Simonalein ⁽⁽⁽i⁾⁾⁾

2021-04-18 12:22:38

#Sicherheit in der Luca-App und von #OpenSource allgemein

Durch einen Post von @Michael Vogel wurde ich auf ein Problem im Quellcode der Luca-App aufmerksam: https://pod.geraspora.de/posts/13446160

Die zwei kritischen Code-Stücke sind für das Testen zuständig und man findet sie hier: https://gitlab.com/lucaapp/android/-/blob/master/Luca/app/src/main/java/de/culture4life/luca/ui/registration/RegistrationViewModel.java

Teil 1:
public boolean isUsingTestingCredentials() {
return Objects.equals(firstName.getValue(), "John")
&& Objects.equals(lastName.getValue(), "Doe")
&& Objects.equals(phoneNumber.getValue(), "+4900000000000")
&& Objects.equals(email.getValue(), "john.doe@gmail.com");
}

Teil 2:
boolean isValidPhoneNumber(String phoneNumberString) {
if (isUsingTestingCredentials()) {
return true;
}
try {...

Als Hackerin mit Codex will ich mich darüber nicht nur lustig machen sondern erklären worin das Problem liegt und wie man es beheben kann.

Sicherheitsverständnis bei Open-Source

Ein weit verbreitete Fehleinschätzung ist, dass Open-Source sicherer ist als geheimer proprietärer Quellcode. Niemand außer dem Besitzer kann geheimen Quellcode prüfen und deswegen können Fehler jahrelang unbemerkt bleiben und nur von Eingeweihten ausgenutzt werden. So kann man im geheimen Quellcode problemlos Hintertüren und andere Schweinereien verstecken.

Open-Source oder freier Quellcode kann von jedem eingesehen werden und so ist es schwieriger dort Hintertüren zu verstecken. Diese Schwierigkeit macht den offenen Quellecode schon mal ein bisschen sicherer. Dann muss dieser Quellcode aber immer noch getestet, überprüft und kontrolliert werden. Geschieht dies nicht und alle vertrauen nur blind auf die Sicherheit dann ist das sehr fahrlässig. Es gibt leider Beispiele wo offensichtliche Fehler im frei zugänglichen Quellcode jahrelang übersehen wurden - siehe: Heartbleed - https://de.wikipedia.org/wiki/Heartbleed

Jetzt muss man aber auch die Philosophie von freier Software verstehen und die wird nirgendwo an der Universität gelehrt. Die muss man sich per Selbststudium im Internet beibringen. Wenn jeder in den Quellcode schauen kann und er danach immer noch sicher ist, dann habe ich echte Sicherheit (immer vorausgesetzt, dass Experten auch drauf geschaut haben). Das heißt natürlich, dass ich nichts in den Quellcode schreiben darf was man später ausnutzen kann (weil dies würde die Sicherheit schwächen).

Leider lernt man an der Universität oder Ausbildung sogut wie nichts über Sicherheit, die schon beim Design der Software ansetzt. Dies sind relativ neue Forschungen und die Ausbildungskräfte bilden sich nicht gut genug fort als das sie darüber Kenntnisse hätten. Für Wirtschaftsinformatiker scheint es wichtiger zu sein, dass sie profitabel sind und nicht sicheren Quellcode schreiben (blöder Kapitalismus).

Was ist hier das Problem?

Am oben gezeigten Quellcode sieht man, dass getestet wird. So was nennt man Test-Driven-Development und das ist zunächst etwas Gutes. Der Quellcode wird vor dem "Build" also dem zusammenbauen als fertige App zunächst automatisiert getestet und wenn ein Test fehlschlägt wird der "Build" abgebrochen, sodass der Fehler korrigiert werden muss. Der Fehler kann wenn er durch den Test erkannt wird also nicht beim Endbenutzer auftauchen.

Wie man aber in Teil 2 oben sieht kann man mit den Testdaten Prüfungen in der App umgehen und dadurch mehr Rechte erhalten. Noch viel schlimmer ist, dass wir in Teil 2 sehen, das der "try"-Teil erst nach der Prüfung auf Testdaten startet. "Try" ist für die Fehlerbehandlung zuständig und das bedeutet ich kann mit Testdaten die App in einen undefinierten Zustand bringen, weil es keine Fehlerbehandlung gibt. Diese undefinierten Zustände können Hacker häufig für Exploits ausnutzen.

Insgesamt also alles sehr schlecht!

Wie kann ich das besser machen?

1) Compilerflags - Mit Compilerflags kann ich verhindern, das bestimmte Programmteile in der produktiven App landen. Vereinfacht gesagt ich baue mir eine Testversion und wenn die funktioniert dann baue ich mir eine Produktivversion wo die Testfunktionen nicht enthalten sind. Großer Nachteil dieser Methode ist, das Programmierer gelegentlich vergessen, die Testfunktionen richtig rauszulöschen mit den Flags weil sie zu sehr unter Druck stehen und dann Fehler machen. So ist es häufiger schon passiert, dass unbeabsichtigt Testfunktionen doch im Produktivsystem gelandet sind. Ein weiteres Problem ist wenn Fehler nicht in der Testversion auftreten aber im Produktivsystem weil es anders gebaut wurde. Dann sind wahrscheinlich irgendwo die Compilerflags falsch gesetzt worden. Ein Fehler den man dann niemals machen darf, der aber schon passiert ist, ist, dass dann einfach die Testversion ausgeliefert wird in der Hoffnung, dass das niemand merkt.

2) Testflags verwenden - In der Testumgebung wird über die Konfiguration ein bestimmtes Flag gesetzt, sodass die Software weiß, dass sie im Testmodus ist. Nachteil ist, dass bösartige Hacker diese Flag auch in der Produktivumgebung setzen könnten.

3) So Testen, dass es keinen Unterschied macht (beste Lösung). Warum im Testsystem nicht mit anonymisierten oder pseudonymisierten Daten so testen wie unter echten Bedingungen? Meistens macht das etwas mehr Aufwand aber dafür hat man die Tests unter Echtbedingungen gemacht was den höchsten Wert hat. Keine Flags oder Funktionen im Quellcode die ausgenutzt werden könnten.

---

#luca #software #testen #test #sicherheit #problem #bildung #entwicklung #verstädnis #lernen #hack #hacking #app #smartphone #gesundheit #corona #programm

Die #LucaApp offenbart immer wieder Glanzstücke der IT-Sicherheit i...

Die #LucaApp offenbart immer wieder Glanzstücke der IT-Sicherheit im Code. Hart kodierte Accountdaten in der Luca-App, die die Prüfung der Telefonnummer übergehen https://i.imgur.com/2WmTdVE.png

^{pod.geraspora.de}

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-04-18 12:22:38

#Sicherheit in der Luca-App und von #OpenSource allgemein

Durch einen Post von @Michael Vogel wurde ich auf ein Problem im Quellcode der Luca-App aufmerksam: https://pod.geraspora.de/posts/13446160

Die zwei kritischen Code-Stücke sind für das Testen zuständig und man findet sie hier: https://gitlab.com/lucaapp/android/-/blob/master/Luca/app/src/main/java/de/culture4life/luca/ui/registration/RegistrationViewModel.java

Teil 1:
public boolean isUsingTestingCredentials() {
return Objects.equals(firstName.getValue(), "John")
&& Objects.equals(lastName.getValue(), "Doe")
&& Objects.equals(phoneNumber.getValue(), "+4900000000000")
&& Objects.equals(email.getValue(), "john.doe@gmail.com");
}

Teil 2:
boolean isValidPhoneNumber(String phoneNumberString) {
if (isUsingTestingCredentials()) {
return true;
}
try {...

Als Hackerin mit Codex will ich mich darüber nicht nur lustig machen sondern erklären worin das Problem liegt und wie man es beheben kann.

Sicherheitsverständnis bei Open-Source

Ein weit verbreitete Fehleinschätzung ist, dass Open-Source sicherer ist als geheimer proprietärer Quellcode. Niemand außer dem Besitzer kann geheimen Quellcode prüfen und deswegen können Fehler jahrelang unbemerkt bleiben und nur von Eingeweihten ausgenutzt werden. So kann man im geheimen Quellcode problemlos Hintertüren und andere Schweinereien verstecken.

Open-Source oder freier Quellcode kann von jedem eingesehen werden und so ist es schwieriger dort Hintertüren zu verstecken. Diese Schwierigkeit macht den offenen Quellecode schon mal ein bisschen sicherer. Dann muss dieser Quellcode aber immer noch getestet, überprüft und kontrolliert werden. Geschieht dies nicht und alle vertrauen nur blind auf die Sicherheit dann ist das sehr fahrlässig. Es gibt leider Beispiele wo offensichtliche Fehler im frei zugänglichen Quellcode jahrelang übersehen wurden - siehe: Heartbleed - https://de.wikipedia.org/wiki/Heartbleed

Jetzt muss man aber auch die Philosophie von freier Software verstehen und die wird nirgendwo an der Universität gelehrt. Die muss man sich per Selbststudium im Internet beibringen. Wenn jeder in den Quellcode schauen kann und er danach immer noch sicher ist, dann habe ich echte Sicherheit (immer vorausgesetzt, dass Experten auch drauf geschaut haben). Das heißt natürlich, dass ich nichts in den Quellcode schreiben darf was man später ausnutzen kann (weil dies würde die Sicherheit schwächen).

Leider lernt man an der Universität oder Ausbildung sogut wie nichts über Sicherheit, die schon beim Design der Software ansetzt. Dies sind relativ neue Forschungen und die Ausbildungskräfte bilden sich nicht gut genug fort als das sie darüber Kenntnisse hätten. Für Wirtschaftsinformatiker scheint es wichtiger zu sein, dass sie profitabel sind und nicht sicheren Quellcode schreiben (blöder Kapitalismus).

Was ist hier das Problem?

Am oben gezeigten Quellcode sieht man, dass getestet wird. So was nennt man Test-Driven-Development und das ist zunächst etwas Gutes. Der Quellcode wird vor dem "Build" also dem zusammenbauen als fertige App zunächst automatisiert getestet und wenn ein Test fehlschlägt wird der "Build" abgebrochen, sodass der Fehler korrigiert werden muss. Der Fehler kann wenn er durch den Test erkannt wird also nicht beim Endbenutzer auftauchen.

Wie man aber in Teil 2 oben sieht kann man mit den Testdaten Prüfungen in der App umgehen und dadurch mehr Rechte erhalten. Noch viel schlimmer ist, dass wir in Teil 2 sehen, das der "try"-Teil erst nach der Prüfung auf Testdaten startet. "Try" ist für die Fehlerbehandlung zuständig und das bedeutet ich kann mit Testdaten die App in einen undefinierten Zustand bringen, weil es keine Fehlerbehandlung gibt. Diese undefinierten Zustände können Hacker häufig für Exploits ausnutzen.

Insgesamt also alles sehr schlecht!

Wie kann ich das besser machen?

1) Compilerflags - Mit Compilerflags kann ich verhindern, das bestimmte Programmteile in der produktiven App landen. Vereinfacht gesagt ich baue mir eine Testversion und wenn die funktioniert dann baue ich mir eine Produktivversion wo die Testfunktionen nicht enthalten sind. Großer Nachteil dieser Methode ist, das Programmierer gelegentlich vergessen, die Testfunktionen richtig rauszulöschen mit den Flags weil sie zu sehr unter Druck stehen und dann Fehler machen. So ist es häufiger schon passiert, dass unbeabsichtigt Testfunktionen doch im Produktivsystem gelandet sind. Ein weiteres Problem ist wenn Fehler nicht in der Testversion auftreten aber im Produktivsystem weil es anders gebaut wurde. Dann sind wahrscheinlich irgendwo die Compilerflags falsch gesetzt worden. Ein Fehler den man dann niemals machen darf, der aber schon passiert ist, ist, dass dann einfach die Testversion ausgeliefert wird in der Hoffnung, dass das niemand merkt.

2) Testflags verwenden - In der Testumgebung wird über die Konfiguration ein bestimmtes Flag gesetzt, sodass die Software weiß, dass sie im Testmodus ist. Nachteil ist, dass bösartige Hacker diese Flag auch in der Produktivumgebung setzen könnten.

3) So Testen, dass es keinen Unterschied macht (beste Lösung). Warum im Testsystem nicht mit anonymisierten oder pseudonymisierten Daten so testen wie unter echten Bedingungen? Meistens macht das etwas mehr Aufwand aber dafür hat man die Tests unter Echtbedingungen gemacht was den höchsten Wert hat. Keine Flags oder Funktionen im Quellcode die ausgenutzt werden könnten.

---

#luca #software #testen #test #sicherheit #problem #bildung #entwicklung #verstädnis #lernen #hack #hacking #app #smartphone #gesundheit #corona #programm

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-04-12 15:36:56

#AfD wählen ist so 1933

#Wahl #Problem #Protest #noNazis #Faschismus #Rassismus #Demokratie #Politik

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-03-28 15:40:58

Wir haben jemanden gefunden, der die #Rechnung übernimmt ;)

---

#Politik #Zukunft #Gesellschaft #Generation #Schulden #Problem

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-03-28 15:40:58

Wir haben jemanden gefunden, der die #Rechnung übernimmt ;)

---

#Politik #Zukunft #Gesellschaft #Generation #Schulden #Problem

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-03-28 15:40:58

Wir haben jemanden gefunden, der die #Rechnung übernimmt ;)

---

#Politik #Zukunft #Gesellschaft #Generation #Schulden #Problem

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-03-18 18:00:12

#Kirche #Christen #Vatikan #Problem #Moral #Ethik #Menschenrechte #Rückständigkeit #Verbrechen #Missbrauch

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-03-18 18:00:12

#Kirche #Christen #Vatikan #Problem #Moral #Ethik #Menschenrechte #Rückständigkeit #Verbrechen #Missbrauch

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-03-16 17:05:38

#Windkraft #politik #problem #umwelt #zukunft

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-03-16 17:05:38

#Windkraft #politik #problem #umwelt #zukunft

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-03-12 17:48:12

#politik #korruption #masken #Skandal #Pandemie #Hilfe #Corona #Wirtschaft #Problem #Betrug

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-03-12 17:48:12

#politik #korruption #masken #Skandal #Pandemie #Hilfe #Corona #Wirtschaft #Problem #Betrug

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-03-12 17:48:12

#politik #korruption #masken #Skandal #Pandemie #Hilfe #Corona #Wirtschaft #Problem #Betrug

anonymiss

2021-03-09 12:27:55

#society #health #system #capitalism #life #problem

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-03-06 22:00:00

#Waffen vom #Spezialeinsatzkommando der #Polizei verschwunden

Siehe: https://www.ndr.de/nachrichten/niedersachsen/Waffen-vom-Spezialeinsatzkommando-der-Polizei-verschwunden,dienstwaffe120.html

Konsequenzen wären doch ganz einfach. Wer auf Waffen und Munition nicht aufpassen kann bekommt keine mehr!

#Politik #Verantwortung #Problem #WTF #OMG #Aua

Waffen vom Spezialeinsatzkommando der Polizei verschwunden

Bei der Polizei in Niedersachsen sind erneut zwei scharfe Waffen abhanden gekommen. Das hat der NDR Niedersachsen aus Politikerkreisen erfahren. Es ist nicht der erste Fall dieser Art.

^www.ndr.de

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-02-28 18:12:02

#Essen: #Polizeikontrolle läuft völlig aus dem Ruder – Mann mit schwerem Vorwurf: „Wie Mensch dritter Klasse“

Siehe: https://www.derwesten.de/staedte/essen/essen-polizeikontrolle-einsatz-gewalt-eskalation-widerstand-beamte-gericht-prozess-richterin-angeklagter-auto-maenner-id231663393.html

#Polizei #Problem #Sicherheit #Justiz

Essen: Polizeikontrolle läuft völlig aus dem Ruder – Mann mit schwerem Vorwurf: „Wie Mensch dritter Klasse“

Männer werden bei einer Polizeikontrolle plötzlich von Beamten geschlagen und getreten, ein Mann wird gewaltsam zu Boden gebracht, von den Polizisten fixiert, er bekommt fast keine Luft mehr. Sein Freund wird gezielt mit Pfefferspray angegriffen - solche Szenen kennt man bislang nur aus den USA. Doch so soll es auch in Essen passiert sein.

^{www.derwesten.de}

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-02-26 00:21:12

Mein Freund der #Wald ist tot :-....

Siehe: https://www.t-online.de/nachhaltigkeit/id_89536818/waldzustandsbericht-2020-so-schlecht-ging-es-dem-deutschen-wald-noch-nie.html

#Natur #Umwelt #Problem #Klima #Zukunft #Zerstörung #Pflanzen #Baum

So schlecht ging es dem deutschen Wald noch nie

Die Bundesregierung schlägt Alarm: Der Zustand der deutschen Wälder ist so schlecht wie noch nie zuvor. Umweltverbände und Klimaforscher zeigen sich besorgt.

^{www.t-online.de}

anonymiss

2021-02-24 21:59:18

#Freshwater #fish are in "catastrophic" decline with one-third facing #extinction, report finds

source: https://www.cbsnews.com/news/freshwater-fish-catastrophic-extinction-endangered-species-climate-change/


Thousands of dead freshwater fish are seen around Lake Koroneia, Greece, on September 19, 2019.

#nature #environment #water #earth #future #climate #fail #problem #news

Freshwater fish are in "catastrophic" decline with one-third facing extinction, report finds

80 freshwater species have already been declared extinct — 16 of them in 2020 alone.

^{www.cbsnews.com}

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-02-24 22:03:46

#Systemfehler: Funktionstüchtige alte #Windräder werden abgebaut weil die #Politik versagt :(

siehe: https://www.tagesschau.de/wirtschaft/technologie/windkraft-abbau-windraeder-foerderung-ausgelaufen-eeg-101.html

#Windenergie #Strom #Energiewende #Fehler #Problem #Umwelt #Wirtschaft #Klima #Zukunft #Förderung

Der Strombedarf steigt, doch alte Windräder werden abmontiert

Mit den neuen Ökostrom-Regeln erhalten seit Jahresbeginn die ersten alten Windräder keine Förderung mehr - und werden abgerissen, obwohl sie noch Strom liefern könnten. Experten sehen den Fehler im System. Von Verena von Ondarza.

^{www.tagesschau.de}

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-02-24 22:03:46

#Systemfehler: Funktionstüchtige alte #Windräder werden abgebaut weil die #Politik versagt :(

siehe: https://www.tagesschau.de/wirtschaft/technologie/windkraft-abbau-windraeder-foerderung-ausgelaufen-eeg-101.html

#Windenergie #Strom #Energiewende #Fehler #Problem #Umwelt #Wirtschaft #Klima #Zukunft #Förderung

anonymiss

2021-02-17 18:22:29

The only #problem is that you can't change your #fingerprints after a #password #leak.

#dna #technology #fail #security #cybercrime

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-02-16 22:47:16

Schon wieder ein bedauerlicher #Einzelfall bei der Polizei mit #Rechtsextremismus ... :(

Siehe: https://www.spiegel.de/politik/deutschland/berlin-polizei-internat-zu-sturm-auf-reichstagstreppe-in-rechtsextremen-chats-aufgetaucht-a-1cfd8669-5ac1-4650-ba25-5ef695e84b3c

#noNazis ##Polizei #Versagen #Problem #Extremismus #Rassismus #Politik

Polizei-Interna zu Sturm auf Reichstagstreppe in rechtsextremen Chats aufgetaucht

Im Sommer stürmte ein Mob die Treppe am Reichstagsgebäude. Kurz vor anstehenden Hausdurchsuchungen tauchte nun eine Warnung in rechtsextremen Telegram-Kanälen auf.

^{www.spiegel.de}

anonymiss

2020-05-16 21:57:22

#art #city #nature #environment #problem #population

RⒶmonⒶ ⁽⁽⁽i⁾⁾⁾

2021-01-18 18:13:33

Ist #Klimawandel etwas ganz normales?

Eines der Scheinargumente der Klimaleugner ist, dass Klimawandel etwas ganz normales ist. Es gab schon oft in der Geschichte der Erde Klimaveränderungen und der Mensch passt sich an.

Dieses Scheinargument entkräftet in 2 Minuten:

https://www.br.de/mediathek/video/klimapalaver-faktencheck-ist-klimawandel-nicht-etwas-ganz-normales-av:585dc8c93e2f290012a977be

#Krise #Klima #Problem #Zukunft #Menschheit

Klimapalaver Faktencheck : Ist Klimawandel nicht etwas ganz Normales?

Klimawandel gab es doch schon immer in der Erdgeschichte: Vor etwa 100.000 Jahren war es in Mitteleuropa rund zwei Grad wärmer als jetzt, danach auch mal zehn Grad kälter. Ist es da schlimm, wenn jetzt die Temperatur um ein paar Grad steigt?

^www.br.de

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-01-18 12:49:53

Und #Greta könnte erst erzählen ....

#Internet #Gesellschaft #Hass #Gewalt #Problem #Kritik #Frauen #Menschlichkeit #Diskurs

Simonalein ⁽⁽⁽i⁾⁾⁾

2021-01-18 12:49:53

Und #Greta könnte erst erzählen ....

#Internet #Gesellschaft #Hass #Gewalt #Problem #Kritik #Frauen #Menschlichkeit #Diskurs