• aaaaaaaaargh@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    23
    ·
    9 months ago

    Gerade gelesen, dass die WebEx verwendet haben.

    Könnt ihr bitte mal aufhören, solche Software für verdammt sicherheitskritische Gespräche zu führen?

        • Anekdoteles@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          7
          ·
          9 months ago

          Well, gerade in einem anderen Sub entdeckt: https://element.io/

          Das ist die Antwort. Das witzige: Daran ist die Bundeswehr sogar beteiligt, nur flächendeckend einsetzen, tut sies allem Anschein ja dann nicht.

          • phneutral@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            3
            ·
            9 months ago

            Element bzw. das zugrunde liegende Protokoll Matrix ist auch bei den französischen Streitkräften im Einsatz. Deutschland hat daraufhin den matrix-basierten BW-Messenger entwickelt.

            • Anekdoteles@feddit.de
              link
              fedilink
              Deutsch
              arrow-up
              1
              ·
              9 months ago

              Gibt es denn eine Dienstanweisung, die dazu verpflichtet ihn zu benutzen? Da ich on BW-Strukturen gelinde gesagt gar keine Ahnung habe, weiß ich nicht mal, auf welchen Ebenen bzw. für welche Teile der Streitkräfte soetwas zentral gesteuert/festgelegt werden könnte.

              • phneutral@feddit.de
                link
                fedilink
                Deutsch
                arrow-up
                1
                ·
                9 months ago

                Weiß ich auch nicht. Als jemand der sich schon lange für Open Source Software und für einige Zeit auch sehr für europäische Verteidigung interessiert hat, war das damals eine spannende Entwicklung. Ich habs aber nicht weiter verfolgt. Als sich bei Reddit die Shotshow abspielte war ich schon einige Zeit nicht mehr aktiv — hatte seit 2016 r/europeanfederalists und r/europeanarmy aufgebaut. Beide Themen waren für mich irgendwann durchgespielt und gefühlt kamen jede Woche die gleichen Fragen/Diskussionen.

                  • phneutral@feddit.de
                    link
                    fedilink
                    Deutsch
                    arrow-up
                    1
                    ·
                    8 months ago

                    Bevor ich mich auf Reddit mit dem Thema auseinandergesetzt habe, wusste ich gar nicht das es die JEF gibt. Ich bin dann tatsächlich für einige Jahre Mitglied gewesen. Inzwischen aber zu alt für die JEF. Die EUD ist mir viel zu verstaubt und an zu vielen Stellen parteipolitisch zu fern.

          • luckystarr@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            1
            ·
            9 months ago

            Whoa, “sovereign” ist das neue heiße politische Buzzword, gleich nach “cyber”. :D

            • Anekdoteles@feddit.de
              link
              fedilink
              Deutsch
              arrow-up
              4
              ·
              edit-2
              9 months ago

              Seh ich ein wenig anders, denn dass es heiß ist, liegt ja daran, dass es dringend nötig ist: Der Maskenmangel während des Corona-Ausbruchs in Europa hat ja ganz klar vor Augen geführt, dass Lieferketten-Abhängigkeiten keine theoretischen Überlegungen sind, sondern geopolitische Risiken, die vorab ordentlich gemanaget werden müssen. Die Totale Abhängigkeit der europäischen digitalen Infrastruktur von einer fremden Macht ist ein Problem und zwar ein sehr großes und zwar auch dann, wenn der Schaden noch nicht eingetreten ist.

          • crispy_kilt@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            1
            ·
            9 months ago

            Es gibt auch Threema. Kann die Bundeswehr auch selber betrieben. Die schweizer Armee und Bundesverwaltung benutzen es.

      • aaaaaaaaargh@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        3
        arrow-down
        4
        ·
        9 months ago

        Pauschal lässt sich das nicht sagen. Es kommt ja nicht nur auf die Software an, sondern auch die Infrastruktur und natürlich auch die Nutzer. Diese Offiziere scheinen nicht unbedingt ausgebildet in diesem Bereich zu sein, sonst würde man nie sowas über ein ungesichertes Kommunikationsmedium besprechen.

        • Anekdoteles@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          9
          arrow-down
          1
          ·
          9 months ago

          Da kann man den Offizieren meiner Meinung nach aber keinen Strick draus drehen, denn es wird eben das genutzt, was zur Verfügung steht.

          • aaaaaaaaargh@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            3
            arrow-down
            4
            ·
            edit-2
            9 months ago

            Das hab ich auch nicht, was ich sagte war: sie waren offensichtlich nicht geschult. Entweder hätten sie klare Anweisungen bekommen müssen, dass es sich nicht um eine sichere Verbindung handelt oder sie hätten etwas besseres zur Verfügung gestellt bekommen müssen.

            • zaphod@feddit.de
              link
              fedilink
              Deutsch
              arrow-up
              3
              ·
              9 months ago

              Vielleicht hält die Bundeswehr WebEx für sicher genug für das was da diskutiert wurde.

              • aaaaaaaaargh@feddit.de
                link
                fedilink
                Deutsch
                arrow-up
                1
                ·
                edit-2
                9 months ago

                Möglich. Aber nochmal, die Technik spielt hier nicht die einzige Geige. Das Versäumnis sehe ich hier definitiv darin, dass scheinbar kein Verbot gegeben wurde, solche brisanten Details auf diese Art zu besprechen. Die Schuld suche ich nicht bei den Offizieren, insofern die nicht gegen eine Anweisung dabei verstoßen haben. Sollte es aber keine solche Anweisungen gegeben haben, dann ist das ganz klar ein systemischer Fehler.

                • zaphod@feddit.de
                  link
                  fedilink
                  Deutsch
                  arrow-up
                  3
                  ·
                  edit-2
                  9 months ago

                  Möglichkeit 1: Die Bundeswehr hält WebEx allgemein für sicher (extrem problematisch).

                  Möglichkeit 2: Die beteiligten Offiziere haben Anweisungen ignoriert (sehr problematisch, edit: extrem problematisch, in dem Call war der Inspekteur der Luftwaffe).

                  Möglichkeit 3: Die Bundeswehr hält die Informationen nicht für brisant. Aber selbst wenn dort nichts unbekanntes diskutiert wurde, könnte man das als problematisch ansehen, weil es damit eventuell eine offizielle Bestätigung bisland unbestätigter Gerüchte gibt (britische/französische Soldaten in der Ukraine).

                  • aaaaaaaaargh@feddit.de
                    link
                    fedilink
                    Deutsch
                    arrow-up
                    4
                    ·
                    9 months ago

                    Möglichkeit 4: das ganze war beabsichtigt. Das wäre jedenfalls die kompetenteste Variante, aber auch eine harte Verschwörungstheorie, deren nutzen sich mir jetzt auch nicht direkt erschließt. Aber gut, ich nutze ja auch kein WebEx.

            • Anekdoteles@feddit.de
              link
              fedilink
              Deutsch
              arrow-up
              1
              ·
              9 months ago

              Entschuldige, ich habe das gar nicht als Angriff gemeint, denn ich habe dich auch nicht so verstanden, als hättest du das so gemeint. Ich wollte es nur noch einmal klar stellen, weil der geneigte Leser es ja so sehen könnte.

              • aaaaaaaaargh@feddit.de
                link
                fedilink
                Deutsch
                arrow-up
                1
                ·
                edit-2
                9 months ago

                Habe ich nicht als Angriff gewertet, keine Sorge. Ich glaube aber, man hat mich entweder missverstanden oder das ist wieder so ein mysteriöses Thema wie wenn man den Nutzen von Briefpost infragestellt, wofür man automatisch und sofort runtergewählt wird. Bis heute habe ich das nicht verstanden, aber ist jedes Mal so.

                Um es nochmal deutlich zu machen: Ich denke, irgendwas muss ja falsch gelaufen sein, wenn so eine Unterhaltung über ein Medium geführt wird, das abgehört/mitgeschnitten wurde. Da die Offiziere hier das Sicherheitsrisiko vor dem Bildschirm darstellen, was es immer gibt, egal ob Bundeswehr in Briefings oder Omi bei Amazon, gehört es einfach dazu, diesen Vektor mit zu benennen.

    • FuzzChef@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      6
      arrow-down
      3
      ·
      9 months ago

      Was sollte daran denn problematisch sein? Ich hätte irgendwie die Vermutung, dass die Russen nicht durch einen technischen Angriff auf WebEx da heran gekommen sind.

      • luckystarr@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        11
        ·
        9 months ago

        Mir fallen diese Möglichkeiten dazu ein:

        1. Die Russen habem WebEx infiltriert. Als Cisco würde ich jetzt ganz genau hinschauen.
        2. Die Russen haben einen der Teilnehmer mit Malware ausgestattet.
        3. Einer der Teilnehmer an der Diskussionsrunde war ein Spion.
        4. Ein Russe hat als “Bot” getarnt teilgenommen und die Teilnehmer haben es nicht bemerkt.
        5. Ein Russe hat offen teilgenommen und die Teilnehmer haben es nicht bemerkt.
        • waigl@lemmy.world
          link
          fedilink
          Deutsch
          arrow-up
          8
          ·
          edit-2
          9 months ago
          1. WebEx hat Sicherheitslücken, die im Öffentlichen agierende Security Researcher nicht gefunden haben, weil das closed source ist und man da legal nicht so einfach rankommt, während im dunklen agierende Zeitgenossen, die sich um legal versus illegal nicht kümmern, schon seit 10 Jahren auswendig wissen, wo genau man einen Stapelüberlauf provozieren kann,und welche Rücksprungadresse man da reinschmuggeln muss, damit das Ding macht, was man will…
          2. WebEx hat absichtliche Sicherheitslücken, die Cisco vom Amerikanischen Staat aufobtruiert wurden, und die dann entweder durch Spionagegeschichten oder Eigenrecherche auch den Russen bekannt wurden.

          Gut, in diesem konkreten Fall ist die Erklärung natürlich noch viel einfacher: Ein Konferenzteilnehmer hat über eine altmodische, unverschlüsselte Telefonleitung aus Singapur teilgenommen, und die abzuhören, war noch nie ein Problem.

          • luckystarr@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            4
            ·
            9 months ago

            Ich hatte auch irgendwo gelesen es sei ein Stream-Dump gewesen, was die Telefongeschichte unwahrscheinlich macht. Ausser dem soll die Aufzeichnung begonnen haben bevor der Telefon-Teilnehmber dazukam. Das schließt die Telefon-Hypothese komplett aus.

            • zaphod@feddit.de
              link
              fedilink
              Deutsch
              arrow-up
              1
              ·
              9 months ago

              Wenn ich mir die Aufzeichnung anhöre, hört sich das so an, als ob es da anfängt, wo der Telefonteilnehmer dazukommt.

              • luckystarr@feddit.de
                link
                fedilink
                Deutsch
                arrow-up
                1
                ·
                9 months ago

                Falls die Audio-Qualität sich anhört wie durch einen 8kHz Bandpass, dann ist die Vermutung dass eine Telefonleitung abgehört wurde, wahrscheinlich. Wenn die Audio-Qualität besser ist, dann könnten auch andere Möglichkeiten in Frage kommen.

                Allerdings: auch wenn die Russen einen Stream-Dump gemacht hätten, so wäre es ihnen doch möglich gewesen die Datei so zu präparieren als dass sie sich anhört als ob die Telefonleitung abgehört worden wäre.