Bugs, Security-Super-GAUs und andere Bosheiten – „IT“ working as expected?

Datenklau leicht gemacht?

Bequemlichkeit und Unwissen

Wenn man sich die momentane Situation (Spectre, Meltdown, Bugs, Faktor Mensch,…) anschaut und nur ein wenig darüber nachdenkt, sollte grundsätzlich jedem klar werden, dass die Informationstechnologie NIE wirklich sicher sein kann, sobald Daten über Netzwerke ausgetauscht werden. Noch schlimmer wird es in diesem Kontext, wenn von außen (Internet) auf Geräte zugegriffen wird bzw. ein Datenaustausch über das Internet stattfindet (z.B: Surfen).

Innerhalb eines Netzwerkes ohne Außenanbindung (Internet) ist man verhältnismäßig sicher, aber…

Nehmen wir die Daten einfach mit nach Hause

Im Allgemeinen braucht es kein Netzwerk, um Datenklau zu ermöglichen. So kann innerhalb eines Betriebes auch ein Mitarbeiter Daten „absaugen“. Dies geschieht jedoch meist nicht aus einer bösartigen Absicht heraus!

Ich möchte nicht wissen, wie oft Firmendaten per USB Stick auf den heimischen PC transferiert werden, um dann auch außerhalb der Dienstzeiten an einem „Projekt“ weiterzuarbeiten.

Nebst dem Datenaustausch mit dem klassischen USB-Stick, gäbe es hier dann noch:

  • E-Mail (nach Hause)
  • diverse Online-Cloud-Services (Dropbox, Nextcloud, Onedrive…)
  • Das Smartphone als USB-Stick

Das Tolle an den Cloudservices ist, dass NIEMAND weiß, wo die Daten wirklich liegen (vielleicht irgendwo auf einer Serverfarm in den USA) bzw. was mit ihnen gemacht wird.

Passwortsicherheit – Aus Sicht des Anwenders

Anwender sehen ihr Passwort eher als lästig an. „Muss halt sein… nervt!“.

Admins, die es eigentlich gut meinen, ernten Kritik, sofern eine strikte Passwortrichtlinie zum Einsatz kommt. In diesem Zusammenhang meinen viele immer noch, dass der Zwang zur Passwortänderung binnen x Tagen zu einer Erhöhung der Sicherheit führt. Dem muss ich entschieden widersprechen!

Überspitzt formuliert wird aus dem Passwort Test1234 dann halt Test5678.

Besser ist es ein langes (12 Zeichen+) komplexeres Passwort ohne Änderungszwang zu fordern.

Viele User geben ihr Passwort an Kollegen/innen weiter, speichern Passwörter im Browser, legen sich ungeschützte Dateien an, in denen jede User-/Passwortkombination brav mitdokumentiert wird, verwenden unsichere Passwörter, weil ein sicheres Passwort zu schwer zu merken ist, …

Passwortsicherheit – Aus Sicht der Hersteller, Provider usw.

Die meisten Menschen auf dieser Erde, wollen die IT nutzen. Sie wollen sich keine Gedanken darüber machen, warum etwas funktioniert, oder wie etwas funktioniert und das ist auch ihr gutes Recht!

Beispiel „WLAN-Router Installation durch den Provider“:
Provider X stellt einen WLAN-Router zur Verfügung. Der Techniker des Providers kommt, steckt den Router an, checkt die ordnungsgemäße Funktion und geht.

Es wird weder darauf hingewiesen, dass am Router selbst noch per Standardlogin (admin, admin) eingestiegen werden kann, noch dass man bestenfalls bitte für das WLAN ein neues langes Passwort vergeben soll.

Prinzip: Hinstellen, funktioniert, tschüss – also sozusagen „fire and forget“.

Nun redet die Welt schon länger über das Internet of Things (IoT). Vernetzte Kühlschränke, Trockner, Waschmaschinen, Klorollenhalter, Zahnbürsten, Vibratoren, Türöffner, Heizungssteuerungen,…

Wozu überhaupt noch Sicherheitslücken? Der Gau ist doch auch so programmiert! Quasi: „Mit Plug&Play zum Super-GAU“

  • „Jeder“ will alles besitzen und verwenden.
  • Die Wenigsten wollen sich mit den Grundlagen auseinandersetzen um zu verstehen, worauf man achten muss.
  • „Alle“ schreien schließlich, wenn etwas passiert.

Arbeiten mit Adminrechten / Rootrechten

Man arbeitet NICHT mit Admin oder Rootrechten! Diese erhöhten Berechtigungen sind ausschließlich für die Installation / Konfiguration zu verwenden und nicht im „daily-business“.

(Ich kenne zig Systemadmins die permanent mit Adminrechten unterwegs sind – ein NO GO!)

Updates

Softwareupdates können Nebenwirkungen haben, stimmt. Dies wurde in der Vergangenheit leider viel zu oft durch MS vorgemacht. Dennoch sind sie ein notwendiges Übel.

Unter „Linux“ läuft dies meiner Erfahrung nach problemlos(er) ab. Ein Riesenvorteil gegenüber Windows ist, dass sämtliche installierten Pakete über die Paketverwaltung aktualisiert werden können. (Einfacher geht es einfach nicht mehr!)

Generell sollten Updates immer zeitnah eingespielt werden!

Meltdown und Spectre

Unterm Strich ein ziemlicher GAU, ja. In Summe jedoch nur ein weiterer Fingerzeig, dass die IT ganz einfach nicht sicher ist!

Fakt ist, dass:

  • Es die Sicherheitslücken schon Jahrzente gibt.
  • Ein Ausnutzen der Sicherheitslücke nicht protokolliert wird.
  • Intel meint, dass sich die Prozessoren „as expected“ verhalten.
  • AMD weniger betroffen ist.
  • der Anwender „übrigbleibt“, wenn etwas passiert.

Wie kann man eigentlich ausschließen, dass es in den vergangenen Jahrzehnten nicht bereits unzählige Übergriffe gegeben hat?

Hilft nur patchen, patchen und nochmals patchen…

Details: https://www.golem.de/news/updates-wie-man-spectre-und-meltdown-loswird-1801-132125.html

 

Fazit

Eine Verbesserung der Gesamtsituation kann nur dann erreicht werden, wenn möglichst flächendeckend ein gewisses Grundverständnis für die IT geschaffen wird. (Bsp: Passwörter sind nicht lästig, sondern in vielen Fällen als letzte Bastion zu sehen. Ein Kühlschrank, der von überall aus dem Internet erreichbar ist, ist nicht cool!).

Die Kommunikationskultur der Hersteller in Richtung der Verbraucher MUSS verbessert werden (Transparenz!)

Sicher war die IT noch nie!

Meltdown, Spectre: Systeme patchen nicht vergessen

Angesichts der momentan vorherrschenden Securityproblematik (Spectre, Meltdown…) solltet ihr eure Systeme Patchen. Für „Linux“ gilt es bereits vorhandene Kernelaktualisierungen einzuspielen und das System danach neu zu starten.

So gibts für die Stable Version von Debian (Stretch) mittlerweile die Kernelversion 4.9.65-3+deb9u2, die der Sicherheitsproblematik entgegenwirkt.

https://www.debian.org/security/2018/dsa-4078

https://security-tracker.debian.org/tracker/linux

Auch Microsoft stellt Patches zur Verfügung

Windows 7: https://support.microsoft.com/en-us/help/4056897/windows-7-update-kb4056897

Windows 8: https://support.microsoft.com/en-us/help/4056898/windows-81-update-kb4056898

Windows 10: https://support.microsoft.com/de-de/help/4056892/windows-10-update-kb4056892