(i) Seit längerem existiert für Linux eine relativ einfache Sandboxing-Lösung namens "Firejail"; diese ist auch in den meisten Repositories verfügbar. Die Lösung wird aber auch kontrovers diskutiert, v.a. da sie auf setuid root basiert und selbst grössere Angriffsoberfläche bietet.

Eine ähnliche Lösung ist Bubblewrap (zumindest bei Debian/Ubuntu ebenfalls in den Repositories), und darauf aufbauend Bubblejail, welche aber noch nicht sehr verbreitet scheint. Bubblejail bringt ein Konfigurations-GUI mit und rühmt sich, noch bessere Sicherheit als Firejail zu bieten ("Bubblejail's design is based on observations of Firejail's faults.").

Gerade für Desktop-Anwendungen könnte es sich lohnen, diese Lösungen genauer anzuschauen.

(i) Nach DevOps und DevSecOps hat nun jemand den Begriff "FinOps" ins Leben gerufen, es gibt sogar eine "FinOps Foundation".

Was aber ist FinOps? Hintergrund ist, dass bei Diensten in der Cloud schnell mal die Kosten aus dem Ruder laufen können, und da ist wohl die Hoffnung, dass ein FinOps-Spezialist da Kosten sparen kann. Oder wie es die Marketingabteilung formuliert:

FinOps is about getting the most value out of cloud to drive efficient growth

Immerhin hat sich offenbar die Erkenntnis durchgesetzt, dass Cloud nicht einfach günstig heisst, insbesondere wenn man sich bei einem Cloudanbieter zum gefangenen Kunden gemacht hat. Ob FinOps die richtige Antwort auf dieses Problem ist sei mal dahingestellt; warum eigentlich keine eigene Infrastruktur betreiben? Dann gibt's auch keine Probleme mit unkalkulierbaren Rechnungen.

(i) Wie den Medien zu entnehmen war gab es einen massiven Ausfall der Google-Cloud.

Dies verdeutlicht, dass auch die Clouds von grossen Konzernen keine Garantie gegen Ausfall (oder für sonstige Sicherheit) sind. Wir würden sogar so weit gehen und sagen, dass all die Komplexität, welche einzig zur Verwaltung dieser Clouds gebaut wurde, gleichzeitig eine Menge neuer Risiken schafft, welche man ohne Cloud nicht hätte.

(i) Meta ist dabei erwischt worden, wie sie Trackingdaten von einem Webbrowser in die auf demselben Android-Gerät installierte Facebook/Instagram-App ausgeleitet haben.

Wie funktioniert das? Der Browser hat doch eine Sandbox, die Android-Apps sind doch auch isoliert? Stellt sich raus, dass die Facebook-App auf bestimmten Ports des lokalen Netzwerkinterfaces lauscht, und der Webbrowser dann Daten dorthin schickt. Warum schickt der Browser Daten dorthin? Weil auf Millionen von Websites Facebook-Trackingscripts enthalten sind, welche dann zum lokalen Interface verbinden (da gibts gleich mehrere Methoden, war uns auch nicht bewusst!).

Im Endeffekt verknüpft Facebook dann die einigermassen anonymen Browser-Surfdaten mit dem persönlichen Facebook-Account. Falls jemand bis hierhin noch Restvertrauen in Meta hatte wäre es wohl jetzt eine gute Idee, die Android-Apps von Facebook bzw. Instagram zu löschen. Gleichzeitig besteht wohl auch bei der Webbrowser-Security Handlungsbedarf.

(i) Forscher einer Securitybude namens ARMO haben ein PoC-Rootkit auf io_uring-Basis vorgestellt.

io_uring ist eine asynchrone Schnittstelle, mit welcher Anwendungen mit dem Linux-Kernel kommunizieren können (unabhängig vom klassischen Syscall-Interface). Da diese Schnittstelle relativ neu ist haben viele Security-Tools diese noch nicht auf dem Radar (und überwachen stattdessen "nur" System Calls).

(i) Bei routinemässigen Systemupdates ist uns aufgefallen, dass ein Fix für die XZ-Bibliothek eingespielt wurde, und tatsächlich, ein Jahr nach dem Beinahe-Desaster hier nun wieder eine RCE-Lücke in dieser Library.

(i) Möglicherweise nützliches Wissen: Es gibt Contentfilter, welche verschlüsselte ZIP-Files blockieren. Aber woher weiss denn der Filter, dass es sich überhaupt um ein ZIP-File handelt? Anhand des PK-Headers. Und wenn kein PK-Header vorhanden ist? Dann wird auch nichts blockiert.

Um nachträglich wieder ein gültiges Archivfile herzustellen, kann man den Header dann so wieder einbauen:

echo -n "PK" > header
cat header > restored.zip
cat headerless >> restored.zip

Das "-n" beim Echo ist entscheidend, da sonst ein Zeilenumbruch eingefügt wird und ein kaputtes Archivfile entsteht.

(i) Die SPAR-Supermarktgruppe leidet gerade unter einem Cyberangriff. Offenbar funktioniert nicht mal mehr das Telefon, die ganze Logistik wird wohl notfallmässig manuell auf Papier abgewickelt, und die Regale bleiben (teilweise) leer.

(i) Nicht mehr ganz brandaktuell, aber trotzdem relevant: Auf der Suche nach einem Hardware Authentication Device, welches auch mit Linux gut funktioniert, sind wir auf den Yubikey gestossen, welches wohl eines der beliebtesten Geräte ist.

Leider ist dazu auch ein erfolgreicher Seitenkanalangriff bekannt, und bestehende Geräte lassen sich nicht updaten.

Elend: In den Onlineshops ist natürlich nicht klar, welche Softwareversion enthalten ist, d.h. man kauft dann u.U. ein kaputtes Gerät. Fefe hatte sich auch bereits darüber echauffiert.

(i) Qualys hat Lücken in OpenSSH gefunden. Diese sind zwar nicht grad RCE-kritisch, die technischen Details sind aber trotzdem ganz interessant zu lesen.

Interessant fanden wir einerseits ein Tool namens CodeQL, welches die Researcher eingesetzt haben, um Kandidaten für verwundbare Codebereiche zu identifizieren. Andererseits hat uns doch etwas überrascht, dass solche Logikfehler (und haufenweise goto-Statements!) in der ansonsten für hohe Codequalität gerühmten OpenSSH-Codebasis vorkommen.

(i) Nicht sehr beruhigend ist ein gigantischer Datensatz an Standort-Daten, welcher bei dubiosem Datenhändler aufgetaucht ist. Die Daten wurden offenbar von diversen Smartphone-Apps gesammelt; auch SRF hat einen Artikel dazu.

Wir empfehlen allen Handy-Nutzern, den Zugriff auf den Standort nur für Apps freizugeben, wo es wirklich Sinn macht (z.B. Organic Maps).

Wenn dann irgendeine Wetter-App nicht mehr funktionieren will, sollte man vielleicht einfach auf diese App verzichten. Abhilfe schaffen könnte auch, einen Fake-Standort einzustellen; zumindest unter Android scheint dies möglich zu sein (haben wir noch nicht selber getestet).

(i) Einige Schweizer Banken betreiben ihr Core-Banking bei Swisscom statt im eigenen Haus. Wenn dann beim Outsourcing-Dienstleister etwas schiefgeht (denn auch dort wird nur mit Wasser gekocht) sind dann unter Umständen gleich alle Mandanten ausser Gefecht gesetzt.

Ein weiterer Datenpunkt in der beliebten Reihe "fragwürdige Outsourcings".

(i) Heise hat einen schönen Jahresrückblick über die Security-Albträume aus 2024.

Prominent vertreten natürlich die XZ-Geschichte, aber auch der verlorene Microsoft Cloud Masterkey und das Crowdstrike-Debakel sowie löchrige (ausgerechnet) Security-Appliances.

Ein lesenswerter Artikel.

(i) Falls jemand dachte, das LED-Lämpchen sei ein zuverlässiger Indikator, ob eine Webcam gerade aktiv ist oder nicht, haben wir schlechte Neuigkeiten.

Dies wurde bei einem Lenovo ThinkPad X230 demonstriert, man sollte aber davon ausgehen, dass dies auch bei diversen anderen Geräten genau so funktioniert.

Wirklich zuverlässig hilft nur, die Webcam bei Nichtgebrauch physisch abzudecken. Es gibt dazu auch kleine Schieber, die man aufkleben kann.

(i) News von gestern: Cyberkriminelle installieren Windows Malware.

News von heute: Cyberkriminelle installieren ihre eigene Linux-VM.

Spannender Ansatz: Was in der virtuellen Maschine passiert, bleibt dem Host-Antivirus verborgen, und QEMU ist legitim und signiert. Mit einer Grösse von 285 MB(!) ist das Image aber nicht gerade unauffällig.

Wäre noch interessant zu wissen, wie weit man die Grösse eines VM-Images maximal eindampfen kann. Vermutlich wäre es auch möglich, ein wenige MB grosses Image zu bauen.

(i) Linux Torvals enfernt russische Maintainer aus dem Linux-Projekt.

Dies hat einige Diskussionen ausgelöst, über die Hintergründe gibt es diverse Spekulationen; als Begründung werden lediglich various compliance requirements genannt.

Einige Kommentatoren meinen, aus dieser Geschichte könnten jetzt Linux-Forks für Russland und/oder China entstehen.

(i) Website-Empfehlung: https://www.dwitter.net/. Dwitter ist eine Demo-Seite für JavaScript-Animationen. Randbedingung: Jedes Script darf max. 140 Zeichen lang sein! Ein erfreulicher Kontrast zum allgegenwärtigen Code Bloat. Nicht nur für Programmierer interessant, da mal etwas rumzustöbern.

(i) Bash-Lektion heute: Input Redirection Operator (<). Damit kann Text einem Programm als Input übergeben werden, als würde es von Hand getippt:

sort -n < zahlen.txt

Dies übergibt den Inhalt der Datei zahlen.txt and das Programm sort und sortiert diesen numerisch. Dies ist gleichbedeutend mit Ausführung von sort und manueller Eingabe der Zahlen, gefolgt von ctrl-d.

Alternativ kann das auch mit einer Pipe gelöst werden, welche den Output eines Programms an das nächste Programm weitergibt:

cat zahlen.txt | sort -n

(i) K-9 Mail ist ein schlanker und bewährter E-Mail Client für Android, der nicht nur uns schon seit vielen Jahren gute Dienste leistet.

Mozilla will daraus nun offenbar einen Thunderbird für Android machen.

K-9 Mail soll vorerst weiterhin erhältlich bleiben, jedoch wird es nur noch eine Codebasis (die bei Mozilla) geben. Es bleibt zu hoffen, dass diese App von den berüchtigten "Produktverbesserungsaktivitäten" von Mozilla noch eine Weile verschont bleibt.

(i) Firefox hat gerade ein grösseres Sicherheitsproblem. Wir raten, die Updates baldmöglichst einzuspielen (inkl. Android-Version).

In diesem Zusammenhang wäre es schön zu sehen, wenn bei Mozilla mehr in Sicherheit und Code-Qualität investiert würde, und weniger in "Ad-Tech".