security

Hier die Kurzbeschreibung des Supply-Chain-Angriffs: Die Open-Source-Bibliothek Polyfill wurde verwaist, und die Domain Polyfill.io wurde nicht verlängert. Chinesische Angreifer nutzten die Gelegenheit, kauften die Domain und übernahmen somit das Repository. Daraufhin schlichen sie fast unbemerkt Schadcode ein und rollten diesen aus. Marc Stöck schreibt in »Fast 400.000 Webhosts verbreiten Malware via Polyfill.io« für golem.de: Ende Juni warnten Sicherheitsforscher von Sansec vor einem Supply-Chain-Angriff über das weitverbreitete JavaScript-Projekt Polyfill.io, das im Februar von einem chinesischen Unternehmen namens Funnull übernommen wurde. Weitere Untersuchungen von Censys zeigen nun, dass derzeit fast 400.000 Hosts von dem Projekt Gebrauch machen. Ein Großteil davon befindet sich in Deutschland. ...

Lilith Wittmann hat eine gravierende Sicherheitslücke aufgedeckt, durch die es möglich war, auf Daten von Gefängnisinsassen zuzugreifen. Dies stellt aus meiner Sicht ein erhebliches Risiko dar. Es bleibt abzuwarten, ob eine Datenschutzbehörde oder die Bundesnetzagentur Maßnahmen ergreifen wird.

Wenn ein nicht auf Technik spezialisiertes Nachrichtenportal, wie Zeit Online, über die Sicherheit von Webex-Installationen berichtet, steht Cisco vor der Herausforderung, das Ansehen von Webex wiederherzustellen. Aber das ist nicht der eigentliche Grund, warum ich auf diesen Artikel verweise. Besonders die abschließenden Abschnitte des Artikels haben bei mir für Verstimmung gesorgt. Eva Wolfangel schreibt in »Webex: Mithören, wenn Beamte sprechen« für zeit.de: Ändert sich das nach dem aktuellen Vorfall? Mit der Kommunikation zur aktuellen Sicherheitslücke seitens Cisco sei sie nicht besonders glücklich, sagt Dornheim. Aber noch sehe sie keine Alternative, zumal Cisco bisher viel für die Stadt getan habe. Eine eigene Open-Source-Lösung zu hosten, sei aufwendig und teuer: “Es ist leichter, etwas zu kaufen als die Menschen zu finden, die eine eigene Lösung betreuen können.” Schließlich müsse diese rund um die Uhr verfügbar sein. ...

Der Supply-Chain-Angriff auf XZ Utils hat unsere Alarmglocken schrillen lassen. Janosch Deurer erklärt die Vorteile kryptographisch abgesicherter Commits in Projekten auf heise.de. Der Artikel »Vertrauen durch Verifizierung: Commit-Signierung in Git« beleuchtet, warum die Umsetzung knifflig sein kann. Git kennt mit dem Commit-Hash eine Funktion, um die Integrität der Codebasis und der gesamten Commit-Historie kryptografisch sicherzustellen. Das garantiert, dass bei zwei Commits mit demselben Commit-Hash die Historien ebenfalls identisch sind. Signierung stellt zusätzlich sicher, dass die enthaltenen Commits von den angegebenen Autoren stammen. ...

Stefan Pfeiffer schreibt in »1,28 Milliarden Euro für Microsoft-Lizenzen, 19 Millionen für Zendis« auf seinem Blog Besagtes Beamten-Mikado, erfolgreiche Lobby-Arbeit von Microsoft quer über die Parteien in Kombination mit Trägheit und Unvermögen kennzeichnen die Situation im deutschen Schilda bestens. Statt unabhängiger zu werden, begibt man sich in eine immer größer werdende Abhängigkeit. Die deutsche Verwaltung trägt kräftig dazu bei, dass Microsoft zum wertvollsten Unternehmen geworden ist. Es ändert sich scheinbar nichts und das Thema ist schon so alt, dass ich eigentlich keine Lust mehr habe, darüber zu schreiben. Es frustriert nur und eigentlich müsste ich meine Beiträge zum Thema einstellen. Seit mindestens 2010 – wenn nicht sogar länger – schreibe ich als Kind der Generation Windows zum Thema. ...