FBI Daten hatten ungeschützten Verkehr mit dem Netz

Posted on 17. Januar 2019 by marius

In Deutschland streitet man noch über die veröffentlichten Daten von Promis und Politikern, in Amerika ist man schon weiter:

Ungeschützte Regierungsserver geben Einblick in FBI Ermittlungen

Wie die Hacker News berichten, hat das Oklahoma Department of Securities 3 TB an Ermittlungsdaten ungeschützt auf einem Server geparkt gehabt. Ich denke, die müssen sich jetzt umbenennen in „Department of Insecurities“ 🙂

Die Inhalte waren teilweise Jahrzehnte alte Ermittlungsakten vom FBI. Dazu gabs dann noch Interna aus besagter Behörde wie z.B. Remote-Zugangsdaten, Sozialversicherungsnummern, die ja in Amiland zum Identitätsdiebstahl sehr beliebt sind, aber auch sensible Patientendaten von AIDS-Kranken. Wieso eine Regierungsbehörde AIDS-Krankendaten speichert, werden die wohl nur sehr wage bis eher ausweichend beantworten wollen.

Die Hacker News haben eine schöne Statistik mit gefundenen Filetypen und einer Sammlung von Outlook PST Files bis 1999 im Angebot. Die ältesten Daten stammen wohl von 1986. Die Behörde will jetzt alle informieren, deren Daten da sichtbar waren, was im Einzelfall (dank 1986) nur postmortem möglich sein wird.

Was war die Ursache? Kommt Ihr nie drauf!

„Bessere Security, durch Installation einer Firewall.“

Na das ging ja mal so richtig schief :DDD Für Spott braucht diese Behörde in nächster Zeit nicht mehr sorgen, das klebt denen bis zum Auflösung am Haken.

LDAP Vortrag im Haus der Talente

Posted on 16. Januar 2019 by marius

Heute Abend findet im Haus der Talente, Saalestraße 45, Braunschweig Weststadt ein Vortrag über LDAP-Authentifizierung statt.

Besonderes Augenmerk legen wir dabei heute Abend ab 18:00 Uhr auf die Ausgestaltung im Rahmen der Europäischen Datenschutz-grundverordnung.

Für Pizza ist laut LUG-ORGA gesorgt.

Update:

Der gestern gehaltene Vortrag zu OpenLDAP und dem Datenschutz, hatte leider nicht viel mit Datenschutz zu tun 🙂

Da ist die Ankündigung der LUG wohl ein bisschen übereifrig gewesen, allerdings konnte der Teilnehmer einiges über LDAP erfahren, wie man damit Probleme löst, wo es herkommt, wie man es einsetzt, um wie es besser geht.

Im Anschluss an den Vortrag entbrannte eine
rege Diskussion über den Datenschutz nach DSGVO.

Kleine Anekdote zum Ende:

im Anschluss haben wir versucht mein Handy zu rooten… es war zu sicher 🙂

Zwei Sicherheitslücken auf die wir lange warten mußten!

Posted on 15. Januar 2019 by marius

Darauf mußten wir lange, lange warten:

THN: 36 Jahre alte Sicherheitslücke in SCP entdeckt!

Wie die Hacker News berichten, gibt es in SCP eine 36 Jahre alte Lücke, die es einem böswilligen Server erlaubt, beliebige Files beim Benutzer zu überschreiben.Da fast alle Implementierung vom alten Originalcode abstammen, sind sehr viele Anwendungen davon betroffen. Es können z.B. verstecke Bash-Files im Home (eines Unix/Linux/Macusers ) erzeugt werden, die als ANSI Codes übermittelt werden. Möglich wird die mangels guter Prüfung des erhaltenen Contents durch SCP. Da scp üblicherweise in der Shell eingesetzt wird, könnte das praktische ausnutzen der Schwachstelle in der Regel schwierig werden, da man sich nur zu bekannten Server mit SCP verbindet. Jemanden da per Spam hin zu bekommen, könnte schwer fallen.

Auch lange warten mußten wir auf diese Meldung, die nicht minder prikär ist, vielleicht sogar noch schlimmer:

heise.de : Forscher brechen aus Docker-Container aus

Ich persönlich warte ja schon länger auf diese Meldung, aber verwundern wird sie wohl keinen. Die Hauptkritik an Container ist ja, daß die darin enthaltene Software nicht aktuell gehalten sein wird, weil sonst könnte der Entwickler die Anwendung ja auch prima auf einem normalen System starten. Natürlich gibt es noch andere Gründe für einen Container: Transferierbarkeit, Skalierbarkeit usw. aber uns interessiert die Sicherheit natürlich mehr. Wenn ich jetzt Software von Anno Schnee in einem Container habe, der nicht aktualisiert wird, weil „wieso, geht doch!“, das übliche Argument der Neulandmanager halt, dann habe ich jetzt endlich den Exploit, der mir bisher fehlte, um aus dem Schrott auszubrechen. VMs sind übrigens nicht anders, nur einer VM kann ich ( ICH!! ) sagen, daß das System dadrin aktualisiert werden soll. Bei „Docker“ ist das ein Heckmeck sondergleichen, wenn die Funktion nicht vorgesehen ist.

Die „Play with Docker“ Containerumgebung wird nicht die Einzige sein, die mit „wieso, kann doch keiner ausbrechen“ als Argument, die Anwendung mit erhöhten Rechten laufen läßt. Es wird also spannend werden, wenn man Docker einsetzt. Eine Lücke mehr, die man stopfen muß. Das sollte man sich vor Augen halten.