“Im DIDCOM v1 Protokoll wurde bisher das Problem von MitM-Attacken nicht ausreichend berücksichtigt, was der SSI-Community scheinbar bekannt ist und wofür es auch noch keine Lösung im Standard gibt.”
Der Angriff ist auf DIDCOMM 1 selbst, und entspricht demselben Angriff, den IMSI Catcher verwenden um das Mobilfunknetz zu kompromittieren, indem sie sich als Basisstation ausgeben, ohne es zu sein.

Lilith Wittmann und Flüpke haben einen IMSI Catcher für Ausweise gebaut.
Das ganze Projekt und sein Ablauf sind noch ein Hinweia auf weitere Dinge:

Dies ist ein Projekt des Bundeskanzleramtes mit der Bundesdruckerei, externen Dienstleistern, darunter Esatus und weiteren Stakeholdern, darunter Endanwender (ohne Repräsentation im Projekt).
Dabei wird mit personenbezogenen Daten von hoheitlicher Qualität hantiert - Deinen Ausweisdaten, signiert, verifiziert und unfälschbar.

Zugleich findet aber keine Qualitätskontrolle statt. Also so gar nicht.
Der Dienst oder wesentliche Teile davon (mindestens das DNS) sind auf einem Shared Host bei Hetzner gehostet, der Datenbanken, DNS Kontrollfunktionen und weitere Dinge ohne Authentisierung ins Internet hängt.

Domains konnten übernommen werden.
Auf demselben Server werden weitere Dienste, darunter eine Teppichreinigung, gehostet.

Das bedeutet aber, daß die Projektsteuerung hier wesentliche vorgeschriebene Controls nicht durchgeführt haben kann und zu nix, aber so gar nix, compliant ist.
Vermutlich ist sie dazu gar nicht in der Lage, weil sie die zur Ausübung der notwendigen Compliance Controls notwendige Fachkenntnis gar nicht hat, sondern vollständig auf das Urteil externer "Expreten" angewiesen ist.
Und damit faktisch zur Durchführung eines solchen Multistream-Multistakeholder-Projektes nicht in der Lage ist, weil sie das Endprodukt nicht kontrollieren kann.
Der Angriff, der hier gezeigt wird, war bekannt: Wittmann und Flüpke verlinken auf bekannte Dokumentation der Protokollschwächen. Das hätte schon in der Designphase auffallen müssen.
Mit diesem Protokoll kann man diese Implementierung so nicht mehr retten, auch nicht, wenn man einen anderen Hoster wählt, die Kapazität anpasst und neu aufsetzt.
Das sekundäre Strukturelle Problem ist dabei, daß die Art und Weise wie solche Digitalisierungsprojekte angegangen werden, problematisch ist.

Wenn man wesentliche Teile der inländischen Fachexpertise antagonisiert, ...
... indem man sie anzeigt, lächerlich macht oder ihre Einwände herunterspielt, versagt man sich den Zugang zu wesentlichen Kompetenzpools (und Vergrößert den Pool potentieller Angreifer am Ende, aber das ist schon fast egal).
Diese vollkommen not- und sinnlose Anzeige der CSU gegen Frau Wittmann ist nur der Endpunkt einer Serie von Eskalationen, mit denen sich unser Staat da in eine Ecke malt, in der er sich nur noch selbst schadet und ein Digitalisierungsprojekt nach dem nächsten aktiv scheitert.
Auf eine Weise hat diese Anzeige Deutschland weit mehr gekostet als man glauben mag (oder damals hätte glauben können), aber sie ist nur der konsequente Höhepunkt einer in sich schlüssigen Todesspirale des deutschen Digitalisierungsversagens.
Ein Freund von mir formuliert es anderswo freundlich, aber noch tödlicher:

"Ich hatte dazu mal eine längere Diskussion mit ... im ... Untersuchungsausschuß. Er fragte mich, warum es keine Kommunikation zwischen IT-Sicherheitsbranche und der Exekutive gäbe."
Damit es einen Diskurs geben kann, muss es mindestens zwei Parteien geben. Die Bundesregierung spielt aber komplett toter Mann. Es ist nicht möglich, da auf den obersten drei Ebenen mit jemanden zu reden der auch nur meine Sätze parsen könnte.
Als Firma wird man in zwei Kategorien sortiert: "Will Aufträge" oder "Foto-Opportunity".

Im besten Fall wird man an das BSI verwiesen, dass ja zuletzt durch die Anschaffung eines Cyberclowns komplett duchpolitisiert wurde.
Der "politischen Diskurs über IT Sicherheit" ist von Anfang an ein Selbstgespräch der Wissenden.

Mein Freund hat das dann noch weiter kontextualisiert, aber das ist hier nicht zitierbar.
Das TL;DR ist jedenfalls, daß dieses Gebaren nicht nur die "Hobbyexpertise" aus dem erweiterten CCC-Umfeld fernhält, sondern auch seriöse IT- und Sicherheitsunternehmen in Deutschland von solchen Projekten, weil der Regierung die Grundlagen zu einer seriösen Unterhaltung fehlen.
Bov Bjerg prägte vor fast 15 Jahren das Wort "Alte Männer mit Kugelschreibern" -- "Machen wir uns nichts vor: In den vergangenen Jahren ist, nicht nur in Deutschland, eine gefährliche Parallelgesellschaft entstanden. ...
Eine Gegengesellschaft von alten Männern, die sich kurz nach Erfindung des Kugelschreibers vom technischen Fortschritt abgekoppelt haben. Reaktionär, dogmatisch, unbelehrbar - und auch noch mächtig stolz darauf. ...
Unsere grundlegenden Werte sind ihnen fremd. Soweit sie davon auch nur Kenntnis erlangen, wollen sie diese Werte zerstören. Die freie Information behindern und die freie Rede bestrafen. ...
Sie wollen über unsere Rechner bestimmen, obwohl sie kaum imstande sind, ihren eigenen auch nur einzuschalten. Sie sind längst dabei, uns zu kolonialisieren. Ihre Missionare heißen Polizist und Staatsanwalt. ...
Ihr liebster Psalm und Schlachtruf zugleich lautet: »Das Internet ist kein rechtsfreier Raum!«

Amen.
Das Problem dabei ist: Wir haben 2021. Das funktioniert nicht mehr.

Es führt eine direkte Linie von Bov Bjerg über Zwischenstationen, darunter Artikel 13 und 17 und alle Rezo Videos zum Scheitern des Digitalen Führerscheins wegen fundamentaler Probleme des Protokolls.
"Bei Lilith Wittman findet sich eine grundlegende Beschreibung der gefundenen Probleme. Eine Ausweis-App mit (konzeptionellen!) Authenticityproblemen ist allerdings ein starkes Stück." -- Ein Freund von mir, Dozent für Security an einer Uni.
Oder hier, aus den Kommentaren, repräsentativ für unternehmerische Seite.

Oder der aktuelle Dan Luu, zum selben Thema, auch wenn es erst nicht so aussieht:

danluu.com/in-house/

In Schleswig-Holstein haben sie eine Diplom-Informatikerin zur Datenschützerin gemacht und sich damit einen größeren Gefallen getan als sie zu verstehen in der Lage sind.
Aber eventuell wäre es auch gut, nicht nur in der Aufsichtsfunktion einzelner Bundesländer tatsächliche technische Kompetenz aufzubauen, sondern auch in den Projektleitungen und der Verwaltung selbst.

Also Leute zu haben, die sich dann auch in die Tech eingraben.
Und auch Leute, die in der Lage sind, die Ziele, die rechtlichen Rahmenbedingungen, und die verwendeten Komponenten offen zu diskutieren, Feedback zu akzeptieren, zu bewerten und wo passend, zu integrieren.
In Utrecht betreibt die "Foundation for Public Code" den Review von Open Source Komponenten in Hinsicht auf Qualität und Eignung für die öffentliche Verwaltung.

Kontakt: linkedin.com/in/hermaneric/
In Deutschland muß Lilith Wittman (wieder!) gegen den Willen der Verwaltungen deren APIs und Datensammlungen dokumentieren, um ähnliches (für Daten statt für Code) für Deutschland zu erreichen.
Das kann man so machen, aber dann wird es teuer, tut weh, ist peinlich und Projekte scheitern.
Es gibt Haufenweise Leute, die trotz allem noch bereit sind, der öffentlichen Verwaltung zu helfen und abwechslungsweise mal nicht zu verkacken.

Beim Aufbau von Netzen, beim Umsetzen von Softwareprojekten, beim Testen von Protokollen und Anwendungen ...
und bei der Dokumentation von Schnittstellen und Daten.

Aber das geht einher mit einem grundlegendem Wandel, einem Bekenntnis zu Offenheit, Transparenz, Kooperation und Open Source.
In diesem Sinne, guten Abend.

@threadreaderapp unroll
Das Shirt zum Thread (jedes der beiden paßt).

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Kristian Köhntopp

Kristian Köhntopp Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @isotopp

1 Oct
Der @hikhvar schneidet hier ein weiteres sehr unangenehmes Thema an:

Wenn man mit mehreren externen Dienstleistern arbeitet, dann ist es auf viele Weisen schwieriger einen Projekterfolg zu haben.
Denn der Dienstleister arbeitet nicht für den Projekterfolg, sondern primär für den Vertrag.

Er muß das tun, um sich abzusichern, siehe @hikhvar.
Ändern sich die Anforderungen des Projekts oder sind in Teilprojektphasen Learnings aufgetaucht, die man in den folgenden Projektphasen einfließen lassen möchte, dann ist das alles schwierig.
Read 40 tweets
28 Sep
@HonkHase Das braucht wesentlich mehr Kontext.

Intel stellt zur Zeit eine sehr kleine einstellige Anzahl Millionen Xeon CPUs her. Davon gehen 85% an weniger als 10 Kunden - Hyperscaler in den USA und China.
@HonkHase 12% oder so gehen an ca. 150 Kunden, die zwischen messbare Stückzahlen der Produktion aufkaufen und der Rest ist Kleinscheiß an Kasperkunden.
@HonkHase Das ist eine sehr ungesunde Marktstruktur, und Intel hasst diese Position wie die Pest, schon bevor Apple mit ARM los ging und AMD mit dem EPYC auf den Markt kam. Diese beiden Ereignisse haben die Situation aber noch verkompliziert.
Read 20 tweets
27 Sep
Nachdem vor einigen Tagen der Supersichere Sovereign Identity Führerschein online ging wurden ja einige Probleme im Setup, in der App, in den Operations und in der Qualität des Hostings gefunden.

Die gesamte Webpräsenz des Security-Spezialisten esatus.com ist weg.
Als Security Spezialist haben die garantiert ein Incident Management am Start, das auch Krisenkommunikation abdeckt und Notfallpläne bereit hat.

Wo kommuniziert deren Krisen-PR-Mensch denn gerade und wie handhabt esatus.com den Notfall nach eigener Aussage gerade?
Es gibt zur Zeit einen Haufen Gerüchte, aber keine belastbaren Aussagen.

"Offener Name Server, offener Metrik Server, vermutlich fliegen keys zu wildcard Zertifikaten frei rum" ist halt eine tall order für einen Security Spezialisten und würde gern irgendwo deren Aussage sehen.
Read 4 tweets
27 Sep
Mal eine Beispielaufgabe (hier Seniro DBA/SRE Kontext):

Es ist 2010 und Booking hat eine Datenbankstruktur, bei der je 5 Frontend-Zellen mit einer Datenbank reden.

Writes und Reads sind bereits getrennt: Writes gehen zum Primary, dann Replikation. Image
Reads gehen zum festen Replica der Zelle.

Leider ist das wenig effektiv: Es gibt 10 Zellen in einem RZ, aber wenn eine Zelle ihre DB überlädt kann sie nicht auf Kapazität anderer Zellen ausweichen.

Außerdem ist das RZ nicht redundant.
Wir wollen:

1. Datenbank queries load balancen.
2. Die Replikationshierarchie auf 2-3 Rechenzentren (oder AZs) aufbohren

und optional

3. gehen Ausfall von Datenbanken, oder ganzen AZs resilient sein.
Read 15 tweets
27 Sep
Ich drehe in der Firma also gerade mal wieder Interview-Runden, und da ist ein ganz seltsames Pattern drin, in den Kandidaten.

Interview 2, "Systems Design" für SRE, das Interview nach dem Coding-IV. Es geht darum, irgendein PoC auf Produktion zu bürsten.
Das ist ein guter Teil Skalierung ("Wie viel Instanzen wird das fressen, bei der Load?"), ein guter Teil Resiliency ("Finde und identifiziere alle SPoF, und was sind gängige Patterns, die zu vermeiden?") und ein Teil Monitoring/Fehlersuche/Incident Analyse.
Das scheitert oft schon an grundlegenden Fragen.

"Hier ist ein System, das im Test auf dieser Instanzgröße lief und 5000 Requests/s geschafft hat. Wir wollen 250.000 Requests/s schaffen, und die Meßdaten 6 Monate halten."
Read 33 tweets
26 Sep
Was ist der Zweck eines "digitalen Ausweisdokumentes"?
Also eines Personalausweises, Führerschein oder sonst etwas in der Art?

Also, was ist die User Story hier?
"Als Inhaber eins NPA will ich ... um ..."
Es ist keine Kontrollsituation in der freien Wildbahn.

"Als Inhaber eines NPA will ich mein entsperrtes Handy mit dem NPA einem Beamten zur Kontrolle übergeben."

Das ist nicht das zu lösende Problem.
Dafür haben wir andere Instanzen des Ausweises, die nur diese eine Funktion haben und daher kein Vertrauen von der Seite des Ausweisinhabers erfordern.

Als Bürger kann man so sicher sein, wenigstens nicht diese Art von Einzelfall zu werden.
Read 41 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

:(