Hacking Safari mit iLeakage research

[Dorena Verne]

Gut das ich selbst unter macOS den Safari NICHT nutze.

[Mareta Dagostino]

Sicherheitslücken werden in unterschiedlichster Software ausgenutzt, auch Open Source ist da ganz vorne dabei. Heute Safari, morgen wer-weiß-was. Nach dem WannaCry Angriff, der inzwischen hoffentlich Geschichte ist, hatte ich bisher die meiste Arbeit mit log4j. Das Programm ist Open Source, und die Sicherheitslücke wurde vom BSI zeitweise als die gefährlichste existierende angesehen. (*) Das Programm wurde nämlich in eine Vielzahl andere Programme eingebaut, und es gibt seit 2021 noch keine Lösung: außer auf den eigenen Rechnern die Programme finden, die das noch benutzen, und diese ggf. konsequent vom Internet fernzuhalten.

(*) EDIT: Inzwischen wurde sie auf "gelb" zurückgestuft, weil viele betroffene Programme inzwischen gepatcht wurden.

[Cheryl Furse]

Ich nutze auch (normalerwiese) nur Firefox und Tor. Bei Tor speichere ich nix ab. Tor ist auch mein Standardbrowser und habe den ohne Java script auf höchster Sicherheit laufen. Heute haben sich die meisten schon drauf eingerichtet, dass man auch ohne Java script auskommt. Zumindest was Infoportale und Zeitungen sind (also was wirklich wichtig ist. Für die Kerls hier werden wohl andere Masstäbe gelten. Pornhub ist dann wohl eine böse Falle lol ). Man muss ja ohnehin nicht jedes Klickibunti sehen, was dann Werbung ist. Wird sowieso unterdrückt.

BSI ist eine gute Seite für Firmen, denke ich mir mal. Aber sowas wie damals bei MacOS Monterey, was wirklich äusserst gefährlich war und man einfach so auf den Computer kommen konnte, das gab es nicht beim BSI nachzulesen. Zumindest nicht zeitnah. Ich wusste es schon und hatte es ja auch auf OSW Seite damals gepostet, 3 Monate früher, bevor es dann auch die US Regierung veröffentlichte.

Dorena kann sich noch erinnern oder? :-)

BSI ist eine staatliche Institution und bevor die etwas veröffentlichen wird erst immer abgewogen, ob es der Firma schadet. Die US Regierung hatte es ja auch erst dann veröffentlicht als Apple das neuste update rausbrachte und allen eindringlichst empfohlen sofort upzudaten.

Das fatale damals war, dass dieses Scheunentor schon seit Big Sur existierte. Wer also noch Catalina fuhr war noch auf der sicheren Seite. Erst mit dem Update bei Monterey war es zu.

Open source heisst nicht, dass etwas sicherer wäre. Es heisst nur, dass man den Code lesen kann. Und jeder kann dann selber Unsinn mit anstellen. Open source nennt sich heute auch vieles, was eigentlich nur die halbe Wahrheit ist. Vielfach ist es nur eine Benutzeroberfläche, die open source ist und der rest kommt vom System selbst. Dafür braucht es eine API. Und diese API ist dann meist das best gehütetste geheimnis, was auch notwendig ist. Dann ist aber die Frage wem man vertraut, der diese API gebaut hat. Ist alles nicht so einfach.

[Bogus Curry]

Also Opensource

Als Open Source (aus englisch open source, wörtlich offene Quelle) wird Software bezeichnet, deren Quelltext öffentlich ist und von Dritten eingesehen, geändert und genutzt werden kann. Open-Source-Software kann unter Einhaltung der Lizenzbedingungen meistens kostenfrei genutzt werden.

Software kann sowohl von Einzelpersonen aus altruistischen Motiven zu Open-Source-Software gemacht werden als auch von Organisationen oder Unternehmen, um Entwicklungskosten zu teilen oder Marktanteile zu gewinnen.[1][2] Befähigte Endbenutzer können die Software nach eigenen Bedürfnissen anpassen und eventuell als Abspaltung veröffentlichen, sowie mit „Pull Requests“ Verbesserungen beitragen.

https://de.wikipedia.org/wiki/Open_Source

Nur zu eindeutigen Klarstellung ;D

[Mareta Dagostino]

Das geht jetzt zwar vom Thema ab, aber für die eigentlich thematisierte Sicherheitslücke gibt es seit ein paar Tagen einen Patch, also Update einspielen und glücklich werden. (Sofern Apple-Geräte mit Safari im Haus, sonst eh egal.)

Ich nutze auch (normalerwiese) nur Firefox und Tor ... auch ohne Java script auskommt.

Das ist sicher sehr sicher, aber für die Allgemeinbevölkerung im Alltag nicht praktikabel. Die meisten werden so einen hohen Sicherheitslevel nur fahren wollen, wenn es wirklich drauf ankommt. Whistleblower, Kriegsreporter usw...

Ich wusste es schon ... 3 Monate früher, bevor es dann auch die US Regierung veröffentlichte. BSI ist eine staatliche Institution und bevor die etwas veröffentlichen wird erst immer abgewogen, ob es der Firma schadet.

Was die US-Regierung macht ist mir erst mal egal, sofern das keine neuen Katastrophen außerhalb ihrer Landesgrenzen auslöst. Das BSI wägt nicht bezüglich Firmeninteressen ab, aber filtert die Informationen an die allgemeine Öffentlichkeit (Bürger-CERT). Wenn es eh keine "Mitigation" gibt, wäre die Alternative für Normalbürger den Rechner bis zur Lösung des Problems vom Internet fern zu halten. Da wird dann bei den Warnungen abgewogen, ob z.B. schon kriminelle Aktivitäten festgestellt wurden. Nicht jedes Leak wird auch gleich ausgenutzt, viele Schwachstellen benötigen viel Spezialwissen, das die üblichen Scriptkiddies nicht haben.

Und was wir beim BSI sehen sind nur die für die allgemeine Öffentlichkeit freigegebenen Dokumente. Sicherheitsbeauftragte in den Behörden kommen an die anderen Dokumente ran (Einstufung nicht "weiß"). Und die Sicherheitsbeauftragten von Firmen kommen über äquivalente Informationsketten ebenfalls an die Informationen über kritische Schwachstellen, die bisher noch keinen Patch haben.

Was hilft es Millionen Bürgern die Pferde scheu zu machen, wenn noch keine Lösung (Mitigation) in Sicht ist? Und dabei womöglich noch Script-Kiddies auf dumme Ideen zu bringen? Offiziell bekannt ist eine fünfstellige Zahl von Sicherheitslücken, welche Privatleute wollen sich da durch flöhen? Klar, man kann Fan von irgendwem im Netz sein, und was der dann für relevant hält, ist eben relevant. Ich vertraue da lieber einer Behörde mit vielen Angestellten, oder Heise.de, als mich kirre machen zu lassen von einzelnen privaten Bloggern im Web.

[Cheryl Furse]

Mareta

Das ist eine gute Nachricht.

Zu deinen Whistleblowern und Kriegsreportern nur kurz als Info: Die brauchen noch ganz anderes. Die haben bestimmte Hardware als Laptops und die fahren heute Qubes mit virtuellen Maschinen. Das ist eine ganz andere Nummer als unsere User computer. Seit 2012 können die Intel chips standardmässig mit sidechannels gehackt werden. Es gibt statistische Verfahren für hacks ausgeführt routinemässig mit grossen Computeranlagen. Dafür gibt es dann bestimmte Intel Chips um sich davor zu schützen mit einer eigenen Architektur. Diese Laptops werden benutzt als Hardware. Nicht irgend ein Aldi Laptop.

Zudem braucht man Qubes und vormals Tails um schon alleine statistische Auswertungen an Knotenpunkten zu verhindern. Es muss eine Menge aufwand betrieben werden. Da reichen nicht die 10 die uns das Tor Projekt standardmässig liefert für unseren User Tor auf jedem Computer.

Eine Zeit lang dachte man, dass die neuen M Prozessor MacBook sicher wären, weil Apple sein geheimnis nicht Preis gab über die Architektur. Aber seitdem Linux vollständig mit USB C funktioniert ist es nur eine Frage der Zeit gewesen und wie es jetzt ja raus kam ist das MacBook (zumindest M1) nun auch so sicher wie ein Aldi Laptop. Sicher kann man noch von der Verschlüsselung profitieren und kann auch VM laufen lassen, aber das ist jetzt nur noch die halbe Miete. Und da sage ich, wer macht doch schon als normaler Konsumer User? Keiner.

Aber Tor ist wirklich das allerwenigste, weil es schlicht nicht anders ist als wenn man Firefox nutzt. Das kann jeder ohne Ahnung zu haben. Es hat nur einen einzigen Nachteil und das ist, dass es langsamer ist. Wesentlich langsamer. Aber wenn man nun den Konsumer über Brave als Chromium Browser es schmackhaft machen kann es etwas schneller zu haben nur über 3 Bridges, dann ist es ja auch schon was. (Naja phishing über emails wird man darüber auch nicht verhindern. Ist dann wohl eigene Doofheit. Oder eben Pornoseiten alles anzuklicken was einen reizt lol Kommt auf das gleiche hinaus. Auch eigene Dummheit. Davor kann man keinen bewahren)

Was BSI angeht, so ist es halt eine staatliche Institution und dem Staat sollte man am allerwenigsten trauen. Hättest du mir das gleiche vor 10 Jahren geschrieben hätte ich dir sofort Herzchen gegeben statt likes. In der Welt leben wir nicht mehr. Alle etatistischen Vorstellungen führen direkt zu einem Totalitarismus. Die 80 er Jahre im goldenen Zeitalter von denen hier wohl alle noch schwärmen und sich zurück wünschen (da bin ich gerade erst geboren und hätte mir gewünscht sie als Erwachsener erlebt zu haben), haben wir nicht mehr.

Ich denke das BSI hat seine Verdienste. Ist ja in der Form wie es heute existiert auch nicht so alt. Linus vom CCC wird aber wohl zuviel davon erhofft haben und wurde letztlich nur benutzt.

Kirre muss man sich nicht machen lassen. Nur sich bewusst sein über diese Dinge und das Wissen haben. "Einzelne private Blogger" sind es sicher nicht, die sidechannel Hacks in Prozessoren machen. Das sind Wissenschaftler. Keine Schnacker wie wir hier..

[Dorena Verne]

Liebe Cheryl..
Du hast vergessen die Flugscheiben zu erwähnen, welche seid 1945 täglich von Neuschwabenland aufsteigen um uns zu überwachen. Da, wie wir ja alle wissen, die Erde eine flache Scheibe ist, fällt ihnen die Kontrolle über uns leicht.
Belegbare Behauptung von mir? Ach es gibt im Netz genug Portale, die sowas, oder ähnliches glauben beweisen können.

Wie sieht es bei deinen Ausführungen aus? Konkrete Beweise, die die Szenarien felsenfest untermauern können?

[Cheryl Furse]

Auch in Kiel gibt es Schnacker.

Liebe Dorena

wirklich?

[Mareta Dagostino]

Hi Cheryl,

ob unser Staat (die von uns gewählten Politiker) vertrauenswürdiger sind als politische Influenzer in Social Media, das muss jeder für sich entscheiden. Aber die Konsequenzen, wenn selbst eine Demokratie wie Deutschland nicht mehr funktionieren würde, wären bitter. Das ist meine Meinung und ich bin klar auf der Seite unseres Staatsprinzips. Das heißt nicht zwingend, dass ich das Fähnchen nach der jeweiligen Regierung schwenke, vielleicht wähle ich ja die Opposition. Vielleicht bin ich sogar Söder-Fan ? Eine Gesellschaft, die aus verschiedensten rivalisierenden Interessengruppen besteht, kann meiner Meinung nach ein König (Führer) zusammenhalten, wovor uns Gott oder das Spaghettimonster bewahre, oder eine mit fairen Methoden gewählte Regierung. Insofern werden wir da nicht auf einen Nenner kommen, ich habe das Grundgesetz noch zum Abitur überreicht bekommen.

Ja, der ehemalige Leiter des BSI hat vermutlich mit dem russischen Geheimdienst kooperiert und wurde gefeuert. Wer in der Liga politischer Intrigen auf nationaler Ebene mitspielt, der wird auch einer Behörde nicht trauen können. So Leute brauchen aber mehr als TOR, wie du selbst oben schon schriebst. Die telefonieren dann auch nicht mit ihrem privaten Xiaomi-Smartphone.

Wenn ich hier über Sicherheit schreibe, dann habe ich Privatleute im Fokus. "Unsere" größten Probleme sind vielleicht, dass der Ex an die Kontaktliste kommt, oder dass ein Hacker an unser Online-Banking kommt. Mit größter Wahrscheinlichkeit ist hier im Leserkreis niemand wichtig genug, dass sich Geheimdienste für sie oder ihn interessieren. Als Kollateralschaden könnte uns auch ein Verschlüsselungstrojaner treffen, obwohl die Zielgruppe davon natürlich eigentlich zahlungswillige Firmen und Stadtverwaltungen sind.

In meinen Augen ist das größte mögliche Sicherheitsloch in dieser Community der OpenSim Server. In der Grundeinstellung sind Rechner schon ziemlich sicher. Wenn man einen Webserver betreibt, wird aber der Rechner im Internet sichtbar und tausende Scripte scannen die offenen Ports regelmäßig durch. Das betrifft dann auch OpenSim, denn technisch ist das auch nur ein Webserver. Er liefert halt keine HTML-Webseiten aus, sondern andere Daten. Ich würde deshalb zum Beispiel nie nie never einen (von außen erreichbaren) OpenSim Server im selben Betriebssystem betreiben wie mein Online-Banking.

Hier könnte man ganze Lektionen in Informationssicherheit aufziehen, virtuelle Maschinen, Netzwerktrennung, ...
Oder eben einen V-Server mieten, wo außer OpenSim nichts wichtiges drauf läuft, und glücklich sein.

Zu TOR hatte ich mich ja schon geäußert. Das funktioniert, wenn mindestens eine Seite anonym ist, z.B. wenn man Ziele innerhalb des Darknets ansurft. Wenn man sich aber irgendwo einloggt (Google, Zeitschriftenabo, GridTalk, Steam ...), dann durch das anonyme Darknet verbunden wird, um am anderen Ende wieder im normalen Internet klar identifizierbar rauszukommen, dann hat man mit dieser Runde durchs Darknet außer der IP-Adresse nichts verschleiert. Und das ist nun mal für die Normalbevölkerung der Standard-Usecase.

Das ist jetzt arg viel Text geworden, aber das Thema ist auch ziemlich komplex.
Viele Grüße,
Mareta

[Cheryl Furse]

Mareta

Ja das Grundgesetz ist ein gelungenes Werk und daran sollte man festhalten. Ich denke du weisst, wie oft seit deinem Abitur schon das Grundgesetz geändert wurde. Vergleiche deine Version im Bücherregal mit der, die wir heute haben. Aber es ist der Anker an den sich jede Zivilisation und säkulare Gesellschaft festhalten soll. Ein Verfassungswesen ist die grösste Errungenschaft, die wir als Menschheit bisher erreicht haben.

Ich habe keine Parteizugehörigkeit und finde es auch äusserst schwierig, irgend einer Partei zu vertrauen für meine Interessen als mündiger Bürger einzustehen. Die grosse Koalition hat letztlich gezeigt, dass es völlig egal ist, wen man wählt. Es ist heute nicht anders. Bewusst kenne ich sowieso nur Merkel und da gab es eh keine Wahl. Mit Scholz als Vize Kanzler und nun als Kanzler wurde nur das Zepter weiter gegeben. Es gibt keine Unterschiede. Ausser, dass wir jetzt in Kriegssituationen stecken. Und da wurden diejenigen, die noch zur Wahl dafür warben keine Rüstungsgüter zu versenden auf einmal zu den grössten Kriegstreibern. Was für eine Mutation.

Ein Führer wird uns sicher nicht helfen. Es muss jeder mündig werden. Also genau das Gegenteil davon. Nur wird man diese Mündigkeit so weit wie möglich verhindern. Ich schaue schon lange kein Fernsehn mehr. Besser ist das.

Ich ziele auch auf Privatleute ab, weswegen ich auch Tor empfehle. Es braucht Bewusstsein. Auch wenn es nur ein erweitertes VPN ist, so ist es ein riesiger Schritt im Bewusstsein.

liebe Grüße

Cheryl