Liebe Freund*innen und Angehörige des Wiener Chaos,
Der Newsletter für die Woche vom 02.09.2019 bis 08.09.2019
Inhalt:
- Wissenschaftliche Dienste des deutschen Bundestages halten HackBack
für eine schlechte Idee
- "Präventivgewahrsam" in Bayern oder "wochenlange Haft ohne Anklage
oder Vorwürfe"
- CISCO veröffentlicht Forensik-Leitfäden für ihre Geräte
- Geheime Terror-Watchlist der US-Dienste ist verfassungswidrig
- Klage wegen illegalem Staatstrojaner-Exports gegen FinFisher
- Kritische Lücke in Exim erlaubt RCE mit Root Rechten
- ÖVP Hack
- Schlangenöl-Firma verklagt Black Hat
- Drohnenschwärme für die Zukunft der Kriegsführung
- TLS1.0 und TLS1.1 werden 2020 deprecated
*** Wissenschaftliche Dienste des deutschen Bundestages halten HackBack
für eine schlechte Idee ***
--------------------------------------------------
Die wissenschaftlichen Dienste des deutschen Bundestages haben ein
Gutachten über HackBack geschrieben und kommen zu dem Ergebnis, dass das
aus vielen Gründen keine gute Idee ist. Überraschenderweise wurde das
Gutachten als "Nur für den Dienstgebrauch" eingestuft -- es kann ja
nicht sein, dass sich die wissenschaftlichen Dienste einfach ihrer
Vernunft bedienen anstatt den Machtphantasien der Politik zu folgen,
sowas darf nicht öffentlich sein. Was ich tatsächlich erfreulich finde:
Geschrieben wurde das Papier von einem Oberstleutnant der deutschen
Bundeswehr. Schön zu sehen, dass es auch dort kritische Stimmen gibt,
die sich gegen die Normalisierung eines ständigen Cyberangriffskriegs
stellen. Schade nur, dass das so selten an die Öffentlichkeit dringt.
--------------------------------------------------
<https://netzpolitik.org/2019/geheimes-bundestagsgutachten-attackiert-hackback-plaene-der-bundesregierung/>
*** "Präventivgewahrsam" in Bayern oder "wochenlange Haft ohne Anklage
oder Vorwürfe" ***
--------------------------------------------------
Das bayerische Polizeigesetz ist 2017 und 2018 dahingehend verändert
worden, dass Personen bereits bei geringfügigen Verstößen gegen die
Rechtsordnung (z.B. Trunkenheit) unbegrenzt eingesperrt werden können.
Ohne Anklage, ohne Rechtsbeistand. Eingesetzt wird das ganze v.a. gegen
Personen ohne europäischen Pass -- welch Zufall. Selbst der bayerische
Innenminister sieht jetzt ein, dass es eine Obergrenze für die Haft ohne
Anklage braucht.
Wow, einfach nur wow...
--------------------------------------------------
<https://netzpolitik.org/2019/bayerisches-polizeigesetz-19-personen-wochenlang-in-praeventivgewahrsam/>
*** CISCO veröffentlicht Forensik-Leitfäden für ihre Geräte ***
--------------------------------------------------
Closed-Source Systeme wie CISCOs IOS (hat nichts mit Apples iOS zu tun
;)) sind für Forensiker*innen oft eine unüberwindbare Hürde: Fehlende
Dokumentation und Literatur machen eine forensisch korrekte Untersuchung
von Devices extrem schwer bis unmöglich. CISCO hat sich jetzt erbarmt
und selbst Leitfäden veröffentlicht, wie eins ihre Geräte richtig
auswerten kann. Auch wenn's spät ist, ziemlich cool ist das allemal :)
--------------------------------------------------
<https://heise.de/-4512704>
*** Geheime Terror-Watchlist der US-Dienste ist verfassungswidrig ***
--------------------------------------------------
Nach einem jahrelangen Prozess wurde die Terror-Watchlist der USA für
verfassungswidrig erklärt. Auf diese Liste kamen Personen, die von
US-Diensten aus welchen Gründen auch immer für terrorverdächtig gehalten
wurden. Sie wurde anschließend verwendet, um z.B. die No-Flight Liste zu
ergänzen und außerdem an ca. 18000 staatliche/staatsnahe Einrichtungen
der USA, 533 private Entitäten sowie an andere Staaten weitergegeben.
Stellt sich doch glatt heraus: Personen, die auf dieser Liste stehen,
obwohl sie sich nie etwas zu Schulden kommen haben lassen, sind
verstärkt Repressionen in allen möglichen Lebensbereichen ausgesetzt.
Also damit hätte ja wirklich niemand rechnen können...
Hätten sie eine Blockchain eingesetzt, um die Liste zu verwalten, wäre
daran wenigstens irgendwas lustig.
--------------------------------------------------
<https://theintercept.com/2019/09/06/terrorism-watchlist-lawsuit-ruling/>
*** Klage wegen illegalem Staatstrojaner-Exports gegen FinFisher ***
--------------------------------------------------
Das deutsche Unternehmen FinFisher wird von einem Zusammenschluss
mehrerer NGOs wegen illegalem Exports seiner Staatstrojaner-Software
verklagt. Um einen Staatstrojaner zu exportieren, benötigt das
Unternehmen eine Erlaubnis nach deutschen und europäischen Gesetzen.
Eine solche wurde aber nach Aussage der Bundesregierung bisher noch nie
vergeben. Dumm nur, dass FinFishers Software mit sehr hoher
Wahrscheinlichkeit von der türkischen Regierung gegen Regimegegner*innen
eingesetzt wurde. Es bleibt zu hoffen, dass die Strafe so teuer wird,
dass sie die Firma ruiniert, auch wenn das leider wenig wahrscheinlich ist.
--------------------------------------------------
<https://netzpolitik.org/2019/wir-stellen-strafanzeige-zollkriminalamt-ermittelt-gegen-finfisher-wegen-illegalem-export-des-staatstrojaners/>
<https://netzpolitik.org/2019/we-filed-a-criminal-complaint-prosecutor-launches-investigation-into-finfisher-for-illegal-export-of-state-spyware/>
<https://www.golem.de/news/spionagesoftware-staatsanwaltschaft-ermittelt-nach-anzeige-gegen-finfisher-1909-143653.html>
<https://www.reporter-ohne-grenzen.de/pressemitteilungen/meldung/illegaler-verkauf-von-spaehsoftware-an-tuerkei/>
*** Kritische Lücke in Exim erlaubt RCE mit Root Rechten ***
--------------------------------------------------
Die Mailserver-Software Exim hat eine Schwachstelle, die es ermöglicht
RCE (Remote Code Execution) mit Root Rechten auf dem betroffenen Server
auszuführen, sofern dieser TLS unterstützt (was er hoffentlich tut). Es
gibt einen unveröffentlichen PoC (Proof of Concept) Exploit von der
Firma Qualys. Patchen ist stark zu empfehlen.
--------------------------------------------------
<https://www.exim.org/static/doc/security/CVE-2019-15846.txt>
<https://www.cert.at/warnings/all/20190906.html>
*** ÖVP Hack ***
--------------------------------------------------
Die ÖVP vermeldet, im großen Stil gehackt worden zu sein. Abseits des
üblichen ahnungs- und inhaltslosen Geschwätzes der Politiker*innen zeigt
der Vorfall imho vor allem eines wieder ganz deutlich: Wir brauchen
dringend mehr digitale Bildung, damit nicht ganz so leicht ganz so viel
Schwachsinn behauptet werden kann. Ansonsten gehe ich davon aus, dass
SEC Consult und CYBERTRAP wissen was sie tun und die Reste des Vorfalls
aufräumen.
--------------------------------------------------
<https://orf.at/stories/3136215/>
*** Schlangenöl-Firma verklagt Black Hat ***
--------------------------------------------------
Eine Firma die für mehr als 100.000$ Sponsoring einen Talk auf der Black
Hat halten durfte, der inhaltlich so eine Frechheit war, dass sie
ausgebuht wurden, verklagt jetzt die Black Hat, da diese die
Störendfriede nicht mithilfe zahlreicher Securitys aus dem Saal
beförderte. Wie kann es auch jemand wagen, eine Firma auszubuhen, die
nicht eine einzige Person mit cryptographischer Expertise beschäftigt,
aber behauptet, den weit verbreiteten und generell als sicher
eingestuften RSA-Algorithmus brechen zu können? Nur weil die Firma
verweigert, dieses Wunder auch vorzuzeigen? Tz, in was für einer Welt
leben wir denn, dass Menschen mit Visionen jetzt auch noch beweisen
müssen, dass sie wirklich können, was sie behaupten?! Aber so schlecht
zu sein, dass sogar Bruce Schneier eine 10 Jahre alte Kategorie seines
Blogs wiederbelebt, ist auch eine Leistung :D
--------------------------------------------------
<https://www.schneier.com/blog/archives/2019/09/the_doghouse_cr_1.html>
*** Drohnenschwärme für die Zukunft der Kriegsführung ***
--------------------------------------------------
Schön, dass die Zukunft schon jetzt ist, oder so ähnlich.
Programmierbare Drohnen die Angriffe voll automatisiert ausführen. Da
kann ja nix schiefgehen.
--------------------------------------------------
<https://netzpolitik.org/2019/rheinmetall-zeigt-drohnenpanzer-mit-kamikazedrohne/>
*** TLS1.0 und TLS1.1 werden 2020 deprecated ***
--------------------------------------------------
Eine Person die diesen Newsletter liest, hat mich darauf hingewiesen,
dass es doch eine gute Idee wäre, darauf hinzuweisen, dass TLSv1.0 und
TLSv1.1 nächstes Jahr deprecated werden. Find' ich tatsächlich einen
sehr guten Hinweis. Also: Dreht TLSv1.0 und TLSv1.1 doch einfach
schonmal ab, dann ist die Umstellung nächstes Jahr total stressfrei.
Eine Anleitung für Chrome, Firefox, OpenSSL und GnuTLS findet ihr in den
Links.
Und für die Lateinfreund*innen unter euch: Ceterum censeo, TLSv1.0 et
TLSv1.1 esse delendos :)
--------------------------------------------------
<https://arstechnica.com/gadgets/2018/10/browser-vendors-unite-to-end-support-for-20-year-old-tls-1-0/>
<https://blog.surgut.co.uk/2019/08/how-to-disable-tls-10-and-tls-11-on.html>
LG,
dimir