Ist der Vogel abgehoben?

Veröffentlicht am 16. November 2022 von Chris

Werbekunden haben keinen Bock auf den Heckmeck? An den digitalen Pranger! Der blaue Haken? 20$? 8$? Kostenloses Insulin für die Amis! Oh nein, das war nur ein Parodie-Account. Der Börsenkurs Parodie-Opfers? Mehrere Milliarden USD Verlust. Redefreiheit? Redefreiheit! Außer für die, die einen Parodie-Tesla- oder -Musk-Account erstellen. Die werden gebannt.

Puh, was hat Twitter als Plattform und deren (noch?-)Mitarbeiter für einen Ritt. Erst einmal die Hälfte entlassen, dann doch wieder welche zurückholen um dann auf „hardcore“-Arbeit einzustimmen und ein stay-or-go-Commitment einzufordern.

Das Ganze in nur wenigen Tagen.

Manchmal frage ich mich, ob es nicht besser wäre, wenn Elon Musk jemanden an seiner Seite hätte, der/die für ihn die Schnittstelle für die restliche Welt spielen könnte. Oder irgendwas mit einem abgelegenen Kloster, ohne (Starlink-)Internet um mal etwas zur Ruhe zu kommen und nicht mit jedem spontanen Ideen Firmen ins Chaos zu treiben. Täte wahrscheinlich ihm und seiner Umgebug gut.

Aber das war nicht der eigentliche Gedanke hinter diesem Blogpost. Dieser ist eigentlich sehr kurz: Ich lehne mich mal so weit aus dem Fenster und gebe dem Laden noch ein halbes Jahr.

Entweder, weil die letzten das Firmengebäude verlassen haben, weil es kein Kapital mehr für den „Streckbetrieb“ mehr gibt (weder durch Werbetreibende, Investoren – keine Ahnung wer aktuell so verrückt ist – oder durch den neuen Boss), durch die nun stagnierende Softwarequalität die Plattform kaputtgehackt wird, es durch den Anstieg Hass, Hetze und Fehlinformationen mehr nationale Sperren geben wird oder die Plattform schlicht durch Abwanderung z. B. nach Mastodon sterben wird. Oder eine Mischung aus alledem.

TODO: Review Mitte Mai 2023.

Offener Treffpunkt. Mit verschlossener Tür. #vshbleibt

Veröffentlicht am 3. Juli 2022 von Chris

Eher durch Zufall habe ich diese Woche gelesen, dass das Verschwörhaus in Ulm ein Problem hat.

Wer es nicht kennt: Das Verschwörhaus ist bietet Raum und Räumlichkeiten für Hacker, Maker, Breaker, und natürlich alle anderen – eben für Menschen wie du und ich. Der Name ist eine Anspielung auf das Schwörhaus, eines der Wahrzeichen in Ulm – und nur einen Steinwurf – oder vielmehr einen Hop im WLAN – entfernt.

Was wohl schon länger gebrodelt hat, ist nun wohl leider final eskaliert. Der SWR, Netzpolitik.org und der Tagesspiegel (hinter Paywall, daher nicht verlinkt) berichteten. donau3fm hat ebenfalls eine (Stand heute) in meinen Augen eine „gute“ Zusammenfassung.

Die Kurzfassung: Die Stadt hat vieles über die Köpfe des Vereins hinweg entschieden, das Image ohne Beteiligung (aus)genutzt und hat auch den Namen als Marke zur Anmeldung gebracht – ohne das Wissen der Vereinsmitglieder. Nachdem nun das zweite Mal – scheinbar ohne Ankündigung – die Schlösser des Hauses getauscht wurden, ist es nun wohl Schluss. Wenn man den Berichten Glauben schenken darf, ist das Verhalten der Stadt gegenüber den ehrenamtlichen, die nicht nur den Verein aufgebaut, sondern auch Leben – nicht nur ins Haus, sondern auch die (städtische) Digitalisierung – gebracht haben gelinde gesagt mehr als enttäuschend.

Als Außenstehender steht mir natürlich nicht zu, über Beteiligte zu urteilen. Fingerpointing oder Shitstorms bringt niemanden weiter. Das Kind ist im Brunnen und das Vertrauen mutmaßlich unwiederbringlich verloren. Ob und wie es mit oder gar in der Stadt Ulm weitergeht – ich bin gespannt.

Was bleibt ist Unterstützung – mit der Zeichnung des Offenen Briefes vorerst zumindest moralisch, für alles weitere werde ich meine Augen und Ohren offen halten.

Falls das hier jemand von den „Verschwörern“ liest: Lasst euch nicht von dem entstandenen Ärger und Frust einbremsen oder aufhalten. Ich bin mir sicher, dass der Neuanfang gelingt, ihr die Traktion aus den bisherigen Erfolgen mitnehmt, die negativen Erfahrungen in etwas Positives umwandeln könnt und das „Verschwörhaus 2.0“ ein gutes Upgrade wird 🙂

Gefällt mir nicht.

Veröffentlicht am 23. Dezember 2021 von Chris

Hey YouTube, wer ist eure Zielgruppe?

Dass es die Benutzer eurer Plattform nicht sind, wurde schon öfter gezeigt bzw. bewiesen. Um wen es geht? Werbetreibende, also Geld.

Ein für User praktisches Hilfsmittel um vor dem Ansehen eines Videos (oder zumindest innerhalb der ersten paar Sekunden) zu erkennen, ob es inhaltlich taugt, kontrovers oder ziemlicher Mist ist war die Anzeige der Likes/Dislikes sowie dem Ratio.

Weil YouTube/Google/Alphabet natürlich die Positivität ihrer Plattform verbessern will (im Sinne von höhere positive finanzielle Zahlen) wurde der öffentliche Dislike-Counter entfernt. Für die jeweiligen Creator bleibt der Zähler allerdings sichtbar. Aber auch Benutzer müssen nicht unbedingt blind sein: Erweiterungen wie Return YouTube Dislike haben sich Schattenkopien der Statistiken per API geholt und führen nun selbst Buch.

Inwieweit das noch repräsentativ ist kann ich leider nicht einschätzen, wie brauchbar die Zahlen in Zukunft sein werden wird die Zeit zeigen, ich hoffe zwar, denke aber ehrlicherweise nicht, dass der offizielle Counter wieder zurück kommt.

Wenn es YouTube tatsächlich um Positivität gehen würde, wäre es sinnvoll, wenn statt einem „destruktiven Daumen“ konstruktive Kritik (abseits der Kommentare) geben würde. Sprich: Drückt man den Daumen nach unten, muss man es begründen (sei es multiple choice oder Texteingabe). Auf die Weise könnte man tatsächlich etwas verändern und einem „einfach nur weil dagegen“ würde zumindest eine kleine Hürde in den Weg gelegt.

Der Aufhänger für diesen Post?

Als sehr seltener „Creator“ bin ich gestern wieder durch den Uploadprozess gegangen und bin über folgende Option gestolpert:

Da muss wohl noch eine Übersetzung angepasst werden.

Shooting the messenger

Veröffentlicht am 21. Oktober 2021 von Chris

Aus mehrfach aktuellem Anlass – und nachdem auch die Politik aktuell wieder heult, dass im letzten Jahr wieder massiv gecybert wurde.

Liebe Unternehmen: Bekommt eure Security und vor allem euer Verhalten gegenüber Sicherheitsforschenden endlich mal in den Griff.

Nachdem es bei Golem und Heise zu lesen war und es nicht der erste Fall von „Shooting the messenger“ dieses Jahr war und mir ehrlich gesagt mittlerweile der Kamm ein wenig schwillt, mal (m)eine Meinung und Erfahrung zum Thema Sicherheitsforschung und der Umgang von Unternehmen mit der Thematik.

Der Vollständigkeit halber (und nein, das soll keine Prahlerei sein): ja, auch ich habe schon Sicherheitslücken entdeckt und gemeldet. Details sind sind an der Stelle unwichtig, zur groben Einordnung, zwei Meldungen hatten IIRC einen CVSS-Score von 7,4 und 8,6.

Was ich in der Kommunikation mehrfach beobachten konnte waren folgende Reaktionen in dieser Reihenfolge:

„Kann gar nicht sein“
„Warum glauben Sie, dass es eine Sicherheitslücke gibt?“
„Oh.“
(vermutlich hektischer Griff zum Telefonhörer, keine Reaktion – nach längerem Warten und mehreren Rückfragen)
„Wir haben es gefixt, bitte prüfen“

Meine Gedanken dazu: Ok, ok, es kann ja jeder daherkommen und Dinge behaupten. Aber selbst mit einer groben Beschreibung was falsch läuft, sollte jemand der/die „security“ in der Mailadresse hat entweder seine Kompetenz nutzen oder entsprechende Ressourcen im eigenen Betrieb aktivieren.

Gleiches gilt für Punkt zwei. Muss man als unbezahlte(r) dritter wirklich immer einen proof of concept darlegen? War bei mir bis jetzt immer der Fall. Leute, es eure Sicherheit. Euer Kapital, eure Verantwortung. Muss man wirklich eure (bitte entschuldigt die Ausdrucksweise aber etwas milderes fällt mir dazu nicht ein) Nase in den Kackhaufen drücken, auch wenn man von weitem schon sieht, dass der einfach nicht auf den Parkettboden gehört?

Das darauf folgende „Oh.“ gibt zwar ein wenig Genugtuung – aber: man im Zweifel Stunden oder gar Tage für etwas aufgewendet, was eigentlich in der verdammten Verantwortung des „zerforschten“ liegt. Seis drum. Man hilft ja gerne.

Selten oder eigentlich eher so gut wie gar nicht habe ich Proaktive Kommunikation von der Gegenseite bekommen. Warum auch: man hat ihr unliebsame Arbeit beschert und nervt dann auch noch damit, wann endlich die ureigensten Probleme gelöst sind.

Und ja, auch der letzte Punkt ist nicht erfunden. „Will review for code and food“. Man muss sich echt wundern, mit welcher Erwartungshaltung manche Menschen durchs Leben gehen. Natürlich werde ich an einer Blackbox bestätigen, dass das Teil jetzt sicher ist, obwohl die Sicherheitslücke im Zweifel nur einen kleinen Schritt zur Seite gemacht hat – und zum Schluss noch „Haftung“ dafür zu übernehmen. Ja ne, is klar Kollege.

Eine andere Beobachtung (allerdings schon ein paar Jahre her): Es kann durchaus schwierig sein jemanden zu erreichen, der/die sich tatsächlich überhaupt verantwortlich für Sicherheit fühlt. Auf Anfragen über Kontaktformulare oder zentrale Mailverteiler wurde nicht reagiert und es war social engineering erforderlich, um einen Kontakt aufzubauen.

Was läuft falsch?

Die für mich markantesten Punkte sind:

Es ist erstaunlich schwierig, einen Kommunikationskanal aufzubauen
Man muss mehr beweisen als eigentlich nötig wäre
Probleme werden heruntergespielt oder die Tragweite verkannt
Um die Analogie „Daten sind das Öl des 21. Jahrhunderts“ auszuschlachten: Die Gewinne sind wichtig, aber für eine Tankerhavarie gibt es weder einen Notfallplan noch eine schnelle Eingreiftruppe. Zerstöre Ökosysteme: kann man nichts machen, das bringt der Fortschritt halt mit sich
Obwohl man hilft, bleibt man Bittsteller oder ein Störfaktor
Es gilt das Schubkarrenprinzip: Es bewegt sich nur was, wenn man schiebt

Grundsätzlich kann man es wie folgt zusammenfassen: Die Erwartungshaltung der beiden Parteien divergiert.

Zugegeben: ich habe den Eindruck, dass es (auch dank DSGVO und den damit verbundenen Strafen) etwas besser geworden ist und auch die Angst vor der Veröffentlichungen etwas größer geworden sind.

Dennoch ist die noch recht junge security.txt Stand Oktober 2021 leider noch nicht so richtig etabliert.

Liebe Unternehmen, bitte beachtet:

Sicherheitsforschende…

…machen das ggf. in deren Freizeit
(nicht sie binden eure die Zeit, ihr macht das mit ihrer)
…sind nicht die Ursache eurer Probleme
…haben euch gegenüber keine keine Verpflichtung oder Bringschuld
…haben erst einmal keine persönlichen Vorteile, euch zu helfen
…haben kein Interesse, euch ans Bein zu pinkeln
(sonst würden sie die Lücke gleich woanders verkaufen)
…sollten euch nicht erklären müssen, wie ihr es richtig macht
…sollten euch nicht den Hintern hinterher tragen müssen
…wollen sich nicht und lassen sich nicht gerne verarschen lassen

Herangehensweise

An der Stelle sei hervorgehoben: das sind keine verbindlichen Ratschläge, dafür habe ich weder die Expertise noch eine Autorität. Ein recht interessanten Artikel zum Thema bietet z. B. Heise Online.

Aus meinen bisherigen Erfahrungen halte ich für sinnvoll:

Diskretion bewahren
Wenn es nicht viel Aufwand ist, bereits ein proof-of-concept vorbereiten – die meisten Unternehmen werden euch nicht glauben. Je schnell man das „Oh“ erreicht, desto besser
So früh wie möglich Entdeckungen dokumentieren, auch wie man sich durchhangelt
- Screenrecordings sind dank OBS mittlerweile sehr einfach zu erstellen und sicher auch schönes Futter, sollte man es beim Congress auf die Bühne schaffen 😉
- Ist etwas physisches im Spiel: Video möglichst ohne Schnitte um zu zeigen, dass es keinen doppelten Boden gibt
Wenn Daten Dritter im Spiel sind: So viel wie nötig, so wenig wie möglich sehen/speichern, möglichst früh anonymisieren. Metainformationen reichen bereits oft für den „Aha-Effekt“
- Wenn man nicht/schlecht anonymisieren kann: Kryptographie für die Dokumentation verwenden.
Zeitlich nachvollziehbar und nicht manipulierbar dokumentieren
- Hashes von veröffentlichbaren Dokumenationen (Daten Dritter müssen irreversibel geschützt sein) auf nicht verfälschbaren Plattformen (z. B. Twitter) veröffentlichen, dadurch hat man einen Zeitstempel
- Verschlüsselte Daten in ein öffentliches (z. B. Git) Repo packen
Noch vor der ersten Kontaktaufnahme prüfen
- Wie groß ist die Sicherheitslücke? Geht das alleine oder sollte gleich von Anfang an jemand hinzugezogen werden? (z. B.: durch eine Mitgliedschaft beim CCC oder heise Investigativ)
- Wer ist steht einem gegenüber?
  - Gibt es eine Vulnerability-Kultur (Bug bounty-Programme, CVE)
  - Würde man für sie arbeiten wollen?
  - Sind sie schon durch Behandlung von Hackern in Erscheinung getreten?
Die erste Kontaktaufnahme gilt zum Aushandeln eines sicheren Kommunikationsweges, keine Details („Ich habe (vermutlich) eine Sicherheitslücke gefunden, bitte senden Sie mir eine verschlüsselte Mail mit Ihren Public Keys an …“)
Es kann sinnvoll sein, anonym oder unter Pseudonym an Firmen heranzutreten um Angriffsfläche zu verringern
Mit der ersten verschlüsselten Mail die „Spielregeln“ festlegen
- Freundlich aber bestimmt bleiben („ich will euch nichts Böses, aber ihr müsst etwas machen“)
- Auch wenn umstritten: CVSS-Score ermitteln und kommunizieren
- Typ des Disclosures ansagen (Responsible oder Coordinated, siehe auch den oben verlinkten Heise-Artikel)
- Durchführbaren aber festen Zeitrahmen/Meilensteine festlegen
  - Nicht vertrösten lassen, aber Verzug mit guter Begründung gewähren lassen
- Konsequenzen beim Verstreichen von Fristen festlegen
  - Zero-Days sind nicht die beste Option
  - Zusammenarbeit mit Plattformen, Benachrichtigung von potenziell geschädigten Partnern/Kunden (nicht im Sinne von Endverbrauchern), Medien
- Von vorne herein proaktive Rückmeldung des Gegenüber einfordern
- Wenn es einem wichtig ist: Belohnung aushandeln
„Alles was Sie sagen, kann und wird gegen Sie verwendet werden“ gilt für beide Richtungen
Security Advisories vor der Veröffentlichung zum Gegenlesen verlangen (eigene Erfahrung: bei einer Stand ziemlich großer Unsinn und wurde trotz deutlichem Hinweis nicht korrigiert)
Wenn man zu Meetings eingeladen wird: jemanden im Hintergrund nach Pressemeldungen Ausschau halten lassen
Soweit wie sinnvoll möglich kooperieren – es geht um die Sache, nicht um Befindlichkeiten

Nachtrag, Januar 2022:

Die Hacker*innen von zerforschung hatten auf dem rc3 einen guten Talk zum Thema.

Auch wenn ich mich bei ihrem Argument „keine Druckmittel/Erpressung“ in Hinblick auf Konsequzenzen beim Verstreichen von fristen etwas ertappt fühlte, bleibe ich dabei: aufgrund bisheriger Erfahrungen ist ein Mittel, das man in Erwägung ziehen kann – wenn man nicht von vorne herein gemeinsam mit einer Vertrauensperson arbeitet, was je nach „Gewicht“ des Fundes und Breite des eigenen Rückens sehr sinnvoll sein kann.

#Kundenbindung

Veröffentlicht am 12. Juli 2020 von Chris

Bei vielen Online-Bestellungen kann man zusätzlich noch eine Bemerkung angeben. Meistens bleibt es leer, weil es einfach nichts zu sagen gibt.

Manche Firmen ignorieren es auch einfach, wie ich aktuell bei einer Bestellung bei einem sehr großen Bauteile-Distri feststellen durfte. Aber es gibt auch welche, bei denen es gelesen und auch nicht ganz ernst gemeinte Hinweise umgesetzt werden – wie bei Welectron:

War zwar nur eine Kleinigkeit, aber ich hoffe es hat dort genauso eine kleine Freude bereitet wie mir 😉

Warum man Tek/Keithley seine komplette Adresse + Telefonnummer angeben muss, um ein Firmwareupdate zu bekommen, das älter als das Herstellungsdatum des Geräts selbst ist, muss man nicht ganz verstehen. Laut Website because USA (Exportbeschränkungen).

Zumindest gab es beim Update einen Tippfehler an der richtigen Stelle:

Domo Arigato, Mr. Rebootto.

AltGr+M/Strg+Alt+M != µ

Veröffentlicht am 23. Juni 2020 von Chris

Da will man einmal in Jubeljahren ein µ (My, Mikro) eingeben und dann passiert – nichts.

Ist das Tastatur-Layout falsch? Hat ein Windows-Update was zerschossen? Google auf und los: ein Verdächtiger ist nVidias Geforce Experience. Da ich es nicht benötige, ist es auch nicht installiert.

Ein anderer Tipp auf Stackoverflow/Superuser ist, über Spy++ (einem Tool aus Visual Studio) die WM_HOTKEY-Messages zu lesen. In VS2019 Community ist das – zumindest wenn man nur den C#-Teil installiert – nicht mehr dabei, aber in einem Backup vom alten Rechner habe ich noch eine 32-Bit-Version. Dort wird aber auch nichts angezeigt. Die 64-Bit-Variante habe ich leider nicht herumliegen.

Ziel ist das zwar die WM_HOTKEY-Message, um scrollen zu ersparen, kann man aber auch gleich alle Keyboard-Events erfassen

Eher als Verzweiflungstat öffne ich einfach mal den Sysinternals Process Monitor. Da sollte man doch auch etwas sehen können.

Ich habe weder einen Screenshot noch den genauen Dateiname aber es war Macrium Reflect, das ich vor einer Weile zum Klonen einer Festplatte auf SSD verwendete. Die zwei oder drei Hintergrunddienste habe ich zwar deaktiviert, aber wohl etwas übersehen.

In den Einstellungen war auf die Schnelle nichts in Richtung Global Hotkey zu finden aber nachdem ich das Tool nicht allzu oft brauche, kann es auch einfach deinstalliert werden – und siehe da: noch während die Deinstallation funktionierte die Tastenkombination wieder 🙂

Falls jemand mal eines braucht – hier gibt es nun (je nachdem, wie es umgebrochen wird auch zwei oder nicht ganz) eine ganze Zeile voller „My“s:

µµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµµ

Achja: Seit Windows 10 kann ich nun auch endlich meinen Nachnamen vernünftig in groß schreiben – machte man aus dem kleinen ß früher noch ein SS, kann man nun mit Strg+Alt+Shift+ß ein großes „Eszett“ erzeugen: ẞ

Wirklich gebracht habe ich es allerdings noch nicht.

A-GPS für die Canon SX280

Veröffentlicht am 5. April 2020 von Chris

Manchmal muss man alte Beiträge nochmal ausgraben.

Canon hat letztes Jahr angekündigt, ab 1. Januar 2020 keine A-GPS-Daten mehr für die SX280 anzubieten. Diese ermöglichten, einen Cold Start des GNSS-Empfängers auf wenige Sekunden zu verkürzen. Die Meldung ging an mir komplett vorbei, nicht aber Andreas, von dem der Hinweis kam.

Er konnte auch direkt bestätigen, dass auf den Servern von Canon die Datei zwar noch angeboten wir, der Inhalt aber einen Stand vom 05.01.2020 aufweist.

Um es kurz zu machen: Zum Stand meines alten Artikels hat der Download von http://epodownload.mediatek.com/EPO.DAT funktioniert und entsprach der Datei \DCIM\CANONMSC\GPS\CAGM01.EED auf der Speicherkarte der Kamera. Das ist auch heute noch so.

Keine Ahnung, was man mit dieser Information anfangen kann…

Zugegebenermaßen: die olle Knipse verwende ich nicht mehr wirklich, hat sich im Urlaub vor zwei Jahren aber noch ganz passabel als Notfallkamera und vor allem als GPS-Logger bewährt.

GPS-Logging habe ich bisher nicht mit dem Telefon gemacht, da es zumindest früher immer wahnsinnig Akku gesaugt hat – aber auch hier hat Andreas einen Tipp: https://gpslogger.app – ohne, dass ich es bis jetzt getestet habe.

Noch ein weiterer Hinweis von ihm:

[…] scheint täglich um 05:55
(tDiff +6h, dh kurz vor TW-Mitternacht!?) upgedatet zu werden.
Info zur Struktur der Datei gefunden:
https://github.com/mru00/crane_gps_watch/tree/master/snoops
[…]

Noch eine andere Anmerkung (meinerseits) zur Thematik: „It’s all fun and games, until they shut down the servers.“ – Bei enorm vielen neuen Geräten sind Dienste im Internet mehr oder weniger zwingend erforderlich oder ein Teil des Produkts – wie man schon ein paar Mal gesehen hat und in Zukunft noch viel öfter sehen wird: irgendwann ist das Zeug zu legacy oder schlicht und ergreifend die Firma hinter dem Produkt zu Pleite und die Investition ist verloren.

Daher ist meine Meinung: Wenn ein Produkt nicht mehr unterstützt oder gar begraben wird, sollte es oder deren Services an die Community übergegeben werden. Der IP (intellectual property) ist für den Hersteller eh nicht mehr interessant oder zumindest überholt und so kann Landfill und Sicherheitslücken vermieden und die die Kunden bei Laune gehalten werden. Natürlich entspricht das nicht dem Ziel gewinnorientierter Firmen, deswegen sollte hier auch etwas aus der Regierung kommen.

Wer hat an der Uhr gedreht

Veröffentlicht am 10. Juli 2019 von Chris

Als „Computerfritze“ erlebt man ja die verrücktesten Dinge.

Heute hat es mich selbst erwischt: PC gestartet und trotz frischem System und m.2-SSD kommt der Kübel nicht in die Gänge. Nicht einmal Strg+Alt+Entf lässt sich verwenden. Dank 8GadgetPack lässt sich zumindest eine CPU-Auslastung und RAM-Belegung sehen, die sich sehen lassen kann: dauerhaft 100 % CPU-Load und 32 GB RAM rappelvoll.

Ok, Windows 10 macht Schnellstartgedöns, also mal einen „sauberen“ Neustart geben. Nix. Der abgesicherte Modus will auch nicht fliegen. Nachdem noch ganz nette Laufwerks-Aktivität gibt, erst einmal die Sekundärdatenträger abgeklemmt, nicht dass doch Crypto/Ransomware einen Weg durchs offene Scheunentor gefunden hat.

Rien ne va plus.

Zum Glück und aufgrund eines ziemlich beschissenen Bugs der Soundkartentreiber meines Mainboards (den Gigabyte bis jetzt nicht zugeben oder zumindest nachstellen wollte/konnte) habe ich eine Windows Togo-Installation. Also externe HDD ran und den Rechner mit altbekanntem F12-Gehämmer gestartet.

Das EFI-Setup öffnet sich und über der Datenträgerauswahl steht eine Fehlermeldung: Settings reset, please check, blabla. Nanu? Ein zweiter Blick und…

…wer hat an der Uhr gedreht?

Dass sich Browser und Software, die (ablaufende) Zertifikate verwenden an falschen Systemdaten stören, ok. Aber doch nicht Windows?!

Datum korrigiert und nach dem Reboot flutscht die Kiste wieder. Kurz konnte ich im Taskmanager noch sehen, wer sich die knapp 32 geschnappt hat: Der Desktopfenster-Manager. Alles klar, danke Microsoft!

Ich habe es jetzt nicht mehr reprovoziert, aber die Uhrzeit war neben dem XMP-Profil das einzige, was ich im EFI-Setup verändert habe…

Also: Falls der PC mal langsam wird oder sich anderweitig komisch verhält: Uhrenvergleich!

USB 3.2 – Ist die Lösung schlimmer als das Problem?

Veröffentlicht am 17. Februar 2019 von Chris

Vor knapp zwei Wochen gab es in der c’t (4/2019) einen Artikel zu USB 3.2, das neben der doppelten Geschwindigkeit (20 GBit/s) auch ein älteres Problem des Systems beheben soll: BadUSB. Dabei kann z. B. ein USB-Stick mehr als Massenspeicher. Als beispielsweise Maus- und Tastatur-Simulator kann er Eingaben am Rechner durchführen, als RNDIS kann es ggf. sogar Netzwerkverkehr manipulieren. Hurra!

Mit USB 3.2 soll das alles besser werden. Mit Zerifikaten und Crypto. An der Stelle sei erwähnt, dass Apple mit im Gremium war. Wofür haben die nochmal Crypto in ihren Lightning-Steckern hinzugefügt? Um ihre Produkte sicherer zu machen oder um sich vor günstiger Nachbauware zu schützen? Ein Schelm, ….

So, jetzt stellt sich einer mal das hier vor: Ein USB-Device, sei es eine Maus, eine Tastatur, ein USB-Speicherstick, hat ein gültiges Zertifikat. Soweit, so gut. Was hindert die Maus oder Tastatur nun daran, böswillige Eingaben zu machen, von denen der User nix mitbekommt? Wenn man wollen würde, könnte man sogar hinter dem USB-Controller, also direkt an der Tastaturmatrix etwas böswilliges einbauen. Schützt einen das Zertifikat, das man wahrscheinlich für teuer Geld kaufen muss davor?

Andersrum: Wenn ein legitimer Chip mit diesem Angriffsvektor in einem dadurch illegitimen Produkt verbaut wird und dieses Zertifikat zurückgezogen oder für ungültig erklärt werden muss (wie läuft das überhaupt, muss man nun beim Einstecken eines USB-Geräts online sein?), sitzen dann die Nutzer des legitimen Produkts im Dunkeln? Was hält einen Hersteller davon ab, schlechte Firmware zu schreiben, dass man trotz Zertifikat Schadsoftware injizieren kann?

Oder noch viel einfacher: Wenn ein Angreifer eine Maus und Tastatur in einen USB-Stick (zusätzlich zum Speicher) unterjubeln will, dann kann er doch einfach einen legitimen USB-Hub vor den legitimen USB-Speicher hängen und nebendran noch eine legitime Tastatur anbasteln, die über einen weiteren µC (oder auf andere Wege) illegitime Befehle an den PC weitergibt. Zwar werden dadurch mehrere Geräte erkannt, aber welchen Unterschied macht’s?

Und wie schaut es mit alten USB-Geräten aus? Es ist ja schon ein riesiges Problem, bei USB-Type-C-Buchsen & -Steckern zu sagen, was sie denn überhaupt können. USB 2.0, USB 3.0, USB 3.1, USB 3.2, Tunderbolt, Display Port, Power Delivery mit 5 W, 10 W, 20 W, 100 W, Quelle, Senke oder beides. Kann sie Analog Audio, kann ich daran meinen Mixer anschließen?

Aber ich schweife ab: Wie sieht es mit Legacy-Devices aus? Sie von der Verwendung auszuschließen wäre Irrsinn, also müssen sie weiter funktionieren – und wen hält es ab, einen scheinbar modernen USB-Stick (z. B. mit USB Type C) einfach nur ein USB 2.0-Interface zu implementieren, das dann fleißig böse Dinge tut.

Ich muss zugeben, ich habe die Spec (noch) nicht gelesen, aber die die (ok, nicht exklusive) Apple’sche Zwangsneurose alles verdongeln zu müssen kotzt mich als User, Bastler und Entwickler einfach nur noch an.

Warum löst man das BadUSB-Problem nicht wie früher bei den Personal Firewalls: Ein Gerät meldet sich an, wird enumeriert, darf aber erst einmal nichts machen. Der Benutzer bekommt einen Popup mit dem neu erkannten Gerät (oder Gerätebaum) präsentiert und muss sich entscheiden, ob er die Verwendung zulassen oder verweigern möchte. Noch eine Checkbox dazu, ob man dies vorübergehend oder dauerhaft will und ob dies für alle USB-Buchsen der Fall sein soll und fertig.

Einen halbwegs eindeutigen Fingerabdruck (Vendor- & Product ID, Seriennummer, Descriptors) haben eigentlich alle Geräte und ja ich weiß, es ist nicht perfekt und hindert ein wenig die Usability. Aber es könnte jetzt sofort für alle USB-Generationen implementiert werden. Selbst bei Eingabegeräten (Maus/Tastatur), die man an einen jungfräulichen PC anschließt, dürfte die Kopplung funktionieren, indem man eine angezeigte, zufällige Tastenfolge, eingibt.

Ich befürchte nur, dass das Ganze eher wieder ein Mittel wird, um Firmeninteressen zu verfolgen und die Sicherheit der User nur eine gefühlte bleibt.

Neuer Regler oder Exorzist?

Veröffentlicht am 26. Januar 2019 von Chris

Hmm.

Ab und zu schaue ich, was die Heizung bei meinen Eltern so treibt und heute gab es beim Solarregler folgendes zu sehen:

Das Teil hat schon länger ab und zu mal ein Zeichen blinken lassen, ich bin mir aber nicht ganz sicher, ob es wirklich nur das Display, die Strecke zwischen Mikrocontroller und LCD-Controller oder doch mehr ist.

Gehackt sollte es zumindest nicht sein, da die Energieerfassung auf dem VBus nur mithört.

Mal sehen, wie sich das Ganze entwickelt.

hobbyelektronik.org blog

…schon wieder so ein dämlicher Blog

Archiv der Kategorie: Der alltägliche Wahnsinn