(i) Nicht mehr ganz brandaktuell, aber trotzdem relevant: Auf der Suche nach einem Hardware Authentication Device, welches auch mit Linux gut funktioniert, sind wir auf den Yubikey gestossen, welches wohl eines der beliebtesten Geräte ist.

Leider ist dazu auch ein erfolgreicher Seitenkanalangriff bekannt, und bestehende Geräte lassen sich nicht updaten.

Elend: In den Onlineshops ist natürlich nicht klar, welche Softwareversion enthalten ist, d.h. man kauft dann u.U. ein kaputtes Gerät. Fefe hatte sich auch bereits darüber echauffiert.

(i) Qualys hat Lücken in OpenSSH gefunden. Diese sind zwar nicht grad RCE-kritisch, die technischen Details sind aber trotzdem ganz interessant zu lesen.

Interessant fanden wir einerseits ein Tool namens CodeQL, welches die Researcher eingesetzt haben, um Kandidaten für verwundbare Codebereiche zu identifizieren. Andererseits hat uns doch etwas überrascht, dass solche Logikfehler (und haufenweise goto-Statements!) in der ansonsten für hohe Codequalität gerühmten OpenSSH-Codebasis vorkommen.

(i) Nicht sehr beruhigend ist ein gigantischer Datensatz an Standort-Daten, welcher bei dubiosem Datenhändler aufgetaucht ist. Die Daten wurden offenbar von diversen Smartphone-Apps gesammelt; auch SRF hat einen Artikel dazu.

Wir empfehlen allen Handy-Nutzern, den Zugriff auf den Standort nur für Apps freizugeben, wo es wirklich Sinn macht (z.B. Organic Maps).

Wenn dann irgendeine Wetter-App nicht mehr funktionieren will, sollte man vielleicht einfach auf diese App verzichten. Abhilfe schaffen könnte auch, einen Fake-Standort einzustellen; zumindest unter Android scheint dies möglich zu sein (haben wir noch nicht selber getestet).

(i) Einige Schweizer Banken betreiben ihr Core-Banking bei Swisscom statt im eigenen Haus. Wenn dann beim Outsourcing-Dienstleister etwas schiefgeht (denn auch dort wird nur mit Wasser gekocht) sind dann unter Umständen gleich alle Mandanten ausser Gefecht gesetzt.

Ein weiterer Datenpunkt in der beliebten Reihe "fragwürdige Outsourcings".

(i) Heise hat einen schönen Jahresrückblick über die Security-Albträume aus 2024.

Prominent vertreten natürlich die XZ-Geschichte, aber auch der verlorene Microsoft Cloud Masterkey und das Crowdstrike-Debakel sowie löchrige (ausgerechnet) Security-Appliances.

Ein lesenswerter Artikel.

(i) Falls jemand dachte, das LED-Lämpchen sei ein zuverlässiger Indikator, ob eine Webcam gerade aktiv ist oder nicht, haben wir schlechte Neuigkeiten.

Dies wurde bei einem Lenovo ThinkPad X230 demonstriert, man sollte aber davon ausgehen, dass dies auch bei diversen anderen Geräten genau so funktioniert.

Wirklich zuverlässig hilft nur, die Webcam bei Nichtgebrauch physisch abzudecken. Es gibt dazu auch kleine Schieber, die man aufkleben kann.

(i) News von gestern: Cyberkriminelle installieren Windows Malware.

News von heute: Cyberkriminelle installieren ihre eigene Linux-VM.

Spannender Ansatz: Was in der virtuellen Maschine passiert, bleibt dem Host-Antivirus verborgen, und QEMU ist legitim und signiert. Mit einer Grösse von 285 MB(!) ist das Image aber nicht gerade unauffällig.

Wäre noch interessant zu wissen, wie weit man die Grösse eines VM-Images maximal eindampfen kann. Vermutlich wäre es auch möglich, ein wenige MB grosses Image zu bauen.

(i) Linux Torvals enfernt russische Maintainer aus dem Linux-Projekt.

Dies hat einige Diskussionen ausgelöst, über die Hintergründe gibt es diverse Spekulationen; als Begründung werden lediglich various compliance requirements genannt.

Einige Kommentatoren meinen, aus dieser Geschichte könnten jetzt Linux-Forks für Russland und/oder China entstehen.

(i) Website-Empfehlung: https://www.dwitter.net/. Dwitter ist eine Demo-Seite für JavaScript-Animationen. Randbedingung: Jedes Script darf max. 140 Zeichen lang sein! Ein erfreulicher Kontrast zum allgegenwärtigen Code Bloat. Nicht nur für Programmierer interessant, da mal etwas rumzustöbern.

(i) Bash-Lektion heute: Input Redirection Operator (<). Damit kann Text einem Programm als Input übergeben werden, als würde es von Hand getippt:

sort -n < zahlen.txt

Dies übergibt den Inhalt der Datei zahlen.txt and das Programm sort und sortiert diesen numerisch. Dies ist gleichbedeutend mit Ausführung von sort und manueller Eingabe der Zahlen, gefolgt von ctrl-d.

Alternativ kann das auch mit einer Pipe gelöst werden, welche den Output eines Programms an das nächste Programm weitergibt:

cat zahlen.txt | sort -n

(i) K-9 Mail ist ein schlanker und bewährter E-Mail Client für Android, der nicht nur uns schon seit vielen Jahren gute Dienste leistet.

Mozilla will daraus nun offenbar einen Thunderbird für Android machen.

K-9 Mail soll vorerst weiterhin erhältlich bleiben, jedoch wird es nur noch eine Codebasis (die bei Mozilla) geben. Es bleibt zu hoffen, dass diese App von den berüchtigten "Produktverbesserungsaktivitäten" von Mozilla noch eine Weile verschont bleibt.

(i) Firefox hat gerade ein grösseres Sicherheitsproblem. Wir raten, die Updates baldmöglichst einzuspielen (inkl. Android-Version).

In diesem Zusammenhang wäre es schön zu sehen, wenn bei Mozilla mehr in Sicherheit und Code-Qualität investiert würde, und weniger in "Ad-Tech".

(i) Mit zunehmender Verbreitung von Linux rüstet leider auch die Malware-Szene auf. In diesem erfreulich technisch-detaillierten Beitrag untersuchen die Autoren eine Linux-Malware namens perfctl, welche ziemlich viele "Features" hat, wie z.B. Cryptomining, Proxy-Jacking, Kommunikation via TOR, und alle möglichen Tricks zur Tarnung.

Initialvektoren waren wohl ein RCE-Loch in RocketMQ von Apache (CVE-2023-33246) sowie misskonfigurierte Webserver.

(i) Microsoft tut wieder mal Microsoft-Dinge und plant, WSUS einstellen.

In Windows-Umgebungen benötigt man WSUS, um Windows-Updates lokal gesteuert auszurollen. Künftig möchte Microsoft dies lieber in ihre Azure-Cloud integriert haben, ohne Ausweichmöglichkeit für die Kunden.

Das reiht sich ein in eine ganze Reihe von Aktionen, um Kunden in die (Microsoft-)Cloud zu treiben, wie z.B. der Versuch, die User zu Cloud-Accounts für das Windows-Login zu nötigen, oder die Transition von Exchange in die Cloud.

Jetzt wäre doch für Unternehmen eine gute Gelegenheit, die IT-Strategie zu überdenken und zu überlegen, ob Microsoft zukünftig wirklich noch eine brauchbare Grundlage ist (die Sicherheitsprobleme haben wir dabei noch gar nicht erwähnt).

(i) Jemand hat sich mal CUPS genauer angeschaut, höchst Bedenkliches gefunden und in diesem unterhaltsam geschriebenen Beitrag dokumentiert.

Kurzversion: RCE in cups-browsed, sofort patchen, oder noch besser: Gleich deinstallieren.

(i) Software-Empfehlung: Die Hälfte von Firefox besteht ja inzwischen aus unerwünschten oder (aus Nutzersicht) gar schädlichen "Funktionen". Zwar kann man diese mit dutzenden von Einstellungen manuell abschalten, jedoch wächst der Aufwand dafür immer weiter an.

Was liegt also näher, als dies zu automatisieren? Wie so oft, wenn man denkt, man hätte eine gute Idee gehabt, hat diese schon jemand anderes umgesetzt.

Wir verweisen daher gerne auf Arkenfox user.js: Dabei handelt es sich um ein Firefox-Konfigurationsfile (user.js); oder gemäss Beschreibung der Autoren:

The arkenfox user.js is a template which aims to provide as much privacy and enhanced security as possible, and to reduce tracking and fingerprinting as much as possible - while minimizing any loss of functionality and breakage (but it will happen).

Dieses kann entweder manuell in den Firefox-Profilordner kopiert werden, oder mit dem verfügbaren Shell-Script installiert werden. Dies sollte Firefox bzgl. Datenschnüfflerei erstmal ruhigstellen, und bringt zudem noch Sicherheitsvorteile durch verkleinerte Angriffsoberfläche.

(i) Opfer der AI: Wordfreq ist eine Python-Lib, um die Häufigkeiten von Wörtern zu bestimmen. Deren Autor wirft nun hin. Hintergrund ist, dass sich diese Library auf gesammelte Texte aus öffentlichen Quellen stützt, und diese zunehmend durch den Output von LLM-Sprachmodellen "verseucht" werden bzw. nicht mehr authentisch bzw. von Menschen produziert sind. Der Frust des Autors über die Situation ist verständlich.

Auch lesenswert der referenzierte Beitrag, wo es darum geht, wie ChatGPT gewisse Wörter und Phrasen übermässig häufig verwendet (z.B. das Wort "delve"). Diese Wörter tauchen merkwürdigerweise plötzlich übermässig oft in diversen wissenschaftlichen Publikationen auf, was nahelegt, dass diese Dokumente durch ChatGPT "überarbeitet" wurden. Höchst bedenklich.

(i) Heute bin ich auf ein sehr interessantes Paper eines Sicherheitsforschers gestossen. Es geht darin um eine neue Methode zur Überwindung von Airgaps:

Our test shows that with a PIXHELL attack, textual and binary data can be exfiltrated from air-gapped, audio- gapped computers at a distance of 2m via sound modulated from LCD screens

Selbst wenn also ein Gerät gar keinen Lautsprecher hat, lässt sich via LCD-Monitor trotzdem noch ein akustisches Signal erzeugen, mit dem sich tatsächlich Daten exfiltrieren lassen. Eindrücklich!

(i) Interessanter Artikel zu einem typischen IT-Problem. Es geht um Spamassassin, bzw. die Schwierigkeiten, welche sich beim Betrieb eines eigenen Mailservers präsentieren:

All told, it not surprising that many people who would have once run their own mail systems have decided to throw in the towel and use one of the big providers instead. What was once a nice, federated service (in a much simpler time) has become a complex mess with high barriers to entry, pushing users into a small number of large, proprietary services.

Das Problem ist, dass die Alternative (die gesamte Korrespondenz bei den Datenkraken von Microsoft, Google etc. zu lagern) noch viel furchtbarer ist.

Deshalb betreiben wir auch nach wie vor unsere eigene E-Mail Infrastruktur, auch wenn dies mit beträchtlichem Aufwand und gelegentlichen Problemen verbunden ist.

Dem Trend, zur Bekämpfung von Spam auf Dienste bzw. Feeds von Drittanbietern (White/Blacklists etc.) zurückzugreifen (was im Artikel das Problem verursachte) sollte man unserer Meinung nach kritisch gegenüber stehen. Dadurch holt man sich nur zusätzliche Abhängigkeiten ins Haus.

(i) Nicht mehr ganz taufrischer, aber gut gemachter Artikel zum Thema "Boot Security" unter Linux.

Ich befürchte es ist auch heute noch so, dass die initial Ramdisk (initrd) unverschlüsselt auf der Platte liegt und beim Boot auch nicht authentisiert wird, so dass das "Evil Maid"-Szenario ein Problem bleibt.

Ob dies wie vorgeschlagen mit TPM und Systemd gelöst werden kann/sollte, wird in der Community wohl noch (kontrovers) diskutiert werden.

Ergänzung: Bei Fedora scheinen Bemühungen für signiertes initrd im Gange zu sein.