Veni, Vidi, VISA

http://spartanat.com/2018/01/opsec-fitness-app-verraet-geheime-militaerstandorte/. Wie geil ist das denn bitte?!

Google-Forscher haben eine große Anzahl von Verwundbarkeiten in den USB-Treibern des Linux-Kernel entdeckt. Einige wurden jetzt veröffentlicht.

Zu Wochenbeginn hat Google-Sicherheitsforscher Andrey Konovalov mitgeteilt, dass er mit dem unter Mitarbeit von Google erstellten Fuzzing-Tool Syzkaller zahlreiche Sicherheitslücken im USB-Subsystem des Linux-Kernels entdeckt hat. Von den insgesamt 79 Lücken wurden 14 Schwachstellen, die bereits einen Patch haben, veröffentlicht. Viele der aufgefundenen Fehler besitzen bereits CVE-Kennungen. Betroffen sind hiervon Kernel bis zum aktuellen 4.13.8. Einige der Schwachstellen werden bereits mit dem in zwei Tagen erwarteten Kernel 4.14 behoben sein, aber vermutlich längst nicht alle.
Die 14 veröffentlichten Sicherheitslücken lassen sich allesamt mit präparierten USB-Sticks ausnutzen, wobei der Angreifer physischen Zugriff auf den Rechner benötigt. Die meisten der gefundenen Fehler sind einfache »Denial of Service«-Fehler (DoS), einige lassen aber auch das Erschleichen von erweiterten Rechten und die Ausführung von Code zu.

Diese Methode gefährdet auch sogenannte »air-gapped«-Systeme, also Rechner ohne Anschluss an das Internet. Die einzige Möglichkeit, in solche Rechner einzudringen, ist der direkte Kontakt per USB. Hacker »verlieren« absichtlich präparierte USB-Sticks auf Parkplätzen oder in Fluren von Unternehmen in der Hoffnung, dass der Finder den Stick an einen PC im Unternehmen anschließt.

Bereits zu Jahresbeginn hatte eine Gruppe von Sicherheitsforschern an der Universität London sich mit dem USB-Subsystem des Kernels beschäftigt und ein Werkzeug entwickelt, das Sicherheitslücken in USB-Gerätetreibern des Kernels auffinden kann. Das POTUS getaufte System wurde in einem wissenschaftlichen Papier beschrieben. Daraus geht hervor, dass durch die Masse an USB-Geräten, die der Kernel unterstützt, die meisten Treiber nicht ausreichend getestet sind.

Quelle: Pro-Linux

Nun ist es ja nicht so, das, Linux da besonders sicher wäre oder schnell auf solche Bugs reagieren würde, aber hey.. dafür ist Linux ja voll cool und dufte und *BSD nur für Leute die sich wichtig machen wollen.

Eine gerade behobene Sicherheitslücke im Linux-Kernel ermöglichte es allen Benutzern, Root-Rechte zu erhalten, wenn sie Code auf dem betreffenden System ausführen konnten. Die größten Probleme an dieser Lücke ist indes nicht die Zeit bis zur Korrektur, sondern die Zeit bis zu ihrer Entdeckung und fehlende Aktualisierungen für viele Systeme.

In den letzten Tagen wurde eine jüngst entdeckte Sicherheitslücke in allen noch unterstützten Linux-Kernel-Versionen geschlossen, die als CVE-2016-5195 registriert wurde.
[...]
Entdeckt wurde der Fehler von Phil Oester von Red Hat, die Korrektur kam von Linus Torvalds und wurde mittlerweile in alle noch unterstützten Versionen des Kernels übernommen. Torvalds schreibt dazu, dass der Fehler seit etwa elf Jahren existiert, als Linux 2.6.22 aktuell war. Damals war das Problem rein theoretischer Natur, und ein Versuch, es zu beheben, führte zu Problemen auf der s390-Architektur, weshalb die Korrektur danach wieder zurückgenommen wurde. In der Zwischenzeit wurde die Speicherverwaltung aber weiterentwickelt, und zu einem unbekannten Zeitpunkt wurde es relativ einfach, den Fehler auszunutzen, um Root-Rechte zu erhalten.
[...]

Quelle: http://www.pro-linux.de/news/1/24096/sicherheitsl%C3%BCcke-im-linux-kernel-erm%C3%B6glicht-lokale-rechteausweitung.html

Ist ja nicht so, als seien solche Sicherheitslücken eine Seltenheit, aber ein seit 11 Jahren bestehender Bug ist dann sogar für Linux neuer Rekord. Wird wirklich Zeit das mal jemand einen funktionierenden Fork von dem Müll rausbringt oder die Hardwarekompatibilität von *BSD auf das gleiche Level bringt; dann könnte man auf den Kernelschrott von Linux endlich verzichten.

On Sept 19, 2016 at approximately 10:00PM (PDT), one of North Korea's top level nameservers was accidentally configured to allow global DNS zone transfers. This allows anyone who performs an AXFR (zone transfer) request to the country's ns2.kptc.kp nameserver to get a copy of the nation's top level DNS data. This was detected by the TLDR Project - an effort to attempt zone transfers against all top level domain (TLD) nameservers every three hours and keep a running Github repo with the resulting data. This data gives us a better picture of North Korea's domains and top level DNS.

Click here for the commit showing this incident.

Quelle: Github und Reddit

Die arme Sau von Admin, die das verbockt hat, tut mir jetzt schon leid.

Entweder die Polizei Dresden hat einen neuen Webdesigner oder sie werden bald einen solchen brauchen (local copy).

Es ist der Traum der Werbeindustrie - und der Albtraum der Datenschützer: Google will Werbekunden künftig detaillierte Informationen über seine Nutzer und ihre Interessen verkaufen. Gerade das neue soziale Netzwerk Google+ lässt sich hierfür besonders gut nutzen.

Quelle: sueddeutsche.de
Damit kann man die Facebooktrottel zu den Googleidioten auf eine Stufe stellen. Sollte mir noch einmal einer dieser technischen Vollpfosten was über "Security" und "Datenschutz" ins Gesicht kotzen, dann kriegt derjenige einen Karnickelfangschlag Die kommen sogar noch vor den MAC-Pfeifen.

Es ist ein Großschlag gegen Urheberrechtsverletzer: Die Staatsanwaltschaft Dresden ermittelt gegen die Streaming-Seite kino.to. Bei Razzien in mehreren europäischen Ländern wurden 13 Personen verhaftet. Ihnen wird die Bildung einer kriminellen Vereinigung vorgeworfen.

Hamburg - Die Polizei hat zum Schlag gegen kino.to ausgeholt: In Deutschland, Spanien, Frankreich und den Niederlanden haben Ermittler am Dienstag zahlreiche Wohnungen, Geschäftsräume und Rechenzentren durchsucht, um die Betreiber des Verzeichnisses und angeschlossener Streaming-Dienste dingfest zu machen. Das teilte die Gesellschaft zur Verfolgung von Urheberrechtsverletzung (GVU) mit. Demnach haben in Deutschland zeitgleich 20 Razzien stattgefunden, mehr als 250 Polizisten und Steuerfahnder waren im Einsatz, unterstützt von 17 Computerexperten.

Quelle: Spiegel Online

250 Polizisten und Steuerfahnder, sowie 17 Computerexperten (aus welchem Loch kommen die eigentlich immer gekrochen?) damit gegen kino.to ermittelt und 13 Leute verhaftet werden konnten? Und die wollen uns gegen Terrorismus und Ehec schützen? Wir sind so gut wie tot!!!111! Ich kann gar nicht soviel essen wie ich kotzen muss.

Hier habe ich schonmal dazu ausführlich Stellung zu meiner Aussage "[...] allein schon deswegen damit ich nicht ständig *BSD anstelle von Linux installieren muss [...]" bezogen, aber anscheinend reicht das immer noch nicht. Einige Debian-Nazis haben mir nämlich u. a. via Mail erklärt das ich keine Ahnung habe und Müll labere, weil Die Sicherheit eines System in erster Linie vom Administrator abhängt.
Nun.. das ist nur die halbe Wahrheit. Es ist korrekt das ein fachlich versierter Admin das gleiche System "sicherer machen kann" als ein Anfänger. Nur ist auch der kompetenteste Admin an das System gebunden. Linux - respektive die Distributionen - sind nicht nach TCSEC evaluiert. Das ist zwar rein theoretisch mit SEL realisierbar, aber mir persönlich ist noch kein einziger Fall bekannt wo das auch gemacht wurde. Und dazu kommen wir gleich zum nächsten Punkt: Nur weil ein System den Vorgaben eines TCSEC/ITSEC-Levels entspricht, ist es noch lange nicht zertifiziert. Das kann nur das BSI. Von daher ist meine Aussage "$FOO ist ein Hochsicherheitssystem und $BAR nicht" vollkommen korrekt. Egal wie sehr das meine lieben Debian-Trottel nervt.

Und nur damit wir uns richtig verstehen: Mit Debian-{Trottel,Nazis} meine ich die "Debian ist krass stabil!" und "Nur für Profis!"- Rumschreier die seit zwei Jahren mit Linux arbeiten und denken sie hätten Ahnung wovon sie reden.


Ahso.. bin vorhin von einem Kurztrip nach Italien zurückgekommen. Einige Fische gefangen, braun geworden, Spaß gehabt und für diesen Herbst nach Spanien zum fischen eingeladen worden.

Nächste Woche gleich Drei. #1 ist für die angehenden Admins von $FIRMA und wie sie bei der Fehlersuche und nach einer Kompromittierung
vorgehen sollten, #2 wieso User Freiwild sind und nichts zu melden haben (ist auch für Admins und handelt darum welche Rechte sie normalen Usern einräumen sollten) und #3 mein Lieblingsthema: Netzwerk- und Passwortsicherheit am Arbeitsplatz. Für #1 und #3 habe ich schon Folien und #2 würde ich am liebsten aus dem Effeff machen, aber wenn es auf der Leinwand nix zu sehen gibt, taugt es nichts *sigh*
Drei Vorträge, drei Firmen und absolut null Bock. Einziger Lichtblick ist, dass die Vorträge alle nur einen halben Tag dauern und zumindest zwei der drei Lehrgangsteilnehmer ausreichend motiviert sind, da sie neu in der Branche sind. Die traurige Wahrheit ist jedoch, dass sich 99% nach einiger Zeit exakt gar nichts mehr darum kümmern und nur noch nach dem works for me-Prinzip arbeiten. Wobei das wiederum den angenehmen Nebeneffekt hat, dass ich nicht arbeitslos werde.