Vor dem Hintergrund des kürzlich durch Zufall entdeckten Supply-Chain-Angriffs auf die xz-Bibliothek widmen sich Prof. Dr. Andreas Noack und Viktor Garske der zwischenmenschlichen Ebene, die diesen Angriff mittels Social Engineering erst möglich gemacht hat. Hierzu sprechen sie mit Prof. Dr. Stephan G. Humer, Professor an der Hochschule Fresenius, Pionier des Forschungsgebiets „Internetsoziologie“ und Experte für Social Engineering über Technologiekultur und Risiken, Angriffe sowie Schutzmaßnahmen vor bösartigen Übernahmen von Online-Communities und Open-Source-Projekten.
Dies ist eine thematische Fortführung der Episode RZ045.
Shownotes
- Feedback: OpenVPN Reference Manual, auch zum Einrichten der CRLs
- Zusammenfassung der xz-Lücke von derStandard.at (31.03.2024 von Andreas Proschofsky)
- Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects (15.04.2024)
- Die passenden xkcd Comics: 538 und 2347
- Analyse der Timestamps der Mails
Namensnennung
Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.
Total spannende Folge.
Vielen Dank an Euch drei dafür!
Ich höre mir alle eure Beiträge an und nehme immer etwas davon mit, auch wenn manches noch immer ein bisschen zu hoch ist, weil mir dann doch ein paar Vorkenntnisse fehlen.
Das besondere an dieser Sendung ist, dass sie ziemlich weit in über den Tellerrand der IT hinaus schaut und deutlich macht, wie vielen externen Einflüssen sie unterworfen sein kann.
Die Problematik der Abhängigkeiten von Projekten, die nur (noch) von einem Maintainer betreut werden, waren mir latent klar, aber ich habe das mehr oder weniger bewusst verdrängt. Der xz-Vorfall hat deutlich gemacht, dass ich da zu naiv war.
(Nicht dass ich selbst zur Lösung dieser Problematik direkt (Projektmitarbeit) viel beitragen kann, außer dass ich in Diskussionen/Gesprächen dazu jetzt wohl deutlicher Position beziehen werde.)
Eine daran verwandte Problematik, über die ich schon länger nachdenke, ist die, dass mir unsere (gesellschaftliche) Herangehensweise und Umgang mit It-Sicherheit zu schmalspurig ist. Häufig wird die Anwendung von Sicherheit zu sehr auf die Einzelperson reduziert, die für ihre Sicherheit selbst verantwortlich ist und dazu alle nötigen Schritte selbst vorzunehmen hat. Bis zu einem gewissen Grad stimme ich dem zu, aber die allermeisten Anwender, mich eingeschlossen, sind damit überfordert. Die Einrichtung der Empfehlungen bekomme ich ja noch hin, aber ich halte das nicht durch. Ständig ändert sich was und man muss nachjustieren.
Security is a long term game.
—
Dies sind meine 3 großen Problempunkte:
1) David gegen Goliath (und Goliath gewinnt dies ganz deutlicht).
Ich stehe alleine gegenüber multinationalen Konzernen, die ich mit meinen mickrigen Maßnahmen in Schach zu halten versuche.
2) Indirekte Ausspähung
Selbst wenn ich es hinbekäme ALLE meine Systeme komplett zu sichern, gebe ich immer noch jede Menge an Informationen preis durch meine Interaktionen mit anderen Personen und Diensten – ganz egal wie sicher/gesichert diese selbst sind.
3) Egoismus (wird zur Backdoor)
Hauptsache ich habe für mich alles gut im Griff, alle weniger tech-affinen Personen überlasse ich ihrem Schicksal.
Dumm halt nur, dass ich durch meine Interaktionen mit ihnen mich selbst angreifbar und ausspähbar mache (Das ist die Backdoor).
—
Es kann doch nicht die Lösung sein, dass alle kleinen Davids – all die Milliarden Nutzer – als Einzelkämpfer agieren gegen die Goliaths (GAFAM, Staaten und andere organisierten Akteure).
Meiner Meinung nach bin ich nur gut geschützt, wenn auch alle anderen ausreichend geschützt sind.
„Mein Schutz ist der Schutz des anderen.“
Als IT Community liefern wir da noch überhaupt kein gutes Bild ab.
Vielen Dank für Eure Mühe, um daran etwas zu ändern.
Alles beginnt damit, dass man erkennt, dass es ein Problem gibt.
Klaus
Hey, danke, dass Ihr die Kommentare erwähnt.
So, die Telefone sterben irgendwie aus, jedoch sind DECT und SIP noch interessant. Ich habe mich nie wirklich damit beschäftigt und mein Wissensstand ist auf einem sehr-sehr oberflächlichen Niveau a la „DECT ist das WLAN für Schnurlostelefone und SIP ist das HTTP fürs Festnetztelefonieren“. Aber natürlich können diese Technologien weit mehr. Ich bastele an meiner Fritzbox und mich würde interessieren, was man noch damit anstellen kann. Muss jetzt nicht unbedingt Fritzbox bezogen sein, einfach nur coole Features and Anwendungen.
Hallo Zoy, vielen Dank für das Feedback und vielen Dank, dass Du die Frage genauer umreißt. Wir suchen da mal einen passenden Gesprächspartner, damit wir das Thema mit der nötigen Tiefe durchdringen können. Tatsächlich kann ich vorab sagen, dass DECT sogar durch DECT NR+ Teil von 5G wurde und damit die IoT-Möglichkeiten deutlich erweitert. Wenn es sich ergibt, werden wir uns gerne mal in einer Episode dem Thema widmen. Versprechen kann ich aber noch nichts. 😉 Viele Grüße, Viktor
Hallo Viktor, danke, dass Ihr meine Interessen teilt und diesen nachgeht. Was noch SIP betrifft, so frage ich mich noch, wie Nummernspoofing möglich ist. Liegt es an der komplexen SIP-Spezifikation und daran, dass sich nicht jeder genau daran hält, oder ist es eher ein Feature des Protokolls?
Oh je, der vorherige Kommentar war eigentlich zu RZ047. 🙁