News Coverage and liveblogs on Google I/O over on TechCrunch, The Verge and Engadget.
Most noteworthy, Google released a new, more affordable Pixel 3a, updates to Google Assistant, put more emphasis on security upgrades. In other announcements, Nest Hub has been pronounced the new name for Google Home Hub, along with a bigger ‘Max’ edition of the device. There are also announcements on Android 10 Q, which The Verge covered previously
The LightNeuron Microsoft Exchange backdoor can read, modify or block emails going through the compromised server, and even compose and send new emails.
Source: Researchers discover highly stealthy Microsoft Exchange backdoor – Help Net Security
It’s the Tech perspective, but has the potential for a good debate. Under GDPR it’s not even compliant and still plenty of companies collect all data they can get hold of. Driven by Big Data vendors telling the narrative of Data Lakes, that only require you the data today, should you want to ask any question you don’t know yet in the future.
Only – have you ever come up with a question that you could not answer based on the data that is already available? Based on data that you collected in a Data Lake?
Big disclaimer: personally I don’t conclude with the assumptions made in the initial article, but the question is worth thinking about. In particular because most organizations I met until today are not metric driven in first place.
Source: Ask Slashdot: Why Do Companies Need All That Personal Data They’re Collecting? – Slashdot
Facebook had a rough 2018 and 2019 didn’t really start too well either, when Instagram leaked passwords. Meanwhile, Amazon’s Alexa had it’s own scandal when it turned out that not machines but humans listened to their customers commands. With all of this combined, it doesn’t sound like a great idea to offer more surface for these kind of events. Still, Facebook seems to plan to release a voice assistant of its own.
There’s no indication that it will extend outside Facebook’s own hardware—yet.
Source: Facebook is working on an AI voice assistant similar to Alexa, Google Assistant | Ars Technica
In Mar-a-Lago, Donald Trump’s ganz eigenem Lieblings-Golfresort, ist eine Frau mit Malware auf einem USB Stick verhaftet worden. What a time to be alive. Es fehlt eigentlich nur noch, dass Sicherheitsdienste ausgebildete USB Spürhunde mitbringen.
A worrisome development for the US Tweeter-in-Chief
Source: Chinese woman carrying malware arrested at Trump’s Mar-a-Lago resort – The Verge
PEAR PHP ist Rechnologie, die schon im Einsatz war als ich noch PHP programmiert habe. Das war 1999. Schon damals hatte das keinen besonders guten Ruf. Offenbar gibt es das Repository immer noch. Und es scheint immer noch problematisch zu sein.
If you installed PEAR PHP in the last 6 months, you may be infected
Pear.php.net shuts down after maintainers discover serious supply-chain attack.
Source: Ars Technica
Gerade brennt eine Security Diskussion darum, dass Videolan Updates für seinen Mediaplayer nur über http:// ausliefert. Auch meiner Meinung nach entspricht das nicht dem Standard von 2019, aber hey. Wohl hatten die Entwickler verschiedene Argumente, an dem Verfahren festzuhalten. Signaturen via gpg, Maintenance, Aufwand und so.
Jedenfalls eröffnet die Situation eine spannende Diskussion darüber was denn nun das richtige Vorgehen ist und vor allem: wer denn nun Recht hat. Die Videolan Community jedenfalls scheint die Kollegen von Infosec nicht sehr sympathisch wahrzunehmen.
Aus meiner professionellen Erfahrung muss ich leider konstatieren: auch anderswo gibt es keineswegs einen Zusammenhalt von Dev und Sec. Die Wahrnehmung wird in vielen Softwareentwicklungsteams sehr ähnlich sein. Viel mehr ist das ein ständiges sich gegenseitig sich anpöbeln. Ganz ähnlich wie in der beschriebenen Fall.
Das ist sogar nachvollziehbar weil es zwei Parteien sind, die individuelle Interessen vertreten. Und es gibt aus der Situation in der Regel auch keinen vernünftigen Ausweg, weil die Incentivierung der Teams nicht das gleiche Ziel anstreben. Security ist damit Teil eines Problems und nicht Teil einer Lösung.
“So könnt Ihr das nicht machen” eröffnen die einen, deren Auftrag es ist, Fehler in Software zu finden. “Hey, wir haben uns da Monatelang was dabei gedacht” halten Entwickler dann dagegen und schon ist die Debatte in vollem Gang.
Gerade weil in der Regel das Aufgabengebiet der Security Kollegen sich darauf beschränkt, Fehler aufzuzeigen, ist es für die gegenüber stehende Partei nur nachvollziehbar, jedes Audit als Quelle für zusätzliche, oft kaum nachvollziehbare Arbeit oder sogar Schikane wahrzunehmen.
Wenn Infosec auch einen Weg aufzeigen kann, der mit der Situation der Entwickler vereinbar ist, gelingt es sichere Software zu schreiben. Nur Fehler aufzuzeigen ist dafür zu wenig.
Im Fall von Videolan wird die Debatte nun öffentlich geführt, was nicht sehr schön zu verfolgen ist, aber es ist eine notwendige Debatte für jede tiefere Integration von Development und Security.
Meanwhile at @shmoocon, everyone.
