Post Ad4DhFzfMAwQFTPGwC by exception@mastodon.savvy.ch
(DIR) More posts by exception@mastodon.savvy.ch
(DIR) Post #Ad4DhDxSvNzbw4MUEK by marcel@waldvogel.family
2023-12-22T06:06:48Z
0 likes, 0 repeats
Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die Antispam-Massnahmen der weitverbreitesten Mailserver können ausgehebelt werden, sogar die Vortragsreise dazu ist schon geplant. Nur: Der weitverbreiteste Mailserver weiss davon nichts, seine User sind ungeschützt.#SMTP #SMTPSmuggling #Postfix #SECconsult #disclosure https://dnip.ch/2023/12/22/nicht-wirklich-responsible-disclosure-die-extraportion-spam-ueber-die-festtage/
(DIR) Post #Ad4DhF3Are9ZK42Ylc by marcel@waldvogel.family
2023-12-22T11:15:07Z
0 likes, 0 repeats
So: Der Beitrag ⬆️ wurde nochmals überarbeitet. Danke u.a. @adfichter für das wie üblich sehr konstruktive Feedback!Jetzt sollte er auch für technische Laien/Laiinnen verständlich sein. Wenn nicht: Sagt mir, wo euch noch etwas unklar ist!https://dnip.ch/2023/12/22/nicht-wirklich-responsible-disclosure-die-extraportion-spam-ueber-die-festtage/
(DIR) Post #Ad4DhFzfMAwQFTPGwC by exception@mastodon.savvy.ch
2023-12-22T11:59:39Z
0 likes, 0 repeats
@marcel @adfichter Responsible disclosure geht immer von der unwahrscheinlichen Annahme aus, dass die betreffende Person die erste und einzige ist, welche eine Schwachstelle findet. Als Enduser und Admin möchte ich aber selber beurteilen, welche Sofortmassnahmen notwendig sind. Deshalb: Full Disclosure sofort!
(DIR) Post #Ad4DhGEYSoqozeNA92 by marcel@waldvogel.family
2023-12-22T06:08:06Z
0 likes, 0 repeats
Danke @jssfr und @Foxboron für eure Informationen zu SMTP Smuggling! ⬆️
(DIR) Post #Ad4DhH3FQLOtWs5e9w by Jain@blob.cat
2023-12-22T12:06:51.720777Z
0 likes, 0 repeats
@exception @marcel @adfichter sehe ich gar nicht so.Responsible Disclosure ist aus meiner Sicht das einzige Verantwortungsvolle. Nicht auszudenken was passiert wäre bei den heiklen CPU Sidechannel attacks in den letzten Jahren
(DIR) Post #Ad4DhJUcLYTx6KuX68 by marcel@waldvogel.family
2023-12-22T11:54:30Z
0 likes, 0 repeats
Und kaum ist das durch, informiert mich SEC Consult, dass sie ihrem Beitrag vom Montag oben eine Erklärung hinzugefügt hätten. Ich aktualisiere meinen Artikel ⬆️ demnächst in diesem Sinne.https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
(DIR) Post #Ad4EmCQm88U2bK0WMC by exception@mastodon.savvy.ch
2023-12-22T12:13:46Z
0 likes, 0 repeats
@Jain @adfichter @marcel Wir hätten die Möglichkeit gehabt, wirklich sensitive Dinge auf einer dedizierten CPU laufen zu lassen. Oder gewisse Daten gar nicht preis zu geben. Also eine informierte Entscheidung zu treffen, statt von Geheimdiensten nach gusto ausspioniert zu werden.
(DIR) Post #Ad4EmDIetnaLIRDYLQ by Jain@blob.cat
2023-12-22T12:18:58.434956Z
0 likes, 0 repeats
@exception @adfichter @marcel Wenn das damals als Full Disclosure durchgegangen wäre, hätten mit grösster Wahrscheinlichkeit alle Hosting provider innert kürzester Zeit ungewollte Datendiebstähle.Ja es ist wichtig alle Details zu veröffentlichen, ja es ist aber auch wichtig einen Patch bereitstellen zu können bei kritischer Infrastruktur und das wäre hier nicht der Fall gewesen, denn die Fehler waren unglaublich einfach zu reproduzieren und fixes dazu extrem komplex.
(DIR) Post #Ad4F0VuCWM3r3Rb2rw by snacks@netzsphaere.xyz
2023-12-22T12:18:32.476361Z
0 likes, 0 repeats
@Jain @adfichter @exception @marcel rowhammer geht glaub immer noch? das auch juckt keinen
(DIR) Post #Ad4F9tCjGX6Nv9jXua by Jain@blob.cat
2023-12-22T12:23:23.970972Z
0 likes, 0 repeats
@snacks @adfichter @exception @marcel Rowhammer ist keine CPU Sidechannel Attacke und man kann Rowhammer, obwohl eine Restgefahr besteht, relativ gut eindämmen.
(DIR) Post #Ad4GKGB6nuu21UU6q0 by chpietsch@digitalcourage.social
2023-12-22T12:33:29Z
0 likes, 0 repeats
@Jain @adfichter @exception @marcel Leider funktioniert #responsibleDisclosure nur dann wie gehofft, wenn es keinen Markt für #zeroDays und keine Geheimdienste gibt.Deshalb: #fullDisclosure.
(DIR) Post #Ad4GKGvtzwKiMcNTm4 by Jain@blob.cat
2023-12-22T12:36:27.749293Z
0 likes, 0 repeats
@chpietsch @adfichter @exception @marcel Meine Aussagen sind rein ethischer Natur und meine Überzeugung. Die Realität sieht leider anders aus und im Zusammenhang mit Respobsible Disclosure sind Geheimdienste ein nahezu unlösbares Problem.
(DIR) Post #Ad820PmAmwtXGxItY8 by hikhvar@norden.social
2023-12-23T21:55:51Z
0 likes, 0 repeats
@chpietsch @Jain @adfichter @exception @marcel Inwiefern hilft hier full disclosure? Angenommen zum Zeitpunkt X entdeckt jemand die Lücke. Vendoren brauchen 2 Monate um Patch zu erstellen und zu verteilen. Bei Full Disclosure: sowohl Geheimdienste als auch alle anderen haben 2 Monate Zeit exploit zu entwickeln und einzusetzen.Bei Responsible Disclosure: Geheimdienste haben Zeit 2 Monate Exploit zu entwickeln.Es gibt nur ein Unterschied wenn es eine Mitigation via Config etc gibt.
(DIR) Post #Ad820Qogv4VGV3UQ76 by hikhvar@norden.social
2023-12-24T06:56:02Z
1 likes, 0 repeats
@chpietsch @Jain @adfichter @exception @marcel und wie schnell es geht ein Exploit zu entwickeln manchmal, zeigt log4shell. Wir hatten innerhalb von 6h nach Veröffentlichung tausende Versuche das auszunutzen im AccessLog. Und gleichzeitig war nur noch on call aktiv, da abends. Und der guckt nicht in die Terrabytes an Access Logs. Dafür ist da zu viel anderer Noise drin. Wären wir verwundbar gewesen, wir hätten keine Zeit gehabt.