News Luca-App: BSI hält Angriffs-Szenario per Code-Injection für plausibel

SVΞN

Redakteur a.D.
Dabei seit
Juni 2007
Beiträge
22.652
  • Gefällt mir
Reaktionen: Clowntastisch, Asghan, aid0nex und 3 weitere Personen
Besonders bei der Luca App gab es schon einige Vorzeichen, wirkte noch nie sonderlich seriös.
 
  • Gefällt mir
Reaktionen: Ernie75, Okona, Alexus6677 und 26 weitere Personen
Überall wird man gefragt: Hast du die Luca App? Mittlerweile nervt es. Werde auch weiterhin die Zettel ausfüllen. Die App ist pure Steuergeldverschwendung in jedem Bundesland. Anders kann man es nicht betiteln.

Wozu hat man die Coroan Warn App (die die gleichen Funktionalitäten bietet) nochmal entwickeln lassen?
 
  • Gefällt mir
Reaktionen: CMDCake, flo.murr, Ernie75 und 38 weitere Personen
@SV3N Übrigens ergab sich auch gleich noch ein DoS-Angriff aus der Sicherheitslücke von vorgestern. 🙈 https://twitter.com/mame82/status/1397931535781699590

Eventuell müssen wir den Luca-Bugs langsam griffige Namen geben, man verliert langsam den Überblick. Das Schweigen der Landesregierungen, auch auf Anfragen hin, ist erdrückend. Es wird Zeit, diesen Müll aus unserer kritischen Infrastruktur rauszuwerfen. Und zwar sofort. Gibt mittlerweile auch ein gutes Google Doc, das Materialien und Infos sammelt, mit denen man sich kritisch an seine Stadt bzw. Landkreis oder Landesbehörden wenden kann, wenn man es versuchen möchte.

Von Eva Wolfangel gibt es einen ganz guten Twitter-Thread, der aktuell gehalten wird, und das dreiste Desaster der letzten Tage und die Lügen von Nexenio behandelt.
 
  • Gefällt mir
Reaktionen: Ernie75, Unnu, Alexus6677 und 12 weitere Personen
Zitat von Darkblade08:
Überall wird man gefragt: Hast du die Luca App? Mittlerweile nervt es. Werde auch weiterhin die Zettel ausfüllen. Die App ist pure Steuergeldverschwendung in jedem Bundesland. Anders kann man es nicht betiteln.

Wozu hat man die Coroan Warn App (die die gleichen Funktionalitäten bietet) nochmal entwickeln lassen?
Die Bundesländer haben ( dem Anschein nach völlig am Vergaberecht vorbei) große Kontingente der Luca App eingekauft und sind jetzt commited.

Plus die Gesundheitsämter können mit den extra Daten eh nichts anfangen. Die passen nicht auf deren Papier Formulare.

Die CWA ist in jeder Hinsicht die bessere App. Hat eine viel sicherere Infrastruktur und ist wesentlich datensparsamer. Ihr Hauptproblem ist die schlechte Presse.
 
  • Gefällt mir
Reaktionen: Ernie75, Okona, Alexus6677 und 35 weitere Personen
Tja, das ist eben das Ergebnis wenn ein 50 Jähriger Möchtegern-Musiker, der halt im Moment keine Einnahmen hat weil er sonst nichts kann, und IT-Corana-Superexperte Politikern schön Millionen aus der Tasche leiert und das dann auch noch von den Medien als Hype gefeiert wird.

Genau so schlimm finde ich es im Moment wenn jetzt in den Medien fast tagtäglich hippe Unternehmen präsentiert werden die alle "ihre" Impf-App vorstellen und auch da sowohl Politiker als auch Meiden das gutheißen.
 
  • Gefällt mir
Reaktionen: Ernie75, dropback, halbtuer2 und 16 weitere Personen
Ich habs direkt jedem gesagt - laded euch keine Apps runter. Brauch man nicht. Auf Datensicherheit und eine solide Code-Basis wird auch verzichtet werden. Würde sagen ich hatte wohl recht, was aber für jeden mit etwas IT Ahnung von Anfang an klar war.
 
  • Gefällt mir
Reaktionen: Ernie75, halbtuer2, Unnu und 16 weitere Personen
Zitat von BSI:
Wir sind der Auffassung, dass die Betreiber einer App für die Integrität übermittelter Daten verantwortlich sind.
Die Luca Entwickler wahrscheinlich so: "Wir nicht, schönen Tag noch, viel Spaß mit den Sicherheitslücken und danke für die 20+ Millionen Euro aus Steuergeldern, lol."
 
  • Gefällt mir
Reaktionen: Ernie75, Clowntastisch, McConsington und 18 weitere Personen
Zitat von MECD:
Die CWA ist in jeder Hinsicht die bessere App. Hat eine viel sicherere Infrastruktur und ist wesentlich datensparsamer. Ihr Hauptproblem ist die schlechte Presse.
Seh ich auch so. Der einzige "Vorteil" von Luca ist das das Gesundheitsamt wirklich nachverfolgen kann da die Personen bekannt sind. Das kann die CWA konstruktionsbedingt nicht und das ist auch gut so. Ist ja auch überhaupt nicht erforderlich um am Ende das gleiche zu Leisten.

Genau genommen kann die CWA eigentlich das gleiche wie die Luca und mehr. Die kann auch jegliche Begegnungen registrieren.
Bei der CWA muss aber am Ende zwingend der Nutzer mitteilen falls er positiv ist. Ob das das Gesundheitsamt soviel besser macht kann ich mir auch nicht vorstellen.
 
  • Gefällt mir
Reaktionen: noxcivi, Three of Nine und konkretor
MeckPom hat sogar in ihre Landesgesetze die Verwendung von Luca reingepresst, obwohl das zu dem Zeitpunkt noch nicht einmal getestet war. 10/10 Punkten!
 
  • Gefällt mir
Reaktionen: Ernie75, Dimitri Kostrov und Three of Nine
Ich möchte ja nicht arrogant klingen, aber sind Code Injections nicht der allererste Punkt, den man als Entwickler bei user input den Riegel vorschiebt?

Das war vor 15 Jahren bei SQL doch schon Teil jedes Web Tutorials.
 
  • Gefällt mir
Reaktionen: Ernie75, Unnu, Jokeey und 19 weitere Personen
Zitat von ###Zaunpfahl###:
Genau genommen kann die CWA eigentlich das gleiche wie die Luca und mehr. Die kann auch jegliche Begegnungen registrieren.
https://www.lda.bayern.de/de/thema_corona_gastronomie.html
Name und Kontaktdaten (Telefonnummer oder E-Mail-Adresse oder postalische Adresse)
Das genau kann die Corona Warn App eben nicht (weil sie es nicht können sollte). Es muss doch wirklich einfacher möglich sein, Kontaktnachverfolgung zu betreiben, als mit Zettelwirtschaft. Das war ja auch die ursprüngliche Intention - so wie ich das verstanden habe - normale kulturelle Events (Kino, Gaststätte, Musikkonzert - wieder möglich zu machen.
D.h. nicht, dass das die Luca App sein soll/muss, aber eine bessere Lösung anstatt Zettel MUSS möglich sein.
Gesendet per berittenem Boten.
Zitat von ###Zaunpfahl###:
Bei der CWA muss aber am Ende zwingend der Nutzer mitteilen falls er positiv ist. Ob das das Gesundheitsamt soviel besser macht kann ich mir auch nicht vorstellen.
? Meinst du "müsste", weil aktuell muss niemand irgendwas bei der Warn App. Und wie willst du das dann sicherstellen? Dann kreuzt man halt beim Test an, nö, hab die App nicht, nichtmal n Handy. Oder dann die App-Pflicht? Ist halt alles nicht ganz so einfach, in der Gesamtschau, wie nur auf einzelne Teilaspekte geschaut.
 
  • Gefällt mir
Reaktionen: Kommando und Miuwa
Zitat von MR2007:
15 Jahren bei SQL doch schon Teil jedes Web Tutorials
Wer liest denn schon Tutorials und hält sich an etablierte Best Practices?^^
Da braucht man sich doch nur die Entwicklung der OWASP Top 10 ansehen um zu merken, dass die immer gleichen Fehler immer noch gern gemacht werden...
 
  • Gefällt mir
Reaktionen: Alexus6677, P3chv0gel, Fritzler und eine weitere Person
Zitat von ###Zaunpfahl###:
Der einzige "Vorteil" von Luca ist das das Gesundheitsamt wirklich nachverfolgen kann da die Personen bekannt sind.
Nur scheinen die Gesundheitsämter oft gar nicht auf die Daten von der Luca-App angewiesen zu sein. Gibt einen interessanten Vortrag in der "Mediathek" des CCC von Jemanden, der auch mal erklärt, wie die Kontaktverfolgung bei den Gesundheitsämtern abläuft und die Kontakte meist schon anderweitig ermittelt werden können, bevor man überhaupt die Luca-Daten bräuchte. Also werden die Luca Daten in der Regel gar nicht benötigt. Außerdem würden die den Arbeitsaufwand für die Ämter erhöhen, weil die Daten für die Auswertung erstmal entsprechend aufbereitet werden müssen. https://media.ccc.de/v/cccs-202105-lucatrack-und-andere-gefahren
 
  • Gefällt mir
Reaktionen: Ernie75, Unnu, chillking und 4 weitere Personen
Zitat von Darkblade08:
Wozu hat man die Coroan Warn App (die die gleichen Funktionalitäten bietet) nochmal entwickeln lassen?
Na warten wir mal ab in welchen Posten die entsprechenden Entscheider, die die Luca App illegalerweise am Vergaberecht vorbei bestellt haben in Zukunft so sitzen - dann hast du deine Antwort ;)
 
  • Gefällt mir
Reaktionen: Unnu
Zitat von SIR_Thomas_TMC:
Es muss doch wirklich einfacher möglich sein, Kontaktnachverfolgung zu betreiben, als mit Zettelwirtschaft
Kontaktnachverfolgung hat man auch per CWA ohne Angabe von Daten. Auch da werde ich gewarnt, wenn ich Kontakt mit jedem hatte, der positiv getestet wurde. Ganz ohne Flaschenhals des Gesundheitsamtes, das überlastet ist.
Ja, nur wenn beide Nutzer die CWA verwenden aber selbst meine Großeltern mit 80+ haben ein Smartphone und die CWA und ja für diejenigen ohne Smartphone hätte sich bestimmt auch etwas entwickeln lassen können wenn man es gewollt hätte.

Das reine Kontaktnachverfolgen bekämpft aber auch keine Pandemie. Kontaktvermeidung und Immunisierung (durch Impfung) bekämpfen eine Pandemie. Alles andere ist nur Gepfusche an den Symptomen und nicht der Ursache.
 
  • Gefällt mir
Reaktionen: Ernie75, Prolokateur und ###Zaunpfahl###
@mibbio Da ist man in den deutschen Ämtern ja gut aufgestellt. Wie war das noch, wir entwickeln eine Software für Epidemie-Kontaktverfolgung in Afrika, können dann die Daten hier nur manuell (und im schlimmsten Fall per Papier) zwischen den Ämtern austauschen?
Pandemie-Software Sormas
Ergänzung ()

Zitat von snaxilian:
Kontaktnachverfolgung hat man auch per CWA ohne Angabe von Daten.
Klar, finde ich auch gut und sinnvoll. Wäre aber aktuell einfach nicht erlaubt.

EDIT: Schau dir halt an, welche Angaben (zumindest Ende 2020) gefordert waren.
https://www.lda.bayern.de/media/musterformular_kontakterhebung_corona.pdf
(Teil der schon von mir davor geposteten Webseite https://www.lda.bayern.de/de/thema_corona_gastronomie.html )
Da ist nunmal nix mit Corona-Warnapp. Ich hab die übrigens selbst, und finde die gut.

EDIT 2:
"Speicherdauer Die Kontaktdaten werden für einen Zeitraum von einem Monat aufbewahrt und dann vernichtet. " Das schreit doch nach Software, sonst darf zusätzlich ein Mitarbeiter jeden Tag den passenden Stapel schreddern. Klar geht das (musste ja auch so gemacht werden), aber es geht auch besser. Und zwar viel.
Onlineschooling auch, übrigens, siehe Nordeuropa. Aber das fürht zu weit weg. Ein digitales Entwicklungsland sind wir in Deutschland, meiner Meinung nach.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Alexus6677, kamanu und Ein_Freund
Der gute Smudo wird hier aber zerrissen. Der hat die App vorgestellt und ja vermarktet als die Warn-App noch keine solche Funktion anbot.
Wenn die Politiker aber nicht selbst auf dem Trichter kommen ähnliches in die CWA zu integrieren und unser Steuergeld zu schützen dann bedankt euch mal wieder bei denen.
 
  • Gefällt mir
Reaktionen: killerwolf, cruse, Fusselbart und 2 weitere Personen
Im Gesundheitsamt arbeitet man doch noch mit Papier, Stift und Faxgerät. Und Telefonaten - aber nicht in andere Ortschaften! Da muss man zuerst die Telefonnummer per Fax an das örtlich zuständige Gesundheitsamt schicken.
 
Zitat von SIR_Thomas_TMC:
Wenn man die Verordnungen dahingehend anpassen konnte um den Luca Quatschmüll zu forcieren, könnte man dies genau so gut in Richtung CWA. Sachsen zum Beispiel hat dies bereits getan, dort ist explizit die CWA in der Verordnung genannt für Check-Ins.

Zitat von Ein_Freund:
Dieser lügende Wicht hat auch wild irgendwelche Features und Funktionen von Luca beworben, die die Software damals nicht hatte oder bewirbt den Müll weiter obwohl Aussagen von ihm widerlegt wurden.
Er verdient halt höchstwahrscheinlich daran mit und ist damit ne Werbefigur und nicht an ernsthafter sachlicher Diskussion interessiert.
 
  • Gefällt mir
Reaktionen: Blumenwiese, psyabit, Taron und 5 weitere Personen
Zurück
Top