schule. Und bin aktuell als Junior E-Disecurity Analyst bei ZER-Datee angestellt. Das ist das österreichische Äquivalent zu dem, was bei euch, was in Deutschland ungefähr das PSI ist. Hattie. Ja, hi, ich bin der Hattie. Ich bin auch im Chaos und Ödokup aktiv in verschiedenen Events und Aktionen. Ich bin auch im Ex-Base-Meter Lab aktiv involviert. Sonst um meiner Freizei mache ich auch Capture the Flag-Event, so wie quasi IT-Sicherheitsprobleme lösen im Team Bionio von der TU Wien. Und ansonsten in meinem Brotberuch bin ich IT-Security Experte und mache Software kaputt und werde dafür bezahlt, um zu dokumentieren die Sachen. Kommen wir zum Thema, warum machen wir diesen Talk überhaupt? Das wichtigst du zuerst, sich als Lücken betrefft uns alle, sei es euch, eure Großeltern, eure Freunde, der Umkreis quasi jeder von uns hat Technologie zu Hause oder Nusstechnologie und die sind leider nicht fehlerfrei. Das weitere Problem ist, dass es sehr viele Security-Lingungen gibt, also quasi Security-Begriffe und auf die schwersten Leuten die Einordnung mit, was heißt das für uns oder was wie gut ist das. Und dieses Security-Lingo erleicht auch oft eine Unter- oder Übertreibung. Und wenn man sich nicht auskennt, dann kann irgendwas ganz triviales, was nicht so schlimm ist, voll schlimm sich anhören und zu einem, ob es dann nicht der Fall ist. Und das Ding ist auch, dass die konkreten Aushöhungen oft unklar sind. Also man kann oft nicht einschätzen, wie schlimm ist das, wenn man oft das Fachwissen nicht hat. Und wir würden gerne ein bisschen Einblick bringen in diese Welt und euch ein bisschen Dinge erklären und zeigen, damit man besser die Dinge versteht. Zu dem Fahrplan von diesem Talk, wir haben alles erst mal die kurze Basics-Game mit euch durch. Dann machen wir E-Mail, quasi die ganzen Themen, die ihr euch quasi oft dann habt, ihr nutzt. Also E-Mail, virtuelle bewahrte Networks, VPNs, Wiki, Wissens, Management-Systeme, Java, Drucker-Office, Videokonferenz-Lösungen und beim Schluss noch Smartphones. Kommen wir zu dem Basics. IT-Sicherheit basiert auf dieser CI-Triade. Das sind quasi die fundamentalen Aspekte von IT-Sicherheit. Die bestehen aus Confidentiality, also Vertraulichkeit von Daten, dass sie quasi nur für die Personen zuzugereicht sind, für die sie quasi da sind, die Daten und nicht für andere. Dann Integrity, das heißt, dass die Information nicht verändert wird oder nur für eine Person verändert wird, die es verändern dürfen. Und Availability, also Verfügbarkeit, also dass die Daten auch immer zurückbar sind, wenn man sie halt braucht und nicht irgendwie da nicht zurückbar sind. Wir teilen in der IT-Sicherheit gerne die Sicherheitslücken, vergeben wir quasi halt ITs. Und da gibt es diesen Standard-CVI, also Common Vulnerability Enumeration, also quasi eine IT für Schwachstellen. Die wird dann vergeben und jetzt in Format CVI, dann kommt die Jahreszahl und dann kommen ein paar Zahlen dahinter, die was ja aufsteigend sind. Ein Beispiel, weil dieses CVI 2021 2908, das könnt ihr dann gerne nachschauen, was das für eine Sicherheitslücke ist, ist aus dem Jahr 2021. Und das ist weil das übliche Format, das heißt, wenn man eine Sicherheitslücke findet, dann kann man dieses CVI quasi Anforderung gehen bei der Stelle, die es ja ausgibt. Bestattet kurz, was die Lücke ist und wenn das passt, wie man das CVI zugewiesen hat, also das ist eine eindeutige Idee dafür. Dafür in Kombination gibt es auch das CVI SS, das Common Vulnerability Scoring System, es ist quasi ein Wertungssystem, wie schlimm sind die Sicherheitslücken quasi in der Skala. Also es beurteilt die Klitikalität, die Skala geht von 0, das heißt ungefährlich, bis 10 quasi, das ist komplett kaputt und am besten Neuschreiben und vom Netz nehmen oder Offline nehmen. Sie sind auch extrem subjektiv. Also es gibt auch verschiedene verfehlende Wertungsmetriken, wie man das quasi zusammenzählt, werden wir auch mal kurz später auch eingehen. Dann die Mitrie Erzählung mal, was gibt es dann auch, was ich jetzt zu wenigstens, halt die Security? Ja, also der Punkt ist natürlich klar, es gibt keine hundertprozentige Sicherheit, das wird sich immer ändern, es wird immer Dinge geben, die nicht so funktionieren, wie man das gerne hätte. Und vor allem halt Angreifen erinnern werden, immer neue Techniken auch finden, um Dinge zu umgehen und Sicherheitsvorkehrungen auszuhebeln. Also das ist immer so ein bisschen so ein Katz- und Maus-Spiel. Und da gehen wir mal weiter zum nächsten Punkt. Das sind schon zwei Punkte. Also der erste Teil, auf den wir eingehen wollten, ist E-Mail. Also quasi E-Mail ist was, das kennen garantiert alle von euch. Das verwendet, jede Firma, das verwendet jede Privatperson im Endeffekt. Leider könnte man sagen. Aber im Jahr 2021 gab es da gerade mit E-Mail mal wieder große Schwachstellen. Ganz stark herausgestochen ist vor allem zu Beginn des Jahres und dann noch mal auch später Microsoft Exchange, der halt sehr weit verbreitet ist. Und dann haben wir noch zwei kleinere, also eins davon, wenn wir noch kurz besprechen, die Sonic Wall Email Security, da geht es halt vor allem darum, dass das eine E-Mail-Software ist, die spezifisch eben auch für Sicherheitszwecke geschrieben wurde, die noch so vermarktet wird. Aber naja, das funktioniert auch nicht immer. Und darauf werden wir dann im Produkt nicht ganz eingehen. Aber erwähnen soll, das ist trotzdem also auch Open Source. E-Mail-Server-Lösungen wie Exim, die haben dieses Jahr auch 21 ziemlich schlimme Lücken aufgewiesen, die teilweise schon knapp 18 Jahre, oder 17 Jahre. Aber als erstes gehen wir quasi zu Microsoft Exchange und schauen uns da mal an, was der so gemacht hat. Also grundsätzlich zum Microsoft Exchange, dass es, wer das gar nicht kennt, dass es eben Microsoft's E-Mail-Server-Software, also alle, die in ihren Firmen oder auch zu Hause mit Outlook arbeiten dürfen, verwendet. Wahrscheinlich dahinter dann ein Exchange. Das ist extrem weit verbreitet gerade im Firmenumfeld. Das ist halt einfach Microsoft. Ja, also eines der großen Argumente ist immer, ja, es kann ja auch so gut Kalender machen und drum verwenden wir das als E-Mail-Server. Aber auf jeden Fall ist das wirklich sehr, sehr weit verbreitet. 2021 gab es für das Ding zwei volle Exploitte Chains. Das heißt jetzt quasi, das war nicht nur eine einzelne Schwachstelle, die da extrem, also die da ausgenutzt werden konnte, sondern das waren mehrere Schwachstellen, die man relativ problemlos aneinander ketten konnte und dadurch im Endeffekt das Vollständig übernehmen konnte. Was in dem Fall jetzt quasi die zwei Dinge waren, das war einerseits Proxy-Logon, das war in März. Und Proxy-Shell, das war dann im August. Und beide haben die komplette Übernahme und in die Bestall aller E-Mails ermöglicht, also bei Proxy-Logon. Ich glaube, da können wir dann eh schon zu dem nächsten Folie gehen. Da müsste dann ein bisschen was zu dem sein. Genau, also das ist ein bisschen, weil ich eben vom Nationalen Zärt Österreichs bin. Wir haben uns natürlich die Situation in Österreich angeschaut. Also das war quasi die Anzahl der verbundbaren Server in Österreich. Man sieht wenigstens, dass das relativ stark runtergegangen ist, relativ schnell, aber man sieht auch gleichzeitig, dass es einen ziemlich langen Tail hat, also auch bis jetzt. Ja, also das sind immer noch so zwischen 50 und 100 Instanzen in Österreich. Da nach wie vor verhungbar dafür. Und das sind jetzt doch neun Monate. Das spannende Proxy-Logon war halt, dass das extrem schnell ausgenutzt wurde. Die gesamte Geschichte hinter Proxy-Logon ist eigentlich quasi die, dass das Initial von Nation State Actors ausgenutzt wurde, also quasi von wirklich staatlich finanzierten Gruppen, die das sehr sporadisch und als sehr quasi, sagen wir mal, elite Waffe eingesetzt haben. Und das wurde also schon ausgenutzt, bevor Microsoft überhaupt wusste, dass es diese Schwachstelle gibt. Und über Jena und Februar ist dann als unabhängigen Quellen teilweise gleichzeitig bemerkt worden, dass da irgendwas komisch ist in Microsoft Exchange 7 und wurde dann Microsoft gemeldet. Und dann haben sie eben den Anfang März diesen Patch ausgerollt. Und quasi am Tag 1 wurde der dann plötzlich schon wirklich breit und weltweit und überall ausgenutzt. Da wurden dann auch extrem viele Web-Shows hochgeladen. Bis heute verwenden das ransomware-Gruppen ganz gerne, um im Firmennetzwerke reinzukommen. Also das war wirklich extrem problematisch und ihr könnt es euch wahrscheinlich vorstellen. Gerade ein E-Mail-Server ist natürlich was, wenn man erst mal die gesamten E-Mails einer Firma stehlen kann, hat man mal Unmengen von privaten Daten, oft Leute schicken sich Passwörter, Leute schicken sich Daten von Kundinnen und Kunden. Also das ein E-Mail-Server ist sehr problematisch, wenn das wegkommt. Und dann gab es eben noch das zweite, nach Proxy-Loggon, gab es noch Proxy Shell. Also gerade mal fünf Monate später kam das nächste Schwachstelle. Also die nächste Exploit-Chain, die war tatsächlich sogar eigentlich schlimmer als Proxy-Loggon, aber das Medium-Echo war nicht mehr so groß, weil wir hatten ja schon im März eine furchtbare Schlücke in Exchange, aber jetzt gibt es halt wieder eine. Und man sieht da, die Patch-Disziplin war nicht ganz so gut bei denen. Also bei der Schwachstelle, das dauert alles ein bisschen länger. Es waren am Anfang noch nicht ganz so viele getroffen, aber schon sehr, sehr viele. Und im Endeffekt von der Auswirkung, hier war das wieder dasselbe, es war extrem einfach auszunutzen. Und es war massiv, man hat einfach den gesamten Server inklusive aller Daten dann übernehmen können. Und wie gesagt, eben Gratgruppen wie Ransomware-Leute, die dann im Endeffekt das Netzwerk dahinter noch verschlüsseln wollen, die sind immer extrem happy, wenn sie zuerst auf ein E-Mail-Server kommen, weil wenn man schon mal alle E-Mails von einer Firma stehlen kann, dann kann man sie auch über diese Daten wunderbar erpressen. Eine kleine Sache, die man auch so am Rande rehnen kann, die auch ganz spannend war, war tatsächlich so zum Thema Security-Lingo. Es hat sich herausgestellt, es ist tatsächlich eine ziemlich dumme Idee, Lücken so ähnlich zu benennen oder eben in dem Fall Exploit Chains. Also wir haben einige Rückmeldungen, wo Leute gesagt haben, wir werden dann was zu Proxy-Shale geschickt haben. Sie meinten, das haben wir eh schon gepatched. Die Faktor meinten, also die Faktor ging es aber aus ihrer Sicht um Proxy-Logon. Aber es ist natürlich eigentlich klar, wer sich nicht hauptberuflich mit IT-Security beschäftigt, für den klingt das so oder für den klingt das so ähnlich, dass es eine Unterscheidung, gerade wenn das andere irgendwie gerade fünf Monate alt ist, dass das quasi die selben Worte sind. Aber das waren die ersten zwei großen E-Mail-Schmerzpunkte dieses Jahr. Und dann können wir noch zum nächsten, das war dann eben diese Sonic-Wall-E-Mail-Security. Das ist jetzt eben eine etwas spezialisierte Software, die sich halt eben spezifisch auch von, also von die Firma als Sonic-Wall, diese spezifisch auf E-Mail-Beruf, das heißt, da war die Anzahl der Betroffene noch wesentlich kleiner, einfach weil das nicht so, so breit verwendet wird. Aber es wird im Beispiel Zitall sichere Lösungen beworben und die hatte drei ziemlich unschöne Schwachstellen. Und zwar, im Endeffekt kann man sich das unter, da kann man jetzt auch so schön exemplifizieren, was wir vorhin gesagt haben, also die drei Schwachstellen. Die erste ist eben eine unauthorized administrative account creation, das heißt, eine Person kann ohne jede, ohne jede Authentisierung im Endeffekt einen Account erstellen, der administrative Rechte hat. Und damit eigentlich wiederum das gesamte übernehmen, weil dank eben gab es noch zwei andere, nämlich mit, wenn man dann eine erfolgreiche Authentifizierung durchgeführt hat, kann man beliebige Files upload, also hochladen und lesen. Und das heißt, man kann dort natürlich auch jede Art von Schadsoftware hochladen. Und wenn ich mit zuerst einen administrativen Account anlegen kann und dann danach, wenn ich mich mit dem einlogge, diese anderen zwei Dinge machen kann, kann ich natürlich auch den Server wieder komplett übernehmen. Das ist aber weit nicht zu breit ausgenutzt worden, eben auch weil das eine wesentlich seltenere generelle Kategorie ist, sondern eher in gezielten Angriffen. Also ich kann eben sagen für Österreich, glaube ich, war die Anzahl der Opfer im einstelligen Bereich, die bekannt waren. Ja, aber so viel, also E-Mail tut weh und ja, E-Mail, das wäre irgendwie ganz nett. Und damit übergebe ich wieder eine Heddy. Ja, kommen wir zur nächsten Kategorie und zur VPN Virtual Private Network. Wurde der PDB sehr oft eingesetzt, weil natürlich Leute oft natürlich sollten Homeoffice machen und von zu Hause arbeiten. Aber das Ding ist ja, wenn ich dann von zu Hause arbeiten muss, irgendwie auf das Internet zu greifen und die Internet-Ressourcen, wie Wiki oder was, falls sie immer zu greifen können und dafür brauchen VPN, das ist quasi ein Tunnel von meinem Heimnetzwerk zum Firmennetzwerk. Und ja, leider ist es so, dass es halt vor allem bei der PDB jetzt oft ein Zeitmangel war, weil es halt schnell, schnell gemacht werden musste, weil alle ins Homeoffice gingen quasi und da haben es oft dann Fehler bei der Konfiguration gemacht. Was halt dann Probleme machen kann. Also es wurde auch nicht geupdatelt und einfach okay, wir haben noch ein VPN rumliegen, das nehmen wir einfach. Was dann aber auch war bei VPNs war, dass die auch relativ kaputt waren teilweise. Wir haben als Beispiel hier das Pulse Connect Secure, das ist ein VPN Gateway von Pulse Secure, also quasi ein VPN Server. Und es ist auch möglich, das Ding komplett zu übernehmen. Also man konnte damit legitimate Zugangsdaten stehlen und sich damit anmelden. Man konnte einfach diese Allkonfiguration beliebig anpassen. Man konnte auch sein eigenes Spurt verwischen und Octatine löschen um halt nicht entdeckt zu werden. Und das Problem auch dabei war, dass die Updates von dieser Software sehr komplex waren und auch mit Downtime verfügbar. Das heißt, man muss in diesem VPN Server kurz runterfahren oder deaktivieren, das Update und dann wieder hochfahren. Und das wird wohl offensichtlich eine Nacht oder Wochen hergemacht worden sein, weil untertags geht es normalerweise nicht, weil die ganzen Menschen arbeiten. War sehr problematisch, weil es von sehr vielen Firmen verwendet wird. Es ist eine relativ bekannte Software und war auch eine relativ hohe CVS Zahl, weil es halt komplett übernommen werden konnte, auch unautentifiziert. Also es war schon ein komplexer Angriff, aber wenn man die Details draußen waren, hätten wir das mit gewissen IT Skills dann auch nachstellen können. Dann ist auch Fortinet ein bekannter Anbieter für VPN Lösungen, also allgemein Sicherheitslösungen und die Bernis 1 davon. Und es gab halt einen Zugangsdatenweg von Fortinet-Zugangsdaten für verschiedene Installationen. Die wurde aber, das wurde quasi gesammelt und durch eine alte Lücke quasi ausgenutzt. Und da haben wir quasi eine Liste gehabt an Legitimen Account-Daten, die irgendwie angreifend organisiert haben durch diese Lücken und irgendwann wurde einfach veröffentlicht. Und dann haben teilweise auch noch kein Zug funktioniert gehabt und dann sind einfach dann Leute oder Angreiferinnen und Angreifer einfach einloggen können in die VPN Portale und haben einfach quasi zudem die Internet-Netzwerke gehabt. Teilweise waren das auch abends zu gängen. Also VPN ist leider noch immer, muss verwendet werden oft und ist auch hier wichtig, aber es ist eine super kritische Software, weil damit kommt man quasi ins Internet-Firmnetzwerk und da ist oft auch die Sicherheit viel niedriger als von außen. Ah, dann gebe ich weit wieder die Metrie zum nächsten Thema. Jo, Wissensmanagement, also, weil der hätte ja schon angesprochen, was hat man dann oft im Internet-Netzwerk, irgendeine Art von Wiki oder Wissensmanagement. Also quasi zumindest ist die meisten Firmen aber eine bestimmte Größe, wenn das haben, einfach schon, ja, um Wissen auch zu behalten und wenn einzelne Leute dann vielleicht auch die Firmen verlassen, dass das nicht verloren geht, aber gleichzeitig enthält Wissensmanagement einfach von Natur aus extrem sensible Daten, weil es enthält Dinge wie Dokumentation, wie funktioniert, also wie arbeitet die Firma, was natürlich für Angreifer in einem extrem spannend ist, aber auch wie funktionieren Prozesse, wo sind wichtige Leute, was sind vielleicht wichtige Systeme, all diese Dinge. Natürlich, klarerweise auch Namen und Kontaktdaten von Mitarbeiterinnen, potenzieller Bau von Kundinnen oder eben von anderen Firmen, mit denen Kontakte gepflegt werden und wie die gepflegt werden, all diese Dinge sind heute zum Teil dann drin. Das ist natürlich für Angreifer in eine extrem spannende Datenquelle, weil gerade eben das Thema vorher auch kurz Ransomware war, die wollen sich auch immer anschauen, um wie viel Geld können sich Firmen erpressen und da ist natürlich so ein Wissensmanagement, aus dem man leicht raus- oder leicht, aber aus dem man herauslesen kann, was hat die Firma für andere Kunden und Kundinnen oder eben auch, wie viel verdient die Firma, wie viel setzt die Firma vielleicht um und was sind die wichtigen Leute. Das ist natürlich extrem relevant und quasi auch eben der Punkt, dass man dann gleich oft innerhalb der Dokumentationen in dem Wissensmanagement gleich auch noch findet, was sind welche Systeme gibt es, welche Netzwerke gibt es, wie funktioniert die Netzwerktrennung, von welchem Netzwerk kann ich wohin, wo sind vielleicht Jump Hosts, also Hosts, wo ich von einem Netzwerk in ein anderes wechseln kann. Das ist natürlich super praktisch, wenn es die Leute, die da eben Angriffe machen, sich selber nicht selber herausfinden müssen, sondern einfach quasi die Liste vor sich haben und das da nachschauen können. Und natürlich im Endeffekt alles wie die andere, was irgendwie in der Wissensmanagement, z.B. auch mal sowas wie proprietäre Software oder überhaupt sowas wie Intellectual Property, also kann extrem viel da drin sein und das ist eben auch sehr, sehr spannend. Deshalb ist es auch im Normalfall eine recht kritische Software und eine, die da ganz gerne verwendet wird, ist von Atlassien Confluence. Das ist quasi eine Wikisoftware im Endeffekt, die viele Organisationen einsetzen. Der Vorteil ist halt jetzt gegenüber, oder der Vorteil aber im Punkt gegenüber im normalen Wikis halt, dass man da halt quasi dann eine Firma dahinter hat, die man bezahlen kann, wo man sagt, gut, wenn es Probleme gibt, kümmern sich die drum und das muss nicht die eigene IT machen. Das wird halt oft daneben wie als angenehmer wahrgenommen. Da gab es im August dann auch eine Schwachstelle und jetzt eben auch da haben wir die CVI-Nummer und eben den CVS Escort, der extrem hoch ist, also mit 9,8, der quasi fast bei 10. Und das hat eben auch erlaubt, dass man völlig beliebigen Code auf der Maschine ausführt. In dem Fall allerdings, wenn ich mich richtig erinnere, mit der kleinen Einschränkung, dass man nicht mit Administrationsrechten da dran war, sondern nur mit etwas eingeschränkteren Rechten. Aber zumindest hätte man quasi alles in dem Wikis selbst verändern können. Und eine Identifizierung war dafür auch nicht notwendig. Das heißt auch, dass halt quasi vollkommen ohne irgendeine Art von vorherigen Zugangstaten stehlen funktioniert, sondern das konnte einfach übernehmen werden. Also auch Wikis und Wissensmanagement kann sehr problematisch werden und entsprechend. Ja, und dann, glaube ich, wenn ich mich jetzt recht erinnere, gehen wir mal zum nächsten Punkt, da mache ich nämlich gleich weiter, weil da kommen wir zu das ganz Rezentem. Und was ist so, das kommt noch druckend? Naja, Drucker mache ich auf dem Unterricht noch mitgehaben, haben wir ja auch auf der Linie, die auch ausdrucken möchten, weil die halt abgehäffelt gehören und wo sie nicht darf, nicht nur digital sind, sondern muss auch analog sein, dass Zeug also auf druckend Baum gedruckt werden. Und ja, jeder kennt Drucker, die funktionieren einfach, wo auch nicht viele Menschen hasten Drucker, vor allem die, die damit arbeiten müssen, sie konfigurieren müssen, weil sie kaputt sind und nervig und nicht funktionieren meistens. Und diese Dinge sind extrem komplex. Da ist wirklich viel Software drin, da können wirklich viel. Ich kann auch sehr den technischen Talk von Lux empfehlen, von der Price Week, wo er zeigt, wie gefährlich auch Drucker sein können, als Angriffsziel. Und bei Tuckern gab es halt auch eine sehr schöne traurige Lücke von Microsoft, das Print Nightmare. War quasi eine Schwachstelle im Microsoft-Prinz-Puller-Service. Das ist quasi die Software in Windows, die quasi die Drucker managed im Windows-System. Also es war jetzt nicht am Drucker selber, aber im Windows-System, das quasi ein Drucker nutzt. Und die Lücke war seit Juni bekannt dieses Jahres und die hat quasi ermöglicht, dass man die eigenen Rechte erhöht. Das heißt, wenn man normal der Nutzerinnerin Rechte hat, konnte man sich in dieser Lücke quasi Administration zu Rechte ergattern. Das Ding war auch Fix Me If You Can. Also es gab da Fix-Versuche von Microsoft, verschiedene Patches. Der erste hat nicht funktioniert. Die haben ein paar Patches rausgehaut, bis es wirklich wirklich dann depariert wurde. Es gab doch einige CVEs von Microsoft und es gibt auch irgendwie eine CVE, die wirklich nur die Einzige ist, die man quasi dafür verwenden soll quasi. Und das Ding ist auch, diese Patches haben oft Druckerproblemen geführt, die noch bis heute anhalten teilweise. Also auch wenn man dann Dinge repariert, kann es an andere Dinge kaputtgehen. Und das war echt, das war auch ein Tessat. Dieses Blinden hat mehr, man Windows allgemein, aber in der Kombination ist es halt noch schlimmer. Also angreifend war es immer, wenn dann Ungepatche Windows-Systeme da sind und solche Lücken akkonstruieren und sich einfach an die Applesitionsrechte erhacken kann quasi. Aber ja, Drucker sieht auch nicht nur das einzige Tolle an Computern, sondern auch das nächste Thema. Ja, Java. Ja, also ich meine, wenn die eine oder die andere von euch jetzt vielleicht ein kleiner Flashback hat, ja, das ist fast dieselbe Folie wie vorher. So Java gibt es überall genauso wie Drucker. Java funktioniert einfach oder halt auch nicht. Und es ist in Wahrheit natürlich ein extrem komplexes Thema. Und gerade bei Java ist halt immer diese Sache mit Java. Es hat Enterprise Software. Das ist auch da ganz wichtig. Und das hat man jetzt auch schön gemerkt bei einer netten Lücke, mit dem in einer sehr weit verbreitenen Java-Bibliothek, die sich da Lockfort J oder zumindest in dem Fall sogar spezifisch Lockfort J zwei nennt. Also, dieses Jahr schon früher wurde darauf hingewiesen, also im Sommer bei einer Konferenz, dass es dann eine Lücke geben könnte, aber wirklich jetzt ganz öffentlich wurde alles erst im Dezember, also jetzt tatsächlich. Und das ist was, wo, also wenn einige für euch vielleicht in der Systemadministration und so was arbeiten, die werden dafür damit gerade wahnsinnig viel Spaß haben, weil das Problem ist quasi, diese Bibliothek wird verwendet, um zu locken. Also quasi, das heißt, wenn es Fehlermeldungen gibt oder wenn es Verbindungsversuche gibt, etc., etc., die wird einfach ganz massiv verwendet, um einfach Locking zu betreiben. Also quasi ein Archiv zu erstellen von, was so in einer Applikation vor sich geht. Und die ist in extrem unglaublich vielen Java-Dingungen drin. Und ja, da wurde es eben festgestellt, es gibt auch darin eine unaffentlikated Remote Code Execution. Das heißt quasi eben ohne jede Identifizierung kann die Person, also keinen Angreiferinnen über das Netzwerk beliebigen Code ausführen. Und zwar, das macht diese schöne Überschrift, wie die da seht. Das ist jetzt ein Stream, der halt so standardmäßig verwendet wurde, also der halt für diesen Exploit verwendet wird. Und zwar geht es da darum, dass diese Software einfach Remote Dinge zu, auf Dinge zugreifen kann. Und was da jetzt passieren würde, ist quasi, dass sie einen Elder-Prequest macht auf diesen Server, der da angegeben ist. Also in dem Fall, wer würde der Server Emoji, also heute das Vulkan Emoji.grox heißen, mit einem Pfad A. Und wenn in diesem Pfad A quasi was liegt, dann lädt die das runter und führt das aus, wenn das eine ausführbare Java-Klasse ist. Also ihr könnt sich vorstellen, das heißt, da kann man einfach, man braucht nur einen Web-Server haben oder eben einen Elder-Server, hinterlegt dort, was man möchte. Und wenn man dann eben so ein, man braucht quasi nur dann einen Verbindungsversuch, aufbauen zu diesem, zu einem System, das mit Log4J2 lockt. Und dann wird automatisch dieser Code von dem selbst kontrollierten Server runtergeladen und auf der Maschine ausgeführt. Deshalb ist das ziemlich einfach ausnussbar. Vor allem auch deshalb, weil das, weil es eben mittlerweile ganz, ganz viele Twitter-Threads und Gitarre-Repositories gibt, auf denen sich auch besuchen, die keine Ahnung haben, wie das funktioniert, das einfach copy-pasten können und bitte danke. Und natürlich in der Kombination, dass das so wahnsinnig weit verbreitet ist, führt das natürlich zu doppelt viel Spaß. Und wie gesagt, da ist auch jetzt, also das wird gerade aktiv, wahnsinnig stark gepatched. Und da ist viel am Laufen. Und die ersten Patches ist auch so, also auch das Patchmeet, viel kennen, was wir vorher hatten. Auch das war das nur in dem Fall, Gott sei Dank, etwas schneller. Also die ersten Patches, die Maschinen sind, wurde sich dann im Nachhinein herausgestellt, die funktionieren gar nicht. Und die kamen auch gehen. Also auch so war das eine sehr problematische Schwachstelle. Und ich sehe immer noch, und wir sind ein bisschen gespannt. Also ich meine, wir nehmen den Talk jetzt ein bisschen früher auf, als ihr ihn seht. Also wir sind selber gespannt, was dann passieren wird. Und dann noch mit dieser Wirkung ist der Talk dann wirklich veröffentlicht. Das ist bis jetzt noch unklar, wie viel Software betroffen ist, außer, dass es unendlich viel ist. Ja, also auch eine sehr unschuldige Situation hier. Genau, Office, ja, da gehen wir dann gleich weiter zum Office. Ja, es ist auch so eine Sache. Und da gibt es überall, egal ob ihr das Liebereoffice verwendet, oder Microsofts Office oder whatever, je kaum jemand verwendet gar kein Office. Und wir sind sprechen natürlich attraktiv für Angreiferinnen. Also auch da die meisten von euch, wenn so Dinge wie Fishing-E-Mails kennen, wo eben genau auf dieses Schwachstellen darin oder teilweise einfach auf absichtlich Funktionalität in Office-Sweets zubegriffen wird. Und der Punkt ist auch, die sind wahnsinnig komplex, oft dass sie ganz viele Legacy-Features unterstützen müssen. Also Features, die quasi früher mal were eingebaut hat und jetzt alle noch verwenden wollen, wo sich aber nachher dann hinausgestellt hat, dass man die eigentlich gar nicht mehr will. Aber man braucht es halt doch noch irgendwie, muss man es noch unterstützen, weil es gibt halt so viele aktuelle Dienete darauf aufsetzen. Ja, also deshalb ist Office auch generell ein Problem. Und auch da hat Microsoft dieses Jahr mit dem CVE 2021, 40, 444 eine Remote-Collection in Microsofts Office-Dokumenten bekommen, die auch schon quasi vor dem offiziellen Patch ausgenutzt wurde. Und wie ich eben vor erwähnt habe, wie man das in einem normalen Fall ausnimmt, ist Quasi Angreifer ihnen konnten da einfach dann Dokumente versenden in Fishingmails und wenn die Leute das quasi aufmachen, dann wird diese Schwachstelle ausgenutzt. Und auch da war quasi das große Problem, dass es relativ schnell tatsächlich dann sogar einfach ein Online-Tool gab, wo man sich auch als völlig technisch unversierte Person ein Dokument zusammenklicken konnte, dass diesen Exploit ausnutzt und das dann beliebig verschicken konnte. Und das macht natürlich gerade eine solche Lücke dann auch nicht einfacher, wenn das dann so breit verfügbar ist und einfach alle das ausnutzen können. Ja, so viel zu Office. Genau, und das gab es nämlich auch noch, dann war das aber ein schöner Punkt, die CVS-Escore. Was hat das jetzt für eine CVS-Escore? Also man kann sich drei verschiedene Quellen anschauen oder das haben wir jetzt einmal gemacht. Das erste wäre Microsoft, glaube ich, das deren eigenes Advisory, das ist hier unten die CVS-Escore. Und dann schauen wir mal weiter zum nächsten. Das ist jetzt von Circle Lu und siehe da, die CVS-Escore ist eine Vollcore. Also die CVS-Escore ist doch relativ stark anders berechnet. Und dann kann man ja vielleicht noch weiter schauen, das sagt noch so eine dritte Quelle dazu. Ja, okay, das ist jetzt wieder was anderes. Also auch da zum Thema wie subjektiv das eigentlich ist, sieht man halt daran, dass da doch relativ unterschiedliche Werte rauskommen, wenn sich das verschiedene Leute anschauen. Und die war irgendwie ein sehr schönes Beispiel dafür. Also das könnt ihr einfach mal selber ausprobieren. Es gibt eben zum Beispiel, es gibt da diverse Rechner, die ihr finden könnt. Sie einfach online und dann könnt ihr sich mal selber anschauen, wie wir das beurteilen und feststellen. Ja, wenn ihr das vielleicht mit einer Person vergleicht, die würde das ganz anders beurteilen. Ja, so viel zu dieser hervorragenden CVS-Escore. Kommen wir zu Videokonferenzlösungen. Wir wissen, wir sind alle zu Hause und wollen dennoch mit unseren Freunden und Freundinnen und Arbeitskollegen und Kolleginnen aufs Konsum erhalten. Und daher gibt es natürlich tolle Videokonferenzlösungen. Ob es so ist, closed so ist, gibt es immer alles mögliche zur Auswahl. Und da gibt es auch verschiedene Angestziele, die man über Videokonferenzlösungen machen kann. Also man kann einmal einfach ein Meeting hijacken, also quasi das Meeting übernehmen und irgendwie Schindsachen machen, Leute daraus hauen, Leute im Juton, was weiß ich, und passende Videos spiedeln. Man kann auch einfach in ein Meeting joinen und einfach Spionage betreiben und quasi einfach Informationen mithören. Und wenn man noch Glück hat, kann man das quasi so machen, dass man niemand bemerkt, dass jemand dabei ist. Es kann auch sein, das heißt, kann man dann irgendwie Sitzungen mithören, die eigentlich nicht für die öffentliche Welt bestimmt sind, was auch sehr gerne oder sehr interessant ist, natürlich, wenn man dann die Rechner der Teilnehmenden Personen attackieren kann. Aber wenn man eine Lücke gibt in dieser Lösung, dann kann man, wenn die halt so schlimm ist, kann man bald die Rechner der Teilnehmenden attackieren und zum Beispiel die Schadsoftware ausführen oder der Rechner übernehmen. Dann kommen wir zu zwei Themen. Eins war Zoom Update Fail, das war sehr interessant. Und zwar gab es eine Sicherheitslücke, weil man gab es einen Zoom-Installer und weil man Zoom installiert. Und der hat nur zum Beispiel Ausführungen an Dateien und die mitgelieferten Bibotheken überprüft, dass die quasi legitim sind und von Zoom selber sind. Sie haben auch nichts überprüft, ob dann noch mitgelieferte Skripte von Zoom selber sind. Das heißt, man hat quasi einen komplett legitimen Installer mitgeschickt, hingeschickt zum Opfer und hat dann im Endeffekt noch eigene Skripte hinzugefügt, die wurden dann bei der Installationsroutine einfach ausgeführt und hat man quasi sich dann auf dem Rechner Rechte bekommen oder hat sich hinverbinden können oder der Rechner hat sich zu dir verbunden und hat quasi dann zu dir auf den Rechner gehabt. Das wurde im Rahmen des Red Team Assessments entdeckt, quasi ein länger dauerndes Sicherheitsassessment, wo die quasi geschaut haben, wie können wir diese Firma attackieren? Also ich habe quasi so einen Angreifverdienenden simuliert und habe mal im Rahmen dieses Assessments diese Lücke entdeckt und habe die auch erfolgreich ausgenutzt und quasi einen Rechner über einen Moment von so höherrangigen Menschen in den Unternehmen. Also wenn es interessiert, ein sehr spannender Prog-Post wieder, die das gefunden haben. Dann Zoom-Bombing, unerwünschtes und destruktives Stören von Online-Videositzungen. Das kann sein durch irgendwelche unpassenden Videospielen, durch lautes Schreien in den Kanal. Also gibt es verschiedene Arten, wie man das stören kann, die Sitzungen. Und oft ist es meistens von öffentlichen Zukunftsdaten. Also wenn sie klubben, treffen oft, dann veröffentlicht irgendwie die Zukunftsdaten zu dem Kanal, wo sie sich treffen, sei es mit Passwort und Link. Was dann auch sein kann, ist halt, man kann es normalerweise auch machen, wenn das Tool entsprechende Moderationsfähigkeiten hat. Und oft war das auch das Inkommunikation mit fehlender Konfigurationen bzw. Sicherheitsmaßnahmen. Man kann zum Beispiel sagen, dass man die Leute einzeln uproven muss, wenn die halt dazukommen. Oder man kann machen, dass Leute von Haus aus gemütet sind und nicht reden können, außer man gibt ihnen Rederechte. Also man kann da einige Moderationstools anwenden, um dann sowas zu verhindern. Und ich hatte nicht mal gewusst, aber es gibt auch einen offiziellen Gipfelartikel zu dem Konzept zum Bombing. Auch ganz interessant zum Lesen. Ja, dann kommen wir zu der Content-Warnung nochmal. Es wird in den nächsten Clients über digitale Überwachung von Menschen, insbesondere Frauen und Partnerinnen, als auch über Menschenrechtsverletzung gesprochen. Bitte, Dmitry. Ja, also grundsätzlich das Hauptthema von dem Teil sind Smartphones. Natürlich die Dinge, die wir alle ständig mit uns tragen, die wundervollen Wanzen, die ständig zuhören können, die der Kamera haben, was gibt es Besseres. Und denen wir natürlich auch noch alle, unsere Intimsten und sonstigen Geheimnisse anvertragen und die dann im besten Fall noch an andere schicken. Also Smartphones sind einfach in jeder Art und Weise eine Goldgugel. Für Daten am besten machen wir noch unser Bank, unsere ganze Bankgeschäfte drauf. Das heißt, das ist natürlich für Angreifer in eine großartige, also viel besser wird es nicht mehr. Dann ist es halt für Smartphones oft so, dass Updates schwierig sind, bzw. gerade, wenn man Smartphone vielleicht länger verwenden will oder muss. Dann ist es halt oft so, dass die Herstellungsfirmen nach wenigen Jahren schon keine Updates mehr veröffentlichen oder halt generell nur sehr zackhaft und sehr langsam Updates veröffentlichen. Das heißt, viele von diesen Geräten sind oft schon grundsätzlich sehr verwundbar. Und am schlimmsten ist es natürlich die Kombination gerade staatliche Akteure und Akteurinnen haben in Kombination mit Telekommunikationsanbieterfirmen wahnsinnige Möglichkeiten, da im Endeffekt alles zu machen, weil wenn quasi die staatlichen Gruppen den jeweiligen Telekommunikationsanbieterfirmen vorschreiben können, dass sie jetzt da bestimmte Dinge machen müssen oder ihnen Daten geben müssen, dann ist das natürlich ein Smartphone, ein extrem gutes Ziel. Ja, das ist quasi mal zum allgemeinen Teil und was wir dann 2021 gesehen haben und also eigentlich schon wesentlich länger, das ist Pegasus. Pegasus ist eine Überwachungs-Software der NSO Group. Das ist eine Firma, die Überwachungs-Software verkauft, vor allem an Staaten, durchaus auch an Staaten, wo es sehr fraglich ist, ob die Menschenrechte einhalten oder nicht, beziehungsweise klar ist, dass sie das nicht tun. Man, es gibt aber eine Gruppe des Citizen Lab, das ist von der kanadischen Uni, also in Toronto die Universität, die verfolgen die seit Jahren, also wen das interessiert, kannst einfach mal nach Citizen Lab in der Suchenmaschine eures Vertrauens eben nachschauen. Ihr werdet da viel von denen finden, die schreiben immer sehr, sehr, sehr, sehr, sehr gute Artikel. Und die haben eben vor allem auch ganz stark rausgefunden, dass das massiv gegen Journalistinnen und eben auch Menschenrechtsaktivistinnen eingesetzt wird, obwohl natürlich die NSO Group immer sagt, nein, nein, in unseren Verträgen steht ja eh drin, das darf nur gegen Menschen, die mit Terror zu tun haben, verwendet werden, und beschweren, verbrechen, etc. Pippe. Aber eingesetzt wird es halt dann natürlich so. Das hat die komplette Übernahme des Telefons möglich, das und teilweise auch in den normalen Fällen braucht das überhaupt keine Interaktion von der Nutzerin. Warum? Das ist eben teilweise, weil das eben mit den Telekommunitions-Firmen gemeinsam gemacht wird. Und eben zum Beispiel, gerade im August hat diese Schadsoftware exploits eingesetzt, die auf den, zum Beispiel auf IOS, also auf modernen iPhones, die gerade komplett die den neuesten Pages drauf haben und das hat trotzdem dort funktioniert. Das heißt, da sieht man auch, da ist extrem viel Geld dahinter und wirklich sehr, sehr viele Entwicklungstätigkeit, dass die up to date bleiben. Aber wer ein bisschen die Medien verfolgt wird, wird festgestellt, haben in den letzten Wochen und Monaten das Pegasus ziemlich stark unter Beschuss gekommen und die NSO-Gruppe mit ihnen, soweit, dass sie das Produkt jetzt gerade irgendwie abverkaufen wollen oder eine Unterfirma oder sowas einbauen wollen. Also ein bisschen Medienaufmerksamkeit hat immerhin dazu gefühlt, dass die Firma sich jetzt selbst überlegt, vielleicht sollten wir sowas nicht mehr vertreiben. Aber, na ja, wirklich wahrscheinlich ist es nicht. Ja, aber es gibt eben nicht nur diese staatlichen, sondern es geht bei den Smartphones auch noch weiter. Nämlich quasi Consumerspire, und das ist quasi was, was mich persönlich auf jeden Fall extrem problematisch find. Das wird halt im Normalfall verkauft eben für besorgte Eltern oder im See-Levels in Unternehmen, die jetzt ihre Kinder oder Mitarbeiter innen überwachen wollen, um zu schauen, ob die E-Braf arbeiten oder dass sie E-Braf am Heimweg sind. Oder im besten Fall ja auch, dass man das Kind ja damit beschützen kann, weil wenn es dann irgendwo ist, wo es nicht sein soll, dann kann man das sofort quasi irgendwie mithören und schauen, ist das jetzt vielleicht, wird das Kind entführt oder so was. Also so wird es vermarktet. Das ist der wichtige Punkt. Die Installation ist bei solchen Dingen meistens nur mit physischem Zugriff auf das Gerät möglich. Das heißt, man muss das Gerät zumindest mal haben. Was aber natürlich jetzt gerade, wenn man das Mitarbeiter innen, Kindern oder Partner innen aushandigen will, oft nicht so schwer ist. Weil, hey, ich habe dir ein neues, ich schenke dir ein neues Handy. Und das benutze wird auch im Normalfall funktioniert diese Software auch so, dass sie ihre Existenz verschleiert. Also es ist nicht leicht, gerade als normale Nutzerin festzustellen, dass diese Software überhaupt vorhanden ist am Telefon. Und das ist auch die Kostenpunkte für das. Das ist normalerweise nicht massiv teuer. Also das ist irgendwo in der Gegend von sage mal 100 Euro bis ein paar 100 Euro. Also das heißt, dass ich es jetzt nicht so mal sagen kann, das kann sich niemand leisten. Das wäre zum Beispiel bei dem vorherwählten Pegasus, wäre das ganz anders. Also das könnten sich jetzt Einzelpersonen aus. Es ist extrem reich, nicht leisten. Aber klar, wenig Überraschung sei jetzt mal, wird das extrem oder wird das oft für Stocking oder Überwachung von PartnerInnen verwendet. Und es gibt auch zum Beispiel Studien drüber, die bewiesen haben, dass diese Firmen auch zum Beispiel solche Suchbegriffe bei Google kaufen. Also auch wenn sie jetzt nur mit Eltern und und und quasi überwachen von MitarbeiterInnen werden, ist es schon so, dass sie Besuchmaschinen Geld einwerfen, dass wenn jemand sucht, ein Begriff sucht, wie kann ich meine Partnerin überwachen? Dann kommentieren Produkte als erstes, weil sie dafür zahlen. Also ja, das heißt, die Spielen da eindeutig ein doppeltes Spiel. Und das ist halt ja und Smartphones sind einfach gerade für unser gesamtes Leben extrem problematisch, wenn da jemand komplett zugefahren und im Endeffekt immer mithören kann, eben potenziell immer eine Kamera aufdrehen kann, Texte verändern kann, Nachrichten löschen, Nachrichten schicken kann. Das ist einfach was, was im Endeffekt das gesamte Leben derzeit ziemlich stark kontrollieren könnte. Also drum, Smartphones sind auch eine echt unerfreuliche Sache. Und deshalb ist es immer gut, schaft es darauf, dass ihr dort Updates habt. Ja. Ja, jetzt kommen wir langsam zu Ende von unserem Vortrag. IT-Sicherheit, IT-Sicherheit im Jahr 2021. Ich habe ja bei einem letzten Verringer mal so zur GIFs gehabt oder GIFs, die wir jetzt aussprechen wollen. Und ich muss leider sagen, leider gehen uns die außergewöhnlichen GIFs aus. Also es ist wirklich, es wird jedes Jahr schlimmer und schlimmer oder kaputter und kaputter. Und wir müssten leider sagen oder Gott sei Dank genug Sicherheitslücken für heute. Lasst uns mal wieder aus den schönen Dingen mit meinem Leben. Wir danken euch vielmals fürs Zuhören. Stay safe und patch auf jeden Fall eure Systeme. Das ist ganz wichtig. Patches und Updates sind nicht umsonst da. Und wenn ihr mit uns in Kontakt beten wollt, es gibt hier Kontaktdaten von uns beiden. Vielleicht seht ihr uns auch in der RC3-Welt. Und ein Hinweis, ja bitte keine E-Mails. Vielen, vielen Dank von meiner Seite. Und ich freue mich schon auf das Q&A mit euch. Voll, selber von mir. Danke euch, danke fürs Zuhören und bis zum Q&A. Dann, ciao. Tschüss. Ja, vielen Dank für diesen tollen Vortrag. Dann bleibt mir nicht viel anderes übrig, als euch zum Q&A zugeleiten. Ihr seht hier unten den QR-Code. Da könnt ihr einfach den Einscannen und dann werdet ihr dahin geleitet. Ansonsten gibt es hier eine wunderbare URL zur Awesome AIDA. www.https.doppel.doppel.slash www.events.hexen.org.slash www.awesome.score.aida.html Ihr seht das aber auch noch mal da unten. Wir freuen uns, bis gleich.