Last updated on 13. August 2022
Google Duo wird zu Meet, aber Meet bleibt Meet, wobei Meet zu Duo leitet, aber eben als Meet. Klar soweit? In dieser Episode haben wir recht viele unterschiedliche Themen mitgebracht. Alle sehr spannend - wie immer natürlich - und teilweise recht lustig. Darunter: Lithium fördern in Rheinland-Pfalz, endlich mal eine gute Webcam, Fiber, Fiber und Cyber, Cyber mit der IHK. Was wie ein Lied von Fanta 4 klingt, sind in Wirklichkeit einfach ganz normale Tech-News.
Außerdem: Per BGP werden ein paar Routen temporär von Apple gekapert, und auch sonst werden einige Unternehmen gehackt oder geleaked. Darunter: Die IHK, Slack, Twilio, und Videoident als Konzept. Im Datenschutz-Bereich macht sich Amazon beliebt mit dem neusten Einkauf: iRobot Roomba, jetzt von Amazon!
In den Doch-nicht-so-Kurzmeldungen erfahren wir, warum GitHub Copilot unsicheren Code vorschlägt, eine saftige Preisanpassung bei Hetzner, abgedrehte Stromleitungen bei Vodafone und zu guter Letzt der Facebook Messenger, welcher nun endlich auch Ende-zu-Ende-Verschlüsselung anbietet.
Und am Ende gibt es noch zwei kleine Aufregerchen zum Thema Apple von Karim: Variable Refresh Rate und die Calculator-App!
Seiten, die im Podcast erwähnt wurden:
- IHK Hack: https://twitter.com/Janomine/status/1557070121595707392
- Facebook Messenger E2E: https://stadt-bremerhaven.de/facebook-messenger-e2e-verschluesselte-backups-und-mehr/
- Hezner Preise: https://docs.hetzner.com/general/others/price-adjustment/
- Lithium vor der Haustür: https://www.golem.de/news/geothermie-und-rohstoffgewinnung-stadtwerke-speyer-und-schifferstadt-wollen-lithium-foerdern-2208-167559.html
- Google Fiber: https://www.golem.de/news/ftth-alphabet-belebt-google-fiber-wieder-2208-167562.html
- CCC hat Videoident gehackt: https://www.golem.de/news/manipulierte-ausweise-ccc-macht-videoident-kaputt-2208-167530.html
- Twilio & Cloudflare gehackt: https://www.golem.de/news/2fa-twilio-und-cloudflare-angestellte-von-phishing-betroffen-2208-167555.html
- GitHub Copilot: https://www.heise.de/news/Programmierhilfe-GitHub-Copilot-macht-Code-unsicherer-7217314.html
- Amazon kauft iRobot: https://www.spiegel.de/netzwelt/gadgets/irobot-amazon-kauft-roomba-hersteller-fuer-1-7-milliarden-dollar-a-d804d7b9-5faa-408d-bd27-0d59bc5d5dd7
- Insta360 Link: https://www.youtube.com/watch?v=MUFasnyaaag
- Übernahme von Apples BGP-Routen: https://www.heise.de/news/Russischer-Provider-kapert-Apple-Adressraum-7193705.html
- Slack Leak: https://twitter.com/eric_capuano/status/1555407572622000128
- Google Meet: https://www.theverge.com/2022/8/3/23290225/google-meet-duo-video-calling-messaging
- Vodafone Fail: https://www.teltarif.de/vodafone-basisstation-abgeschaltet/news/88932.html
Übrigens, ob der eigene Internetservice Provider (ISP) RPKI unterstützt (also das Signieren von BGP Routen) lässt sich auf folgender Website herausfinden. Weil hätte Apple RPKI unterstützt, so wäre man davon nicht betroffen gewesen, vorausgesetzt die eigenen Mitarbeiter im Homeoffice haben einen ISP, welcher ebenfalls RPKI kann.
https://isbgpsafeyet.com/
Weil RPKI bringt nur was, wenn die Source ISP und der Ziel ISP das können.
In der Schweiz gibt es einen Internetanbieter, welcher 25 Gbit (Symmetrisch, also Up- und Down) anbietet. Für lächerliche CHF 65 pro Monat.
https://www.init7.net/de/internet/fiber7/
Weshalb so viel? Nun, Init7 sagt sich so quasi: «Glas kann das, unsere Optik kann das, unser Router kann das, wir haben also 0 Mehraufwand, wenn wir das anbieten, weshalb sollten wir es nicht anbiete? Weshalb sollten wir hier irgendwas künstlich begrenzen?». Ist so bisschen wie ein Sportwagen. Braucht kein Mensch, ist aber schon irgendwie cool und zeigt, was möglich wäre, würde man nicht künstlich begrenzen. (Wobei bei Autos ich ok fände, wenn die nicht schneller als 150 fahren könnten, weil alles darüber ist ohnehin hirnverbrannt. Aber das ist ein anderes Thema)
Bezüglich Cloudflare Phishing Hack:
Das wichtigste ging IMHO im Podcast vergessen, nämlich das Fazit. Der Phishing Angriff war nicht erfolgreich, obwohl drei Angestellte darauf hereingefallen sind, da Cloudflare 2FA mittels Fido2-Stick (also Hardware) macht. So à la YubiKey. Webbrowser kommunizieren mittels WebAuth mit solchen Hardware-Sticks, da wird auch die Domain mitgeteilt. Phishing damit ist so gesehen gar nicht (so einfach) möglich. Weil der Stick generiert dann einen falschen Token, weil es die Domain nicht kennt. Fazit: Immer für alle Mitarbeiter Hardware 2FA erzwingen. Immer.