0d043 – Böses Word, harmloses PDF? Das Risiko von Anhängen in E-Mails

Diesen Abend kamen wieder viele Datenverluste und Nachrichten vor. Sven hat sich einmal angeschaut, ob es denn wirklich so viel Sinn macht daß man PDFs statt Word-Dokumente per E-Mail erhält. Im Anschluss wurden noch Kommentare kommentiert und nach dem Outro wurde noch ein wenig diskutiert.

Datenverluste

News

Thema: Böses Word, harmloses PDF? Das Risiko von Anhängen in E-Mails

Did you know you can play games in PDF files?

BSI techn. Warnungen bzgl. Schwachstellen in PDF-Readern:

Fun & other Thinks
Stefans Spinnermobil; 2dogs1hat

Aufgenommen am: 04.06.2019
Veröffentlicht am: 04.06.2019
Intro & Outro Chiptune (CC BY SA): Pumped by ROCCOW
Logo (CC BY 2.0) Richard Patterson

Disclaimer

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

8 Gedanken zu „0d043 – Böses Word, harmloses PDF? Das Risiko von Anhängen in E-Mails

  1. Maddin

    Hallo Boyz,

    die Änderung im Podlove zu den Episoden Nummern kam, weil Apple einen neuen Podcast Standard etablieren wollte. Dabei sollten mehr Metadaten richtig getaggt übergeben werden.

    Das Podcast Kürzel das gerne am Anfang gestellt wird (z.B. 2D1H oder 0D) kann man unter Podcast Einstellungen, Merkhilfe festlegen.

    Wenn ich eine neue Episode erstelle, dann trage ich oben den kompletten Titel ein so wie er auch im Podcatcher auftauchen soll (z.B. 2D1H-067-AXE Fest 2019). Weiter unten bei Podcast Episode trage ich dann die Nummer (67) den Titel (AXE Fest 2019) und den Untertitel etc. ein.

    Das sollte man dann auch rückwirkend für alle Episoden machen, damit es schön einheitlich in der Podcast App ist.

    So lässt sich im Template der Podcast Titel und die Nummerierung gut darstellen:
    {{podcast.mnemonic}} – {{ „%03d“|format(episode.number) }} – {{ episode.title }}
    {{episode.subtitle}}

    Liebe Grüße

    Maddin (2Dogs1Hat)

    Antworten
  2. Marco

    Hallo zusammen,
    mal ein dickes Danke an euch. Was mir an eurem Podcast am besten gefällt, ist das tolle Zusammenspiel zwischen euch beiden. Das ist echt unterhaltsam. Dicht darauf folgen die nützlichen Tipps und vor allem die praktischen Hinweise, worauf man achten sollte, oder wie man online auf die Nase fallen kann. Seitdem ich euch höre sind meine Passwörter und mein Netzwerk deutlich sicherer.
    Macht bitte einfach so wie es euch Spaß mach weiter.
    Viele Grüße
    Marco

    P.S.: Habe gerade mal oben auf Play gedrückt und war erschrocken, wie euer Intro mit normaler Geschwindigkeit klingt. Ich höre Podcast immer auf doppelter Geschwindigkeit. Solltet ihr euch mal anhören. 😉

    Antworten
  3. Blognix

    Dankeschön für die geile Folge ihr beiden!
    „Blognix hat den längsten“ hahaha 🙂
    Dann war die 42 das easter Eggs of Steel?!
    Hab ich ehrlich gesagt schon sehr gefreut. So ist es auch cool ist euch auch zu zutrauen das es etwas völlig aus der Reihe wird, eine Art Bonus.
    Tut mir leid das der letzte Beitrag so lang war.
    Was meint Stephan eigentlich mit „Troll“?
    Und woher kommt der Wunsch dazu?
    Wir hatten im Bekanntenkreis so einen Fall. Der „Spaß“ ging 2 Jahre und könnte nur juristisch gestoppt werden.
    In dem Zuge habe ich mich sehr damit beschäftigt auf soziologischer wie digitaler Ebene. Da Mobbing dessen Verarbeitung dort eine große Rolle spielt.
    Glaube mir das wollt ihr nicht!
    Es könnte sowas anlocken wenn man sich darüber lustig macht.
    Auch kritische Kommentare vor schnell als Troll zu bezeichnen, kann fehlverstanden werden.
    Ich kann mir denken wie es gemeint war, kann aber so eine Person in den falschen Hals bekommen. Dann habt ihr Party. Hoffe sowas bleibt euch erspart.
    Wenn es da Lücken gibt kann ich wirklich sehr die Doku „Lösch dich“ empfehlen.
    https://youtu.be/zvKjfWSPI7s

    Oder zähle ich jetzt auch als Troll, wenn ich mehr als einen Kommentar abgebe der nicht 100% positiv ist.
    Für viele Menschen bedarf es eine sehr hohe Schwelle überhaupt zu kommentieren. 🙂

    Ich fürchte das es doch wieder länger wird. Sorry 🙂

    Zu keypass Erwähnung von Sven:
    Hast du da eine kurze Liste deiner beliebtesten Kombis?

    Semsrott’s:
    Die sind bei extrem gut aufgestellt.
    Bei Arne ist die Arbeit bei http://www.fragdenstaat.de und http://www.Netzpolitik.org
    Er war auch der Schlingel dem das Missgeschick bei „beA“ (Anwaltspostfach) aufgefallen ist, also in der Mittagspause mal eben. 🙂
    Hervorzuheben da es wirklich mehr als genial ist.
    Zu Nico braucht man ja nichts mehr zu sagen, ich glaube alle freuen sich auf seine monatlichen Berichte aus Brüssel. 🙂

    Emotet:
    Ein Thema was noch lang aktuell bleiben wird.
    Erst heute hat Heise eine „Sondersendung“ gemacht da die Heise „Mutter“ mit Hilfe von einer sehr krassen Methode die als Dynamid fishing bezeichnet wird da es nochmals eine Stufe weiter geht als Speer fishing, doch gibt es starke Parallelen.
    https://youtu.be/o4CyX-y42YA
    (Ich freue mich schon auf das angekündigte Webinar)

    Daher war die Folge zeitlich echt gut gelegt 🙂
    Ich suche jetzt seit einiger Zeit eine Lösung die den Mail Manager in eine VM öffnet.
    Klar gibt es Abstufungen die auch VM erkennen. Doch können das noch sehr wenige, aber in diesem Fall würde erstmal nix passieren solange man in der Umgebung bleibt.
    Zudem es wirklich nicht wenige Firmen gibt die aktiv Makros nutzen. Leider komme diese auch kaum drum herum.

    Meine Erfahrungen wäre hier eine libre Office Möglichkeit zu nutzen da es dort nicht funktioniert.
    Klar kotzen jetzt einige gegen sie Wand, weil in libre Office ein paar Dinge an anderen Stellen stehen. Aber auf mittelfristige Zeit müsste libre Office mit VM geöffnet eine Lösung darstellen.
    Besser so als alle Daten zu verlieren und die Hardware tauschen zu müssen. Was ist eure Meinung dazu?
    Exim hat es ja auch aktuell erwischt, der Markt ist groß aber auch viel größer Mist der oft viel Geld kostet.

    Stephan Nachschlagewerk:
    Du hast jetzt mehrfach auf deine schlauen hardquellen verwiesen, wäre es okay für dich diese schätze zu teilen? 🙂

    Fuzzing:
    Schon im letzten Beitrag erwähnt, ihr hab es bis jetzt nur beiläufig erwähnt. Sehr viele wissen was es ist. Doch hat es einen immer höheren Stellenwert, zumindest wird echt großer Aufwand darum betrieben.
    Würde mich unglaublich freuen es nicht jedem Kids einzeln zu erklären.

    MDM: Stephan hattest dazu noch eine Vertiefung des Themas im Ärmel?

    The Morpheus tutorials:
    Der Typ ist nicht irgendein deutscher YouTube Selbstdarsteller! 🙂
    Er ist fast schon eine Art Video Wikipedia für Web- Softwareentwicklung.
    Er hat denke ich, sehr vielen Leuten für klicken und zuhören unbezahlbares wissen auf einem sympathische Art geschenkt. Mit einer Qualität was ich bei jungen Leuten nie im Schulkontext gesehen haben.
    Er erklärt verschiedene Programmiersprachen, Hackerehitk, News, Netzwerktechnik, Kryptographie und hat eine relativ große Community.
    Er hat sich seit kurzem dazu entschieden Vollzeit YouTube zu produzieren, daher hat er aktuell großen Zulauf. Auch wenn er monitarisiert kann ich sein tun unterstützen, ich finde es bewundernswert wenn Menschen mit diesem Thema so einen mutigen Schritt wagen.
    Unsere Leute finden über ihn den Einstieg und bekommen sehr schnell raus was sie wollen und was nicht 🙂
    Ich denke es geht nicht mehr um nur eine Sprache, mehr sollte es darum gehen was möchtest du tun und daran, abwegen welche Sprache die passende ist.

    Natürlich habe ich völligen Respekt davor das ihr auch nur 24 Stunden am Tag zur Verfügung habt. (Da ist dieser Text sicher wieder der Overkill)
    Bitte nehmt euch zumindest ein paar Minuten und klickt durch.
    Oder seht die kürzlich erschienene zusafasung seines Kanals an.
    https://youtu.be/WeHmhDBZgeU

    Mir geht es hier nicht um Werbung.
    Nur darum das es eventuell auch junge Menschen in eurer Zuhörerschaft gibt (ich kenne 2 persönlich).
    Er macht “ Chaos macht schule“ auf YouTube.

    Raspberry Pi:
    Damit habt ihr schon jede Menge angestellt.
    Habt ihr eventuell eine Art Themen Zusammenfassung?
    Würde das schon für eine Sendung zu Einplatienenomputer reichen?
    Wir haben seit einiger Zeit auch „le potato“ und den C2 von odrioid (warte aber mit Sehnsucht auf die Powermaschine N2)
    Die haben einiges mehr Leistung und Odrioid mit emmc memory eine coole Arbeitsgeschwindigkeit.
    Also ich nutze den wenn der Pi zulange brauchen würde oder etwas testen will, bei dem auch eine kurze hohe Lasten bearbeitet werden können, ohne sich wegen sd Karten low Speed zu übergeben.
    Das wäre übrigens eine Idee für dein PI Hole mit mehr Power. @Sven

    ESP 32:
    Ja ja ja und ja bitte!
    Ich bin echt verwundert das Stephan die Dinger nicht schon lange überall in seiner Wohnung verteilt hat.
    Es gibt aktuell eine Vielzahl an Projekten mit dem Wunder Teil.
    Es ist ein besser Arduino mit WLAN und Bluetooth!

    Es hat zum Beispiel einen Hallsensor! Sehr gutes Ding 🙂
    Dazu kann das Ding CAN Bus, das macht es im Kfz Bereich interessant.

    Was aber am coolsten ist das er zwei Kerne hat und endlich die Entscheidung soweit ist das es klappt, beide auch zu benutzen. 🙂
    So kann es echt clever Prozesse bewältigen zumindest wenn man es ihm sagt. 🙂
    Du kannst damit eine Drohne bauen die du mit dem Handy steuerst oder darauf einen Server aufsetzen um Klima Daten zu samneln 🙂
    Ich habe noch nichts gesehen was so unglaublich vielseitig ist.
    Darauf läuft lua und sogar eine Python Shell. Zumindest mit Micropython hat man einen sehr coole kleine Shell die eine erstaunlichen Umfang besitzt.
    Es ist voll cool interaktiv zu exportieren mit Code und Sensoren, da über die I/O pins Platz für Ideen ist.
    Es wäre interessant das Ding mit einem Raspberry Pi zusammen eine Art Cloud system zu basteln.
    Oder das verschiebene ESP32 den einen Kern nutzen um Daten über WLAN oder ble hin und her zu schaufeln um noch effizienter zu agieren. Lustig wäre es auch daten außerhalb vorzuberechnen und mit Python nur die Erweiterungs Ergebnisse zu verarbeiten. Sorry ich könnte Tage darüber reden 🙂

    Shownotes:
    Ihr habt nochmal so viele gute Dinge am Ende am Ende kommentiert.
    Da ist ein Punkt doch bestimmt drin? Mail an euch > Los!

    Oh man, jetzt habe ich wieder so viel geschrieben, wenn das zu spammig ist kann ich es auch per E-Mail schreiben 🙂

    Bleibt wie ihr seid!
    Mehr davon!
    Grüße Blognix

    Antworten
  4. Hirnhack

    Herzlichen Dank für die letzte Folge, fande sie sehr gelungen!
    Doch kam es wie es mir nur bei gutem Podcasts ergeht. Das einige Themen nicht los lassen wollen. :p

    Ein Thema kommt mir immer wieder hoch.
    Mobile Geräte im allgemeinen, speziell Smartphones.
    Es gibt seit einiger Zeit echt coole Bestrebungen da Dinge zu ändern.
    Eins der ersten safeOS wo es allerdings immernoch viel zu tun gibt.
    Ebenso hat SailfishOS einen sehr guten Eindruck gemacht.
    Doch ist das mit Nokia noch so eine Sache.
    Auf dem Sektor hat sich im letzter Zeit viel getan.

    Gerade sowas wie „verified boot“ wäre für Android ein Traum. Was in AOSP dabei ist aber nicht genutzt wird.
    https://source.android.com/security/verifiedboot

    Da gibt es über XDA Developer (Platform für Android ROM’s) einige coole Sachen.
    Doch gibt es auch hier riesige Fallstricke.
    Zum Beispiel sind einige mit dem öffentlichen Entwickler Keys signiert. Da bringt dir auch verifiziertes booten nichts 🙂
    Die ersten welche das Konzept angegangen sind war/ist Cyaogen Mod mit dem Nachfolger LineageOS.
    https://de.m.wikipedia.org/wiki/CyanogenMod

    Ein Projekt hat mich sehr lange in den Fingern gejuckt. Dich ist es oft ein Problem das so coole Leute keine Kohle haben um es richtig durch zu ziehen.
    Hier ist Cooperhead OS zu nennen. Ein unglaublich cooles Projekt mit revolutionären Ansätzen.
    Man konnte sich diese „fertigen“ Smartphones kaufen Oder sich das ROM selber zusammen basteln!
    Es ist echt nicht einfach und es gibt noch ein paar Bugs auf Grund der verified boot Geschichte. Es ist ein richtiges gebastel, doch wer das nicht will könnte sich das fertige Smartphone holen. Da die Vorteile echt der Hammer sind. Jetzt wo sie die Daten der Autohersteller nutzbar machen, dauert es bestimmt nicht mehr lange bis es eine Google freie navigations Möglichkeit gibt. Mit „Here we go“ und „Waze“ gibt es auch Hoffnung wenn nicht alles von Google immer gekauft werden würde 🙂

    Voll gute Sache nur hat sich hier eine tragische Sache zu getragen, was bei solchen Projekten immer ein Risiko ist.
    Es war ein Entwickler Daniel Micay der die Idee hatte und es ins Leben gerufen hat. Jetzt hat er einige Zeit mit einem James zusammen eine Firma daraus gegründet. Nun gab es letztes Jahr den Super Gau!
    James hat daniel aus dem Projekt geworfen und hat das Dinger übernommen. :/
    Dara gab es über 8 Monate keine Updates für ein „mega sicheres system“
    Dazu ist zu sagen das Daniel echt cool ist da er alle seine Keys zerstört hat.
    Der Nachteil ist das es nun Probleme mit den schon verkauften Geräten geben kann.
    Vorteil ist das James nichts mehr mit seinem Code machen kann. Nun arbeitet James mit Canada zusammen.

    So kann sowas enden, natürlich für alle echt doof Grade für die Kunden des doch teureren Produkts.
    https://de.m.wikipedia.org/wiki/CopperheadOS

    Zum Glück hat sich Daniel nicht aufgegeben und hat ein paar Dinge neu ins Auge gefasst.

    Nun hat daniel zum 01.04 sein neues ROM gepusht.
    Es trägt den Namen „GrapheneOS“
    In letzter Zeit hat er sich auch viel in dem allgemeinen Umfeld schlau gemacht und gut Ran geklotzt. Nun hat er eine Förderung für sich und ein paar Entwickler.
    Zum Beispiel Bromide (eine gehärtete Variante von Chrom)
    Da es alles AOSP ist hat man trotzdem noch fdroid Store und Yalp ( hält Google Store Apps auf einem Server vor und kann so Dinge aus dem Store nutzen)
    Aber dadurch das nun alles schon signiert wird hat man schon viel dazu gewonnen.
    https://grapheneos.org/

    Aber das reicht im nicht, er hat auch einen allokator geschrieben der nicht nur für Android gute Dienste erweißt.
    https://github.com/GrapheneOS/hardened_malloc

    Wer Probleme mit Bendorf haz, da hat daniel auch mal was gemacht.
    https://github.com/anestisb/android-prepare-vendor

    Was meint ihr dazu?

    Wo ihr so schön mit PKI und Yubikey Rum bastelt, habt ihr schon Mal mit https://www.nitrokey.com/ zutun gehabt?
    Deutscher Hersteller mit schönen funktionen 🙂

    Auch Matrix Messenger hat einmal alle Daten verloren, so ist es interessant was sich da in nächster Zeit tun.

    Leider gibt es immer wieder Dinge die man nicht haben will.
    https://www.usenix.org/legacy/publications/library/proceedings/sec98/full_papers/full_papers/cowan/cowan_html/node21.html

    Da geht so einiges! Bitte mehr von euch!
    Hier noch ein Link zu der letzten Sendung weißt nicht ob ihr den schon ausgewertet habt.
    http://faculty.cs.tamu.edu/guofei/sec_conf_stat.htm

    PS: Folge 39 ist in der Anzeige unter Episodenliste mit 00.00.000.000.000 angeben 🙂

    Dankeschön nochmals!

    Antworten
  5. Ford Fisher

    Wieder mal eine gelungene Folge. ESP32 klang so interessant, dass ich mir den direkt mal genauer angeschaut und bestellt habe. Eure Komik – vor Allem der Gag im Outro – lassen mich regelmäßig in der Straßenbahn lauthals loslachen. Definitiv weiter.

    Antworten
  6. Redezuviel

    Was ist da los?
    Welchen RAM kann man jetzt überhaupt noch verwenden?
    Rowhammer ist zurück!
    https://m.slashdot.org/story/19/06/11/1931214/rambleed-rowhammer-attack-can-now-steal-data-not-just-alter-it
    Es gibt zwar ein Patch. Die Frage ist was taugt der?
    Da hilft es nur noch RAM zu downloaden 🙂
    https://downloadmoreram.com/

    Intel hat jetzt endlich auch einen Patch für die Lücke die ihr übersehen hattet.
    Also wichtig BIOS Updaten (das könntet ihr ja auch Mal für unerfahrene erklären)
    https://www.heise.de/security/meldung/Aktualisierte-BIOS-Versionen-sicheren-NUC-PCs-von-Intel-ab-4445626.html

    Oben schon im Kommentar angesprochen
    Exim hat jetzt einen Patch!
    Wer es nutzt sollte unbedingt patchen, weil es schon böse Leute gibt die da was gefunden haben. Wer auf seinem Rechner allein bleiben möchte. Patch IT
    https://www.heise.de/security/meldung/Gefaehrliche-Sicherheitsluecke-in-Exim-gefaehrdet-Hunderttausende-Mailserver-4440932.html

    VIM der Editor deines Vertrauens…
    Patch IT now!
    https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md

    Eine Frage hätte ich noch.
    Ihr habt schon einiges über TSL 1.3 gesprochen.
    Macht ihr dazu noch eine Folge? Wäre sehr angebracht!
    Es gibt leider noch zu viele die nur SSL und tsl 1.0 toll finden. Hier eine gute Übersicht dazu.
    https://tls13.ulfheim.net/

    Zu eurer IPV6 Folge, Dankeschön an Sven.
    Doch sind mir einige Fragen offen geblieben.
    Clemens Schrimpe ist da auf jeden Fall der richtige. Hab einen Talk mit Anna-Lena von requests for comments dazu zu empfehlen.
    https://requestforcomments.de/archives/412
    Ist lang aber echt gut auch die Kommentare sind gold wert.

    Dankeschön für eure schöne Sendung!

    Antworten
  7. Reiner Zufall

    WOW danke an endlos den endlosen Text von Blognix!
    Der Odrioid N2 ist ja der absolute Hammer!
    Um die 100€ klingt erstmal Recht teurer doch hab ich mir jetzt 2 geholt. Riesen Dankeschön!
    Ich sag nur:
    1,8 GHz Hexacore mit 2 hoher getakteten CPU Kernen.
    4x USB 3.0! Endlich!
    Voller Ehternet mit voller Bandbreite, sehr praktisch für NAS Anwendungen!
    Ein integrierter GPU die mit 4k keine Probleme mehr hat! Dazu HDMI Port.
    Also 4k bei 60fps und voll HD fähig.
    Und das coolste an dem Teil ist der Arbeitsspeicher!
    Unglaubliche 4gb DDR 4 RAM!
    https://www.pollin.de/p/odroid-n2-einplatinen-computer-mit-4-gbyte-ram-811035

    Einfach unglaublich im Vergleich zum Raspberry Pi.
    Cooler Podcast Leute, bin hier neu aber nun bleib ich euch treu!

    Antworten
  8. Willi Kallmes

    Hier ist YouTube nach Technik-themen geordnet!
    Also wenn ihr YouTube noobs seid, gebt einfach mal euer lieblings IT Thema ein. Ihr werdet überrascht sein wie gut das Teil funktioniert.
    Ich habe auch sehr viel Inspiration aus YouTube und co.
    Viel Spaß damit!
    Ihr beiden seid echt lustig!
    https://dev.tube/

    PS: kennt ihr die Seite schon?
    https://worldbrain.io/
    Soll Google und Co aus dem Browser raus halten. Hab es nur gefunden und dachte mir es könnte euch interessieren.

    Dankeschön für den lustigen Podcast.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert