# Pentaradio vom 27. August 2024 # Titel: "Schlampig programmiert, schlampig getestet, schlampig ausgeliefert" Mit Mole und Xyrill. Simon ist heute verhindert, aber dafür haben wir alte Bekannte zu Gast: Monopolisten, Überwachungskapitalisten und Schlangenölverkäufer, die mit ihrer "Sicherheits"-Software Milliardenschäden anrichten. Auf Basis der Live-Sendung vom 27. August 2024. ## Feedback I Martin schreibt: > In eurer letzten Folge habt ihr euch gefragt, ob schon jemand versucht hat, Telefon-Scammer mit ChatGPT "zurückzuscammen". Die Antwort ist ja, und zwar inklusive STT und TTS. > > In dem unterhaltsamen Podcast ["Shell Game"](https://www.shellgame.co/podcast) hat der Autor mit Klons seiner Stimme in Kombination mit LLMs unter anderem Scamming-Anrufe "beantwortet". Das passiert in Episode 2. Ist aber auch sonst recht hörenswert, teils nachdenklich und philosophisch. > > Macht weiter so! Xyrill hat außerdem in der Zwischenzeit gesehen, dass Kitboga im Dezember ein Video dazu hatte: ["Using ChatGPT to Call Scammers"](https://www.youtube.com/watch?v=rj78-Re0ecw). ## Feedback II Mole schreibt: (Hey, den kenn ich!) > Bei der Windowsinstallation muss man nicht manuell um das Microsoft-Konto herummanövrieren, wie das Xyrill beschrieben hat. Es reicht wenn man Software nimmt, die den Installations-Stick schon soweit vorbereitet, das Windows sofort mit deinem Useraccount hochfährt. Zu empfehlen ist hier Rufus. Das macht das alles für einen. Xyrill nimmt den Hinweis wohlwollend zur Kenntnis. Aber `OOBE\BYPASSNRO` ist trotzdem gut zu wissen, wenn man (wie geschehen) ein Neugerät einrichten soll und keinen leeren USB-Stick zur Hand hat, um ein Installationsmedium zu erstellen. :) ## News - [Google verschiebt zum x-ten Mal das angekündigte Ende von Drittanbieter-Cookies](https://www.theverge.com/2024/7/22/24203893/google-cookie-tracking-prompt-ad-targeting-privacy-sandbox) - Drittanbieter-Cookies braucht man für Attribution von Werbeklicks. - Nicht-Google-Browser wie Firefox oder Safari verbieten sie schon lange standardmäßig. - ebenfalls passend dazu [dieser Bericht, wie Fernseher zu Werbe- und Überwachungsplattformen geworden sind](https://arstechnica.com/gadgets/2024/08/tv-industrys-ads-tracking-obsession-is-turning-your-living-room-into-a-store/) - Bei TVs hat man schön zugenagelte Betriebssysteme, bei denen sich die Nutzer vergleichsweise schwer dagegen wehren können, dass man Bild- und Toninhalte analysiert, alles nach Hause telefoniert, und dann die passende Werbung einblendet. - Der Gipfel ist [Telly](https://www.prnewswire.com/news-releases/pluto-tv-co-founder-launches-telly-the-ultimate-free-television-upgrade-for-the-living-room-301823860.html), ein Gratis-Fernseher mit einem nicht abschaltbaren Zweitbildschirm nur für Werbung. - Xyrill hat eine Befürchtung, [wo die Reise hingeht](https://miro.medium.com/v2/resize:fit:3840/format:webp/1*Cs7PqFCOsYbRbWCUOFLsug.jpeg). - zurück zur Quelle allen Übels: [US-Gericht stuft Google als Monopolist in den Bereichen Internetsuche und Text-Werbung ein](https://www.thebignewsletter.com/p/boom-judge-rules-google-is-a-monopolist) - Problematisch waren insbesondere die Zahlungen an Hersteller von Browsern und Betriebssysteme, um die Google-Suche als Standard voreinzustellen. - Effekt: z.B. hat Apple ein Entwicklungsprogramm für eine eigene Suchmaschine eingestellt, mutmaßlich um nicht die 20 Mrd. $ von Google aufs Spiel zu setzen - "Interne Google-Dokumente deuten darauf hin, dass das Unternehmen zwischen 60 und 80% seiner mobilen Suchanfragen verlieren würde, wenn sie nicht mehr die Standardposition auf dem iPhone hätten. Dies würde zu einem Umsatzverlust von 28,2 bis 32,7 Mrd. $ führen, \[wie Richter] Mehta in seiner Entscheidung hervorhob." - Die Strafe wurde noch nicht entschieden. [Mögliche Optionen](https://arstechnica.com/tech-policy/2024/08/all-the-possible-ways-to-destroy-googles-monopoly-in-search/): - Das Erkaufen des Status als voreingestellte Suchmaschine könnte verboten werden. (Mal wieder forcierte Auswahl-Bildschirme? [Letztes Mal](https://de.wikipedia.org/wiki/BrowserChoice.eu) kam nicht viel dabei heraus. Und was wird dann aus Mozilla?) - Google könnte gezwungen werden, Chrome oder Android in separate Unternehmen abzuspalten (siehe die [Zerschlagung von Bell 1984](https://en.wikipedia.org/wiki/Breakup_of_the_Bell_System)). - Google könnte gezwungen werden, kleineren Konkurrenten zu fairen Preisen Zugang zu ihrem Suchindex zu liefern (analog zu Zugang zum DB-Netz für private EVU). - Google bezahlt den Richtern am Supreme Court ein paar schöne Urlaubsreisen und das Urteil wird in der Berufung aufgehoben... Halt, nein- - [Cory Doctorow warnt:](https://pluralistic.net/2024/08/07/revealed-preferences/) Es muss jetzt darum gehen, den Überwachungs-Kapitalismus abzuschaffen, anstatt den Marktzugang für kleine und mittelständische Überwachungskapitalisten zu erleichtern. - apropos Google: [Bug-Bounty-Programm für Apps im Google Play Store wird eingestellt](https://www.androidauthority.com/google-play-security-reward-program-winding-down-3472376/) - Money Quote (via [DeepL](https://deepl.com)): "Infolge der allgemeinen Verbesserung der Sicherheitslage von Android und des zunehmenden Hardenings wurden von der Forschergemeinde weniger verwertbare Schwachstellen gemeldet. Aufgrund dieses Rückgangs \[...] stellen wir das \[Google Play Security Reward Program] ein." - Ob das so eine gute Idee ist? Erst Ende Juli [wurde im Play Store ein Haufen von Malware-Apps gefunden, die dort seit 2016 (!) gären](https://arstechnica.com/security/2024/07/mysterious-family-of-malware-hid-in-google-play-for-years/). - zuletzt noch ein paar Veranstaltungshinweise: - [Landtagswahl in Sachsen, Thüringen am 1. September und in Brandenburg am 22. September](https://www.wahlrecht.de/termine.htm#termine-2024) - [21. Datenspuren vom 20.-22. September im Zentralwerk Dresden](https://datenspuren.de/2024/) - Videotipp: ["Club Mate: The Lost History of Germany's Trendiest Soda"](https://www.youtube.com/watch?v=fg6dFhQOk4w) - bei 05:10 wird der erste Ausschank einer deutschen Mate-Limonade erwähnt... in Dresden! - Oh warte, wir hatten gar nichts zu ✨KI✨! Das geht gar nicht, aber das können wir schnell beheben... ## Debatte David Chisnall [schreibt auf Mastodon](https://infosec.exchange/@david_chisnall/112936602693436506): > Ich bin immer noch erstaunt, dass es in unserer Branche Leute gibt, die ein Video von einer Katze sehen, die sich durch nichts erschreckt, in die Luft springt, ihren eigenen Schwanz sieht, ihn beißt und dann überrascht ist, dass es weh tut, und dann denken: "Wow, neuronale Netze! Eine tolle Methode, um zuverlässige Systeme zu bauen!" ## Musik - ["Belatedly", Jazzaria (2024)](https://jazzaria.bandcamp.com/album/belatedly) [(via)](https://www.clongclongmoo.org/2024/08/25/jazzaria-belatedly/) - ["Sanctum", Origin_Blueprint (2022-2023)](https://motivational-music.one/echoes-through-time/index.html) [(via)](https://www.clongclongmoo.org/2024/08/07/origin_blueprint-echoes-through-time/) ## Thema: Der CrowdStrike Xyrill hat bereits an mehreren Stellen ([z.B. hier](https://bitbang.social/@overeducatedredneck/112895154477121497)) eine Wortneuschöpfung gesehen: > crowdstriken (Verb): jemand anderes Produktivsystem mit einer unzureichend getesteten Änderung lahmlegen Das müssen wir ausführlich würdigen. ### Was ist passiert? Die Zeitlinie ist [im Wikipedia-Artikel](https://de.wikipedia.org/wiki/Crowdstrike-Computerausfall_2024) nachvollziehbar. - betroffen waren Windows-Systeme, auf denen CrowdStrike Falcon als Endpoint Security installiert ist (ähnlich wie Antivirus, aber richtet sich nur an Großkunden, nicht an Privatanwender) - Freitag, 19. Juli: von 04:09 bis 05:27 UTC (06:09 bis 07:27 deutscher Zeit) wurde ein defektes Update verteilt, dass betroffene Rechner zum Absturz mit Bluescreen gebracht hat - Microsoft hatte schon [am Abend zuvor](https://blogs.microsoft.com/blog/2024/07/20/helping-our-customers-through-the-crowdstrike-outage/) von einigen Systemen automatische Absturzberichte erhalten - einzige Lösung: jede Maschine von Hand neustarten, damit das nachfolgende Update installiert werden konnte (hoffentlich bevor der Rechner wieder crasht) Wie konnte das passieren? - Update-Dateien wurden anstatt mit einem ordentlichen Parser nur mit regulären Ausdrücken validiert (der Crash war im Validator!!) - in automatisierten Tests des Validators wurde nur der Erfolgsfall getestet (keine Prüfung von Fehlerfällen mit ungültigen Dateien, keine statische Code-Analyse, kein Fuzzing, kein gar nichts) - in manuellen Tests wurde auch nur mit gültigen Dateien getestet - der Validator lief im Kernel Mode, sodass unerwartete Fehler nicht nur das Programm beenden, sondern das ganze Betriebssystem mit in den Tod reißen - nicht nur schlampig getestet, sondern auch schlampig ausgeliefert (keine gestaffelten Rollouts!) Und es geht munter weiter! - Donnerstag, 22. August: [unerklärliche Performance-Einbrüche auf Geräten mit Falcon Sensor](https://www.golem.de/news/it-infrastruktur-crowdstrike-macht-wieder-probleme-2408-188294.html) - Kein Grund zur Panik: "Alle Kunden waren während des gesamten Vorfalls geschützt." ### Die Konsequenzen Unfassbarer wirtschaftlicher Schaden: - Auszug aus Wikipedia zu den Konsequenzen des CrowdStrikes in Deutschland: "Betreiber kritischer Infrastruktur waren betroffen. Dazu zählen unter anderem Energieversorger, Transport und Verkehr, die öffentliche Verwaltung, Krankenhäuser, Trinkwasser, Abwasser und Telekommunikation. \[...] Am \[Berliner] Flughafen BER fielen 113 Flüge aus. Das Universitätsklinikum Schleswig-Holstein hat an seinen Standorten Kiel und Lübeck alle nicht dringenden Operationen abgesagt und die Ambulanzen geschlossen. Der Lebensmitteleinzelhändler Tegut musste aufgrund nicht funktionierender Kassensysteme vorübergehend seine 340 Filialen schließen." - Jan Schaumann (Sicherheitsarchitekt bei Akamai) beobachtet: [Virenscanner & Co. sind in vielerlei Hinsicht nicht von Schadsoftware zu unterscheiden](https://mstdn.social/@jschauma/112814373948264133) - dieser Schadensfall zeigt [den möglichen Blast-Radius eines gezielten IT-Angriffs auf](https://federate.social/@jik/112812825679959416) - "\[Wenn Crowdstrike] mit einem einzigen fehlerhaften Update versehentlich einen so großen Teil der amerikanischen Tech-Infrastruktur ausschalten kann, können unsere Gegner mit einem Angriff auf die Lieferkette von CrowdStrike absichtlich das Gleiche tun, und von diesem Angriff würde man sich wahrscheinlich nicht so schnell erholen." - siehe dazu unsere Besprechung von Cyberwar-Vorsorge im [Pentaradio vom Mai 2024](https://c3d2.de/news/pentaradio24-20240528.html) Verantwortlichkeit kommerzieller Software-Hersteller für ihre Produkte: - [Microsoft-Postmortem](https://www.microsoft.com/en-us/security/blog/2024/07/27/windows-security-best-practices-for-integrating-and-managing-security-tools/) klingt wie ein (sehr diplomatischer) Schlag ins Gesicht für CrowdStrike - Money Quote: "Heutzutage ist es möglich, dass Sicherheitssoftware ein Gleichgewicht zwischen Sicherheit und Zuverlässigkeit herstellt. So können Anbieter von Sicherheitssoftware beispielsweise minimale Sensoren verwenden, die im Kernel-Modus für die Datenerfassung und -durchsetzung laufen und so die Anfälligkeit für Verfügbarkeitsprobleme verringern. Der Rest der wichtigsten Produktfunktionen wie die Verwaltung von Updates, das Parsen von Inhalten und andere Vorgänge können isoliert im Benutzermodus ausgeführt werden, wo \[es einfacher ist, Fehler einzudämmen]." - ["Dies ist nicht einmal das erste Mal, dass dies passiert. Crowdstrike hat in den letzten vier Monaten jeden Monat ein Betriebssystem getötet. Mittlerweile sind sie selbst die Bedrohung."](https://news.ycombinator.com/item?id=41097063) - Der Fisch stinkt vom Kopf her: CEO [George Kurtz](https://en.wikipedia.org/wiki/George_Kurtz) war vorher CTO bei McAfee, wo unter seiner Ägide [ein fehlerhaftes Update Millionen von Windows-Installationen zerstörte](https://en.wikipedia.org/wiki/McAfee#DAT_5958_update). - [Kontrapunkt von CCC-Sprecher Joachim Selzer](https://www.wiwo.de/unternehmen/it/software-fehler-crowdstrike-panne-legte-8-5-millionen-windows-geraete-lahm/29904834.html): "Die betriebswirtschaftlich getriebene Konzentration auf wenige Anbieter habe im IT-Bereich zu einer Art Klumpenrisiko geführt. Natürlich gäbe es Möglichkeiten, die Wahrscheinlichkeit solcher Vorfälle zu minimieren \[...] Solche Investitionen stünden immer vor dem Dilemma, dass sie, sobald sie erfolgreich seien und IT-Vorfälle ausblieben, sie sofort wieder in Frage gestellt würden: Ein Präventionsdilemma also." - Kontrapunkt zum Kontrapunkt: Was Joachim "Klumpenrisiko" nennt, ist doch eigentlich wieder "too big to fail, too big to jail, too big to care". Crowdstrike muss nicht fürchten, über den Schadensersatzzahlungen bankrott zu gehen. Und die Vorstände müssen nicht mit harten Strafen rechnen. Da ist das Problem. - Meinung: [Alle Probleme mit diesem Update lassen sich durch Unterbesetzung erklären](https://mastodon.online/@Infrogmation/112824607734944433) - "Warum wurde das Update nicht besser getestet? \[...] Warum hatten die großen Technologieunternehmen keine Möglichkeit, ohne dieses eine Stück Software auszukommen? \[...] Warum hatten Fluggesellschaften, Regierungen, Telekommunikationsunternehmen und andere Unternehmen keinen Notfallplan? \[...] Weil Techniker teuer sind und viele Unternehmen in den letzten zwei Jahren einen Haufen von ihnen entlassen haben, um Geld zu sparen. \[...] Tests, Flexibilität und Notfallpläne sind teuer, und es ist schwer, die Geschäftsleitung davon zu überzeugen, dass sie wichtig sind, weil sie keinen Profit bringen." - "Moment mal, all diese Leute, die die Techniker entlassen haben, sagten, sie würden durch ✨KI✨ ersetzt. Was ist passiert? ✨KI✨ war nur eine inhaltsleere Rechtfertigung, um teure Techniker zu entlassen. ✨KI✨ hat \[(noch)] nicht wirklich viele Leute in der Tech-Branche ersetzt, weil größere Veränderungen wie die Umstellung auf ✨KI✨ teuer sind, und es ist schwer, die Geschäftsleitung davon zu überzeugen, Geld für Veränderungen auszugeben, wenn sie auch einfach vortäuschen können." - Und das führt uns zu... Verantwortlichkeit der Nutzer und Regulierer: - Meinung: [Die Kunden von CrowdStrike tragen eine Mitschuld](https://infosec.exchange/@david_chisnall/112814307099001514) - "Die Schuld \[für die heutigen Ausfälle] liegt bei den Leuten, die mit Beschaffungsentscheidungen betraut sind; die ein Produkt sahen, das eine Menge zusätzlichen Code hinzufügte, der in Ring 0 läuft, und dachten: 'Ja, das wird uns sicherer machen, ich werde anordnen, dass dies im gesamten Unternehmen eingesetzt werden muss.' Ein großer Teil der Schuld liegt bei den Leuten, die Audit-Richtlinien geschaffen haben, die den Leuten vorgaukelten, dass dies für Zertifizierungen notwendig sei." - [noch eine Stimme von einem Admin aus dem Gesundheitsbereich](https://news.ycombinator.com/item?id=41004184) - "\[Die] Einhaltung von Vorschriften \[hat] Vorrang vor den tatsächlichen Risiken, die sich daraus ergeben, wie die Einhaltung der Vorschriften umgesetzt wird. Die Organisationen tun dies, weil sie mehr Angst davor haben, bei einem Audit durchzufallen, als vor den Folgen eines Ausfalls der zugrunde liegenden Systeme, die durch die Audits geschützt werden sollen. Wir müssen also auch die Regulierungsbehörden zur Rechenschaft ziehen - wenn sie die Vorschriften so gestalten, dass die Unternehmen in die Enge getrieben werden, tragen sie auch hier einen Teil der Schuld." - wie in jeder Bürokratie: jeder einzelne Teilnehmer priorisiert am höchsten das eigene Ass-Covering - Dass Antivirus in Windows im Kernel rumpfuschen darf, wird zumindest von Seiten Microsofts [mit EU-Kartellintervention begründet](https://stratechery.com/2024/crashes-and-competition/). - "Ein Sprecher von Microsoft sagte, dass das Unternehmen sein Betriebssystem nicht auf dieselbe Weise wie Apple abschirmen kann, da es in Folge einer Beschwerde eine Vereinbarung mit der Europäischen Kommission gibt. Im Jahr 2009 erklärte sich Microsoft bereit, Herstellern von Sicherheitssoftware den gleichen Zugang zu Windows zu gewähren wie Microsoft selbst."