Category Archives: Security Theater

A praise of Folly – Security Theater and the OSI layers 8 and above

Early in February 2018 I was happy to give a speech at FOSDEM, in Brussels. They booked me after Howard Chu and right before the closing keynote – awesome, and there were a few thousand geeks in the audience – I guess that was the largest crowd I ever spoke to.

And I told them about “A praise of Folly: Security Theater – The mostly unknown OSI Layer 8 and above” – see References. Here’s my ongoing collection.

Here’s the video

Aerospace and the Normalization of Deviance …

Reality update: Normalization of Deviance – Flight Safety Foundation … :

Noncompliance with standard operating procedures (SOPs) — especially tolerance of unstabilized approaches — is a serious impediment to further reduction of accident risk, according to United Airlines safety leaders.

During his April presentation to the World Aviation Training Conference and Tradeshow (WATS 2015) in Orlando, Florida, U.S., Chris Sharber, a first officer and flight simulator instructor–Boeing 777 fleet, at the United Airlines Training Center in Denver, described the issue as invisible and insidious.

United Airlines safety leaders echoed this theme in a keynote address and in presentations about analytical techniques and related insights from the company’s safety management system (SMS), including analysis of flight crews’ voluntary safety reports.

“We have somewhere between 11,000 and 12,000 pilots. Our new-hire department will bring another 1,000 pilots on board in the next 12 to 15 months,” Sharber said. “One of the challenges that you face with that many pilots, of course, is SOP compliance. How do you influence a group of 11,000 individuals to focus on SOP compliance, to maintain the tight standardization that’s required to maintain safe operations in a global airline?”

(…)

Intentional Noncompliance Flight crews engage in intentional noncompliance — and sometimes self-justify this behavior — out of a variety of motivations. “Maybe it’s a bad SOP. Maybe there are competing priorities. Maybe it just doesn’t work. It’s not functional. … It’s not that important. It doesn’t really matter. I might [take a] shortcut just because I’m trying to save time,” he said. “[Or pilots rationalize], ‘I just don’t like it. I like the way we did it before. I’ve got a better way of doing things. I think this is a bad idea. I’m just not going to do it.” These occur with a perceived lack of consequences. The LOSA Collaborative’s latest data analysis suggests that acts of intentional noncompliance occur on between 40 to 60 percent of flights, or about half, on average.

Reality update: Normalization of Deviance – Flight Safety Foundation … :

Neuland, 2019: Hausdurchsuchungen wegen anonymer Anzeige gegen tarnkappe.info

Reality update: Hausdurchsuchung bei Tarnkappe.info wegen angeblichem Drogenhandel … :

Heute um ca. 14 Uhr haben insgesamt fünf Mitarbeiter der Bergisch Gladbacher Polizei eine Hausdurchsuchung bei Tarnkappe.info durchgeführt. Beschlagnahmt wurden alle vier technischen Geräte des Betreibers Lars Sobiraj. Der Durchsuchungsbeschluss vom AG Köln hat man damit begründet, dass in unserem Forum angeblich Drogen vermittelt wurden. Vom Verdächtigen wurden sogar die Fingerabdrücke genommen und Fotos erstellt. Ein anonymer Hinweisgeber hat sich an die Polizei in Bergisch Gladbach gewendet. Er will angeblich mittels Screenshots bewiesen haben, dass wir bei uns im Forum Drogen vermittelt haben. Somit hätte sich der Betreiber wegen des unerlaubten Handels mit BTM-pflichtigen Stoffen strafbar gemacht.

[…]

Kommentar von Lars Sobiraj:

Die Vorwürfe sind einfach hanebüchen. Ich bin verwundert, dass der zuständige Richter am AG Köln den Beschluss unterzeichnet, bzw. die Staatsanwältin überhaupt eine Durchsuchung angeordnet hat. Beim persönlichen Gespräch sagte mir der leitende Ermittler, er habe bei der Durchsicht des Forums von Tarnkappe.info überhaupt keine Anhaltspunkte für ein illegales Verhalten in irgendeiner Art finden können. Auch hätte ich bzw. meine Ehefrau bei der Durchsuchung nicht den Eindruck gemacht, dass wir hier etwas Illegales tun. Zudem sagte der KOK, er habe gesehen, dass ich alle Foren-Nutzer dazu aufgerufen habe, sich an die in Deutschland gültige Rechtslage zu halten.

Blockchain Update: Very Expensive, NoT SuccessFul, no Sense, no Reason. Here’s the hype.

Blockchain Reality update:

0) (2019-06-02) The honorable Bruce Schneier says: There’s No Good Reason to Trust Blockchain Technology | WIRED … :

“There’s No Good Reason to Trust Blockchain Technology Opinion: Cryptocurrencies are useless. Blockchain solutions are frequently much worse than the systems they replace. Here’s why.

1) (2018-11-30) Blockchain study finds 0.00% success rate and vendors don’t call back when asked for evidence • The Register … :

Emergent Tech Blockchain study finds 0.00% success rate and vendors don’t call back when asked for evidence Where is your distributed ledger technology now? By Andrew Orlowski

2) (2019-05-29)  Blockchain Settlement Was Slow, Costly in Trial, Weidmann Says – Bloomberg … :

Cryptocurrencies Blockchain Settlement Was Slow, Costly in Trial, Weidmann Says
A trial project using blockchain to transfer and settle securities and cash proved more costly and less speedy than the traditional way, Germany’s central bank president said.

3) (2019-02-26) You Do Not Need Blockchain: Eight Popular Use Cases And Why They Do Not Work … :

You Do Not Need Blockchain: Eight Popular Use Cases And Why They Do Not Work

(via Slashdot)

4) (2019-05-29) Blockchain officially confirmed as slower and more expensive … :

The Blockchain solutions did not improve in all respects: the process took a little longer and resulted in relatively high calculation costs, Weidmann said in Frankfurt on Wednesday.” Similar experiences have been made elsewhere in the financial sector. Despite many tests of blockchain-based prototypes, a real breakthrough in the application lacks so far.

The Dangers of Lie Detectors

 The race to create a perfect lie detector – and the dangers of succeeding | Technology | The Guardian … :

The mystery is how we keep getting away with it. Our bodies expose us in every way. Hearts race, sweat drips and micro-expressions leak from small muscles in the face. We stutter, stall and make Freudian slips. “No mortal can keep a secret,” wrote the psychoanalyst in 1905. “If his lips are silent, he chatters with his fingertips. Betrayal oozes out of him at every pore.”

Hacked: Whatsapp, Telegram, iMessage on iPhones – by Simple Website Visits

Nehmt Apple, das ist sicher, sagten sie, die der Religion noch anheim fielen. Unfassbar, wie lange sich der Irrglaube hielt. 

Project Zero: A very deep dive into iOS Exploit chains found in the wild

“The implant has access to all the database files (on the victim’s phone) used by popular end-to-end encryption apps like Whatsapp, Telegram and iMessage. We can see here screenshots of the apps on the left, and on the right the contents of the database files stolen by the implant which contain the unencrypted, plain-text of the messages sent and received using the apps:”

Google deckt riesige iPhone-Hackerkampagne auf – SPIEGEL ONLINE

“Anfang des Jahres, heißt es in einem Blogpost von Project Zero, habe Googles Threat Analysis Group (TAG) eine “kleine Sammlung gehackter Websites” entdeckt, die mehr als zwei Jahre lang Spionagesoftware auf iPhones verbreitet hatten, schätzungsweise Tausende Male pro Woche. Um infiziert zu werden, reichte es, wenn die Opfer eine der manipulierten Websites mit ihrem Apple-Handy aufriefen. Man war selbst dann nicht geschützt, wenn man die zum jeweiligen Zeitpunkt aktuelle Version von iOS 10, 11 oder 12 installiert hatte. Fünf verschiedene, jeweils komplette und einzigartige Exploit-Ketten seien im Laufe der Zeit auf den Websites zum Einsatz gekommen, schreibt Ian Beer von Project Zero. Im Prinzip bedeutet das: Fünffacher Super-GAU für iPhone-Besitzer – und Apple.”

(…)

“Theoretisch hätte die jahrelange Kampagne auch ein Versuch der politischen, militärischen oder Wirtschaftsspionage sein können. Es ist erstens unklar, ob nur die fünf von Google entdeckten Websites die Schadsoftware verbreiteten, oder auch andere Seiten. Zweitens verrät Project Zero nicht, um welche Websites es sich handelte. Falls sie sie an ein bestimmtes Publikum gerichtet haben, zum Beispiel an Soldaten, spräche das eher für zwar recht breit gestreute, inhaltlich aber gezielte Kampagne.”

(…)

“Für Apple und seine Kunden ist die Entdeckung der zweite klare Hinweis von Project Zero innerhalb kurzer Zeit, dass auch die vermeintlich so sicheren Produkte aus Cupertino alles andere als unverwundbar sind.”

Ruby Tuesday… Is rest-client 1.6.13 hacked?

Reality update: Warning! is rest-client 1.6.13 hijacked? · Issue #713 · rest-client/rest-client · GitHub … :
Wow. I guess I’d call that a #rubytuesday

“JanDintel commented Aug 20, 2019: 

In case people need to write a detailed security report at their company. This might help you.

Security threat consisted out of the following:

* It sent the URL of the infected host to the attacker.

* It sent the environment variables of the infected host to the attacker. Depending on your set-up this can include credentials of services that you use e.g. database, payment service provider.

* It allowed to eval Ruby code on the infected host. Attacker needed to send a signed (using the attacker’s own key) cookie with the Ruby code to run.

* It overloaded the #authenticate method on the Identity class. Every time the method gets called it will send the email/password to the attacker. However I’m unsure which libraries use the Identity class though, maybe someone else knows?”

(Thanks to Fefe, once again!)

Better Disable HTTP/2 … says Netflix

Reality update: security-bulletins/2019-002.md at master · Netflix/security-bulletins · GitHub … :

Workarounds and Fixes In most cases, an immediate workaround is to disable HTTP/2 support. However, this may cause performance degradation, and it might not be possible in all cases. To obtain software fixes, please contact your software vendor. More information can also be found in the CERT/CC vulnerability note.

The Normalization of Deviance

Reality update: Normalization of Deviance – Flight Safety Foundation … :

“The LOSA Collaborative and an Airbus study show that the industry’s average stabilized approach rate is about 96 to 97 percent. … If you are at the top of the industry in this regard, your unstabilized approach rate may be as low as about 1.5 percent, which is even more remarkable. … The studies show that somewhere between 1.5 and 3 percent of [crews flying] unstabilized approaches do the right thing and execute a go-around.”

Biometry. Mockery and Security Theatre from the start.

#sigh. Use fingerprints as passwords, they said, you have ten of them. And you leave them everywhere. And so many of the sheeps did, because they trusted.  

Major breach found in biometrics system used by banks, UK police and defence firms | Technology | The Guardian

The fingerprints of over 1 million people, as well as facial recognition information, unencrypted usernames and passwords, and personal information of employees, was discovered on a publicly accessible database for a company used by the likes of the UK Metropolitan police, defence contractors and banks.

One year from Tokyo 2020 Olympics, they still have no clue about Fukushima. But it gets worse.

Radioactive Glass Beads May Tell the Terrible Tale of How the Fukushima Meltdown Unfolded – Scientific American … :

The beads are “the only direct evidence of the debris remaining inside the reactor. That’s the only clue,”

 “It was initially thought all the radioactive cesium released in the Fukushima plumes was in a water-soluble form, and would disperse more or less evenly throughout the environment. But when aerosol specialist Yasuhito Igarashi, then of the University of Tsukuba, and his colleagues examined an air filter from the Meteorological Research Institute in Tsukuba, 170 kilometers southwest of Fukushima, they noticed the filter contained radioactive hotspots. Using specialized imaging techniques they detected high concentrations of radioactive cesium as well as bits of iron and zinc, packed into particles just a couple of microns in diameter (about the size of the average Escherichia coli bacterium).

Although less radioactive cesium fell on Tokyo than closer to the plant, a bigger proportion of the total was packed into the microparticles, the team’s findings suggest. However, publication of the full study describing those findings, initially slated for 2017 in Scientific Reports, was postponed after researchers with the Tokyo Metropolitan Industrial Technology Research Institute (TIRI)—which had provided an air filter sample to one of the study’s authors—objected to the study over the sample’s use by the other co-authors. A 2017 investigation by several institutions in Japan found no evidence of wrongdoing by the co-authors—and “there’s never, in any of the discussion, been concern about our scientific results,” says Ewing, the Stanford nuclear materials expert who is also a study co-author.

… Honi soit qui mal y pense …

Researchers say a picture of the unusual beads is coming into focus against a backdrop of the Japanese public’s general nuclear wariness, and the government’s desire to put the Fukushima incident behind it—particularly with Tokyo poised to host the 2020 Olympics. “I think, unfortunately, the reaction to this discovery [of the beads] has been not very welcomed in Japan,” says Rod Ewing, a mineralogist and nuclear materials expert who co-directs the Center for International Security and Cooperation at Stanford University.

Oh Really? Who would have thought that…? 

Oh what a bad week for *APPLE & MAC* Security …

Reality update: Apple-Hacker Patrick Wardle: Ein Mac ist leicht zu hacken – SPIEGEL ONLINE … :

Schon immer störte sich Wardle an “dieser Mentalität, dass Macs sicher sind, geradezu unhackbar”. Apple selbst habe das so dargestellt, und weil es lange Zeit nur wenig Mac-spezifische Malware gab, hätten es die Nutzer geglaubt. Manche tun es seiner Ansicht nach bis heute. Er will mit diesem Mythos aufräumen, denn die Zeiten haben sich geändert.

 I couldn’t agree more. Fun fact:I can’t find any US or other English news on that? Am I blind? Feel free to tweet or mail them to me. Isn’t it bitter – he says Windows 10 (sic!) is safer than Apple iOS today. Wow. That’s blasphemy. 

Here’s Wardle’s website: Objective-See … : 

Mac Malware Warning: this page contains malware & adware! By downloading malware from this site, you waive all rights to claim punitive, incidental and consequential damages resulting from mishandling or self-infection.

Bonus Addon: 

Apple: US-Luftverkehrsbehörde verbietet MacBook Pro in Flugzeugen | ZEIT ONLINE

Aus Angst vor Bränden haben bereits vier weitere Fluggesellschaften Anfang der Woche die Mitnahme bestimmter Macbook-Pro-Modelle verboten. Medienberichten zufolge sollen Fluggesellschaften der TUI Group Airlines, Thomas Cook Airlines, Air Italy und Air Transa derzeit die Mitnahme der Laptops sowohl im Handgepäck als auch im aufgegebenen Gepäck untersagt haben.

Oh what a bad week for *WINDOWS* Security …

Reality update – Tavis Ormandy auf Twitter:

I’m publishing some research today, a major design flaw in Windows that’s existed for almost *two decades*. I wrote a blog post on the story of the discovery all the way through to exploitation. https://googleprojectzero.blogspot.com/2019/08/down-rabbit-hole.html …

His Blog is here and very well worth a read, although it’s long and horrifying: Project Zero: Down the Rabbit-Hole… … : 

The obvious attack is an unprivileged user injecting commands into an Administrator’s console session, or reading passwords as users log in. Even sandboxed AppContainer processes can perform the same attack. Another interesting attack is taking control of the UAC consent dialog, which runs as NT AUTHORITY\SYSTEM. An unprivileged standard user can cause consent.exe to spawn using the “runas” verb with ShellExecute(), then simply become SYSTEM.

After Spectre and Meltdown, … there’s SWAPS

 Bitdefender SWAPGS Attack Mitigations Solution … :

Bitdefender researchers have identified and demonstrated a new side-channel attack. The attack builds on previous research which led to the Spectre and Meltdown attacks. This newly disclosed attack bypasses all known mitigation mechanisms implemented in response to Spectre and Meltdown. Bitdefender Hypervisor Introspection renders Windows systems impervious to this new attack. The SWAPGS Attack affects newer Intel CPUs that use speculative execution.

Randomly stalling 20 % of autonomous cars is enough… to stall cities.

Hackers Could Use Connected Cars to Gridlock Whole Cities | Research Horizons | Georgia Tech’s Research News … :

Randomly stalling 20 percent of cars during rush hour would mean total traffic freeze. At 20 percent, the city has been broken up into small islands, where you may be able to inch around a few blocks, but no one would be able to move across town,” said David Yanni, a graduate research assistant in Yunker’s lab.

Biblis 1988 – das deutsche Beinahe-Tschernobyl.

„Wir haben sagenhaftes Glück gehabt“ Fast ein Jahr lang hielten – DER SPIEGEL 50/1988

Das waghalsige Manöver der Reaktormannschaft in Biblis, eine der schwersten Störungen in der Geschichte der bundesdeutschen Kernkraftwerke, offenbart aufs neue, wie nahe am Abgrund einer großen nuklearen Katastrophe auch die bundesdeutschen Atomzentralen operieren.

(…)

So kam die Bedienungsmannschaft in Biblis mit dem Schrecken davon – aber mit einem Schlag geriet dabei auch die gesamte Sicherheitsphilosophie der Kerntechnik durcheinander. Denn ausgerechnet diese Art von Zwischenfall war von Konstrukteuren, Betreibern und ihren wissenschaftlichen Helfern stets als extrem unwahrscheinlich bezeichnet und folglich dem hinnehmbaren Restrisiko zugeschrieben worden.

(…)

Daß der Vorfall dennoch ans Licht kam, verdanken die Bundesdeutschen nur den Recherchen einiger Mitarbeiter des amerikanischen Fachblattes “Nucleonics Week”. Nüchtern, aber präzise enthüllten sie, daß die Reaktorfahrer von Biblis genau jene Art von Leck riskiert hatten, von der es in der schon 1975 erstellten großen Reaktorsicherheitsstudie der US-Atombehörde NRC (Nuclear Regulatory Commission) hieß, daß das betroffene System “wegen des Überdrucks versagen” könnte, “was die Kernschmelze und den Austritt von Radioaktivität außerhalb des Containments auslösen würde”. Zugleich berichtete das Blatt von der Verwunderung der NRC-Experten über den laschen Umgang der deutschen Behörden mit dem Vorfall. “Wenn es in einem US-Kraftwerk passiert wäre”, so ein NRC-Kontrolleur, “hätten wir ohne Zweifel innerhalb von Stunden ein Inspektionsteam vor Ort gehabt.” Die Anlage wäre sicher “für eine lange Zeit abgeschaltet geblieben”.

(…)

Nahtlos, geradeso, als habe es die Katastrophe von Tschernobyl und den Hanauer Atomskandal niemals gegeben, setzten so die Herren des Atomstroms und ihre Kontrolleure in den Ministerien die Tradition der “systembedingten Verschleierung” (“Süddeutsche Zeitung”) fort, wie sie der bundesdeutschen Atomwirtschaft seit je eigen ist.

(…)

Und stets war der Betreiber RWE bemüht, nicht allzuviel davon an die Öffentlichkeit gelangen zu lassen. Kritiker sprechen von “planvoller Informationsverweigerung”.

(…)

Daß ebendiese unvermeidbare Einstellung des Personals in Atomanlagen alle Sicherheitsphilosophien im Kern haltlos macht, quälte auch den führenden sowjetischen Fachmann für Reaktorsicherheit, Valerij Legassow.

“Es wuchs”, schrieb er in seinen Memoiren, “eine Generation von Ingenieuren heran, die ihre Arbeit fachmännisch beherrschten, die sich aber gegenüber den Apparaten und den Sicherheitssystemen unkritisch verhielten.”

Deshalb, so gestand Legassow nach der Tschernobyl-Katastrophe, “quälte mich der Wurm des Zweifels, weil mir aus meiner Sicht des Fachmannes schien, daß etwas Neues unternommen werden muß, daß man beiseite treten muß und die Dinge anders machen”.

Daß ihm das nicht rechtzeitig gelang, hat er wohl nicht verwinden können. Legassow, so teilte die “Prawda” im April dieses Jahres lapidar mit, sei “aus dem Leben gegangen”. Er hatte sich erhängt.

 

Legassow, da war doch erst kürzlich was: